Nieuwe privacywetgeving ook voor huizen

Op 25 mei 2018 is de nieuwe AVG, de ‘Algemene Verordening Gegevensbescherming’ van kracht. De verordening geldt niet alleen voor grote bedrijven en instellingen, maar ook voor buurthuizen, dorpshuizen en MFA’s. Er moet het een en ander geregeld gaan worden. En er gaat op gecontroleerd worden en er kunnen boetes worden uitgedeeld. Maar dat betekent niet dat we er slapeloze nachten van hoeven te krijgen.

Wat is de AVG

De Algemene verordening gegevensbescherming (AVG) is een privacywet die geldt in de hele Europese Unie (EU). De AVG zorgt ervoor dat de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld is. In alle lidstaten gelden dus dezelfde regels. De AVG zegt dat organisaties die persoonsgegevens bewaren zich moeten houden aan de regels in de Algemene Verordening Gegevensbescherming (AVG). En daarbij wordt geen onderscheid gemaakt tussen digitale opslag en opslag op papier.

In Nederland controleert de Autoriteit Persoonsgegevens of organisaties voldoen aan de Algemene Verordening Gegevensbescherming. De Autoriteit Persoonsgegevens kan ook boetes opleggen wanneer na waarschuwingen een organisatie het beleid rond bescherming persoonsgegevens niet verbetert. Alle organisaties moeten nadenken over welke persoonsgegevens van vrijwilligers, leden, deelnemers en cliënten ze bewaren en hoe ze die beveiligen. De wet kent drie belangrijke thema’s: organisaties moeten nadenken over welke persoonsgegevens ze bewaren, hoe ze de persoonsgegevens beschermen en het melden van datalekken.

Welke persoonsgegevens

Allereerst moet je als huis bedenken welke gegevens van mensen je echt nodig hebt. En daarbij moet je dan onderscheid maken tussen je medewerkers, de vrijwilligers, de klanten cq gebruikers van je huis en eventueel leveranciers. Dus heel kritisch bekijken wat je nu bewaart en waarvoor je dat echt gebruikt. En daarbij is een adres logischer om te bewaren dan informatie over de gezondheidstoestand van een medewerker of vrijwilliger. Vraag je af wat je er zelf van zou vinden als ze die gegevens over jou zouden bewaren.

Hoe meer persoonlijke informatie in een databestand wordt opgenomen, hoe kwetsbaarder dat bestand is. Deze nieuwe wet eist van organisaties dat vastgelegd wordt in een privacyplan wat er aan persoonsgegevens vastgelegd wordt. Maar ook hoe je de personen informeert over wie je gegevens vastlegt.

De bescherming van de gegevens

Alle bewaarde gegevens mogen alleen toegankelijk zijn voor die personen die die gegevens vanuit hun functie/rol daadwerkelijk nodig hebben. Dat betekent dus geen map meer op een plank in een kantoor dat voor meerdere personen toegankelijk is. Of op een computer zonder wachtwoord. Of op een lijst aan de muur. En denk ook eens aan alle e-mailadressen die gebruikt worden bij een mailing. Dat is verspreiding van gegevens tenzij je de ‘BCC’ gebruikt. En er zullen ook afspraken gemaakt moeten worden met de drukker en/of verspreider van materiaal waarvoor gebruik gemaakt wordt van persoonsbestanden. Belangrijk is dat vastgelegd wordt dat deze bestanden dan worden vernietigd na het gebruik. Hoe de beveiliging van gegevens georganiseerd wordt moet ook vastliggen in het privacyplan.

Melden van datalekken

En mochten er toch door een incident gegevens toegankelijk worden voor derden, dan moet daarvoor een procedure vastliggen hoe dit datalek gemeld wordt. Zijn er ondanks alle zorgvuldigheid toch persoonsgegevens op straat terecht gekomen? Dan moet je dat namelijk melden bij de Autoriteit Persoonsgegevens (AP). Het is verstandig daarvoor in het privacyplan een procedure op te nemen. Wie meldt bij de AP en hoe informeer je medewerkers, vrijwilligers en/of klanten cq gebruikers van je huis. Het gaat immers om hun gegevens.

Functionaris gegevensbescherming

Het is voor onze huizen niet verplicht, maar wel verstandig om een ‘Functionaris gegevensbescherming’ aan te wijzen. Dit kan bijvoorbeeld als onderdeel van de rol van het bestuurslid/secretaris. Dan is de verantwoordelijkheid tenminste duidelijk belegd. Deze functionaris houdt een oog op wie wel en wie geen gebruik mag maken van de persoonsgegevens. Is verantwoordelijk voor een actueel en goed werkend privacyplan en de opvolging bij het melden van datalekken.

Conclusie

Het is altijd al belangrijk om over het nut en de beveiliging van de vast te leggen gegevens na te denken en daar maatregelen op te nemen. Wat nu extra moet gebeuren is dit vastleggen in een document en iemand aanwijzen die actualiteit en opvolging daarvan als extra aandachtspunt heeft. Het privacyplan moet ook geen boekwerk worden. Een paar A4tjes moet voldoende zijn.Als extra ondersteuning hierbij heeft de vereniging NOV (Nederlandse Organisaties Vrijwilligerswerk) een 7stappenplan opgesteld.