VRAGEN NAAR AANLEIDING VAN INFORMATIEBIJEENKOMSTEN AVG
Tijdens de bijeenkomsten over de Algemene Verordening Gegevensbescherming zijn er door de aanwezigen vragen gesteld. Die staan hieronder in willekeurige volgorde met de antwoorden. Voor alle overige informatie verwijzen wij naar de website van de Autoriteit Persoonsgegevens: www.autoriteitpersoonsgegevens.nl of op de pagina van de website van de belangenorganisatie van het vrijwilligerswerk NOV: https://vrijwilligerswerk.nl/themas/wettenenregels/avg+stappenplan/default.aspx
Via de volgende link kom je bij allerlei voorbeelddocumenten:
https://drive.google.com/drive/u/0/folders/1j0A_aCjonIZVZtcazMPZ3lXkKP0jZqDX
De vragen en antwoorden:
1) Mag er binnen de vereniging gebruik gemaakt worden van Whatsapp-groepen? Hoe kan je dit veilig doen?
Je mag op zich wel WhatsApp groepen gebruiken, maar ik zou het niet gebruiken voor persoonsgegevens. Mensen moeten wel actief instemmen met het gebruik van WhatsApp, dus als ze niet willen, mag je ze niet dwingen. Vooraf bespreken is hierbij belangrijk.
2) Als je op jouw website en optie hebt dat nieuwe leden zich kunnen aanmelden. Moet je dan een verwerkersovereenkomst maken met jouw server? Of moet iemand anders?
Je moet inderdaad een verwerkersovereenkomst afsluiten, maar met wie je dat moet is afhankelijk van hoe de website gebouwd is. In ieder geval moet je een overeenkomst afsluiten met je hostingbedrijf en met je websiteontwikkelaar als die toegang heeft tot jouw website. Die persoon kan ook beoordelen of je met leveranciers van plugins nog overeenkomsten moet afsluiten.
3) Moet iemand die 16 jaar wordt opnieuw toestemming geven?
Dat is een goede vraag waar ik niet direct antwoord op heb. Het is wel netjes zijn om toestemming te vragen, maar ik weet niet of het verplicht is. Je zou een mail kunnen sturen met een knop 'klik hier om toestemming te geven' waarbij in de omschrijving duidelijk vermeld wordt waarvoor je de toestemming nodig hebt. En even vermelden wat de reden is dat je dat vraagt. (omdat je wilt voldoen aan de nieuwe wet).
4) Wat als iemand geen toestemming geeft? Kan iemand dan geen lid worden?
Je kunt duidelijk maken dat je bepaalde persoonsgegevens nodig hebt voor het lidmaatschap en dan kun je inderdaad geen lid worden als je geen toestemming geeft. Net zoals je bij een aankoop altijd eerst akkoord moet gaan met algemene voorwaarden. Wel belangrijk dat bij het akkoord duidelijk aangegeven is om waarom je het nodig hebt. Let er op dat je niet meer gegevens vraagt dan noodzakelijk.
5) Is een bankrekeningnummer bijzonder of 'gewone' persoonsgegevens?
Een bankrekeningnummer is geen bijzonder persoonsgegeven.
6) Mag je een BSN nummer opslaan? Valt dit onder gewone of bijzondere persoonsgegevens?
Het BSN is een overheidsnummer en mag alleen gebruikt worden als dat door een wetgeving wordt gevraagd. Vrijwilligersorganisaties en vrijwilligerscentrales mogen geen BSN vragen. daar is geen wetgeving voor. er is een tijdje onduidelijkheid geweest of het bsn nodig is wanneer iemand een vrijwilligersvergoeding ontvangt vanwege de belastingwetgeving maar dat mag dus niet op voorhand. op het moment dat iemand te veel heeft ontvangen voor de vrijwilligersregeling moet een IB 47 ingevuld worden en dan mag je eenmalig een bsn vragen. Standaard bsn vragen aan vrijwilligers mag niet.
7) In hoeverre mag je medicijngebruik opslaan/verwerken?
