Met Excel voorbereid op de (nieuwe) privacywet (AVG)?

De AVG:

  • legt meer verantwoordelijkheden bij de organisatie die persoonsgegevens verwerkt (“verwerkingsverantwoordelijke”)
  • beschermt en versterkt de rechten van de personen van wie persoonsgegevens worden verwerkt (“betrokkenen”)
  • geeft de toezichthouder, de Autoriteit Persoonsgegevens, meer bevoegdheden, waaronder de bevoegdheid om hoge boetes op te leggen.

 

Inleiding

Vrijwilligersorganisatie gebruiken en registreren persoonsgegevens. Bijvoorbeeld de gegevens van leden en sponsoren, personeelsleden en vrijwilligers, dit gebeurd vaak in het handig en voor iedereen bruikbare excel. Maar is gebruik van excel met al die persoonsgegevens van wel AVG proof? Lees hieronder de belangrijkste punten en oordeel zelf.

Bewustwording en overzicht van de verwerking

Het is belangrijk dat iedereen binnen je organisatie weet dat straks de nieuwe AVG van toepassing is en wat de gevolgen zijn. Van het bestuur tot en met alle medewerkers en vrijwilligers die persoonsgegevens verwerken, gebruiken of kunnen inzien.

Het kan handig zijn om één persoon binnen je organisatie of binnen het bestuur aan te wijzen die verantwoordelijk is voor de correcte verwerking van de persoonsgegevens. 
Hij/zij zal samen met het bestuur, eventueel met de Functionaris Gegevensbescherming, moeten inschatten wat de impact van de AVG is voor het huidige gebruik van de persoonsgegevens en de processen binnen je organisatie. Deze verantwoordelijke zal ook moeten onderzoeken welke aanpassingen nodig zijn.

Onder de AVG heeft je organisatie een zogenaamde ‘verantwoordingsplicht’. Dit houdt in dat jullie altijd moeten kunnen aantonen dat je organisatie handelt in overeenstemming met de AVG.

Begin daarom met het in kaart brengen en documenteren van de persoonsgegevens die jullie momenteel verwerken. Zo worden jullie je bewust van welke persoonsgegevens de organisatie verwerkt. Vervolgens kunnen jullie beoordelen wat er moet gebeuren om aan de AVG te voldoen.

Breng de verwerking van de persoonsgegevens in kaart door de volgende informatie te verzamelen:

  • welke persoonsgegevens verwerken jullie?
    Bijvoorbeeld: naam, adres, bankgegevens, telefoonnummer, geslacht, e-mailadres
     
  • van welke categorieën betrokkenen zijn de persoonsgegevens?
    Bijvoorbeeld: leden, sponsoren, vrijwilligers, personeelsleden
     
  • verwerken jullie ook gegevens over gezondheid of andere bijzondere persoonsgegevens?
    Bijvoorbeeld: vaardigheden, voorkeuren?
     
  • voor welk doel gebruiken jullie de persoonsgegevens?
    Bijvoorbeeld: innen lidmaatschapsgeld, verzenden van informatie, uitnodigingen bijeenkomsten, in plannen van vrijwilligers?
     
  • vragen jullie toestemming voor de verwerking? Of is er sprake van een andere wettelijke grondslag?
     
  • gebruiken jullie een privacybeleid of hebben jullie andere informatie aan de betrokkenen verstrekt?
     
  • wie hebben er allemaal toegang tot de persoonsgegevens?
    Bijvoorbeeld: welke personeelsleden, vrijwilligers, andere derden (verwerkers)?
     
  • hebben jullie met deze derden/verwerkers een verwerkersovereenkomst gesloten?
     
  • hoe worden de persoonsgegevens beveiligd / is er een beveiligingsbeleid?
     
  • hoe lang worden de persoonsgegevens bewaard?

Met deze informatie zullen jullie moeten inschatten welke stappen de organisatie nog moet zetten om te voldoen aan de AVG.

Bewaar niet wat je niet nodig hebt

De AVG gaat uit van dataminimalisatie. Dit betekent dat organisaties zo min mogelijk persoonsgegevens moeten verwerken en uitsluitend die gegevens die nodig zijn voor het te bereiken doel. Vraag je bij alle te verwerken persoonsgegevens af of deze gegevens echt noodzakelijk zijn voor het doel dat jullie nastreven.

