Algemene Verordening Gegevensbescherming
Informatie Stichting NAM
Algemeen.
Zoals algemeen bekend heeft iedereen het recht op privacy. Dit betekent dat je niet zomaar iemands persoonlijke informatie mag gebruiken; mensen hebben het recht op de bescherming van hun persoonsgegevens. Vanaf 25 mei 2018 geldt er nieuwe en strengere Europese regelgeving op het gebied van bescherming persoonsgegevens, de zogeheten Algemene Verordening Persoonsgegevens (AVG). De nieuwe regelgeving houdt ook een inspanningsverplichting in voor verenigingen en stichtingen zoals de Stichting Nederlands Artillerie Museum (NAM); de regeling is niet vrijblijvend en besturen zijn hoofdelijk aansprakelijk voor de naleving ervan. Als Stichting NAM zijn wij wettelijk verplicht tot het beschermen van de persoonsgegevens van vrijwilligers en alle andere personen van wie persoonsgegevens verwerkt worden. De AVG en daarop gebaseerde Nederlandse privacywetgeving stellen daarvoor een aantal concrete regels. In dit artikel stel ik u als een eerste stap op de hoogte van de belangrijkste regels en de gevolgen daarvan voor de Stichting NAM.
Enige termen en definities.
Verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke stelt doel en middelen van de persoonsverwerking vast. Voor de Stichting NAM is het bestuur verwerkingsverantwoordelijke. Het bestuur is als zodanig verantwoordelijk voor het naleven van de beginselen voor persoonsgegevensbeheer en houdt daartoe een register van verwerkingsactiviteiten (verwerkingsregister) bij. Bij het inrichten van de verwerkingen houdt zij rekening met de principes van privacy door ontwerp en standaardinstellingen en treft passende beveiligingsmaatregelen. In geval van een datalek doet zij melding daarover aan de Autoriteit Persoonsgegevens.
Verwerker. Een verwerker is iemand die persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke zonder aan diens rechtstreeks gezag onderworpen te zijn. Van een verwerker is sprake als het beheer van persoonsgegevens wordt uitbesteed en als de verwerking van de persoonsgegevens de primaire opdracht is. De Stichting NAM heeft niet te maken met een verwerker.
Intern beheer. Als iemand namens of voor de verwerkingsverantwoordelijke verwerkingsactiviteiten uitvoert en aan diens gezag is onderworpen, dan is sprake van intern beheer. Voor de Stichting NAM voert bijvoorbeeld de Administrateur intern beheer uit.
Betrokkene. De betrokkene is degene van wie de persoonsgegevens worden verzameld en beheerd. Voor de Stichting NAM zijn betrokkenen vrijwilligers, donateurs, begunstigers en schenkers. In bepaalde gevallen zijn ook websitebezoekers betrokkenen, namelijk als we bijvoorbeeld het surfgedrag van identificeerbare personen bijhouden.
Privacy door ontwerp en standaardinstellingen. Dit principe beschrijft de verplichting van een verwerkinsgverantwoordelijke ervoor te zorgen dat een zo klein mogelijke inbreuk op de persoonlijke levenssfeer wordt gemaakt bij systemen waarmee persoonsgegevens worden verwerkt. Daarbij geldt:
- Minimaliseer. Beperk zoveel mogelijk de verwerking van gegevens. Selecteer voor het verzamelen en verwijder wanneer mogelijk.
- Scheid. Scheid persoonsgegevens zoveel mogelijk van elkaar en werk zo gedistribueerd mogelijk.
- Abstraheer: Aggregeer tot het hoogst mogelijke niveau, beperk details zoveel als mogelijk.
- Bescherm en maak onherleidbaar. Voorkom dat gegevens openbaar worden en beveilig gegevens. Verbreek waar mogelijk de link tussen personen en gegevens.
