In 2018 scherpte de overheid de wetgeving over het gebruik van deze persoonsgegevens aan, met de Algemene Verordening Gegevensbescherming (AVG). De bescherming van persoonsgegevens is een vraagstuk voor de organisatie – zo ook de organisatie die met vrijwilligers werkt. Op deze pagina lees je wat je als organisatie verplicht bent, en wat je nog meer kunt doen om persoonsgegevens te beschermen. Daarnaast komt aan bod hoe je als organisatie de balans bewaakt tussen privacybescherming en een werkbare ondersteuning aan hulpvrager.
Wat ben je verplicht
Elke organisatie in Nederland is verplicht de persoonsgegevens van klanten en medewerkers te beschermen. Vertrouwelijke zaken als e-mailadressen, pasfoto’s, IP-adressen en vingerafdrukken mogen niet zomaar worden geraadpleegd of uitgewisseld met andere organisaties. Onder de AVG valt ook de verwerking van extra gevoelige gegevens, waaruit bijvoorbeeld ras, etnische afkomst, politieke opvattingen of genetische gegevens blijken. Die gegevens mogen nooit worden bewerkt of uitgewisseld.
Organisaties zijn eindverantwoordelijk voor het verwerken van persoonsgegevens en hebben de plicht die gegevens goed te beveiligen. Een inbreuk op die gegevens moeten zij melden aan de nationale toezichthouder: de Autoriteit Persoonsgegevens (AP). Iedere inbreuk kan worden beschouwd als een datalek. Bijvoorbeeld als een medewerker een mail met persoonsgegevens aan de verkeerde ontvanger stuurt, vertrouwelijke klantgegevens toegankelijk zijn voor alle bezoekers van een website of een hacker een kopie van de database met persoonsgegevens steelt.
De AVG legt organisaties nog meer verplichtingen op. Zo moeten zij een register bijhouden van verwerkingsactiviteiten en eventuele datalekken en moeten zij aantonen dat betrokkenen toestemming hebben gegeven voor de verwerking van gegevens. Daarnaast is een privacybeleid verplicht en wordt aan alle organisaties gevraagd de keuze voor het aanstellen van een functionaris voor de gegevensbescherming (FG) te onderbouwen. Ook hierover leggen organisaties verantwoording af aan de Autoriteit Persoonsgegevens (AP).
Als je er als organisatie voor kiest om andere partijen in te schakelen om gegevens te verwerken – bijvoorbeeld om de personeels- en salarisadministratie uit te voeren of voor het afnemen van clouddiensten – blijf je zelf verantwoordelijk voor naleving van de AVG. Met de partij waarmee je samenwerkt sluit je een overeenkomst af, waarin je rechten en plichten van de eindverantwoordelijke opneemt. Ook neem je hierin op welke gegevens worden verwerkt, om welke reden en hoelang de verwerking duurt.
Bovenop de wettelijke verplichtingen, kunnen organisaties van alles doen om de gegevens van klanten en medewerkers extra te beschermen. De beveiliging van de ICT-omgeving verdient specifieke aandacht. Daarnaast kan het de moeite lonen om een gedragscode op te stellen voor gegevensverwerking, of je aan te sluiten bij een organisatie die hierover al afspraken op papier zette. Op de website van de Autoriteit Persoonsgegevens vind je achtergronden en informatie.
Praktische tips voor omgang met persoonsgegevens
Met de komst van de AVG waaide een frisse wind over privacyland: organisaties kregen meer verantwoordelijkheden en zo zijn de rechten van burgers beter beschermd. Veel organisaties die vrijwilligers inzetten bij geldzaken zoeken nog naar een praktische toepassing van de wet in de praktijk. In sommige gevallen blijkt het beschermen van persoonsgegevens te botsen met de ondersteuning die vrijwilligers in de praktijk aan hulpvragers bieden. Dat kan dilemma’s opleveren.
Een goed voorbeeld van zo’n dilemma is het gebruik van inloggegevens van hulpvragers voor het invullen van online formulieren, bijvoorbeeld voor de Belastingaangifte of aanvraag van Toeslagen. Idealiter bewaart een hulpvrager zijn of haar wachtwoorden zelf en biedt een vrijwilliger alleen ondersteuning bij de online handelingen – de praktijk blijkt soms anders. Sommige hulpvragers hebben zelf geen toegang tot een computer of internet; voor anderen geldt dat zij moeite hebben met het bewaren van wachtwoorden of met online handelingen die moeten worden uitgevoerd. Hoe help ik die mensen dan? We horen het een vrijwilliger al denken.
En wat doe je als coördinator in zo’n situatie? Bescherm je altijd de privacy van de hulpvragers? Of geef je het succes van de ondersteuning voorrang? Kan het niet allebei? Het LSTA adviseert hierin vooral transparant te blijven. Wees duidelijk over wederzijdse verwachtingen en communiceer hierover met alle betrokkenen. Voer een heldere registratie over de gegevens die je verzamelt en leg de afspraken die je hierover maakt vast in een overeenkomst.
In de omgang met persoonsgegevens, kun je gebruikmaken van de volgende tien tips:
- Verzamel en gebruik alleen noodzakelijke persoonsgegevens. Verwijder waar mogelijk namen en andere identificerende kenmerken uit de gegevens die worden verwerkt.
- Beperk de toegang tot persoonsgegevens. Bescherm die toegang met het gebruik van wachtwoorden. Zo verklein je het risico op een datalek.
- Houd een verwerkingsregister bij. De persoonsgegevens van klanten en medewerkers houd je bij in een verwerkingsregister. Kleine organisaties (MKB) leggen alleen structurele verwerkingen vast. Als je ook bijzondere persoonsgegevens verzamelt –bijvoorbeeld gegevens die een beeld geven van ras, geloofs- of politieke overtuiging, registreer je alle verwerkingen.
- Sluit overeenkomsten met hulpvragers. Een hulpvrager moet toestemming geven voor het verwerken van persoonsgegevens. Leg cliënten uit waarom het nodig is bepaalde gegevens te verzamelen. Download een voorbeeld van een overeenkomst met een hulpvrager.
- Sluit overeenkomsten met vrijwilligers. Met vrijwilligers maak je duidelijke afspraken over wat wel en wat niet te doen in de ondersteuning. Download een voorbeeld van een vrijwilligersovereenkomst.
- Bespreek de bescherming van persoonsgegevens regelmatig. Creëer bewustzijn en transparantie. Zo kunnen knelpunten en risico’s in praktijksituaties worden beoordeeld.
- Stel een privacyverklaring op. Een privacyverklaring brengt iedereen op de hoogte van hoe je als organisatie met persoonsgegevens omgaat. Zet zo’n verklaring op je website, en vermeld daarbij wie binnen je organisatie hiervoor eerste aanspreekpunt is. Download een voorbeeld van een privacyverklaring.
- Schrijf een privacy-beleidsplan. Persoonsgegevens mogen alleen voor bepaalde en gerechtvaardigde doelen worden gebruikt. Download een voorbeeld van een privacy-beleidsplan.
- Investeer in moderne beveiligingstechniek. Maak de noodzaak hiervan duidelijk aan financiers.
- Evalueer regelmatig of beveiligingsmaatregelen genoeg bescherming bieden. Rapporteer hierover in het jaarverslag.