AVG in 4 stappen – stap 3

Jullie  vrijwilligersorganisatie of burgerinitiatief moet zich houden aan de regels van de AVG. In de AVG is vastgelegd hoe je met persoonsgegevens om moet gaan. In het artikel AVG: wat moet ik daarmee? leggen we daar meer over uit.

Wat moet je regelen om te voldoen aan de AVG? We hebben een eenvoudig stappenplan voor je gemaakt. Daarmee zorg je er in 4 stappen voor dat jullie vrijwilligersorganisatie of burgerinitiatief voldoet aan de AVG.

In stap 1 heb je in kaart gebracht welke persoonsgegevens je verzamelt en voor welk doel dat nodig is. In stap 2 heb je een privacyverklaring gemaakt en mensen geïnformeerd over het gebruik van hun gegevens. De volgende stap is om vast te leggen hoe je met de gegevens omgaat.

Stap 3: leg vast hoe je met de gegevens omgaat

De regels uit de AVG dwingen je om goed na te denken over hoe je intern omgaat met de verzamelde persoonsgegevens. Je bent zelf verantwoordelijk om aan te tonen dat je aan de privacyregels voldoet. Daarom is het goed om vast te leggen in een privacybeleid hoe jullie intern met de persoonsgegevens omgaan.

Waar moet je aan denken?

Leg vast dat jullie niet meer gegevens verwerken dan strikt noodzakelijk voor het doel waarvoor jullie ze verzamelen. En geef een helder antwoord op deze vragen:

  • Wie is in jullie organisatie verantwoordelijk voor de gegevensverwerking?
  • Als je de verzamelde gegevens aan andere organisaties doorgeeft, wie zijn dat en waarom doe je dat?
  • Waar zijn de door jullie verzamelde persoonsgegevens opgeslagen? Denk daarbij aan papieren en digitale versies.
  • Kunnen jullie op verzoek een kopie van de gegevens verstrekken, de gegevens aanpassen en verwijderen? Is eventueel noodzakelijke toestemming opgeslagen?
  • Wie heeft toegang tot de gegevens en is dat noodzakelijk?
  • Hoe zijn de gegevens beveiligd?
  • Hoe lang worden de gegevens bewaard en is dat niet langer dan noodzakelijk voor het doel van de verwerking?
  • Zijn de computers en andere apparaten die je gebruikt beschermd tegen virussen en hacks?

Afspraken met andere partijen

Soms heb je ook andere partijen nodig om de persoonsgegevens te kunnen verwerken voor het aangegeven doel. Denk bijvoorbeeld aan een drukker die voor jou adressen print op een envelop. Of een organisatie die bepaalde gegevens voor jou bewerkt om administratie te doen of analyses uit te voeren. Met deze organisaties moet je overeenkomsten afsluiten over het gebruik van de gegevens. Bijvoorbeeld met concrete instructies wat ze wel en niet mogen doen met de gegevens en over het vernietigen van gegevens na gebruik. Zo’n overeenkomst noem je een verwerkersovereenkomst.

Vaak hebben grote partijen een eigen verwerkersovereenkomst. Wil je er zelf een maken, dan kun je de standaard verwerkersovereenkomst van de EU gebruiken.

Is een Functionaris Gegevensbescherming nodig?

Misschien heb je weleens iets gelezen over een Functionaris Gegevensbescherming. Dat is iemand binnen de organisatie die je als een toezichthouder aanwijst. Het is voor vrijwilligersorganisaties of burgerinitiatieven meestal niet verplicht om zo’n functionaris te hebben. Het is wel verplicht als je bijvoorbeeld op grote schaal bijzondere persoonsgegevens verwerkt.

Op de website van de Autoriteit Persoonsgegevens kun je lezen wanneer een Functionaris Gegevensbescherming verplicht is.

Ook als het niet verplicht is, kan het toch handig zijn om iemand de taak van privacybewaking te geven. Dan heeft één persoon het overzicht en heb je één aanspreekpunt rond dit thema.

Is een Privacy Impact Assessment nodig?

Schrik niet van deze term, want een Privacy Impact Assessment (PIA) is waarschijnlijk niet nodig. Met een PIA breng je in beeld wat de gevolgen zijn van het verzamelen van de persoonsgegevens voor de personen zelf. Het is verplicht als je bijvoorbeeld op grote schaal bijzondere persoonsgegevens verwerkt. Zolang jullie alleen contactgegevens verzamelen is een PIA dus niet nodig.

Stap 3 klaar? Ga door naar stap 4

Kom je er niet uit?

Geen paniek. Neem contact met ons op, we helpen je graag verder!

Achter Onderaf.nl zitten de Ideeënmakelaars, Adviesbrigade en Praktische Zaken. Elk vanuit onze eigen expertise ondersteunen wij vrijwilligersorganisaties en burgerinitiatieven in Arnhem bij de zaken waar zij tegenaan lopen.

Jaap Kronenberg

Adviseur Adviesbrigade
Jaap was tot 2019 advocaat bij Dirkzwager in Arnhem, hij vervult nu bestuurs-/ toezichthoudende functies bij ROC RijnIJssel, Fillip Studios, MFC Doelum en Verburgt-Molhuysen Stichting.

Daarnaast is hij ook adviseur bij de AdviesBrigade en zet zijn kennis, deskundigheid en netwerk in voor het ondersteunen en coachen van besturen van vrijwilligersorganisaties in Arnhem e.o.

Plaats een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Scroll naar top