Verwerkingsregister
De Stichting NAM is verplicht zorgvuldig om te gaan met persoonsgegevens. De wet stelt daarvoor een aantal concrete eisen, zoals het gebruik van het hiervoor genoemde een verwerkingsregister. Het) bevat een opsomming van de belangrijkste informatie over de verwerking van persoonsgegevens. Het bijhouden van een register is vanaf 25 mei 2018 wettelijk verplicht. Het bevat de volgende voor de Stichting NAM relevante elementen:
- naam en contactgegevens van de verwerkingsverantwoordelijke;
- de naam en contactgegevens van de functionaris voor intern beheer;
- de verschillende doeleinden waarvoor de Stichting NAM persoonsgegevens verwerkt;
- een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
- de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
- een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
Privacyverklaring.
De doelen voor het verzamelen en vastleggen van persoonsgegevens moeten uitdrukkelijk omschreven en gerechtvaardigd zijn. Dat betekent dat een verwerkingsverantwoordelijke voordat hij begint met het verzamelen en verwerken van persoonsgegevens moet vastleggen waarvoor die gegevens nodig zijn. Anders gezegd: persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verwerkt. Als vereniging zijn wij verplicht om alle leden daarover vooraf te informeren. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging die zijn vastgelegd in het verwerkingsregister.
De privacyverklaring informeert een betrokkene over zijn rechten bij de verwerking van zijn persoonsgegevens. De informatie wordt aan betrokkene verstrekt voordat zijn gegevens worden verzameld en de gegevens worden verwerkt nadat hij daarvoor toestemming heeft gegeven. Die informatie vermeldt:
- de identiteit en contactgegevens van de verwerkingsverantwoordelijke en degene die de persoonsgegeven opvraagt en beheert als vertegenwoordiger van de verwerkingsverantwoordelijke. Dit kan een daartoe aangestelde functionaris zijn;
- de doelen waarvoor de persoonsgegevens worden verwerkt;
- de grondslag waarop de verwerking is gebaseerd (voor de VOA: expliciete toestemming betrokkene);
- de eventuele ontvangers van gegevens;
- de bewaartermijn, of criteria voor het bepalen ervan;
- de rechten van betrokkene;
- in geval van toestemming dat betrokkenen die toestemming altijd weer kan intrekken;
- dat betrokkene altijd het recht heeft een klacht in te dienen over de verwerking bij de Autoriteit Persoonsgegevens.
Als er meerdere doelen zijn vermeld op een privacyverklaring kan een betrokkene met geen, alle of een deel van die doelen instemmen. Het zal duidelijk zijn dat zonder (gedeeltelijke) toestemming een lidmaatschap niet mogelijk is.
Rechten betrokkene.
Betrokkene heeft recht op:
- informatie over de verwerkingen;
- inzage in zijn gegevens;
- correctie van de gegevens als die niet kloppen;
- verwijdering van de gegevens en ‘vergeten worden’;
- beperking van de gegevensverwerking;
- verzet tegen de gegevensverwerking;
- overdracht van de gegevens;
- het niet onderworpen worden aan geautomatiseerde besluitvorming.
Toestemming gebruik gegevens.
Voor het gebruik van persoonsgegevens door de Stichting NAM is expliciete en geldige toestemming van betrokkenen nodig. Voor een geldige toestemming moet:
- de toestemming vrij gegeven zijn;
- de toestemming specifiek zijn en geïnformeerd. De verwerkinsgverantwoordelijke moet dus duidelijke informatie verstrekken over de redenen waarom hij de gegevens gaat verwerken;
- de toestemming ondubbelzinnig zijn; er mag geen twijfel over bestaan.
Er is niet voor ieder verwerking toestemming nodig, zolang het gaat om verwerkingen die uitvoering geven aan de overeenkomst of het convenant met de leden.
