FAQ's over de privacywetgeving

4 jan 2019
deskundigheidsbevordering, verenigingsondersteuning
beeldende kunst, dans, erfgoed, film & fotografie, literatuur, musea, muziek, streektaal, theater

De belangrijkste vragen en antwoorden over de AVG voor culturele stichtingen en verenigingen. 

Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze Europese privacywetgeving stelt strengere eisen aan het gebruik en de verwerking van persoonsgegevens. Culturele stichtingen en verenigingen klopten daarom regelmatig bij ons aan voor informatie en advies. Wij verzamelden de belangrijkste vragen en antwoorden.

Wat betekent de nieuwe privacywetgeving voor mijn vereniging/stichting?
De nieuwe privacywetgeving is bedoeld om zorgvuldiger en bewuster om te gaan met het verzamelen, verwerken en bewaren van persoonsgegevens. Het gaat erom dat vastgelegd wordt wat precies met persoonsgegevens gebeurt binnen een vereniging/stichting, welke persoonsgegevens waarvoor worden bewaard, wie waarvoor verantwoordelijk is en op welke manier met persoonsgegevens wordt omgegaan (bijv. procedures met betrekking tot het verwijderen van persoonsgegevens). Dataminimalisatie is ook een belangrijk uitgangspunt. Verzamel, verwerk en bewaar dus vooral geen persoonsgegevens die niet noodzakelijk zijn om als vereniging/stichting te functioneren! Kort samengevat:

  • zorg voor verzameling van persoonsgegevens binnen de doelen; 
  • verzamel niet te veel/geen onnodige persoonsgegevens;
  • vraag leden om toestemming waar nodig;
  • zorg ervoor dat de persoonsgegevens veilig opgeborgen zijn;
  • deel persoonsgegevens niet met derden wanneer hiervoor geen toestemming gegeven is of wanneer dit niet past binnen de doelen/grondslagen.

Wat is een persoonsgegeven?
Elk gegeven over een geïdentificeerde of identificeerbare persoon. Dat is informatie die direct over iemand gaat ofwel naar deze persoon te herleiden is. Oftewel: namen, adressen, woonplaatsen, telefoonnummers, e-mailadressen en bankgegevens. Contactgegevens van organisaties (naam organisatie, adres, postcode) vallen hier niet onder. Deze gegevens zijn (vaak) openbaar te vinden op bijvoorbeeld de website van de organisatie en mogen ook zonder toestemming bewaard en gedeeld worden.
 

Wat zijn bijzondere persoonsgegevens?
BSN-nummers, medische gegevens, religie, politieke voorkeur en ras/etnische informatie.
 
Wat is een privacy beleid?
Een privacy beleid laat zien welke persoonsgegevens verzameld worden en waarom deze verzameld worden. Ook is te zien waarvoor en hoe de persoonsgegevens gebruikt worden.
                                        
Wat is een privacy reglement?
Een privacy reglement vertaalt het privacy beleid en laat zien hoe een organisatie concreet omgaat met de AVG (intern).
 
Wat is een verwerkingsverantwoordelijke?
De verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking bepaalt. Met andere woorden, de verwerkingsverantwoordelijke bepaalt waarom persoonsgegevens worden verzameld en hoe dat gebeurt.
 
Wat is een verwerker? 
De verwerker is een externe, aparte partij die opdracht krijgt om voor het doel dat door de verwerkingsverantwoordelijke is bepaald persoonsgegevens te verwerken.

Wat valt onder verwerken?
In de AVG valt onder een verwerking:

  • verzamelen, vastleggen en ordenen; 
  • bewaren, bijwerken en wijzigen;
  • opvragen, raadplegen, gebruiken;
  • verstrekken door middel van doorzending;
  • verspreiding of enige andere vorm van ter beschikkingstellen;
  • samenbrengen, met elkaar in verband brengen;
  • afschermen, uitwissen of vernietigen van gegevens.

Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een overeenkomst met afspraken tussen de vereniging/stichting en derden over het verwerken van persoonsgegevens.
 
Wat is een geheimhoudingsverklaring?
Een geheimhoudingsverklaring is een ondertekend formulier waarin bijv. bestuursleden van een vereniging/stichting verklaren vertrouwelijk en zorgvuldig met persoonsgegevens om te gaan.
 
Wat is een verwerkingsregister?
In een verwerkingsregister leg je het volgende vast:

  • welke persoonsgegevens verzameld worden; 
  • de grondslag voor de verwerking;
  • bewaartermijnen voor de verwerking;
  • wie verantwoordelijk is;
  • beveiligingsincidenten en de respons daarop;
  • datalekken en meldingsprocedures en de respons daarop.

