Alles wat je moet weten op een rij

De AVG voor verenigingen en stichtingen

Naleving van de Algemene Verordening Gegevensbescherming (AVG) heeft voortdurend aandacht nodig. Iedere situatie is uniek en moet op zichzelf worden beoordeeld. Met deze FAQ over de AVG speciaal voor verenigingen en stichtingen, helpen we je op weg. Met zorg samengesteld en gecheckt door een ervaren privacy jurist. Doe er je voordeel mee!

  • Volledige FAQ over de AVG
  • Voorbeelden en handige tips
  • Specifiek voor verenigingen en stichtingen

Het hoe, wat en waarom van de AVG: Grondslagen, rechten en plichten

CASUS: de Koninklijke Nederlandse Lawn Tennisbond (KNLTB)

Wie persoonsgegevens verwerkt dient daarvoor één van de 6 grondslagen zoals beschreven in de AVG te gebruiken. Daarbij mogen persoonsgegevens niet zonder meer voor andere doeleinden gebruikt worden dan waarvoor zij zijn verzameld. Wie bijvoorbeeld e-mailadressen verzamelt op basis van toestemming om nieuwsbrieven te versturen, mag die e-mailadressen niet gebruiken om  via mailings producten aan te prijzen.

Delen van persoonsgegevens

De KNLTB kondigde in 2018 in nieuwsbrieven en op de website aan persoonsgegevens van leden te gaan delen met sponsoren. De vereniging was van mening daartoe gerechtigd te zijn omdat de ledenraad in 2007 besloten had dat NAW-gegevens van leden tegen vergoeding gedeeld mochten worden met sponsoren voor briefpostacties. Daarnaast besloot de ledenraad in 2017 dat ook telefoonnummers van leden gedeeld mochten worden met sponsoren. Enkele leden tipten de Autoriteit Persoonsgegevens (AP) na deze aankondiging in de nieuwsbrieven. Die stelde een onderzoek in.

Eén sponsor ontving de persoonsgegevens van 50.000 leden, een tweede sponsor van meer dan 300.000 leden. De KNLTB ontving hier vergoedingen voor. De vereniging is van mening dat het een gerechtvaardigd belang heeft doordat deze acties meerwaarde voor het lidmaatschap opleveren en compenseren voor dalende inkomsten door teruglopende ledenaantallen. 

Oordeel Autoriteit Persoonsgegevens

De AP stelt dat gegevens van leden die na 2007 lid zijn geworden, niet verkocht hadden mogen worden voor direct marketingdoeleinden op basis van de grondslag gerechtvaardigd belang. En dat de gegevens van leden die vóór 2007 lid waren geworden niet zijn verzameld met het doel die te verkopen. Volgens de statuten die in 2007 geldig waren, was het verzameldoel de uitvoering van de overeenkomst. En hoewel in diezelfde statuten ook staat dat de verzamelde gegevens verstrekt kunnen worden aan derden, is dit volgens het AP onvoldoende duidelijk geformuleerd.

Voor de situatie na 2007 is volgens de AP het belang van het verwerven van meer inkomsten niet voldoende en te algemeen. De KNLTB stelt zich echter op de positie dat het om meer dan het verwerven van inkomsten gaat, omdat de continuïteit van de vereniging onder druk staat door dalende ledenaantallen. De rechtsregel die ten grondslag ligt aan het gerechtvaardigd belang is volgens het KNLTB daarom de vrijheid van ondernemerschap. Maar volgens het AP is dit onvoldoende rechtstreeks en concreet om te kwalificeren als gerechtvaardigd belang.

De AP legde daarom in 2020 een boete van ruim 500.000 euro op aan de KNLTB voor de verkoop van de ledengegevens. Tegen dit besluit loopt op het moment van schrijven (juni 2021) een beroep. De boete onderstreept in ieder geval dat ook het verenigingswezen bij de AP op de radar staat. Net niet voldoen aan de AVG is geen optie. Zaak dus om je verwerking van persoonsgegevens transparant en inzichtelijk te maken.

Bron

Je ledenadministratie en donateursbeheer op orde: Verwerking

Zo zorg je dat je AVG-proof leden en donateurs werft: Marketing en communicatie

De 5 basisregels voor een opt-in

  1. Toestemming moet uit vrije wil zijn gegeven
  2. De betrokkene moet duidelijk zijn geïnformeerd over datgene waarvoor toestemming wordt gegeven
  3. Er moet een actieve handeling zijn verricht; toestemming kan niet passief worden gegeven (geen vooraf aangevinkte checkboxes);
  4. De betrokkene moet zijn of haar toestemming heel eenvoudig weer kunnen intrekken (dus niet eerst inloggen!);
  5. Je moet achteraf kunnen bewijzen dat betrokkene toestemming heeft gegeven.

Hoe te handelen als er iets mis gaat: Het herkennen van datalekken en het hoe en wat van de meldplicht

Wanneer is sprake van een datalek?

  • persoonsgegevens kunnen door een onbevoegd persoon worden ingezien
  • persoonsgegevens zijn ongeoorloofd verstrekt
  • persoonsgegevens zijn ongeoorloofd gewijzigd
  • persoonsgegevens zijn verloren gegaan

Onderweg met de AVG

Voldoen aan de AVG vraagt continu aandacht. Ook bij het inrichten van nieuwe systemen of het starten van nieuwe projecten waarbij persoonsgegevens worden verzameld, moet steeds weer bepaald worden hoe aan de AVG kan worden voldaan. Ga hierbij niet over één nacht ijs: je kunt heel veel zelf, bijvoorbeeld met deze FAQ in de hand, maar vraag ook altijd een ervaren privacyjurist om haar of zijn mening.

Meer resources

Disclaimer: over de totstandkoming van deze FAQ

De AVG is een serieuze zaak waarbij zienswijzen er minder toe doen dan de feiten. Daarom is deze FAQ kritisch op juistheid gecontroleerd door een ervaren privacyjurist. Toch dient deze FAQ alleen ter inspiratie en niet als juridisch advies. Ons doel is het bewustzijn omtrent privacy te vergroten, te wijzen op bekende valkuilen en zo aan te zetten tot een optimale naleving van de AVG onder verenigingen en goede doelen.

Als je zeker wilt weten dat jouw organisatie op alle vlakken de AVG naleeft, win dan altijd advies in bij een jurist die is gespecialiseerd in privacyrecht en schakel zo nodig aanvullende expertise in.

Sign up to our newsletter