A A A

In heel Europa geldt de privacywetgeving (AVG) voor alle organisaties die met persoonsgegevens werken. Als vrijwilligersgroep moet je hiervoor ook dingen regelen. Het is belangrijk dat je vastlegt op welke manier je zorgvuldig omgaat met persoonsgegevens en waarom je bepaalde gegevens nodig hebt.

Je kunt de stappen die je hiervoor onderneemt opnemen in een privacybeleid. Dit beleid kun je kenbaar maken op je website, vermelden op aanmeldformulieren of communiceren via sociale media. Je hoeft dan niet iedereen persoonlijk om toestemming te vragen. Wat moet er in je privacybeleid staan? Zie onderstaande checklist.

Checklist

  • Welke persoonsgegevens bewaar je? Denk o.a. aan mailadres, naam, leeftijd, geboortedatum, adres.
  • Waarom bewaar je deze gegevens, wat is hiervan het doel? Doe je dit om mensen te informeren in de toekomst of over de komende activiteit? Voor het verspreiden van een nieuwsbrief?
  • Hoe lang bewaar je de gegevens?
  • Worden gegevens na afloop van een activiteit vernietigd, of blijven zij behouden voor een aantal jaar?
  • Wie is verantwoordelijk voor de bescherming van de gegevens?
  • En welke mensen kunnen de gegevens inzien? Denk aan bestuur, secretaris, penningmeester, vrijwilligers, etc.
  • Waar bewaar je de gegevens? En hoe wordt dit beveiligd? Bewaar je dit in een kast, op de computer of in de Cloud? En hoe is dit beveiligd? Met een sleutel, een wachtwoord, een antivirusprogramma?
  • Weet iedereen welke persoonsgegevens worden bewaard?
  • En ook hoe je deze kunt inzien en aanpassen?
  • Iedereen heeft namelijk op elk moment het recht om zijn of haar gegevens te laten verwijderen, in te zien of te wijzigen. Zorg dat duidelijk is bij wie mensen hiervoor terecht kunnen.
  • Wat doe je bij een datalek?
  • Bestaat het risico dat persoonsgegevens op straat komen te liggen? En wat doe je dan? Denk aan het kwijtraken van USB-stick, diefstal van laptop of inbraak door hacker.
  • Zijn er afspraken gemaakt met externe partijen die gegevens verwerken?
  • Denk aan een adresbestand dat naar een drukkerij gaat voor krantje of clubkleding.

Belangrijk: zorg dat je alleen gegevens bewaart en vraagt die je echt nodig hebt. Moet je bijvoorbeeld altijd het adres van iemand weten? En is een geboortedatum, telefoonnummer of mailadres echt nodig? Gegevens die je niet vraagt/weet kun je ook niet verkeerd bewaren.

Registeren en delen van persoonsgegevens
Er zijn verschillende doeleinden waarvoor je gegevens bewaart. Gegevens voor jullie organisatie/groep intern, als registratie, en voor gebruik. Daarnaast heb je gegevens die je deelt met anderen. Denk hierbij aan een persbericht met foto richting de krant. Of berichten op sociale media en website.

Alle gegevens die je registreert voor intern gebruik vermeld je in het privacybeleid. Hierin kun je ook opnemen hoe je omgaat met het gebruik en maken van beeldmateriaal, dus foto’s en filmpjes.

Zorg dat mensen op de hoogte zijn dat er foto’s worden gemaakt tijdens een activiteit of gebeurtenis. Vermeld dit op een aanmeldformulier, op de locatie zelf met een bord, via de website of sociale media. Vermeld ook waarvoor deze bedoeld zijn. Komen zij bijvoorbeeld in de krant of op sociale media? Of zijn zij alleen om te bewaren? Geef mensen de gelegenheid om aan te geven dat zij hier niet op willen. Wanneer je foto’s publiceert met daarop maar een of twee mensen in beeld, blíjft het netjes om dit vooraf met betrokken personen alsnog eerst te overleggen.

Voor publieke foto’s is geen toestemming nodig (bijvoorbeeld overzichtsfoto’s van een evenement). Bezoekers aan een evenement, sportwedstrijd etc. kunnen middels een bordje bij de ingang worden geïnformeerd dat er beelden worden gemaakt. Een sportclub wordt gezien als openbare ruimte, waar je mag fotograferen. Wel kunnen mensen bezwaar maken tegen publicatie, daar moet je naar luisteren.

Goed om te weten:
Er zijn drie soorten persoonsgegevens:

1) Herleidbare persoonsgegevens. Bijvoorbeeld naam, adres, woonplaats, geslacht en leeftijd. Je mag deze bewaren, mits de persoon daarvan op de hoogte is.

2) Bijzondere persoonsgegevens. Dit zijn meer gevoelige gegevens zoals levensovertuiging, godsdienst, afkomst, medische informatie. Deze mag je niet bewaren zonder toestemming.

3) Strafrechtelijke persoonsgegevens. Deze mag je niet bewaren.

Wat je verder nog moet weten:

  • Bij kinderen tot 16 jaar moeten ouders overal toestemming voor geven.
  • Het verkrijgen van een VOG (Verklaring Omtrent Gedrag) mag je vastleggen en bewaren, dit zijn geen bijzondere gegevens. Je mag niet vastleggen wanneer iemand geen VOG krijgt, omdat dit strafrechtelijke gegevens zijn.
  • Bij medicijngebruik moet je hiervoor altijd toestemming hebben van de desbetreffende persoon om het te noteren. (Denk aan een kamp, dieet, ADHD-medicatie, etc.)
  • Nooit een kopie van paspoort / ID kaart vragen of bewaren als dit niet strikt noodzakelijk is.
  • Melden van een datalek is verplicht. Dit kan bij het meldloket datalekken: https://datalekken.autoriteitpersoonsgegevens.nl/actionpage.
  • Met externe partijen die in opdracht persoonsgegevens verwerken moeten afspraken worden gemaakt. Worden bijvoorbeeld de gegevens na uitvoering vernietigd? Dit kun je vastleggen in een zogenaamde ‘Verwerkersovereenkomst’.

Tips en voorbeelden

  • Privémails mag je niet zonder toestemming van de desbetreffende persoon delen met derden. Wanneer je een mail stuurt naar meerdere personen waaronder één of meerdere privemail(s), zet deze dan in de BCC, zodat de gegevens niet zichtbaar zijn voor andere ontvangers.
  • Aanmeldlijsten met namen en andere gegevens mag je nog uitprinten. Wel moet je in je privacy beleid hebben staan waarom je dit doet. Bijvoorbeeld om te zorgen dat je zeker weet dat alle deelnemers aanwezig zijn en dat je de ouders kunt bereiken in geval van nood. Je deelt deze gegevens dan met een doel. Wel is het noodzaak om deze lijsten (gegevens) na afloop in te nemen als bestuur/verantwoordelijke. Zodat je er zeker van bent dat het op een goede manier wordt bewaard of wordt vernietigd.
  • Je kunt in een overzicht laten zien wat je doet met persoonsgegevens van deelnemers. Dit heet een verwerkersovereenkomst.
  • Zie ook hoe Welzijnswerk Midden-Drenthe omgaat met de AVG: https://www.welzijnswerkmd.nl/over-ons/privacy

Invulschema privacybeleid

Dit invulschema is ervoor om een bestuur of vrijwilligersgroep een handvat te geven om het privacybeleid uit te werken. In het document hebben we een aantal voorbeelden gegeven van hoe het ingevuld kan worden.