de welbekende klapper in het winkeltje??

Werk aan de winkel voor speeltuinen: De AVG wordt van kracht

De Algemene Verordening Gegevensbescherming (AVG) is een verordening die door de Europese Unie (EU) is vastgesteld. Hij regelt een aspect van het recht op privacy, namelijk de bescherming van persoonsgegevens en gaat in op 25 mei 2018. Deze AVG vervangt per die datum de huidige Nederlandse Wet bescherming persoonsgegevens (Wbp).

In grote lijnen komt het beschermen van persoonsgegevens neer op dat personen geen nadeel ondervinden van dat gegevens over hen worden verzameld, verwerkt en gebruikt. De AVG maakt dit op allerlei manieren concreet.

Persoonsgegevens zijn gegevens die op een of andere manier aan een persoon zijn te relateren. Dat kunnen gegevens zijn als naam en adres, maar ook wat je hebt gekocht bij uw kruidenier (u heeft toch een Bonuskaart?) en op welke onderwerpen je Internet hebt afgezocht.

De AVG schrijft voor dat je als stichting of vereniging (de AVG spreekt van "verwerkingsverantwoordelijke") van een persoon (in de AVG: "betrokkene") uitdrukkelijk toestemming moet hebben om persoonsgegevens van hem te verzamelen, verwerken en gebruiken. De betrokkene kan deze toestemming op elk moment intrekken en dan moet de verantwoordelijke deze gegevens meteen wissen of vernietigen - of zo aanpassen dat zij niet meer tot deze persoon zijn te herleiden.

Verder mag je de gegevens alleen gebruiken voor het doel waarvoor je ze ooit heeft verkregen. Dus geen beterschapskaart naar de vrouw van de beheerder of als verrassing een verjaardagskaart doordat je de geboortedatum hebt genoteerd. 

Mensen die met de gegevens werken, hebben geheimhoudingsplicht: zij mogen deze gegevens niet aan derden bekendmaken, of voor eigen gebruik inzetten. De speeltuinorganisatie (de verwerkingsverantwoordelijke) heeft ook een geheimhoudingsplicht: je mag gegevens niet ter beschikking stellen aan anderen. In het verlengde hiervan ligt dat je gegevensverzamelingen niet mag combineren, naast elkaar leggen of vergelijken.

Het bestuur van de "verwerkingsverantwoordelijke" (de stichting of vereniging) is het orgaan dat moet zorgen dat de verwerkingsverantwoordelijke de verordening naleeft. Het bestuur moet de verwerkingen zo optuigen dat ze aan de daarin gestelde eisen voldoen. Het bestuur moet zorgen dat mensen die in zijn opdracht (als personeelslid of vrijwilliger) gegevens verwerken, zich aan de wet houden. En wanneer het eens misgaat moet het bestuur dit melden: aan de betrokkene(n) wiens gegevens het betreft, en aan de Autoriteit persoonsgegevens (AP).

Verboden te verwerken
Er zijn ook gegevens die je helemaal niet mag verwerken. Artikel 9 lid 1 van de AVG somt deze op:
Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

En nu?
Ben je er allereerst bewust van dat je hier iets mee moet. Er is geen uitzonderingspositie voor speeltuinorganisaties of andere rechtspersonen. Kom dus in elk geval in actie en ga in gesprek!
Daarnaast moet je je realiseren dat je aan twee kanten werk moet verzetten:
- intern: om de zaken correct op orde te brengen en/ of er afspraken over op papier te zetten hoe bestuur en vrijwilligers omgaan met gegevens (beleid)
- extern: je zult mensen van wie je gegevens registreert moeten informeren dat je dat doet, waarom je dat doet en hoe er met die gegevens wordt omgegaan. Behalve recht op deze informatie, hebben mensen ook recht om te weten, hoe ze hun gegevens kunnen wijzigen of weghalen uit jullie registratie.

Intern
Wat moet je als bestuur intern doen om aan de eisen in de verordening te voldoen?
1. Begin met te inventariseren welke overzichten je produceert (ledenlijsten, teamlijsten, deelnemerslijsten, donateurslijsten, enz.); welke vragenlijsten en formulieren je laat invullen en welke bestanden, spreadsheets en databases (ook klappers of papieren) je heb je.
2. Ga dan per overzicht, formulier of bestand na of er een verboden persoonsgegeven in voorkomt - dit moet eruit, of je moet een héél goede reden hebben om het erin te houden.
3. Inventariseer wie of welke functionarissen de gegevens onder ogen krijgen. Stel zeker dat alleen zij, en geen anderen, deze gegevens zien. Doordring hen van hun geheimhoudingsplicht: zij mogen deze gegevens niet aan anderen doorspelen, noch (zelf) voor andere doeleinden gebruiken dan waarvoor zij ze onder ogen kregen.
4. Maak van al deze afspraken een document waarin je het “beleid” vastlegt. Creëer een cultuur van zorgvuldigheid in de omgang met persoonsgegevens. Fouten en slordigheden zijn onvermijdelijk, maar wees er open over. Maak het een vast bespreekpunt tijdens vergaderingen bijvoorbeeld en registreer dit, zodat verbeterpunten kunnen worden doorgevoerd. De meldplicht van lekken blijft gelden, namelijk.
5. Wanneer je gegevens buiten de deur laat verwerken, maak dan tegelijk goede afspraken met deze "bewerker" en leg deze ook vast in je beleid. Dat geldt ook voor bestuurs- of vrijwilligerswerk achter de computer thuis.

Hier een link naar een voorbeeld beleidsdocumenten - zoals onze organisatie dat voert:

AVG Verklaring

Privacy policy

Geheimhoudingsverklaring vrijwilliger

Verwerkersovereenkomst

Extern
Eén van de zaken die je dan zeker geregeld moet hebben, is transparantie naar de mensen waarvan je de persoonsgegevens verzamelt en verwerkt. De meest voor de hand liggende manier om dat te doen is via een zgn. “privacyverklaring” op je website. Daarin geef je aan wat het beleid van je organisatie is op het gebied van bescherming van de persoonsgegevens. Je kunt ervoor kiezen om de tekst daarvan zelf te maken. Houd er dan rekening mee dat je tenminste de volgende zaken moet benoemen:
• De contactgegevens van de verantwoordelijke persoon in je organisatie
• Doel(-en) van de verwerking
• Indien van toepassing: aan welke (categorieën van) derden je de gegevens doorgeeft
• De bewaartermijnen of de criteria waaraan die voldoen
• Rechten van de mensen waarvan je de gegevens verwerkt, waaronder recht van indienen van een klacht bij de Autoriteit Persoonsgegevens.

Heb je hulp nodig? Realiseer je dat ook de verenigingen in je eigen dorp of wijk met deze verordening aan de slag zijn. Wellicht kun je hun bestuur om advies of ondersteuning vragen of gebruik maken van de informatiebijeenkomsten die zij houden. Via Facebook proberen we zoveel als mogelijk bekendheid te geven aan deze lokale bijeenkomsten.

Je kunt ook gebruik maken van de link die wordt aangeboden door de Provincie Limburg: https://intranet.hvdsl.nl/subscribe/16/#section-intro

Heb je speeltuin-specifieke vragen? Neem dan contact met ons op voor ondersteuning. We helpen je graag.