AVG in 4 stappen – stap 1

Jullie vrijwilligersorganisatie of burgerinitiatief moet zich houden aan de regels van de AVG. In de AVG is vastgelegd hoe je met persoonsgegevens om moet gaan. In het artikel AVG: wat moet ik daarmee? leggen we daar meer over uit.

Wat moet je regelen om te voldoen aan de AVG? We hebben een eenvoudig stappenplan voor je gemaakt. Daarmee zorg je er in 4 stappen voor dat jullie vrijwilligersorganisatie of burgerinitiatief voldoet aan de AVG.

Stap 1: welke gegevens verwerken jullie?

De eerste stap is dat je bewust bent van de gegevens die je verwerkt. Het uitgangspunt is dat je zo min mogelijk gegevens verzamelt en opslaat. Je mag alleen persoonsgegevens verzamelen die je nodig hebt. En je mag deze gegevens alleen gebruiken voor het doel waarvoor je ze hebt verzameld.

Voorbeeld: onnodige gegevens verzamelen

Een sportclub laat leden hun adres invullen op het aanmeldformulier. Maar ze communiceren alleen per telefoon en e-mail. Ze gebruiken de adressen nergens voor en het is dus ook niet nodig om ze te verzamelen.

Voorbeeld: gegevens gebruiken voor een ander doel

Een buurthuis slaat de mailadressen van vaste zaalhuurders op. Zo kunnen ze de huurders mailen als er iets wijzigt in de zaalhuur. Sinds kort verstuurt het buurthuis ook een nieuwsbrief met reclame voor allerlei activiteiten. Ze sturen deze nieuwsbrief ook naar de huurders. Dat mag niet. De huurders hebben hun mailadres niet doorgegeven voor dit doel. Ze moeten eerst toestemming geven voor het ontvangen van de nieuwsbrief.

Breng in kaart wat jullie verzamelen

Kijk nu eens kritisch naar de persoonsgegevens die jullie verzamelen:

  • Welke persoonsgegevens verzamelen jullie?
  • Zijn al die gegevens noodzakelijk?
  • Waar bewaren jullie de gegevens?
  • Is dat veilig en kunnen alleen de mensen die het nodig hebben erbij?

Leg het vast in een overzicht

In de AVG staat dat je een overzicht moet hebben van welk soort persoonsgegevens je verzamelt, met welk doel en met welke reden (grondslag). Ook moet je vastleggen hoe de gegevens zijn verkregen, hoe lang je ze bewaart, hoe je ze beveiligt, wie er bij kan en of je ze aan derden doorgeeft. Hiervoor kun je dit schema gebruiken:

Verwerkingsregister persoonsgegevens

Tip: vind je het lastig om het overzicht in te vullen? Pak dan alvast de modelverklaring van stap 2 erbij. Daar staan voorbeelden in van verwerkingen van persoonsgegevens met het doel en de grondslag erbij. 

Wat zijn grondslagen?

Iedere verwerking van persoonsgegevens is een inbreuk op de privacy van de desbetreffende persoon. Als uitgangspunt geldt dat je alleen persoonsgegevens mag verwerken als het echt niet anders kan. Je moet daarom niet alleen kunnen aangeven met welk doel je gegevens verzamelt, maar ook met welke goede reden je dat doet. Die goede reden heet een grondslag.

De AVG erkent 6 grondslagen op basis waarvan je gegevens mag verzamelen:

  1. Gerechtvaardigd belang. Simpel gezegd zijn dat gegevens die je nodig hebt om je werk te kunnen doen. Het is vooral een afweging van belangen. Zijn de gegevens voor jou echt nodig of is de privacy belangrijker?
  2. Uitvoering van de overeenkomst. Bijvoorbeeld: het mailadres van een cursist om het lesmateriaal te kunnen mailen.
  3. Toestemming. Deze grondslag gebruik je pas als er geen andere grondslag geldt.
  4. Wettelijke verplichting. Bijvoorbeeld: het verstrekken van persoonsgegevens ter uitvoering van een belastingwet.
  5. Vitale belangen. Hierbij gaat het om iemands leven, deze grondslag kan en mag bijna nooit gebruikt worden.
  6. Algemeen belang. Bijvoorbeeld: verwerkingen voor of namens de overheid.

