Hoe ga ik om met de AVG (privacy wetgeving)?

Inhoudsopgave

Algemeen
De AVG in een notendop
Belangrijke vragen voor uw organisatie
Downloads
Veelgestelde vragen
Handige links
Meer weten?

Algemeen

Vanaf 25 mei 2018 is de General Data Protection Regulation (GDPR) van toepassing. In Nederland wordt de GDPR ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Vanaf 25 mei 2018 geldt dezelfde privacywetgeving in de hele EU.

Organisaties die persoonsgegevens verwerken, zoals (sport- en patienten)verenigingen, stichtingen bijvoorbeeld, krijgen dan meer verplichtingen. De nadruk ligt - meer dan nu - op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

De AVG in een notendop

De AVG heeft betrekking op een viertal onderdelen.

De grondslag

Uw organisatie verzamelt en beheert gegevens van leden en relaties. Op basis van een aantal factoren mag u gegevens verzamelen.

Toestemming van de gebruiker
Vitale belangen
Wettelijke verplichting
Overeenkomst
Algemeen belang
Gerechtvaardigd belang

Zorgvuldigheid

U bent verantwoordelijk voor de gegevens van en in uw organisatie. Hierbij spelen de onderstaande factoren een rol.

Mogelijk moet u een Functionaris gegevensbescherming aan te stellen.
Privacy by design. Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd.
U kunt verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen.

Verplichtingen

U dient technische en organisatorische maatregelen te nemen om de gegevens van uw leden en relaties te beschermen. U moet dan denken aan onderstaande onderdelen.

U kunt verplicht zijn een Register met alle verwerkingen te moeten bijhouden.
U moet een gegevensbeschermingsbeleid opstellen.
Uw gegevens moeten (digitaal) beveiligd zijn.

De digitale beveiliging van uw gegevens valt onder de verantwoording van e-Captain (DISPI). Dit doen wij onder andere op de volgende manier.

Beveiligde hosting omgeving. Onze servers worden gehost in het high tech datacenter van Interconnect in ’s-Hertogenbosch. De servers zijn voorzien van beveiligingssoftware en worden door ons voorzien van alle belangrijke updates.
Dagelijkse back-ups. Wij maken dagelijks een back-up van onze servers. Deze worden zowel intern als extern bewaard.
3-traps inlogprocedure. Om in te loggen in e-Captain heeft u een loginnaam, wachtwoord en pincode nodig. Deze gegevens kunnen niet in uw browser worden opgeslagen om snel en automatisch in te loggen als u naar e-Captain gaat.
Sessie time-out. Als u een bepaalde periode niet actief bent in e-Captain wordt u automatisch uitgelogd.
Continuïteit. De broncode van e-Captain is gedeponeerd bij een notaris in ’s-Hertogenbosch alwaar een overeenkomst is gemaakt t.b.v. de continuïteit van e-Captain.

U leest meer over de beveiliging van e-Captain in de veelgestelde vragen.

Rechten van betrokkenen

Uw leden en relaties moeten controle kunnen uitoefenen op de gegevens die u beheert. Dit houdt het volgende in:

Zij hebben het recht om de gegevens in te zien.
Zij hebben het recht om de gegevens te wijzigen.
Zij hebben het recht om vergeten te worden.
Zij hebben het recht om gegevens over te dragen.
Zij hebben het recht op informatie.

De eerste twee punten kunt u in e-Captain eenvoudig oplossen door gebruik te maken van de Mijn Captain website (het besloten ledenportaal in e-Captain).

Op de website van de Autoriteit Persoonsgegevens vind u meer informatie over bovengenoemde onderwerpen.

Belangrijke vragen voor uw organisatie

De belangrijkste vragen voor u aangaande de AVG zijn ons inziens:

Waarom hebben wij de persoonsgegevens nodig?
Waar bestaan deze persoonsgegevens uit? (Benoem bijvoorbeeld alle velden op uw aanmeldformulier die nodig zijn)
Klopt het vastleggen van de persoonsgegevens met de doelstellingen in onze statuten van onze organisatie?
Staat in onze statuten of huishoudelijk reglement dat leden de informatie van leden mogen inzien?
Leggen wij bijzondere gegevens vast op politiek, levensbeschouwlijk, godsdienstig of vakbondsgebied etc.?
Is dit te onderbouwen waarom wij dit doen?
Kunnen onze leden / begunstigers / donateurs etc. de eigen informatie inzien en aanpassen?
Hoe lang bewaren wij de gegevens van onze relaties nog als deze niet meer bij ons actief zijn?

e-Captain (DISPI) heeft een Verwerkersovereenkomst opgesteld waarin onze gezamelijke rechten en plichten zijn opgenomen.

