14 februari 2023 Wouter Pegtel 19 minuten lezen

10 zaken die verenigingen en goede doelen moeten regelen om te voldoen aan de AVG

Iedere organisatie moet onder de AVG een inspanning leveren om persoonsgegevens te beveiligen en mag niet meer persoonsgegevens verzamelen of bewaren dan noodzakelijk. Het is nog niet zo eenvoudig om te bepalen wanneer de inspanning die je levert voldoende is en wanneer het verzamelen of bewaren van data noodzakelijk is. Met deze tien stappen kun je eenvoudig zien of jouw vereniging of goede doel zijn zaken voldoende op orde heeft. 

Criminelen maken geen onderscheid tussen bedrijven, overheden, verenigingen of goede doelen in hun zoektocht naar waardevolle persoonlijke informatie. Dat betekent dat ook jouw organisatie het risico loopt slachtoffer te worden van cybercrime of een datalek. Wanneer persoonsgegevens onbedoeld op straat komen te liggen, heeft dit verstrekkende gevolgen voor de mensen om wiens informatie het gaat. Daarnaast kun je als organisatie beboet worden als je niet aan de inspanningsverplichting die voortvloeit uit de AVG hebt voldaan. Voldoe jij aan de eisen van de AVG of loop je het risico op een forse boete wanneer het onverhoopt misgaat? Doe de check! 

De AVG in het kort: 

  • Je moet als vereniging of goed doel precies weten welke
    persoonsgegevens je verzamelt, opslaat en verwerkt.
  • Je moet weten welke rechten de mensen hebben wiens 
    gegevens je verzamelt, opslaat en verwerkt. 
  • Je mag deze gegevens alleen gebruiken voor het 
    specifieke doel waarvoor je ze verzameld hebt.
  • Je moet rekening houden met privacy by design 
    en privacy by default. 
  • Bij verwerkingen met een hoog risico op een datalek, 
    ben je verplicht een risicoanalyse (DPIA) uit te voeren. 

1. Sla alleen noodzakelijke informatie op (privacy by design)

Bekijk kritisch welke persoonsgegevens jouw vereniging verzamelt, opslaat en verwerkt. Volgens de AVG ben je verplicht om ervoor te zorgen dat persoonsgegevens goed worden beschermd. Maar ook dat er niet meer gegevens worden verzameld dan nodig is voor het beoogde doel én dat je gegevens niet langer bewaart dan noodzakelijk is. Hoe gevoeliger de gegevens die je verzamelt, hoe strenger de beveiligingsmaatregelen moeten zijn en hoe beter je moet kunnen verantwoorden waarom je dat doet. 

2. Zorg ervoor dat technische securitymaatregelen zijn getroffen (privacy by default)

Ga na of de gegevens die worden verzameld, opgeslagen en verwerkt, voldoende zijn beveiligd met technologische en organisatorische maatregelen. Zo hoeft een eventueel datalek bijvoorbeeld niet te worden gemeld wanneer gegevens door encryptie onleesbaar en dus onbruikbaar zijn. 

Zorg dus voor veilige systemen door besturingssystemen, browsers en applicaties up-to-date te houden. Maak regelmatig een (versleutelde) back-up en test of deze back-up eenvoudig en probleemloos teruggezet kan worden. 

AVG-checklist-verenigingen

3. Beperk de toegang tot gevoelige gegevens

Zorg dat alleen die mensen uit je vereniging toegang tot persoonsgegevens hebben die dat voor hun functie ook daadwerkelijk nodig hebben. Wees zeer terughoudend met het geven van toegang tot gevoelige gegevens, niet alleen omdat de AVG dat zegt, maar ook omdat iedere gebruiker die toegang heeft tot bepaalde gegevens weer een extra risico oplevert. 

4. Train je medewerkers 

Train de mensen die binnen je vereniging met persoonsgegevens werken, zodat ze weten hoe ze er op een veilige manier mee om moeten gaan. Zorg voor bewustzijn van cyberrisico’s door ze op regelmatige basis te trainen en te oefenen. Voer testen uit om te zien of medewerkers alert reageren op bijvoorbeeld verdachte mails. 

5. Stel een verwerkingsregister op

Verwerking van persoonsgegevens vindt bij verenigingen structureel plaats, daarom ben je verplicht een verwerkingsregister bij te houden. Wat daarin staat, is afhankelijk van of je de verwerkingsverantwoordelijke of de verwerker bent. Als vereniging of goed doel bepaal je zelf het doel en de middelen voor de verwerking van persoonsgegevens waarvoor je de verwerkingsverantwoordelijke bent. 

6. Leg verwerkersovereenkomsten vast

Inventariseer wie de gegevensverwerkers zijn voor jouw organisatie. Dat is bijvoorbeeld de hostingprovider van jullie website, maar ook Procurios, omdat de gegevens van relaties van onze klanten in ons platform worden vastgelegd. Als verwerkingsverantwoordelijke ben je verplicht om afspraken te maken met verwerkers en deze afspraken te documenteren. 