Aanleggen van register van de gegevensverwerking

De AVG verplicht organisaties om verantwoording af te leggen over de verwerking van persoonsgegevens en aan te tonen dat de organisatie voldoet aan de verplichtingen.

Onderdeel hiervan is de verplichting om een register van de verwerkingsactiviteiten bij te houden indien:

  • er meer dan 250 medewerkers werkzaam zijn; of
  • er minder dan 250 medewerkers werkzaam zijn, maar er gegevens over gezondheid, godsdienst of seksuele leven worden verwerkt.

Als je organisatie gegevens over de gezondheid verwerkt, zul je een register van de verwerkingsactiviteiten moeten bijhouden. Hoe het register wordt opgezet is vrijgelaten. Wel schrijft de AVG voor welke informatie in het register moet worden opgenomen. Het betreft de volgende informatie:

  1. de naam en contactgegevens van:
    1. de organisatie en de vertegenwoordiger van de organisatie
    2. eventuele andere organisaties waarmee gezamenlijk de doelen en middelen van de verwerking zijn vastgesteld
    3. de Functionaris voor de gegevensbescherming (FG), als die is aangesteld
    4. eventuele andere internationale organisaties waar persoonsgegevens mee worden gedeeld
  2. de doelen waarvoor de persoonsgegevens worden verwerkt. Bijvoorbeeld voor het lidmaatschap, de betaling, het bezorgen van producten of diensten of direct marketing
  3. een beschrijving van de categorieën van personen van wie gegevens worden verwerkt. Bijvoorbeeld leden, vrijwilligers, sponsoren
  4. een beschrijving van de categorieën van persoonsgegevens. Zoals de NAW-gegevens, telefoonnummers, e-mailadressen, bankrekeningnummers
  5. de datum waarop de gegevens gewist moeten worden (als dat bekend is) en/of de bewaartermijnen
  6. de categorieën van ontvangers aan wie persoonsgegevens worden verstrekt
  7. als de gegevens met een land of internationale organisatie buiten de EU worden gedeeld, dan moet dit worden aangegeven in het register
  8. een algemene beschrijving van de technische en organisatorische maatregelen die worden genomen om persoonsgegevens die worden verwerkt te beveiligen

Data Protection Impact Assessment (DPIA)

Onder de AVG kan eenorganisatie verplicht zijn om een DPIA uit te voeren. Met een DPIA breng je vooraf de privacyrisico’s van gegevensverwerking in kaart, waarna je maatregelen kunt nemen om de risico’s te verkleinen. De DPIA is eigenlijk een instrument om de risico’s van schending van de privacyrechten van betrokkenen te beheren.

Een DPIA is verplicht voor gegevensverwerkingen die ‘waarschijnlijk een hoog risico’ voor de privacyrechten van de betrokkenen hebben. Hiervan is bijvoorbeeld sprake bij verwerking op grote schaal van bijzondere persoonsgegevens, zoals gegevens over gezondheid, godsdienst of seksuele leven. 

De Autoriteit Persoonsgegevens zal nog een lijst van verwerkingen publiceren waarvoor een DPIA verplicht is. Voor de beoordeling of er sprake is van grootschalige gegevensverwerking.

Ook hier geldt dat een verwerking een ‘waarschijnlijk hoog risico’ inhoudt, als er sprake is van een grootschalige verwerking van bijzondere categorieën van persoonsgegevens (bijvoorbeeld gegevens over de gezondheid).  

Onderzoek of jullie een DPIA moeten uitvoeren. Verwerken jullie bijzondere persoonsgegevens (bijvoorbeeld gegevens over de gezondheid) en is deze verwerking grootschalig? Dan is waarschijnlijk een DPIA nodig.

Besluiten jullie dat de gegevensverwerking waarschijnlijk geen “hoog risico” inhoudt, dan moeten jullie dat goed motiveren en schriftelijk vastleggen, bijvoorbeeld in het  genoemde register.

Uitvoering van een DPIA

De DPIA moet steeds voorafgaand aan de start van de verwerking van de persoonsgegevens worden uitgevoerd. Ook voor bestaande gegevensverwerkingen (gestart voor introductie van de AVG) is het nodig te onderzoeken of een DPIA nodig is.