Op welke grondslagen mag ik persoonsgegevens verzamelen, verwerken en bewaren?          
Leg de grondslag voor verwerking van privacy data vast. Geldige grondslagen zijn:

  • toestemming van betrokkene; 
  • noodzakelijk voor uitvoering van een overeenkomst;
  • wettelijke verplichting;
  • bescherming van vitale belangen van betrokkene;
  • noodzakelijk voor algemeen belang/openbaar gezag;
  • noodzakelijk voor gerechtvaardigd belang van verantwoordelijke of derde en grondrechten/fundamentele vrijheden betrokkenen wegen niet zwaarder.

N.B. De AVG geldt alleen op organisatieniveau, dus niet van persoon tot persoon!

Specifiek voor verenigingen en stichtingen

Hoe maak ik mijn vereniging/stichting AVG-proof?
In samenwerking met het Huis voor de Sport Limburg en dankzij financiële ondersteuning van de Provincie Limburg konden Limburgse stichtingen en verenigingen in 2018 gratis gebruik maken van de AVG-tool van de Stichting AVG voor Verenigingen. Hiermee kon een 16-stappenplan worden doorlopen die de administratie AVG-bestendig maakt. De voucherregeling is inmiddels gesloten, maar het stappenplan bestellen kan (tegen geringe betaling) nog steeds via de AVG voor Verenigingen.


Is er een certificaat, zoals bij de ANBI-status, te verkrijgen dat aangeeft dat de vereniging/stichting officieel AVG-proof is?
Nee. Het doorlopen van het stappenplan is een handreiking met handvaten om privacyzaken goed te regelen. Er bestaat geen officieel certificaat of diploma dat een vereniging/stichting aan alle eisen voldoet.
 
Hoe zit het met bewaartermijnen?
Financiële administratie: 7 jaar. Subsidie-administratie: 10 jaar. Alle gegevens rondom sollicitaties: 4 weken zonder toestemming, 1 jaar met toestemming. Voor het bewaren van persoonsgegevens door verenigingen/stichtingen worden verder geen bewaartermijnen aangegeven. Zolang een persoon lid is van een vereniging/stichting mogen de gegevens uiteraard bewaard blijven. Wanneer een lid zijn lidmaatschap opzegt, dient toestemming gevraagd te worden om de gegevens in een archief te bewaren.

Honderden Limburgse sport- en cultuurverenigingen maakten in 2018 gebruik van de voucherregeling van de Provincie Limburg om AVG-proof te worden middels het 16-stappenplan van de AVG voor Verenigingen.

De AVG en externe communicatie

Wat moet ik doen als ik foto’s en/of video’s van evenementen online of in druk wil delen?
Wanneer foto’s met zichtbaar herkenbare mensen (met name deelnemers van evenementen) gepubliceerd worden, dienen deze personen daarvoor vooraf toestemming te hebben gegeven. Aanwezig publiek kan vooraf moeilijk toestemming geven, maar dient wel geïnformeerd te worden dat foto’s en/of video-opnames gemaakt worden, zodat zij daar eventueel bezwaar tegen kunnen maken bij de fotograaf of de organisator.

Voor de professionele pers (zoals kranten) gelden andere regels. In het kader van de persvrijheid mogen zij wel foto’s, gemaakt door professionals, zonder toestemming publiceren.

Voorbeeld van aanpak:
Leden moeten toestemming geven aan de vereniging/stichting om fotomateriaal te mogen publiceren op eventuele websites, social media, in clubblaadjes, op posters, enz. Bij nieuwe leden kan dit opgevangen worden door dit aan het inschrijfformulier toe te voegen. Bij bestaande leden kan hier een apart formulier voor gemaakt worden waarin het lid toestemming geeft.

Te gebruiken tekst voor toestemming deelnemers vooraf:
“Tijdens onze activiteiten worden foto’s, video’s en geluidsopnames gemaakt. U doet middels het ondertekenen van dit formulier afstand van een eventueel beroep op het portretrecht en geeft belangeloos toestemming tot openbaarmaking en verveelvoudiging van de foto’s, video’s en geluidsopnames. Deze worden mogelijk gebruikt in communicatieve en/of promotionele uitlatingen van de vereniging/stichting (bijvoorbeeld folders, brochures, website, social media e.d.) in Nederland en/of het buitenland in originele en/of bewerkte vorm, in gedrukte- alsmede in digitale vorm”

Te gebruiken tekst op blaadje om op te hangen tijdens evenementen: 
“Tijdens dit evenement maken wij beeldopnames. Deze kunnen wij gebruiken op drukwerk, onze website, in presentaties of op social media. Heeft u hiertegen bezwaar? Maak dit dan direct kenbaar bij de fotograaf, cameraman of een van onze bestuursleden / de organisatoren die vandaag aanwezig zijn.”
 
