In 10 stappen voorbereid op de AVG

stappenplan

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wat verandert er?

De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en, hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

Wat kan ik als Rotary doen?

Als club kunt u nu al stappen ondernemen om straks klaar te zijn voor de AVG. Om u hierbij te helpen, hebben we een tiental AVG aspecten van de Autoriteit persoonsgegevens tegenover typische Rotary situaties op een rij gezet.

Stap 1: Bewustwording

Zorg ervoor dat de relevante Rotarians in je club op de hoogte zijn van de nieuwe privacyregels. Zij moeten bewust zijn van de risico’s wanneer er met persoonsgegevens wordt gewerkt en met name indien er een data lek op treedt (b.v. een onbeveiligd laptop met de gegevens van leden en contacten buiten de Rotary.

Bedenk dat de AP ook jouw club sancties kan opleggen van maximaal €20 miljoen of maximaal 4% van de wereldwijde omzet als de club zich niet aan de nieuwe privacywetgeving houdt.

Stap 2: Rechten van betrokkenen

Onder de AVG krijgen de mensen van wie je persoonsgegevens verwerkt meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacy rechten goed kunnen uitoefenen. In LeAd en het websitesysteem is de privacybescherming aangepast aan de nieuwe wetgeving. De leden kunnen zelf hun gegevens inzien, wijzigen en beschermen.

Voor uw (papieren of pc) clubadministratie geldt dat leden kunnen vragen om inzage in wat er over hen in de dossiers is vastgelegd. Dit kan niet zomaar geweigerd worden.

Het betreft het recht op inzage en het recht op correctie en verwijdering. Ook kunnen mensen bij de AP klachten indienen over de manier waarop je met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

Stap 3: Overzicht verwerkingen

Breng je gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.

Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten (verwerkingsregister) is onderdeel van de verantwoordingsplicht.

Verwerkingen kunnen zijn:

o

Clubadministratie

o

Organiseren van events en daarbij uitnodigen van leden en derden

o

Op de hoogte houden van leden en derden van club activiteiten

o

Drukker voor post-mailingen naar leden

Je kan het verwerkingsregister ook nodig hebben als betrokkenen hun privacy rechten uitoefenen. Als zij je vragen hun gegevens te corrigeren of verwijderen, moet je dit doorgeven aan de organisaties waarmee je hun gegevens heeft gedeeld.

Stap 4: Data protection impact assessment

Zorg ervoor dat je zo weinig mogelijk persoonsgegevens vastlegt. Absoluut risicovol zijn BSN-nummer, kopieën van identiteitsbewijzen, religie, seksuele voorkeur, vakbondslidmaatschap, afkomst, gegevens van kwetsbare personen en biometrische gegevens. Als je een van deze gegevens opslaat is een DPIA zeker nodig.

Onder de AVG kan je dan verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Stap 5: Privacy by design & privacy by default

De RAN heeft zijn systemen getoetst aan de voor AVG verplichte uitgangspunten van privacy by design en privacy by default. RAN heeft zijn systemen grondig aangepast om dit te ondersteunen. Bij de clubs is veiligheid belangrijk, maar er zullen niet veel clubs zijn met eigen software. Gebruik je veel Excel-sheets dan is wachtwoordbeveiliging een optie en natuurlijk datgene wat niet meer nodig is weg te gooien.

Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig.

Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat jij, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door:

o

een app die je aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;

o

op uw website het vakje ‘Ja, ik wil de nieuwsbrief blijven ontvangen’ niet vooraf aan te vinken;

o

als iemand zich op jouw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Stap 6: Functionaris voor de gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbecherming (FG) aan te stellen. Deze is centraal bij de RAN aanwezig om clubs bij eventuele privacyvraagstukken te ondersteunen.

Stap 7: Meldplicht datalekken

De AVG stelt strenge eisen aan je eigen registratie van de datalekken die zich in je club hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht hebt voldaan.

Ondersteuning bij datalekken is centraal bij het RAN aanwezig om clubs bij eventuele datalekken te ondersteunen. Is er een datalek, laat het ons binnen 48 uur weten, dan hebben we nog 24 uur om er wettelijk actie op te nemen.

Stap 8: Bewerkersovereenkomsten

Heb je de gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt.

Hiervoor hebben we voor de LeAd en eventuele website administratie een verwerkingsovereenkomst die tussen de club en RAN is opgesteld.

Stap 9: Leidende toezichthouder

“Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacy toezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacy toezichthouder u valt.”

Gelukkig geldt dit niet.

Stap 10: Toestemming

Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan.

Nieuw is, dat je moet kunnen aantonen dat je geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Voor de toestemming om uw gegevens automatisch door te geen aan Rotary International hebben wij je toestemming nodig zolang Rotary International geen GDPR-compliance heeft afgekondigd.