25 Mei 2018 moeten alle Nederlandse organisaties voldoen aan de General Data Protection Regulation (GDPR). Omdat deze Europese privacywetgeving uit een hoop tekst bestaat, vat ik het hier op een simpele manier samen.
Wat wordt er van elke Europese organisatie verwacht?
- Ieder persoon over wie je data op wilt slaan, moet expliciet toestemming hiervoor geven;
- Je geeft aan welke data je over die persoon opslaat en om welke reden;
- Daarnaast communiceer je met ieder persoon over wie je data opslaat, met welke andere organisaties je deze data deelt;
- Het is de verantwoordelijkheid van de organisatie om de persoonsgegevens te beschermen tegen lekken en misbruik;
- Als je deze data deelt met andere organisaties moet je een bewerkersovereenkomst sluiten met deze organisaties;
- Je blijft altijd verantwoordelijk over de persoonsgegeven die je opslaat en verwerkt. Je bent verplicht te controleren of de organisaties met wie je bewerkersovereenkomsten sluit, dat deze persoonsgegevens zorgvuldig beschermen tegen onbedoelde toegang;
- Ieder persoon waarover je data opslaat, heeft het recht deze data in te zien, ofwel; recht op inzage;
- Als je als organisatie gegevens over personen deelt met anderen, bijvoorbeeld op een forum of zoekmachine, dan heeft deze persoon in bepaalde gevallen het recht om vergeten te worden.
That’s it! Als je hieraan voldoet, kun je niet gestraft worden voor het lekken van data. Overigens ben je wel verplicht als er een data-lek optreedt om dit te melden aan de autoriteit persoonsgegevens (AP)
Als je deze bondige manier van communiceren goed vindt, geef dat dan aan. Ik zal de komende maanden in heldere hapklare brokken aangeven wat je als organisatie kunt doen om GDPR-compliant te zijn. Gewoon concreet. Natuurlijk zijn er veel details, maar alles draait om de basis die ik zonet beschreven heb.
Heb je vragen voor een follow-up? Plaats deze als commentaar hieronder.
Bedankt voor de heldere uitleg.
Geldt de GDPR ook expliciet voor verenigingen die bijv. een ledenbestand bijhouden met NAW gegevens. Ik kan me voorstellen dat je de toegang tot die data achter een inlog pagina zet, alleen toegankelijk voor geregistreerde leden.
Bedankt voor de reactie.
Dag Ed, AVG / GDPR geldt voor alle organisaties, dus ook verenigingen. Zorg dat leden weten welke gegevens je opslaat, waarom je dat doet (duh! maar toch) en geef aan met wie je dat doet. Dus wellicht met een dienstverlener, of als je een cloud dienst gebruikt, welke dat dan is. Je zou hiervoor expliciet toestemming moeten vragen aan de leden, vermelden in de nieuwsbrief is niet voldoende.
Maak voor de vereniging zelf een kleine risico analyse en de afweging of je een apart bestand aanlegt voor de IBAN nummers die niet online te benaderen is. Of wat je doet als je een gezamenlijk wachtwoord deelt als iemand dan weggaat.
De GDPR soep wordt wellicht niet zo heet gegeten als deze wordt opgediend, maar het siert iedere organisatie als ze hierover in ieder geval nadenken en de basis goed doen. Stel ook iemand aan die deze basis begrijpt en de taak op zich neemt.
Henri,
Bedankt voor je snelle reactie. Duidelijk.