Te gebruiken tekst op inschrijfformulier verwerken persoonsgegevens: 
“Voor dit evenement verzamelen wij aan de hand van dit inschrijfformulier uw contactgegevens. Deze gegevens worden bewaard voor administratieve doeleinden met betrekking tot het evenement en om u daarover te informeren. Deze gegevens worden niet gedeeld met derden.”

N.B. Bij minderjarigen dient een ouder/verzorger het (inschrijf)formulier te ondertekenen.
 
Wat moet ik doen wanneer ik een online nieuwsbrieftool gebruik?
De ervaring leert dat niet alle nieuwsbriefabonnees aan de hand van expliciete toestemming zijn verkregen. Wij raden daarom aan om opnieuw toestemming te vragen om de nieuwsbrief te mogen versturen. De meest gangbare nieuwsbrief-tools, zoals MailChimp, hebben hiervoor tools en formulieren ontwikkeld om naar huidige nieuwsbriefabonnees te sturen. Meer informatie is hier en hier te vinden.
 
Welke e-mailadressen mogen niet zonder toestemming of andere grondslag gedeeld worden?
E-mailadressen waarbij de identiteit van de persoon te achterhalen is (waarbij de persoon die achter het e-mailadres zit dus te identificeren is) mogen niet zonder toestemming of andere grondslag gedeeld worden. E-mailadressen zoals info@... mogen wel gedeeld worden, omdat hier niet te achterhalen welke persoon achter het e-mailadres zit.
 
Wat moet ik doen als een drukker van onze vereniging/stichting een ledenlijst krijgt om clubblaadjes te drukken en te bezorgen?
Sluit een verwerkersovereenkomst af met de drukker waarin op papier staat wat de drukker precies met de persoonsgegevens doet (in dit geval het verspreiden van clubbladen).
 
Wat moet ik doen als ik concoursresultaten van leden openbaar wil maken op bijv. social media?
Wanneer concoursresultaten online (bijv. via social media) of gedrukt (bijv. via de krant) gedeeld worden, moeten de betrokken leden/deelnemers hier vooraf toestemming voor hebben gegeven. Tip: regel dit vooraf middels het inschrijfformulier.


Geldt het principe ‘wie zwijgt, stemt toe’ binnen de nieuwe privacywetgeving?
Nee. Vraag dus altijd om expliciete toestemming om persoonsgegevens te mogen bewaren en verwerken. Het is niet toegestaan om vooraf aan te vinken dat personen bijvoorbeeld de nieuwsbrief willen ontvangen als ze zich aanmelden voor aan activiteit.
 
Wanneer personen kaarten reserveren/bestellen voor een voorstelling en hiervoor persoonsgegevens geven, mag ik deze personen dan als vereniging/stichting onze nieuwsbrief sturen?
Nee. Personen dienen expliciet toestemming te geven om een nieuwsbrief te ontvangen.

De AVG en interne verwerking persoonsgegevens

Mag ik als vereniging/stichting persoonsgegevens van oud-leden bewaren (bijv. in het kader van een reünie)?
Nee, mits de oud-leden hier toestemming voor gegeven hebben of er een andere grondslag van toepassing is.
 
Mag ik als vereniging/stichting klappers met BSN-nummers en kopieën van paspoorten bewaren?
Nee. We raden aan om deze gegevens niet meer op te vragen en te bewaren. Deze vallen namelijk onder de bijzondere persoonsgegevens. In principe is er voor de verzameling van deze gegevens bij de (meeste) vereniging(en)/stichting(en) geen grondslag. Is het wel noodzakelijk om deze gegevens te verzamelen en te bewaren (bijvoorbeeld voor schutterijen in verband met wapenlicenties), vraag dan expliciet om toestemming.
 
Mag de Kamer van Koophandel om een kopie van mijn paspoort vragen?
Ja. Wanneer je een kopie van het paspoort aanlevert, streep dan, de foto, het BSN-nummer, het paspoortnummer en de strook met nummers onderaan het paspoort door.
 
Hoe zit het met het opslaan van persoonsgegevens in de cloud of op een externe server?
Wanneer persoonsgegevens in de cloud of op een externe server worden opgeslagen, moet deze binnen de Europese Unie staan.
 
Is een accountant een verwerker?
Nee. Er is dus geen verwerkersovereenkomst nodig.
 
Valt de privacywetgeving onder de gemeentelijke vrijwilligersverzekering, net zoals bestuursaansprakelijkheid?
Nee.
 
Is het verstandig om een verzekering af te sluiten om me als vereniging/stichting in te dekken wat betreft de nieuwe privacywetgeving?
Dit is een optie, maar omdat het hier nieuwe verzekeringen betreft is het moeilijk in te schatten of het om een reële premie gaat.

Maaike Frencken

drs. Maaike Frencken

consulent PR & communicatie

deskundigheidsbevordering
maandagochtend, dinsdag, donderdagochtend, vrijdagochtend