Vragen en antwoorden met betrekking tot het AVG 7 stappenplan, uit de bijeenkomsten op
9, 16, 19 april.

Onderstaande geldt voor organisaties, dus verenigingen en stichtingen (alle rechtspersonen).

1. Wat dient er met oude (al bekende) gegevens te gebeuren?
a. Betreft het algemene gegevens van bijvoorbeeld oud-leden, die je alleen bewaart ivm historie?

i. Weggooien of
ii. Opslaan op diskette en in gesloten kast bewaren (offline!)
b. Betreft het gegevens van nog actieve leden of vrijwilligers, die al in je systeem zitten?
i. Schrijf hen aan en wijs op het (nieuwe) privacy reglement én
ii. Vraag om akkoord ja of nee

  1. Van degenen die al in je systeem zaten en niet reageren mag je aannemen dat bewaren akkoord is.
  2. Bij alle nieuwe inschrijvingen en nieuwe vrijwilligers moet je wel expliciet een akkoord krijgen (via inschrijfformulier of vrijwilligerscontract bijvoorbeeld)

2. Actueel houden van gegevens, wie is hiervoor verantwoordelijk?
a. De persoon in kwestie is verantwoordelijk voor het aanleveren van correcte informatie en het doorgeven van wijzigingen
b. De organisatie moet de persoon wel uitnodigen dan wel in de gelegenheid stellen om actuele informatie door te geven – bijvoorbeeld door bekend te maken in het Privacy reglement hoe dat moet (telefoonnummer, (mail)adres)

3.Wanneer en hoe wordt toestemming verleend om bijzondere gegevens (blijvend) te bewaren.
a. waarom bewaar je deze bijzondere gegevens?
i. Voor statistieken kun je de gegevens anonimiseren.
b. Vraag akkoord voor die specifieke actie, bijvoorbeeld
i. Geboortedatum voor kunnen indelen van de persoon in een sportteam, gebruik de datum dan niet voor felicitatiekaart (of vraag ook daarvoor akkoord) ii. Voor dezelfde soort activiteit hoef je niet opnieuw toestemming te vragen.

4. Voor medische gegevens gelden aparte regels.
Bij zorginstellingen is dat allemaal goed geregeld. Maar voor ons als kleine organisatie is het wel van belang dat we bijvoorbeeld voor passend vervoer naar een activiteit weten waar de chauffeur rekening mee moet houden of welke vrijwilliger als begeleider mee moet.
a. Vraag expliciet toestemming van de persoon om voor die activiteit deze gegevens te mogen delen met vrijwilligers binnen je organisatie. Bijvoorbeeld via een aanmeldformulier.
b. Informatie verstrekking aan die vrijwilliger zoveel mogelijk mondeling.

c. Het is in het belang van de persoon, geeft de persoon in kwestie geen toestemming dan is deelname aan de activiteit niet mogelijk.

5. Verslaglegging m.b.t. Gender?
a. Heb je die info echt nodig?
b. Voor statistieken kun je de info loskoppelen van de persoonsgegevens
c. Voor het aanschrijven van personen is het voldoende als je vraagt ‘hoe wilt u worden aangesproken? dhr / mevr/anders’

6. Is digitaal toestemming verlenen voldoende?
a. Ja, bij bijzondere gegevens voor elk type activiteit: als je de gegevens online wilt gebruiken akkoord vragen via bijvoorbeeld een mail met de expliciete vraag ja/nee akkoord.
b. Ja, bij algemene gegevens kan dit door eenmalig akkoord (ja/nee) te vragen via een mail of aanvinken op je website met verwijzing naar je privacybeleid.

7. Is het voldoende het initiatief bij anderen te laten door aan te geven dat als mensen niet reageren zij dan (indirect) toestemming verlenen? Wie zwijgt stemt in?
a. NEE; met uitzondering van de algemene gegevens die je al langere tijd hebt en die vallen onder vraag 1 hierboven.

8. Is er toestemming nodig wanneer je je gegevens alleen op papier achter slot in een kast bewaart?
a. Als je al eens toestemming had en daarbij had aangegeven dat je de gegevens op die manier bijvoorbeeld 7 jaar bewaart.
b. Uitgangspunt is altijd dat de persoon weet dat je de gegevens hebt, hoe en waarom je ze bewaart en ze desgevraagd kan inzien.

9. Tot welke leeftijd moeten ouders toestemming geven?
a. Vanaf 16 jaar moeten kinderen zelf toestemming geven binnen de AVG
b. Tot en met 15 is dus toestemming van de ouders nodig.

10. Kan een ledenlijst nog worden verspreid?
a. Alleen als je van alle personen toestemming hebt die lijst met bijvoorbeeld telefoonnummers te verspreiden.

