Omgaan met persoonsgegevens en de AVG

Sinds 25 mei 2019 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG vervangt daarmee de Wet bescherming persoonsgegevens (Wbp). Dat betekent dat jouw organisatie zich moet houden aan een aantal uitgangspunten en verplichtingen die voortvloeien uit deze privacywetgeving. Ook bij het verwerken van de persoonsgegevens van jouw vrijwilligers! 

Het doel van de nieuwe wet is het beschermen van de privacy doordat personen het recht krijgen om hun opgeslagen gegevens in te zien, te wijzigen, verwijderen of zelfs over te dragen naar een andere partij. Voor organisaties die werken met vrijwilligers geldt dat de privacy gevoelige informatie van kwetsbare inwoners extra aandacht verdient. De Autoriteit Persoonsgegevens (AP) is de externe toezichthouder in Nederland, zij controleren of organisaties zich aan de verplichtingen houden. Ook biedt de AP extra uitleg over het toepassen van de AVG, die jouw organisatie kunnen helpen met het omgaan met persoonsgegevens. 

Om jouw organisatie alvast verder te helpen hebben wij hieronder de belangrijkste uitgangspunten van de nieuwe wet beschreven: 

Doelbinding
Je mag de gegevens van jouw vrijwilligers alleen gebruiken voor het doel waarvoor je de persoonsgegevens hebt verzameld. Heb je de persoonsgegevens bijvoorbeeld verzameld voor het kunnen inzetten van jouw vrijwilligers? Gebruik deze gegevens dan niet voor andere doeleinden waarover geen afspraken zijn gemaakt. 

Minimale gegevensverwerking
Als je persoonsgegevens van jouw vrijwilligers gebruikt moet je altijd nagaan of de gegevens echt nodig zijn voor het doel wat je voor ogen hebt. Voor het kunnen inzetten van jouw vrijwilligers is het bijvoorbeeld niet noodzakelijk om te weten of iemand getrouwd is. Verzamel ook geen persoonsgegevens omdat dit ‘in de toekomst nog wel eens handig kan zijn’. 

 Juistheid
Als organisatie ben jij verantwoordelijk voor de juistheid van de persoonsgegevens van jouw vrijwilligers. Zorg ervoor dat de gegevens altijd kloppen en dat ze worden bijgewerkt als er iets veranderd. Bijvoorbeeld als een vrijwilliger verhuisd. 

 Transparantie
Als je persoonsgegevens van jouw vrijwilligers verzameld moeten zij daarvan op de hoogte zijn. Je moet bijvoorbeeld laten weten met welk doel je gegevens hebt verzameld en met wie deze gegevens worden gedeeld. Op de website van Europa decentraal is hierover extra uitleg te vinden.

Bewaartermijnen
Bewaar de persoonsgegevens van jouw vrijwilligers niet langer dan nodig is. Bepaal vooraf aan het verzamelen hoe lang je de gegevens nodig hebt en waarom. Als je de gegevens niet meer nodig hebt moet je ze verwijderen. Voorbeeld: wanneer een vrijwilliger niet meer voor jouw organisatie werkt moet je de gegevens verwijderen. 

Passende beveiliging
Als organisatie moet je ervoor zorgen dat de gegevens die je hebt goed worden beschermd. Een voorbeeld van een organisatorische maatregel is ervoor zorgen dat niet zomaar iedereen bij de gegevens kan komen. Alleen de personen die de gegevens moeten gebruiken zouden toegang moeten hebben tot de gegevens. Een voorbeeld van een technische maatregel is gebruik van wachtwoorden voor toegang tot systemen en/of bestanden. Voor meer uitleg door- en voorbeelden van de AP, zie: vragen over de verantwoordingsplicht (onderaan de pagina).

 Verantwoordingsplicht
Als vrijwilligersorganisatie moet je kunnen aantonen of jouw organisatie aan de AVG-wet voldoet. Daarom is het belangrijk dat je in een procedure vastlegt hoe jouw organisatie met deze gegevens omgaat. Dit wordt verantwoordingsplicht genoemd. 

Rechtmatigheid
Je mag alleen persoonsgegevens van jouw vrijwilligers verwerken als je daarvoor een zogenaamde rechtmatige grondslag hebt. Dat betekent dat je een goede reden moet hebben om persoonsgegevens te verwerken. Binnen de nieuwe wet zijn er zes grondslagen (regels) hiervoor: 

  1. Je hebt toestemming van de persoon om wie het gaat.

  2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.

  3. Het is noodzakelijk om gegevens te verwerken omdat je dit wettelijk verplicht bent.

  4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.

  5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.

  6. Het is noodzakelijk om gegevens te verwerken om jouw gerechtvaardigde belang te behartigen.

‘Gewone’ persoonsgegevens en ‘bijzondere persoonsgegevens’
Over het algemeen zal jouw organisatie ‘gewone’ persoonsgegevens van vrijwilligers verwerken. Hierbij kun je denken aan een naam, adres, telefoonnummer en e-mailadres. ‘Bijzondere’ categorieën persoonsgegevens hebben extra bescherming onder de nieuwe wet. Deze categorieën van persoonsgegevens mogen namelijk niet verwerkt worden tenzij de wet een specifieke uitzondering toe laat. Voorbeelden zijn: gegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Zie de toelichting van de AP (onderaan de pagina) voor meer informatie over soorten persoonsgegevens.


Bronnen

Overheid.nl - Aanpassingswet Algemene verordening gegevensbescherming
https://wetten.overheid.nl/BWBR0041233/2019-07-01/0 

Autoriteit persoonsgegevens - Algemene verordening gegevensbescherming (AVG)
www.autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/algemene-verordening-gegevensbescherming-avg 

Europa decentraal - verwerkingsbeginsel transparantie
https://europadecentraal.nl/onderwerp/digitale-overheid/avg/rechtmatige-verwerkingen/verwerkingsbeginsel-transparantie/ 

Autoriteit persoonsgegevens - Vragen over de verantwoordingsplicht
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/verantwoordingsplicht#hoe-bepaal-ik-welke-maatregelen-ik-moet-nemen-om-mijn-verwerkingen-te-beveiligen-6362 

Autoriteit persoonsgegevens - verantwoordingsplicht 
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/verantwoordingsplicht 

Autoriteit persoonsgegevens - Mag u persoonsgegevens verwerken?
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/mag-u-persoonsgegevens-verwerken?qa=grondslag 

Autoriteit persoonsgegevens - Vragen over persoonsgegevens verwerken
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/mag-u-persoonsgegevens-verwerken#wat-verstaat-de-avg-onder-bijzondere-persoonsgegevens-6339


Dit artikel is opgesteld door/ in samenwerking met BMC/ Advies op Maat. Heb je een verdiepende vraag of wil je een andere vraag stellen waarop je het antwoord niet in de Kennisbank kunt vinden? Dien die vraag dan in door een e-mail te sturen naar netwerk@zorgzaam010.nl.