Nieuws

Interview: Voldoet u al aan de AVG?

29.01.2018

Sinds mei 2016 is de nieuwe regelgeving rond de bescherming van persoonsgegevens van kracht. Organisaties kregen twee jaar de tijd hun dienstverlening volgens de Algemene verordening gegevensbescherming (AVG) in te richten. Per 25 mei moeten alle organisaties – dus ook goede doelen, vermogensfondsen en religieuze instellingen – de nieuwe regels ook echt gaan naleven. Uitgangspunt van de AVG is dat burgers nog beter beschermd zijn tegen misbruik van hun persoonsgegevens.

Otto Beelaerts van Emmichoven ging in gesprek met Patrick Jordens van DMCC Nederland. Hij merkt dat veel organisaties zich niet zo bewust zijn van de AVG en de aanpassingen die dat vraagt. Als ze al wel op de hoogte zijn, is het voor hen vaak niet goed duidelijk wat zij er nu precies mee moeten. Patrick Jordens, oprichter van DMCC Nederland, is gespecialiseerd in privacyvraagstukken rond klantcontact en heeft brede ervaring binnen maatschappelijke organisaties. Otto Beelaerts van Emmichoven vroeg hem naar zijn expertise op het gebied van de AVG.

Wat doet DMCC Nederland?

“We zijn een adviesbureau voor compliance rond klantcontact. Klantcontact is het visitekaartje van organisaties. In deze gedigitaliseerde wereld zijn organisaties 360 graden en 24/7 met hun klant bezig. Via eigen kanalen zoals website en telefoon en via metaplatformen zoals social media en messenger platformen. DMCC helpt deze organisaties hun klantcontactprocessen kwalitatief, compliant en veilig in te richten. Compliance gaat over de bewuste naleving van wet- en regelgeving. We adviseren commerciële en maatschappelijke organisaties rond privacywetgeving. Elke organisatie – hoe groot of klein ook – moet eind mei de nieuwe AVG-regels naleven. Hoewel velen al een eind op dreef zijn, is het voor sommige organisaties nog een beetje zoeken. En dat is voor een deel ook wel begrijpelijk. De materie is complex en geschreven op de grote, datagedreven organisaties. Toch zijn er wel een paar nuttige handvatten om de AVG-regels ook voor elke andere organisatie werkbaar te maken.”

Wat houdt die AVG nu precies in?

“De Algemene verordening gegevensbescherming voorziet in regelgeving voor het verwerken van persoonsgegevens. Onder ‘persoonsgegevens’ valt alle informatie die herleidbaar is tot een individu. Alleen een naam, achternaam en woonplaats bijvoorbeeld. Maar ook een kenteken van een auto of een IP-adres. Ook voor ‘verwerken’ hanteert de AVG een zeer ruime definitie. Je moet dan denken aan inzien, opschrijven, factureren, een bedrag innen, bellen, en alle andere vormen van contact waarbij persoonsgegevens een rol spelen. Dus of u nu een kerk bent die haar leden om een bijdrage vraagt, een vermogensfonds dat aanvragen voor donaties registreert, een school die resultaten van leerlingen vastlegt of ouders informeert of een goed doel dat met zijn achterban communiceert of nieuwe donateurs probeert te werven. In mei wordt u geacht de regels van de AVG na te leven.”

Hoe zien die regels er in grote lijnen uit?

“Laat ik vooropstellen dat de AVG zich niet in een paar regels laat omschrijven. De uitgangspunten zijn wel kort samen te vatten. Zo moet het helder zijn waarom u de persoonsgegevens vastlegt. U mag gegevens alleen vastleggen als u daar een geldige verwerkingsgrondslag voor heeft, bijvoorbeeld voor uitoefening van de klantrelatie. U bent verplicht de persoon te informeren dat u gegevens van hem vastlegt en waarom. Ook moet u hem de mogelijkheid bieden om gegevens in te zien, te wijzigen of te verwijderen. Alles wat u met deze persoonsgegevens doet, moet u bovendien vastleggen. U mag alleen gegevens vastleggen en bewaren die u actief nodig heeft. Uw informatiebeveiliging moet up-to-date zijn. En u moet uw medewerkers of vrijwilligers bewust maken van de regels bij de omgang met persoonsgegevens. Als externe partijen persoonsgegevens verwerken waar u verantwoordelijk voor bent, moet u daarover een overeenkomst met hen sluiten.”