11. Wat te doen met gegevens die op privé computers terecht komen of al eerder terecht zijn gekomen?
a. Opschonen
b. Afspreken dat die gegevens voortaan anders worden beheerd, tenzij
c. Die prive computer de plaats is waar je alles verzamelt dan moet die aan de eisen voldoen.
d. Maak goede afspraken met elkaar en leg ze vast – om gedoe in de toekomst te voorkomen.

12. Moet ik vastleggen wie bij welke gegevens kunnen?
a. Ja, leg in een Privacy reglement vast wat je met gegevens die je bewaart gaat doen
b. En leg intern in een protocol vast wie bij welke gegevens kunnen
c. TIP: bewaar ledenlijsten en gegevens van vrijwilligers apart. Je bewaart die gegevens namelijk voor verschillende doeleinden. En zult ze verschillend willen beheren.

13. Hoe dient het privacyreglement te worden bijgesteld en te worden ingevoerd?
a. Bijvoorbeeld zichtbaar op je website
b. Eenmalig leden en vrijwilligers een link sturen in combinatie met de vraag om akkoord voor de gegevens die je wilt bewaren

14. Hoe ga ik om met gevoelige informatie over personen in notulen of een klantvolgsysteem?
a. Vraag je af of het nodig is deze gevoelige informatie te notuleren zodanig dat ze herleidbaar is tot een persoon
b. Is mondelinge overdracht van informatie niet voldoende? Notuleer (of beschrijf in je crm) dan bij wie (welke functionaris) zo nodig nadere informatie verkregen kan worden. Je voorkomt dat informatie over personen herleidbaar tot een persoon gaat rondslingeren terwijl in de organisatie de informatie wel wordt geborgd.
c. Dit geldt bijvoorbeeld voor informatie over een geweigerde VOG.

15. Waar dient mailing aan te voldoen?
a. Zorg dat je geen persoonsgegevens deelt in de mailing.
b. Gebruik bij het aanschrijven van meerdere personen altijd bcc tenzij je toestemming hebt om mailadressen van de betreffende personen te delen.

16. Mag ik vanuit een ledenlijst een WhatsApp of Facebookgroep maken?
a. Alleen als de betreffende leden zich hiervoor expliciet zelf aanmelden.
b. Nodig ze uit voordat je de gegevens met de andere leden deelt.

VERNIETIGEN VAN GEGEVENS
17. Hoe ga ik om met geroyeerde leden?
a. Vraag je af waarom je nog gegevens wilt bewaren.
b. Als je gegevens wilt bewaren doe dat dan offline op een beveiligde plek (kast met slot).
i. op papier of
ii. op een pc die niet op het internet is aangesloten of
iii. op een cd.

18. Welke gegevens van oud-leden mag ik bewaren en hoe bewaar ik die?
a. Vraag je af waarom je nog gegevens wilt bewaren.
b. Als je gegevens wilt bewaren doe dat dan offline op een beveiligde plek (kast met slot).
i. Op papier of
ii. op een pc die niet op het internet is aangesloten iii. of op een cd.

19. Als ik de persoonsgegevens niet langer wil bewaren (er niet langer verantwoordelijk voor wil zijn), hoe vernietig ik de informatie dan?
a. Papier door de versnipperaar
b. Cd’s onklaar maken
c. Cloud-opslag zie hieronder digitale opslag, beveiliging en vernietiging.

VERANTWOORDELIJKHEID
20. Wat als koepelorganisaties meer gegevens vragen dan je zelf als organisatie wenst te bewaren?
a. Hierover loopt een landelijke discussie. Zodra we meer weten zullen we je informeren. Vooralsnog gaan wij (op advies van de NOV) er van uit dat de koepel verantwoordelijk is als zij die eisen stellen. Zorg wel dat personen (leden) dat weten.

21. Zijn bestuursleden aansprakelijk te stellen bij het niet nakomen van afspraken en privacy eisen?
a. De organisatie is verantwoordelijk (bv voor boetes).
b. In hoeverre de bestuursleden hoofdelijk aansprakelijk zijn is onderdeel van de regelgeving rond bestuurdersaansprakelijkheid.
c. We komen hierop terug in de vorm van een bijeenkomst over bestuurdersaansprakelijkheid en verzekeringen.

22. Wanneer is een bestuursaansprakelijkheidsverzekering nodig?
a. Zie vorige punt en de info over verzekeringen elders 23. Wanneer is een functionaris gegevensbescherming nodig?
i. Dat bepaal je als organisatie zelf. Maar meestal is het handig als je iemand aanwijst die het overzicht houdt en die in de materie is gedoken.

24. Wie is (eind-) verantwoordelijk voor de juiste uitvoering van AVG?
a. Bij een stichting of vereniging is dat uiteindelijk het bestuur.
b. Kortgezegd ‘de organisatie’ – dus afhankelijk hoe de verantwoordelijkheden binnen je organisatie zijn geregeld.

