De AVG – hoe ga je om met persoonlijke gegevens?
Waar staat AVG voor?
Algemene Verordening Gegevensbescherming, een wet die in mei 2018 in heel Europa van kracht werd. De Europese benaming van deze verordening is General Data Protection Regulation (GDPR). Alle organisaties en bedrijven die in Europa actief zijn, moeten voldoen aan deze verordening.
Waar gaat AVG over?
AVG zorgt voor de naleving van vijf privacy rechten van burgers. Deze rechten hebben te maken met de bescherming van persoonsgegevens van burgers en de mogelijkheden van de burger om te bepalen wat er mee gebeurt.
Deze rechten zijn:
- Recht op informatie – wat doet een organisatie met jouw gegevens?
- Recht op inzage – welke persoonsgegevens heeft een organisatie opgeslagen?
- Recht op rectificatie – het wijzigen van persoonsgegevens
- Recht op vergetelheid – dat persoonsgegevens verwijderd worden
- Recht op dataportabiliteit – om informatie over te dragen aan een andere instantie
- Recht van bezwaar – bezwaar maken tegen het verwerken van persoonsgegevens
Ok, maar wat zijn PERSOONSGEGEVENS dan eigenlijk?
Persoonsgegevens
Het gaat om gegevens die direct of indirect te herleiden zijn naar een persoon. Het gaat dus om bijvoorbeeld:
- NAW gegevens – naam adres en woonplaats. Tegenwoordig is het adres vaak het emailadres. Deze gegevens mogen over het algemeen bewaard worden, want deze gegevens zijn niet heel risicovol. Het delen van deze gegevens met andere organisaties is niet toegestaan. Let wel! Werktelefoonnummer en werkemail zijn makkelijk te gebruiken en te delen, omdat deze vaak ook online te vinden zijn. Maar in het vrijwilligersveld wordt vaak voor het privé telefoonnummer en privé e-mailadres gebruikt en dat is een stuk persoonlijker.
- Daarnaast heb je bijzondere gegevens, zoals het land van herkomst, taalniveau, gezondheid, lichamelijke/psychische/sociale ziekten, godsdienst/levensbeschouwing, politieke voorkeur, seksuele voorkeur, strafrechtelijke gegevens. Deze gegevens mag je niet zomaar opslaan, verwerken of delen, daar heb je een wettelijke toestemming voor nodig. Let op: een foto met iemand die een bril draagt is al een voorbeeld van een medisch gegeven!
- BSN nummer – een nummer dat gebruikt wordt in contact met de overheid. Is geen bijzonder gegeven, maar… je mag het niet opslaan of gebruiken!
- VOG dan? Een Verklaring Omtrent Gedrag is een persoonsdocument en mag niet gekopieerd en bewaard worden door derden. Het enige wat je kunt registeren, is het nummer van de VOG die boven op het document staat. Dit is ook het referentienummer als je gegevens wil checken. Hetzelfde geldt voor een paspoort of rijbewijs.
Wanneer mag je persoonsgegevens bewaren en verwerken?
Grondslagen:
- Toestemming
- Overeenkomst
- Wettelijke grondslag
- Algemeen belang
- Vitale belangen
- Gerechtvaardigd belang
Het gerechtvaardigd belang kan bijvoorbeeld worden gebruikt voor het maken van foto’s van een activiteit. Foto’s maken van mensen waarop te zien is uit welk land ze komen of welke lichamelijke beperking ze hebben, is een bijzonder gegeven en mag niet zomaar bewaard en verwerkt worden. In dit soort gevallen moet je kunnen uitleggen waarom je de foto’s wil maken, welk belang jij erbij hebt om dit te doen. Bijvoorbeeld om je organisatie te promoten. In dit filmpje op YouTube wordt het duidelijk uitgelegd.
Voor gedetailleerd uitleg over de grondslagen waarop je persoonsgegevens mag bewaren, kijk op de website van de Autoriteit Persoonsgegevens.
Door persoonsgegevens te anonimiseren kun je meer informatie opslaan en verwerken; want als de gegevens niet te herleiden zijn tot mensen, dan is het risico in geval van een datalek minimaal.
Zijn de persoonlijke gegevens veilig opgeslagen?
- Let dus op welke persoonlijke gegevens je als organisatie bewaart op de computer, op het netwerk van je organisatie of op papier!
- Vervolgens is het belangrijk om ervoor te zorgen dat deze gegevens ook veilig zijn. Wie kan erbij? Is er een goede beveiliging met een wachtwoord? Staan ordners met personeelsdossiers in een afgesloten kast?
Wat is een privacyverklaring?
Een privacyverklaring is een document waarin wordt beschreven hoe er binnen de organisatie met de persoonsgegevens wordt omgegaan. Welke gegevens bewaar je, hoe bewaar je die en hoelang? Dit document is openbaar en moet door mensen in te zien kunnen zijn. De privacyverklaring is een document dat op maat gemaakt moet worden. In dit document staan 14 vragen die je aardig op weg kunnen helpen.
Wat is een datalek en waar moet je dat melden?
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
Een datalek moet gemeld worden bij Autoriteit Persoonsgegevens, daar is een meldprotocol voor opgesteld, die je helder en duidelijk begeleidt.
Lees ook de 5 tips: hoe voorkom je een datalek.
AVG Stappenplan
In onze toolkit voor organisaties vind je een stappenplan AVG, AVG in 7 stappen.
Andere handige links en sites