Voor een vrijwilligersorganisatie of burgerinitiatief zal meestal sprake zijn van een gerechtvaardigd belang, de uitvoering van een overeenkomst en soms een wettelijke verplichting.

Wanneer moet je toestemming vragen?

Een veel gehoord misverstand is dat toestemming alle andere grondslagen kan vervangen. Dat is niet zo. Alleen wanneer geen andere grondslag geldt kan toestemming als grondslag worden gebruikt. Het is daarom vaak niet nodig om toestemming te vragen voor het verwerken van persoonsgegevens.  

Bij het versturen van nieuwsbrieven heb je vaak wel toestemming nodig. Het is dan belangrijk dat iemand uitdrukkelijk toestemming geeft, een stilzwijgend akkoord geldt niet. Je moet het registeren en degene kan altijd de toestemming weer intrekken.

Een ander voorbeeld waarbij je toestemming moet vragen, is bij cookies op jouw website van derden (bijvoorbeeld via social media buttons) die peroonsgegevens van de bezoekers verzamelen. Voor die cookies is toestemming van de bezoekers van jouw website vereist. Dat moet worden geregeld in de cookieverklaring van jouw website en via het aanvinken van toestemming door de bezoeker bij het eerste bezoek op jouw website. 

Let op met bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gevoelige gegevens die de wet extra goed beschermt. Het gaat om gegevens over gezondheid, godsdienst, etniciteit, ras, seksuele geaardheid, vakbond lidmaatschap, politieke voorkeur en strafrechtelijk verleden. Ook erfelijkheid, genetische kenmerken en vingerafdrukken vallen onder bijzondere persoonsgegevens. 

Het is standaard verboden om bijzondere persoonsgegevens te gebruiken. Het mag alleen als er in de wet een uitzondering voor is gemaakt. Of als iemand uitdrukkelijk toestemming geeft. Iemand moet volledig vrij zijn om wel of geen toestemming te geven.

Voorbeeld: een smoelenboek

Een vrijwilligersorganisatie wil een smoelenboek maken met de foto’s van alle vrijwilligers. De organisatie doet dat netjes. Ze vragen eerst elke vrijwilliger om toestemming. Er ligt geen druk op, een vrijwilliger kan gemakkelijk ‘nee’ invullen op het toestemmingsformulier. Bij de vrijwilligers die geen toestemming geven, plaatsen ze een standaardpoppetje. De toestemming wordt vastgelegd in een Excelbestand.

Verwerk geen BSN-nummers

Het verwerken van een BSN-nummer is verboden. Tenzij het in de wet bepaald is, daarom mag bijvoorbeeld een gemeente of een notaris dat wel. Je mag ter identificatie wel vragen om een paspoort of rijbewijs, maar je mag geen kopie maken of opslaan.

Is het gelukt om het Verwerkingsregister persoonsgegevens in te vullen? Mooi! Ga door naar stap 2.

Kom je er niet uit?

Geen paniek. Neem contact met ons op, we helpen je graag verder!

Achter Onderaf.nl zitten de Ideeënmakelaars, Adviesbrigade en Praktische Zaken. Elk vanuit onze eigen expertise ondersteunen wij vrijwilligersorganisaties en burgerinitiatieven in Arnhem bij de zaken waar zij tegenaan lopen.

Jaap Kronenberg

Adviseur Adviesbrigade
Jaap was tot 2019 advocaat bij Dirkzwager in Arnhem, hij vervult nu bestuurs-/ toezichthoudende functies bij ROC RijnIJssel, Fillip Studios, MFC Doelum en Verburgt-Molhuysen Stichting.

Daarnaast is hij ook adviseur bij de AdviesBrigade en zet zijn kennis, deskundigheid en netwerk in voor het ondersteunen en coachen van besturen van vrijwilligersorganisaties in Arnhem e.o.

Plaats een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Scroll naar top