Wat dien je als vereniging in te regelen?

De privacywet 'Algemene Verordening Persoonsgegevens' (AVG) vraagt wat van je vereniging. Er dienen enkele zaken ingeregeld en vastgelegd te zijn.  Bijvoorbeeld welke persoonsgegevens van leden je registreert en wie deze gegevens allemaal in kunnen zien. Voordat we daarmee aan de slag gaan leggen we eerst enkele veelgebruikte termen uit rondom privacy en AVG.

• Persoonsgegevens: Persoonsgegevens zijn alle gegevens die direct over iemand gaan of die naar iemand te herleiden zijn, zoals naam, adres, telefoonnummer en burgerservicenummer.
• Indirecte persoonsgegevens: Indirecte persoonsgegeven kunnen indirect naar iemand leiden, zoals een kentekennummer, IP-adres, of lidnummer.
• Bijzondere persoonsgegevens: Naast 'gewone' persoonsgegevens bestaan er ook de bijzondere persoonsgegevens. Deze gaan bijvoorbeeld over iemands gezondheid, strafrechtelijke verleden of politieke voorkeur. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij je een wettelijke uitzondering hebt.
• Informatieplicht: Leden en/of deelnemers van je toertocht hebben recht om te weten wat er met hun gegevens gebeurt. Jij hebt daarom de plicht hen hierover te informeren. Dit doe je met een privacyverklaring, hierin omschrijf je in eenvoudige taal waarvoor je bepaalde gegevens gebruikt. 
• Recht op vergetelheid: Heb je geen goede reden (meer) om persoonsgegevens te verwerken? Dan moet je deze verwijderen. Ook kan een lid of een deelnemer van een toertocht zelf een verzoek indienen om zijn/haar gegevens te verwijderen. De klant heeft namelijk 'recht op vergetelheid'. Dat betekent dat de organisatie de klant 'vergeet'.

Verwerkingsregister

Een verwerkingsregister is een belangrijk middel om vast te leggen welke persoonsgegevens je gebruikt als verenging en waarom je deze gebruikt. Je noteert in een verwerkingsregister bijvoorbeeld dat je NAW gegevens van je leden verwerkt, je noteert daarbij dat je deze gegevens nodig hebt om leden aan te melden bij de NTFU en wellicht zijn er nog andere redenen. De exacte persoonsgegevens die je verwerkt, zet je niet in het verwerkingsregister. Er staan dus geen namen en adressen van je leden in je verwerkingsregister. Je hoeft het verwerkingsregister niet openbaar te maken. Alleen wanneer de Autoriteit Persoonsgegevens (AP) er om vraagt, moet je het verwerkingsregister laten zien. Als je het verwerkingsregister niet hebt, of dit voldoet niet aan de vereisten, kan de AP je een boete geven.

Wat noteer je?

Voor verenigingen stellen we hieronder een concept-verwerkingsregister beschikbaar die je kunt gebruiken. De volgende gegevens houd je bij voor je vereniging:

• Activiteit/situatie: Op welke situatie is de 'verwerking' van toepassing?
• Verwerkingsverantwoordelijke: wie (functie?) is er verantwoordelijk voor de vewerking van deze betreffende gegevens?
• Doel: wat is het doel van de werking? Dit kan bijvoorbeeld het aanmelden zijn van een lid of het incasseren van contributie.
• Soort gegevens: Omschrijf om wat voor gegevens het gaat? Contactgegevens, betaalgegevens, NAW-gegevens, etc.
• Betrokkenen: Voor welke groep verwerk je deze gegevens? Bijvoorbeeld leden of sponsoren.
• Grondslag: de grondslag is een van de belangrijkste onderdelen om te noteren. Hierin leg je vast waarom je de gegevens verwerkt en of de verwerking gerechtvaardigd is. Er zijn zes verschillende grondslagen, je hebt bijvoorbeeld toestemming van de betreffende persoon of je hebt de gegevens nodig om het 'lidmaatschap' uit te voeren. Je leest hier meer over de zes grondslagen. 
• Bewaartermijn: Hoe lang bewaar je de gegevens? Is er een wettelijk bewaartermijn? Hanteer dan het wettelijke termijn. 
• Beveiligingsmaatregelen: hoe zorg je ervoor dat de gegevens veilig zijn. Neem hiervoor passende maatregelen bijvoorbeeld het opslaan op een beveiligde omgeving, niet printen van persoonsgegevens, of het gebruiken van een 2-factor-authenticatie.

 

Aan de slag met het verwerkingsregister

Nu je alle informatie hebt kun je aan de slag. Om het makkelijk te maken stellen we aan kant-en-klaar format beschikbaar die je kunt invullen voor jouw vereniging. 

Privacyverklaring

Je hebt als vereniging de plicht om leden en andere klanten te informeren over de (persoons)gegevens die je verwerkt en waarom je dat doet. De privacyverklaring van je vereniging is publiek toegankelijk, bijvoorbeeld via je clubsite. In de privacyverklaring noteer je, net zoals in het verwerkingsregister, welke gegevens verwerkt worden en met welke grondslag. Daarnaast vermeld je in de privacyverklaring ook andere zaken, bijvoorbeeld hoe iemand een klacht kan indienen. Aan de slag met de privacyverklaring, gebruik dan ons handige model. 

Geheimhoudingsverklaring

Wanneer er vrijwilligers of bestuursleden binnen jouw vereniging werken met persoonsgegevens, dan is het verstandig hen een geheimhoudingsverklaring te laten ondertekenen. Dit om de beveiliging van de gegevens te waarborgen. Let op: geef niet meer mensen toegang tot gegevens dan noodzakelijk. Beëindig de toegang tot gegevens voor mensen die de gegevens niet meer nodig hebben, bijvoorbeeld door het wijzigen van wachtwoorden. Download hier een model-geheimhoudingsverklaring.

Verwerkersovereenkomst

Zijn er externen partijen betrokken bij het verwerken van persoonsgegevens van je vereniging? Bijvoorbeeld het incasseren van contribtie, een externe ledenadministratie of een nieuwsbriefmodule? Dan mag je gegevens niet zomaar delen met deze partij zonder dat er een verwerkersovereenkomst is afgesloten. In zo'n overeenkomst leg je vast hoe de externe verwerker om dient te gaan met de gegevens die je deelt met hen. Een model verwerkersovereenkomst vind je hier.