Downloads

Verwerkersovereenkomst

	Naam: Verwerkersovereenkomst e-Captain	Download
	Type: pdf
	Grootte: 578 kB

Voorbeeld privacy verklaring voor uw website

	Naam: Voorbeeld privacy verklaring voor uw website	Download
	Type: doc
	Grootte: 36 kB

Protocol datalekken

	Naam: Protocol datalekken	Download
	Type: pdf
	Grootte: 274 kB

Veelgestelde vragen

De antwoorden op onderstaande veelgestelde vragen zijn totstand gekomen met de medewerking van de Autoriteit Persoonsgegevens.

Moeten mijn leden (relaties) het nieuwe privacybeleid accepteren?

Nee. U heeft slechts een informatie plicht.

Een privacyverklaring is een eenzijdig document en gebruikt u om uw privacy beleid te verantwoorden. Leden of andere relaties hoeven er geen akkoord op te geven, maar ze moeten er wel naar kunnen handelen. Daarom moet het privacybeleid altijd goed vindbaar zijn, zodat een klant zijn rechten kan inroepen als hij of zij dat wil. Plaats daarom het privacybeleid duidelijk op uw website.

Mag de vereniging mijn persoonsgegevens aan andere leden doorgeven?

Ja, uw vereniging mag uw gegevens (zoals uw naam, adres en woonplaats) doorgeven aan bepaalde mensen binnen de vereniging. Dit is nodig om de vereniging draaiende te houden. De penningmeester bijvoorbeeld heeft uw gegevens nodig om de contributie te innen.

Ledenlijst verstrekken

Uw vereniging mag de ledenlijst niet zomaar verstrekken aan alle leden. Dit mag alleen als er een zogeheten gerechtvaardigd belang voor is. Bijvoorbeeld als het noodzakelijk is dat teamleden met elkaar kunnen afspreken om te gaan sporten.

Verstrekt uw vereniging uw gegevens aan andere leden? Dan moet de vereniging u daarover informeren.

Mag de vereniging mijn persoonsgegevens aan bedrijven doorgeven voor reclame of sponsoring?

Ja, dat mag. Maar uw vereniging moet u wel daarover informeren. Bijvoorbeeld via de website of het clubblad.

Bovendien moet uw vereniging u een redelijke tijd de kans geven om verzet aan te tekenen. Zodra u verzet aantekent, moet uw vereniging direct stoppen met het doorgeven van uw gegevens. U hoeft niet te zeggen waarom u verzet aantekent. Uw vereniging mag geen vergoeding vragen om uw verzoek in behandeling te nemen.

Mag de vereniging een lijst op de website publiceren met leden die hun contributie nog niet hebben betaald?

Nee, dat mag niet. Ook niet op een afgeschermd deel van de website van de vereniging dat alleen voor leden toegankelijk is.

Het is niet nodig dat alle leden van de vereniging weten dat iemand zijn of haar contributie niet heeft betaald. De vereniging kan op andere manieren de openstaande contributie innen, die minder ingrijpend zijn voor de privacy van deze persoon. Bijvoorbeeld via een incassobureau.

Mag de vereniging mijn persoonsgegevens publiceren op internet?

Ja, maar alleen op een afgeschermde internetpagina en als het is opgenomen in de doelstellingen van de vereniging. Heeft de ledenvergadering publicatie goedgekeurd? Dan hoeft de vereniging hiervoor geen expliciete toestemming aan de leden te vragen.

De vereniging moet er wel voor zorgen dat niet zomaar iedereen de ledengegevens op internet kan inzien. Alleen leden mogen toegang hebben. Bijvoorbeeld door een verplicht wachtwoord en door de pagina’s met ledengegevens af te schermen voor zoekmachines.

Kan ik mijn persoonsgegevens bij de vereniging inzien en/of laten verbeteren of verwijderen?

Ja, dat kan. U heeft het recht om uw gegevens bij uw vereniging in te zien. Ook kunt u vragen uw persoonsgegevens te corrigeren of verwijderen.

Handige links

We hebben een aantal handige links verzamelt met informatie en artikelen over de AVG/GDPR wetgeving.

Autoriteit Persoonsgegevens

Hulp bij privacy

EU GDPR

AVG Wikipedia

Checklist AVG/GDPR (Charlotte's Law)

Checklist AVG/GDPR (TransIP)

Factsheet AVG/GDPR (ICTRecht)

10 valkuilen rond de GDPR (Computable)

Zo is je privacyverklaring AVG/GDPR-proof (Frankwatching)

Verenigingen worden meegenomen in nieuwe privacywetgeving (Watersportverbond)

Kinderen en de AVG, wat moet je ermee (Charlotte's Law)

De AVG en portretfoto's: geen paniek! (Dupho)

Mag je nog foto's maken en publiceren na de AVG? (Charlotte's Law)

Privacy: Mag je kinderen nog fotograferen? (Charlotte's Law)

Meer weten?

De informatie op deze pagina is ontleend aan de website van de Autoriteit Persoonsgegevens. Wij adviseren u zich goed in te lezen in de nieuwe AVG. De website van de Autoriteit Persoonsgegevens helpt u daarbij.

Nog meer hulp nodig?

Deze pagina is voor het laatst bijgewerkt op: 17 juli 2023