Wat kan ik als bestuurder met de AVG?

“Er is een aantal punten waar ik graag wat dieper op in wil gaan. Drie belangrijke tips die ik bestuurders van stichtingen en verenigingen graag wil meegeven.”

Tip 1: Honoreer rechten van betrokkenen

“Met betrokkenen doel ik op personen waarvan uw organisatie de persoonsgegevens heeft vastgelegd: burgers, belanghebbenden, (kerk)leden, klanten, medewerkers, vrijwilligers, donateurs, leerlingen of hun ouders. Zij hebben het recht om hun gegevens in te zien, te corrigeren en zich tegen bepaalde verwerking hiervan te verzetten. Denk hier niet te licht over, richt dit proces goed in en werk hier in voorkomende gevallen altijd aan mee. Consumenten worden steeds privacy-bewuster en zullen deze vraag in de toekomst vaker gaan stellen. Dat betekent dat u niet alleen toegang moet bieden tot deze informatie maar ook dat u de informatie volgens de nieuwste regels heeft vastgelegd. U moet voorkomen dat een betrokkene reden ziet om uw organisatie in een kwaad daglicht te stellen en hiervan op sociale media zijn beklag gaat doen. Dan loopt u reputatieschade op die u niet zo maar weer even herstelt. En dan heb ik het nog niet over de mogelijke boete van de Autoriteit Persoonsgegevens.”

Tip 2: Zorg voor bewustwording binnen uw eigen organisatie

“Iets anders wat van groot belang is, is het informeren en bewustmaken van bestuursleden, medewerkers en vrijwilligers. En dan uiteraard vooral de mensen die zelf actief betrokken zijn bij het vastleggen of verwerken van persoonsgegevens. Maar vergeet ook zeker de mensen niet die hier alleen toegang toe hebben. Zorg dat zij duidelijke spelregels krijgen hoe zij met persoonsgegevens moeten omgaan maar ook  hoe zij in geval van uitzonderingen moeten handelen. Dit alles hangt uiteraard af van de rol die persoonsgegevens spelen in uw organisatie. Overweeg een interne opleiding of e-learning om de spelregels goed in te bedden binnen uw organisatie. Dit is aan te raden als veel mensen in uw organisatie met persoonsgegevens werken, er veel persoonsgegevens in beheer zijn of er jaarlijks veel activiteiten zijn waarbij persoonsgegevens een rol spelen.”

Tip 3: Leg afspraken met uw leveranciers altijd vast

“In best veel gevallen van een datalek ligt de oorzaak bij een externe verwerker. In een bedrijf dat in uw opdracht persoonsgegevens verwerkt, en die bijvoorbeeld mailings verstuurt of telefonische werving verzorgt. De verantwoordelijkheid voor de persoonsgegevens ligt altijd bij uw organisatie zelf. En dus is het belangrijk om zorgvuldig te werk te gaan bij de selectie van dit soort leveranciers. Net als binnen de wet Bescherming Persoonsgegevens bent u ook volgens de AVG verplicht met externe verwerkers een verwerkersovereenkomst te sluiten. Veel grote organisaties hebben hier een eigen standaard voor. Brancheorganisaties als Goede Doelen Nederland of de FIN voor vermogensfondsen bieden vaak een standaardovereenkomst die helemaal is afgestemd op uw type organisatie. Vaak worden dit soort afspraken als een formaliteit gezien die de start van de werkzaamheden niet in de weg hoeft te staan. Mijn advies is: doe dit niet. Een data-incident door een onzorgvuldige leverancier levert u zonder verwerkersovereenkomst een flinke boete op.”

Lees hier het volledige interview: ABN Amro