Medicijn gebruik is een bijzonder persoonsgegeven en mag niet in gegevensbestanden worden opgeslagen tenzij 1: er wetgeving voor is, 2: je expliciet toestemming krijgt van de persoon die het betreft.
8) Als je alleen een lidnummer deelt met een externe partij, moet er dan een verwerkersovereenkomst worden ingevuld? Alleen de organisatie kan aan de hand van het lidnummer achterhalen wie het is
Lidmaatschapnummer is een vorm van anonimiseren of pseudonimiseren. wanneer er verder niet gedeeld wordt is er niets aan de hand. Meestal worden met het lidmaatschapnummer ook gegevens gedeeld over adres en huisnummer o.i.d. . In dat geval moet wat met de gegevens gebeurd vallen binnen het beleid van de organisatie én moet er een verwerkers overeenkomst zijn met de partij die de gegevens verwerkt.
9) In hoeverre is het veilig als je via Gmail of Outlook (of een andere server) een ledenlijst als bijlage toegevoegd?
Verzenden van ledenlijsten via Gmail en outlook is altijd risicovol. een goede cloud beveiligd met wachtwoorden is veiliger. ik raad aan gebruik van Windows 365. Kijk op de website van techsoup wat de korting is die je kunt krijgen omdat je een maatschappelijke organisatie bent.
10) Welke kosten komen er kijken bij het melden van een datalak? En als het datalek in behandeling wordt genomen door AP?
Er zijn geen kosten voor melding datalek. De melding kan wel gevolgen hebben. kosten voor preventie en eventueel de boete.
11) Ben je verplicht om het aan alle leden te communiceren op het moment van een datalek?
Een datalek moet worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Met andere woorden: als de betrokkene in hun belangen worden geschaad als gevolg van het datalek. Dat is bijvoorbeeld dat sis bijvoorbeeld het onrechtmatig publiceren van de persoonsgegevens, identiteitsfraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt
12) Als men toestemming vraagt d.m.v. een mail, is het dan akkoord om hierin te vermelden bij geen reactie akkoord?
Men moet expliciet toestemming geven dat zijn persoonsgegevens worden verwerkt door de organisatie (antwoord AP). Zie voor meer informatie: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken#wanneer-mag-u-zich-baseren-op-de-grondslag-toestemming-6331
13) Moet er tussen de verenigingen en bovenliggende bonden een verwerksovereenkomst worden afgesloten?
In de sport is sprake van een dubbellidmaatschap. leden van een vereniging zijn ook leden van de bond. dit is direct lidmaatschap en dus is een verwerkers overeenkomst niet nodig.
14) In hoeverre is KVK veilig? En mag je hier gegevens naar doorsturen? Met of zonder verwerkersovereenkomst?
KVK gaat om een rechtspersoon en niet om natuurlijkpersoon en is geen persoonsgegeven.
15) Is het verplicht om aan de leden waar jij persoonsgegevens van bewaard te melden zodra er een nieuwe verwerkersovereenkomst wordt getekend?
Je hoeft betrokkenen niet te informeren over elke nieuwe verwerkersovereenkomst. Aangezien je verplicht bent deze overeenkomsten te hebben, moeten mensen daarop kunnen vertrouwen.
16) Vallen bewakingscamera’s op een sportterrein ook onder AVG?
Bewakingscamera's vallen zeker onder de AVG. Je mag ze gebruiken maar onder strenge voorwaarden. Het moet een gerechtvaardigd belang zijn, bijvoorbeeld ter voorkoming van diefstal. Het moet noodzakelijk zijn dus dat je het doel (voorkoming diefstal/vandalisme) niet op een andere manier kunt bereiken en je moet bezoekers laten weten dat er camera's zijn (bij de toegangspoort). Verder moet je een goed beleid hebben mbt veiligheid en bewaartermijnen.
17) In je privacystatement neemt men ook het stukje beeldgebruik op. Hoe zit het met foto's die gemaakt worden tijdens een wedstrijd waar de tegenstanders herkenbaar in beeld staan?
Een sportclub wordt gezien als openbare ruimte, je mag daar fotograferen. Wel kunnen mensen bezwaar hebben tegen publicatie, daar moet je naar luisteren. Als iemand bewaar heeft tegen een foto op je website, dan moet je deze verwijderen.
