Maak kennis met de Algemene Verordening Gegevensbescherming

De bijeenkomst start met het grapje dat de nieuwe datawetgeving straks zo complex en streng zal zijn, dat zelfs een tweeling elkaar voor het gerecht kan dagen vanwege het schenden van elkaars privacy in de baarmoeder. Alle gekheid op een stokje; veel organisaties (dus ook fondsenwervende!) zullen het één en ander goed moet veranderen en vastleggen om problemen te voorkomen. Voorspeld wordt dat er namelijk erg veel en erg lange gerechtelijke processen zullen komen, zodra de wet van kracht gaat. Hoe en waarom is vooralsnog een klein beetje een grijs gebied. Maar wat zeker is, is dat er complexe veranderingen gaan plaatsvinden met potentieel grote gevolgen.

Stand van zaken onder fondsenwervende organisaties

Uit een enquête onder de leden van Nederland Filantropieland, blijkt dat 54% aangeeft in ieder geval op de hoogte te zijn van de komst van de AVG. Slechts 7% daarentegen heeft daadwerkelijk zicht op de gevolgen van de AVG en 36% geeft aan geen idee te hebben van de mogelijke consequenties van de nieuwe wetgeving.

Ook het Centraal Bureau Fondsenwerving (CBF), bij wie je als filantropische organisatie een goede doelen erkenning kunt aanvragen na toetsing, kwam spreken tijdens de voorlichting. Volgens hun onderzoek is gebleken dat ruim 60% van de fondsenwervende organisaties nog flink wat huiswerk te doen heeft als het aankomt op privacywetgeving. Zo blijkt namelijk dat 90% van mening is dat zijn databeveiliging wel prima op orde is, maar bij slechts 40% bleek dit beleid daadwerkelijk bijgewerkt en actueel. Met andere woorden: wel 60% heeft nog een hele hoop te doen om de databeveiliging up to date te krijgen! Zowel bij dit onderzoek, als bij de enquête van Nederland Filantropieland, blijkt dus dat er een groot verschil bestaat tussen het denken dat je het op orde hebt en het echt op orde hebben. Gezien het verschil in percentage, is enige voorlichting daarom geen overbodige luxe. 

Wat houdt de AVG in?

De AVG is in principe niet nieuw, maar is al op 25 mei 2016 in werking getreden. Dit betekent dat er een periode van 2 jaar tussen de start en de daadwerkelijke toepassing ervan zit. Deze periode van 2 jaar is nodig om een ieder goed voor te bereiden op de nieuwe wetgeving, terwijl ondertussen de Wet bescherming persoonsgegevens gewoon doorloopt tot 25 mei 2018. 

Volgens www.autoriteitpersoonsgegevens.nl vallen de veranderingen op te delen in grofweg 2 onderdelen:

• Versterking en uitbreiding van privacyrechten
• Meer verantwoordelijkheden voor organisaties

​Hieronder een beknopte samenvatting:

​Privacyrechten

Ten eerste zul je straks de persoon van wie je de gegevens wilt gebruiken of opslaan, specifiek om toestemming moeten vragen. Bij het vragen van toestemming​ moeten een aantal dingen duidelijk worden gecommuniceerd vanuit jouw organisatie, zoals: met welk doel wil je de gegevens gebruiken of opslaan en voor hoe lang? De betrokkene moet jou daarbij duidelijk en bevestigend de toestemming verlenen. Denk hierbij aan een popup-venster wat alleen weggaat, wanneer je akkoord gaat met bepaalde voorwaarden of een privacyverklaring in heldere, eenvoudige taal. Bevestigt de persoon de toestemming, dan pas mag je de gegevens verwerken. Voor de duidelijkheid: jij als organisatie moet er dus op letten dat alle details in het privacystatement helder staan omschreven en daadwerkelijk worden gelezen!

Donateurs (en andere personen waar je gegevens van bewaard) hebben met ingang van de AVG verder het recht op o.a. de volgende zaken: 

• De betrokkene heeft straks recht op inzage, wat kort inhoud dat naast de doelen waarvoor je de gegevens opslaat, ook de gegevens van diegenen die de persoonsgegevens ontvangen duidelijk moeten worden omschreven. 
• ​De betrokkene heeft recht op rectificatie en mag daarom verkeerde gegevens aanpassen, of een verzoek indienen om verkeerde gegevens aan te passen. Vervolgens moet er melding worden gemaakt van de aanpassing aan de betrokkene, ook als deze hem zelf heeft aangevraagd. 
• De betrokkene heeft recht op vergetelheid, wat betekent dat zijn gegevens moeten worden verwijderd, wanneer het doel waarvoor toestemming is gegeven voorbij of behaald is. Ook moeten de gegevens worden verwijderd als de betrokkene de toestemming intrekt, de gegevens onrechtmatig zijn verwerkt of wanneer de betrokkene simpelweg bezwaar maakt tegen de verwerking.