De vorm van dit soort documenten is niet voorgeschreven in de AVG, maar in de praktijk worden dit soort afspraken meestal vastgelegd in een verwerkersovereenkomst. Daarin staan afspraken over de beveiliging van persoonsgegevens van jouw leden in systemen van anderen (bijvoorbeeld ook Gmail en/of Mailchimp). Bovendien neem je afspraken op over hoe je omgaat met een mogelijk datalek. Houd er overigens rekening mee dat Amerikaanse verwerkers niet automatisch voldoen aan de AVG. Ga daarom na of alle verwerkingen, ook die van verwerkers van verwerkers in de Europese Economische Ruimte plaatsvinden, want dan heb je meer zekerheid dat je voldoet aan de AVG. 

7. Zorg indien nodig voor een PIA

Wanneer je persoonsgegevens verwerkt die bijzondere risico’s inhouden door de aard, reikwijdte of het doel van de verwerking, ben je verplicht om vooraf een ‘Data Privacy Impact Assessment’ uit te voeren. In deze DPIA staat een beschrijving van de beoogde verwerking en een beoordeling van de risico’s van betrokkenen. Daarnaast beschrijf je de maatregelen die je treft om die risico’s zo laag mogelijk te houden, en welke beveiligingsmaatregelen en -processen je instelt om de veiligheid van de persoonsgegevens te waarborgen. 

8. Zorg voor een privacyverklaring

In een privacyverklaring, die je vaak op websites vindt, zet je helder uiteen met welk doel je persoonsgegevens verzamelt, opslaat en verwerkt. Bovendien kunnen mensen hierin lezen hoe jij als vereniging met die gegevens omgaat en hoe je ervoor zorgt dat ze veilig zijn. 

AVG-checklist-verenigingen-flavor

9. Zorg dat je de juiste grondslag kiest om persoonsgegevens te verwerken in relatie tot een bepaald doel

De AVG stelt strenge eisen aan het gebruik van de verzamelde data. Verenigingen en goede doelen mogen alleen persoonsgegevens verwerken als ze daar een grondslag voor hebben zoals die zijn beschreven in de AVG. Er zijn zes grondslagen, waarvan bijvoorbeeld toestemming en uitvoering van de overeenkomst in de meeste gevallen in ieder geval van toepassing zijn voor goede doelen en verenigingen. De gegevens die noodzakelijk zijn om een lid of donateur te registreren en je diensten aan te bieden mag je dus verwerken onder de grondslag uitvoering van de overeenkomst. 

Houd er rekening mee dat alle verwerkingen die je op basis van de grondslag ‘toestemming’ doet, niet meer gedaan kunnen worden als betrokkene die toestemming intrekt, ook niet als je een andere grondslag zou kunnen hanteren. Het is dan dus beter om te onderzoeken of een andere grondslag gerechtvaardigd is en dit in je verwerkingsregister op te nemen. Je hoeft overigens de verwerkingsgrondslagen niet te vermelden in je verwerkingsregister, maar handig is dat wel.

Wanneer een nieuw lid of een nieuwe donateur zich aanmeldt, ben je verplicht om die persoon te informeren welke gegevens je verzamelt en met welk doel. Zo’n privacyverklaring is een eenzijdig document en wordt gebruikt om het privacybeleid dat jouw organisatie voert, uit te leggen en te verantwoorden. Relaties hoeven daar geen akkoord op te geven, maar ze moeten er wel naar kunnen handelen. Daarom is het belangrijk dat je privacybeleid goed vindbaar is op bijvoorbeeld de website.

Doe je verwerkingen op basis van toestemming? Leg de toestemming, bijbehorende persoonsgegevens en de verwerking waarvoor toestemming is gegeven dan overzichtelijk vast, zodat deze eenvoudig te wijzigen of verwijderen zijn wanneer een daarom wordt gevraagd. Iedereen heeft, sinds de invoering van de AVG, het recht op inzage van zijn gegevens, recht op correctie en het recht om vergeten te worden. Een goed ingericht CRM kan hierbij helpen.

10. Zorg voor een procedure in geval van een datalek

Wanneer is sprake van een datalek? Zorg dat je dit helder hebt gedocumenteerd en communiceert met de mensen die binnen je vereniging met persoonsgegevens werken. Weet wanneer en bij wie je een eventueel datalek moet melden. Maak afspraken wie dit oppakt en hoe de verdere procedure verloopt. Stel vooraf een crisisteam samen dat in het geval van een datalek zorgt voor een juiste afhandeling ervan. En houd je natuurlijk aan de voorschriften van de Autoriteit Persoonsgegevens.

👉 Wil je meer weten over de AVG en hoe je daar mee om moet gaan? Bezoek dan onze uitgebreide FAQ, speciaal voor verenigingen en goede doelen. Vergeet je ook niet in te schrijven voor onze nieuwsbrief zodat je nieuwe artikelen rechtstreeks in je mailbox krijgt.

Andere interessante artikelen

Lees ook eens

Schrijf je in voor de nieuwsbrief