Bij de rechtsgrondslag ‘toestemming’ zijn nog de volgende aanvullende voorwaarden van toepassing:
- de verwerkingsverantwoordelijke moet kunnen aantonen dat betrokkenen toestemming heeft gegeven (getekende verklaring van betrokkene);
- als de toestemming is opgenomen in een tekst die ook op andere onderwerpen betrekking heeft, moet de verwerkingsverantwoordelijke op een duidelijke manier het onderscheid aangeven tussen dat waarvoor betrokkene toestemming geeft en de andere onderwerpen;
- betrokkene mag te allen tijde zijn toestemming intrekken.
De vrijwilligers hebben veelal nog geen geldige toestemming gegeven in de zin van deze regelgeving. De Stichting NAM zal dus een inhaalslag moeten maken. De betrokkenen zullen daarover nader worden geïnformeerd en benaderd. Bij nieuwe vrijwilligers zal gehandeld worden volgens de nieuwe regelgeving.
Beveiliging
De Stichting NAM moet passende maatregelen treffen om te voorkomen dat persoonsgegevens worden blootgesteld aan onrechtmatige verwerking. Informatiebeveiliging is echter meer dan het beschermen tegen diefstal en virussen. De praktijk leert dat de meeste beveiligingsincidenten het gevolg zijn van niet-opzettelijke nalatigheid. Uiteindelijk draait informatiebeveiliging om een juiste combinatie van zowel technische als organisatorische maatregelen. Welke maatregelen nodig zijn, hangt af van de risico’s die met de verwerking van persoonsgegevens zijn verbonden. De autoriteit Persoonsgegevens heeft de ‘Beleidsregels beveiliging persoonsgegevens’ gepubliceerd. Leidt een beveiligingsincident tot de vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens, dan is mogelijk sprake van een datalek. Tenzij het datalek waarschijnlijk geen nadelige gevolgen heeft voor de betrokken personen, moet het lek tijdig worden gemeld bij de Autoriteit Persoonsgegevens. Heeft het lek bovendien een hoog risico op nadelige gevolgen voor de personen wier gegevens het betreft, dan moet het incident ook aan deze personen worden gemeld.
Geheimhoudingsplicht
Bestuursleden of anderszins leden die in contact komen met persoonsgegevens dienen een geheimhoudingsverklaring te tekenen. De Stichting NAM heeft inmiddels diegenen op wie dit betrekking heeft persoonlijk benaderd en hun een geheimhoudingsverklaring laten tekenen.
SPAM
Het SPAM-verbod houdt in dat de vereniging geen ongevraagde elektronische berichten mag sturen, tenzij de ontvanger daar vooraf mee instemt.
Regels omtrent het maken en publiceren van foto’s en video’s
Bij foto’s en video’s met een herkenbaar in beeld gebrachte personen en daaraan gekoppelde tekst is veelal sprake is van tot personen herleidbare informatie en dus persoonsgegevens. Voor het maken en publiceren ervan heeft de vereniging vaak toestemming nodig van de betrokkene. Daarbij geldt tevens dat iemand die toestemming geeft voor het maken van een foto, niet per definitie toestemming voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. Ook op sociale media zijn wij als Vereniging verantwoordelijk voor het publiceren van persoonsgegevens (zoals foto’s). Bij publicaties in de Sinte Barbara of op de website zal met deze beperking rekening moeten worden gehouden. De redactie van de Sinte Barbara vergewist zich ervan dat voor plaatsing van de aangeleverde copy de benodigde toestemming is verleend door de in de artikelen vermelde (identificeerbare) personen.
Ter afsluiting.
De nieuwe regelgeving op het gebied van beheer van persoonsgegevens heeft nogal wat voeten in aarde. In bepaalde gevallen kan nog aanvullende regelgeving volgen voortvloeiend uit Nederlandse wetgeving. Uiteraard doet de Stichting NAM er alles aan tijdig en op de juiste wijze te voldoen aan alle bepalingen. Voor vragen op dit gebied kunt u zich wenden tot het bestuur; wij zullen u zo goed mogelijk blijven informeren.