Verwerkt je organisatie nu al persoonsgegevens of start de organisatie een nieuwe verwerking? Maak dan de afweging of een DPIA nodig is. Is het antwoord ja, dan moet je daarmee starten.

De DPIA moet minimaal aan de volgende kenmerken voldoen:

  1. een systematische beschrijving van de beoogde gegevensverwerkingen, de doeleinden en wettelijke grondslagen
  2. een beoordeling van de noodzaak en de evenredigheid van de verwerkingen. 
    Dat houdt in: is het verwerken van persoonsgegevens op deze manier noodzakelijk om het doel van je organisatie te bereiken? Is de inbreuk op de privacy van de betrokkenen niet onevenredig in verhouding tot dit doel?
  3. een beoordeling van de privacyrisico's voor de rechten en vrijheden van betrokkenen
  4. de beoogde maatregelen om: (I) de risico's aan te pakken/te verkleinen en (II) aan te tonen dat je organisatie aan de AVG voldoet
  5. De DPIA moet worden vastgelegd in een verslag.

 

Toestemming van betrokkenen

Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Van een rechtsgeldige toestemming is pas sprake indien:

  • deze vrijelijk is gegeven
  • gegeven is voor een specifiek doel en bovendien
  • gebaseerd is op duidelijke informatie

Van ‘vrijelijk’ is sprake als de betrokkene een keuze heeft. Er is bijvoorbeeld geen sprake van ‘vrijelijk’ als de betrokkene verplicht is om gegevens over zijn gezondheid in te vullen, terwijl hij alleen maar een mailing van je organisatie wil ontvangen. 
De gegevens over de gezondheid zijn niet noodzakelijk om de mailing te ontvangen, daarom moet de betrokkene de keuze hebben om deze gegevens te verstrekken.

In alle gevallen moet je kunnen aantonen dat de betrokkene toestemming heeft gegeven.

Indien jullie bijzondere persoonsgegevens verwerken, bijvoorbeeld over de gezondheid, dan geldt bovendien dat de toestemming ‘uitdrukkelijk’ moet zijn. Dit betekent dat de betrokkene expliciet zijn wil moet hebben geuit in woord, geschrift of gedrag. Een stilzwijgende of impliciete toestemming is daarvoor niet voldoende.

Meldplicht datalekken

Onder de AVG blijft de meldplicht datalekken grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie van de datalekken die zich in de organisatie hebben voorgedaan.

Alle datalekken moeten in een register worden gedocumenteerd. Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of aan de meldplicht is voldaan.

Er is sprake van een datalek als er een beveiligingsincident heeft plaatsgevonden, waarbij persoonsgegevens verloren zijn gegaan en/of waarbij het onrechtmatig gebruik daarvan niet kan worden uitgesloten. Voorbeelden hiervan zijn: kwijtraken van een USB -stick, diefstal van een laptop, inbraak door een hacker.

Het datalek moet direct, binnen 72 uur, gemeld worden aan de autoriteit persoonsgegevens, tenzij het onwaarschijnlijk is dat het datalek leidt tot een hoog risico voor de rechten en vrijheden van de betrokkenen. Hierbij is van belang wat voor persoonsgegevens er gelekt zijn. Als er bijzondere persoonsgegevens, zoals gegevens over gezondheid, gelekt zijn, dan is melding meestal noodzakelijk.

Indien het datalek waarschijnlijk een groot risico voor de rechten en vrijheden van de betrokkenen veroorzaakt, moet het datalek ook aan de betrokkene gemeld worden.

Verwerkersovereenkomst

Bijna alle organisaties maken gebruik van zogenaamde ‘verwerkers’. Dit zijn derden die namens de organisatie persoonsgegevens verwerken. Bijvoorbeeld hostingpartijen, salaris- of ledenadministratie en bedrijven die mailings verzorgen.

Op grond van de AVG is de organisatie verplicht om met deze verwerkers een verwerkersovereenkomst te sluiten waarin de verplichtingen uit de AVG zijn opgenomen.

Ook vrijwilligers van de organisatie verwerken soms gegevens van bijvoorbeeld leden/donateurs. Het is daarom belangrijk de vrijwilligersovereenkomst aan te vullen met een bijlage over het verwerken van persoonsgegevens.

 

Bron: https://www.pgosupport.nl/in-10-stappen-voorbereid-op-de-nieuwe-privacywet-avg