18) In hoeverre mag jij foto's die gemaakt zijn door anderen gebruiken op jouw website/social media? Moet je hierbij bronvermelding doen?
Ja, bij foto's gemaakt door anderen moet je toestemming hebben en eventueel de bron vermelden. Dat hoeft niet altijd. Als ik en mijn collega's foto's maken op een activiteit dan doen we dat vanuit de organisatie en vermeld ik er niet bij of een foto door mij of mijn collega gemaakt wel. Maar je mag niet een foto van een ander Facebookaccount afhalen en op jullie account opnieuw posten. Het bericht delen mag natuurlijk wel.
19) Hoe om te gaan met communicatie buiten EU?
Bij samenwerking buiten de EU moet je erop letten dat de partij zich verbindt aan de Europese wetgeving. De partij moet gecertificeerd zijn met het EU-VS Privacyshield. Je moet ook in je privacyverklaring vermelden dat je gegevens deelt met deze partijen en ook verwerkersovereenkomsten afsluiten.
20) Audit-formulier voor FG via Autriteitpersoongegevens (toevoegen bij de mail)
Voor organisaties die verplicht een Functionaris Gegevensbescherming (FG) moeten aanstellen heeft deze formeel de volgende verplichting:
- FG’s mogen alleen handelen in opdracht van de verantwoordelijke;
- FG’s worden verplicht een overzicht bij te houden van alle categorieën persoonsgegevens die zij verwerken in opdracht van en verantwoordelijke;
- FG’s moeten passende technische en organisatorische beveiligingsmaatregelen nemen die een passend beschermingsniveau bieden met het oog op het risico van de gegevensverwerking voor betrokkenen. FG’s moeten uitgebreide kennis hebben omtrent hun informatiesystemen en de typen data die zij verwerken (is er sprake van bijzondere persoonsgegevens?);
- FG’s mogen geen sub-FG’s inschakelen zonder toestemming van de verantwoordelijke, wanneer sub-FG’s worden ingezet moet de FG de nodige technische en organisatorische maatregelen nemen om de veiligheid en integriteit van de data te garanderen;
- FG’s moeten de verantwoordelijke onmiddellijk op de hoogte stellen van een datalek. De termijn voor ‘onverwijld’ in de Nederlandse wetgeving wordt in de Wet Meldplicht datalekken vastgesteld op 72 uur na ontdekking van het incident;
- FG’s zijn verplicht medewerking te verlenen aan verzoeken van de Autoriteit Persoongegevens;
- In bepaalde gevallen moet de FG een Privacy Impact Assessment uitvoeren. Dat is in ieder geval zo bij profiling, het verwerken van bijzondere persoonskenmerken en opslaan van camerabeelden met personen erop.
Meer informatie over de functionaris gegevensbescherming zie https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/functionaris-voor-de-gegevensbescherming-fg
21) Hoe zit het als ik bij b.v. Dropbox een vergrendeld bestand upload, volstaat dit?
Een vraag of een product veilig is zal door de AP niet beantwoord worden. Het is aan de organisatie zelf om te beoordelen of ze een product veilig kunnen gebruiken. Dat hangt niet alleen van het product af maar ook van hoe het gebruikt wordt. Ik kan niet inschatten of een bestand vergrendeld uploaden in Dropbox veilig is als ik niet weet hoe de sleutel gedeeld wordt
22) Register van verwerkings activiteiten behoort dit tot stap 3 of moet er exacte data van datum en tijd vastgelegd worden.
Verwerkingsregister is onderdeel van stap drie. Niet voor alle organisaties verplicht. Wel wanneer bijzondere persoonsgegevens worden bewaard. Ook hier geldt de organisatie zich moet kunnen verantwoorden. Daarop moet het register zijn ingericht. Dat betekent dat terug te vinden moet wie beschikt over welke data op welk moment.
23) Wat als mensen geen antwoord geven aan de hand van bv. Het toestemming vragen via de mail.
Je moet toestemming hebben voor het verwerken van persoonsgegevens (zie vraag 12)