En om maar direct met de deur in huis te vallen: dit zijn de verplichtingen waar iedereen, dus óók fondsenwervende partijen, aan moet voldoen! 

​De verantwoordelijkheid van de organisatie

Met AVG wordt de organisatie zelf verantwoordelijk gesteld bij het aantonen dat zij zich aan de wet hebben gehouden. Dit zogenaamde accountability principe, draait erom dat je organisatie kan aantonen dat het echt haar best heeft gedaan om zich naar de regels te gedragen. Dit betekent ook dat de verantwoordelijkheid niet kan worden uitbesteed. Een interne bewustwording van deze verantwoordelijkheid is dan ook zeer belangrijk en waarschijnlijk de eerste stap die je zal moeten zetten. ​Er zijn een aantal (documentatie)verplichtingen die je in ieder geval voor elkaar moet hebben binnen je organisatie en die je accountability kracht geven, mocht het ooit mis gaan:​

• Maak een dataregister. In dit dataregister staat bijvoorbeeld voor welke doeleinden je gegevens nodig hebt, gegevens van de personen die de persoonsgegevens ontvangen, wie de verwerkersverantwoordelijke is, de eventuele verwerker (bijvoorbeeld een callcenter), een algemene beschrijving van de beveiligingsmaatregelen, de gegevens van wie de persoonsgegevens zijn verkregen indien de betrokkene deze niet zelf heeft gegeven, etc.
• Maak een privacybeleidsplan voor intern gebruik, waarin je omschrijft waarom en hoe jouw organisatie privacy beheerst en beveiligt. 

​Neem als organisatie de tijd en het budget om je in te lezen en voor te bereiden (maar wel vóór 25 mei 2018!). Stel de juiste mensen (van bijvoorbeeld verschillende afdelingen) aan om duidelijk overzicht te houden omtrent het verloop van alle aanpassingen, zodat dat jullie straks AVG-klaar zijn. 

Boetes

Natuurlijk dien je als organisatie te zorgen voor een actieve, up to date systeembeveiliging. Eén van de vele voorbeelden is het verwerken van gevoelige gegevens via https:// en niet meer via http://.

​Vind er toch een datalek plaats? Meld dit dan aan de Autoriteit Persoonsgegevens, tenzij er geen risico is voor de rechten en vrijheden van de persoon, van wie er data is gelekt. Lees ook onze blog over het melden van datalekken.

​Overtreedt je als organisatie straks toch de AVG? Voldoe je bijvoorbeeld niet aan de documentatieplicht? Dan kunnen er flinke boetes volgen. En met flink, bedoelen we ook echt flink. 

​Zo vallen de hogere boetes in twee categorieën: 

• Voldoe je niet aan de verplichtingen, zoals het duidelijk vragen van toestemming of het aangaan van de documentatieplicht? Dan kan de Autoriteit Persoonsgegevens je een boete opleggen van maximaal 10 miljoen euro, of 2% van je wereldwijde, jaarlijkse omzet, als dit bedrag hoger uitkomt. 
• Schaadt je organisatie of iemand binnen je organisatie de privacyrechten van een betrokkene of de grondslagen van de AVG? Dan wordt de boete maximaal zelfs 20 miljoen euro, of 4% van de wereldwijde jaaromzet, als dit bedrag hoger uitkomt. (Bron: Autoriteit persoonsgegevens)

Informatie

​Momenteel zijn er een aantal organisaties, waarvan sommigen zich specifiek richten op fondsenwervende partijen, die een AVG -stappenplan naar buiten hebben gebracht of bezig zijn er binnenkort één uit te brengen: 

• Het algemene 10 stappenplan van de Autoriteit Persoonsgegevens
• Nederland Filantropieland is bezig met een toolkit gericht op fondsenwervers. Houd hun kenniscentrum in de gaten (alleen voor leden)
• Op deze pagina van het CBF vind je een handreiking

Aangezien we bij Procurios ook redelijk wat fondsenwervende klanten hebben, maar natuurlijk alle branches waar wij mee samenwerken (verenigingen, retail, etc.) zometeen te maken krijgen met de nieuwe wetgeving, zullen ook wij regelmatig informatie gaan delen over alle ins & outs omtrent de Algemene verordening gegevensbescherming. Heb je nog specifieke vragen over de AVG, bijvoorbeeld in samenhang met ons platform, laat het ons dan even weten. Dan zoeken wij het voor je uit en laten jou het antwoord persoonlijk weten, via een blog of whitepaper.  

Stuur een mail naar marketing@procurios.eu