Vrijwilligers en de AVG? Zo bereid je je voor.

/in , , /door

AVG van kracht vanaf 25 mei 2018.

De Wet bescherming persoonsgegevens wordt vanaf 25 mei 2018 vervangen door de AVG: Algemene Verordening Gegevensbescherming. In alle Europese lidstaten geldt dan dezelfde privacywetgeving. Alle organisaties die persoonsgegevens verwerken en bewaren hebben hiermee te maken. Dus ook organisaties waar vrijwilligers worden ingezet. 

Wat betekent de AVG voor je organisatie en het werken met vrijwilligers?

Kort gezegd gaat het bij de nieuwe AVG hierom:

  • Persoonsgegevens mogen alleen verwerkt worden voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet zomaar voor andere doeleinden (doelbindingsprincipe). Voorbeeld 1: Is dit doel er niet, dan mag je het BSN van een vrijwilliger niet registreren.
  • Recht op vergetelheid: Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt.
  • Het bovenstaande geldt zowel voor het bewaren in digitale (computer)bestanden als in papieren mappen en dossiers.

Hoe bereid je je voor op de AVG en de inzet van vrijwilligers?

Door NOV is een stappenplan gemaakt wat een goede voorbereiding op de AVG waarborgt. Hieronder een samenvatting:

1: Ga na: waarom, hoe en wat.
Ga na welke persoonsgegeven worden verzameld en waar die worden bewaard. inventariseren wat ze vastleggen én te registreren welke persoonsgegevens ze hoe vastleggen. inventariseer als organisatie wat je vastlegt én registreer welke persoonsgegevens je hoe vastlegt. Dit moet dus beschreven staan. Ook moet je bedenken of dat wat je opslaat wel functioneel is. Je mag alleen persoonsgegevens vastleggen die je nodig hebt en je mag die gegevens alleen gebruiken waarvoor je ze verzamelt.

2: Laat weten wat je bewaart.
Betrokkene moet toestemming geven voor het gebruik van persoonsgegevens. Alleen wanneer daar een dringende reden van algemeen belang of wetgeving voor is, kunnen persoonsgegevens zonder toestemming worden opgeslagen. Nieuw is dat de betrokkenen moet weten dat zijn persoonsgegevens worden verwerkt en met welk doel. Zij hebben het recht hun gegevens in te zien en aan te (laten) passen.

3: Vastleggen hoe de organisatie met de data omgaat.
Organisaties hebben een verantwoordingsplicht in de nieuwe AVG. Dat betekent dat organisaties vastleggen wie verantwoordelijk is voor de data, aan wie informatie wordt verstrekten ook op welke computer deze wordt opgeslagen en op welke wijze deze wordt beschermt tegen virussen en hacken. Niet onbelangrijk; zorg dat de data maar op één computer of één systeem staan. Verspreiding van data over verschillende computers of systemen zonder dat dat is vastgelegd kan uitgelegd worden als datalekken. Met externe gebruikers van de bestanden, zoals drukkers, verspreiders van de nieuwsbrieven en bijvoorbeeld de koepelorganisatie, moeten overeenkomsten worden opgesteld voor het gebruik van gegevens; de zogenoemde verwerkersovereenkomst.

4. Vrijwilligers informeren of opleiden.
Informeer vrijwilligers over de AVG: het is niet de bedoeling dat een vrijwilliger met persoonsgegevens te koop gaat lopen. Ook dat zijn datalekken. Dit kan gaan om gegevens uit de bestanden van de organisatie zelf, maar ook om informatie die een vrijwilliger van een deelnemer of ouder heeft gekregen.

5: Procedure opstellen voor het melden van datalekken.
Elke organisatie die persoonsgegevens opslaat, is verplicht datalekken te melden binnen 72 uur na ontdekking. Om dit zorgvuldig te doen is het handig vooraf procedures af te spreken. Hierin staat:

  • Wat een datalek is;
  • Bij wie in de organisatie een datalek gemeld moet worden;
  • Wie binnen de organisatie nog meer geïnformeerd moet worden;
  • Wie checkt wat er gelekt is;
  • Hoe in kaart gebracht wordt wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn;
  • Welke gegevens nodig zijn voor de melding.
  • Wie de melding doet bij de Autoriteit Persoonsgegevens.

Eventueel:

– Stel zo nodig een functionaris voor de gegevensbescherming (FG) aan.
Dit is niet verplicht voor alle organisaties. Wel voor overheids- en publieke organisaties, organisaties die persoonsgegevens analyseren (profiling) en wanneer bijzondere persoonsgegevens worden opgeslagen. Voor de meeste organisaties zal dit niet nodig zijn.

– Privacy Impact Assessment (PIA).
Hiermee breng je in beeld wat de gevolgen zijn van het verzamelen van persoonsgegevens voor de personen zelf. Voor de meeste vrijwilligersorganisaties is een formele PIA niet nodig. Vooral niet omdat alleen contactgegevens verzameld worden en geen persoonskenmerken.

(Bron: afgeleide van 7 stappenplan NOV).

– Goed voorbereid op de AVG met Fenna.

Door Kenniscentrum Vrijwilligers is de vrijwilligers registratietool Fenna ontwikkeld, die voldoet aan de AVG.

Misschien ook iets voor u
Vrijwilligerswerk | Vrijwilligers Aan Zet | Kenniscentrum vrijwilligers Vrijwilligers en nieuwe regelgeving in 2018
Vrijwilligersvergoeding omhoog naar 1700 Euro Vrijwilligersvergoeding omhoog naar 1700 Euro