25. Wie is verantwoordelijk voor computertoezicht?
a. Dat moet je intern regelen. De organisatie is eindverantwoordelijk (zie vorige punt) 26. Hoe om te gaan met gegevens door vervangers, stagiaires, tijdelijke medewerkers?
a. Vallen ze binnen een tijdelijke functie die je beschreven hebt in je Privacy beleid dan moet je vooral zorgen dat die tijdelijke medewerker weet wat hij/zij wel of niet mag.
b. Heb je hier niets over geregeld geef dan bijvoorbeeld een eenmalige opdracht (per mail of op papier) waarbij je er voor moet waken dat die medewerker de gegevens niet kan misbruiken…. Hoewel niets helemaal waterdicht is (het moet ook werkbaar blijven). Maar gaat het fout: melden en je beleid aanpassen – de organisatie blijft verantwoordelijk ook bij tijdelijke krachten.

27. Wat is het (on-)nut van een certificaat t.b.v. het op orde hebben van de AVG?
a. Voor zover wij weten bestaan dergelijke certificaten niet. Wel zijn er bedrijfjes die je kunnen adviseren of een stappenplan leveren.

GEGEVENS DELEN MET EXTERNE ORGANISATIES
28. Wie is verantwoordelijk voor welke gegevens bij een verwerkersovereenkomst?
a.Degene die de gegevens van een persoon heeft gekregen (verzameld) is verantwoordelijk voor het delen en moet zo nodig (initiatief nemen om) een verwerkersovereenkomst (te) sluiten.

29. Hoe ziet een verwerkersovereenkomst eruit? Graag verschillende voorbeelden.
a. Zie de link naar NOV onderaan dit document.

30. Mag je gebruik maken van vrijwilligersgegevens die via een andere organisatie worden geleverd?
a. De organisatie die de gegevens levert is verantwoordelijk. Maar zelf moet je je ook weer aan de regels houden, dus:
i. Of aandringen op een verwerkersovereenkomst waarin opgenomen wat je er mee mag doen ii. Of de personen zelf benaderen en toestemming vragen.

31. Welke (statistische) informatie mag worden geleverd aan gemeenten en/of andere organisaties?
a. Geanonimiseerde gegevens mogen worden gedeeld.
b. Als hier wordt bedoeld welke persoonsgegevens? GEEN tenzij met toestemming van de persoon.

32. Overdracht van gegevens van de ene naar de andere organisatie, b.v. bij samengaan organisaties of opdrachten die aan een andere partij worden gegund. Hoe gaat dit in z’n werk?
a. Per keer goed afwegen welke informatie je met die organisatie wilt delen,
b. Bij Algemene Persoonsgegevens kan dit onderdeel zijn van je Privacybeleid waarin je het hoe en waarom hebt beschreven,
c. Er moet een verwerkersovereenkomst zijn tussen beide organisaties. Voorbeelden bij de NOV.

33. Hoe dient er te worden omgegaan met het invullen van formulieren t.b.v. andere organisaties zoals de voedselbank, aanmeldingen activiteiten, etc.?
a. Opnemen in de verwerkersovereenkomst dat je die gegevens voor de andere organisatie verzamelt
b. En zorg dat de persoon toestemming geeft voor het doorsluizen van de gegevens naar de andere organisatie
c. Voeg bijvoorbeeld een vraag toe aan het formulier: gaat u ermee akkoord dat dit formulier aan organisatie V wordt overhandigd, ja/nee? Organisatienaam of namen expliciet noemen.

34. Overdracht van papieren archief naar het gemeentelijke archief, mag dat?
a. Advies: voor zover mogelijk de leden op de hoogte stellen. Bij bijzondere gegevens kan sprake zijn van gevoelige informatie.
b. Of hier specifieke regels voor zijn weten we niet, wie hier meer van weet graag de info naar contact@vrijwilligershuisdrechtsteden.nl zodat we de info kunnen delen.
c. Verwerkersovereenkomst sluiten met het gemeentelijk archief. Wellicht hebben zij een standaardovereenkomst?

DIGITALE OPSLAG, BEVEILIGING en VERNIETIGING
35. Hoe dienen digitale gegevens bewaard te worden en vooral ook hoe niet?
a. Zorg voor goede beveiliging van je digitale systemen.
b. Offline is geen probleem
c. In de cloud moet voldoen aan eisen. Zie checklist die we apart versturen.

36. Hoe dienen gegevens digitaal te worden vernietigd?
a. Gegevens moeten digitaal gewist worden door programma’s die in staat zijn om een bestand 35 keer te overschrijven, zoals bijvoorbeeld Eraser.

37. Wat is er nodig op het gebied van ICT om privacyproof te kunnen handelen?
a. Dat is maatwerk. Voor eventuele vragen kunt u bij ons terecht.

38. Wat houdt Dropbox-business in en welke waarde kan dit hebben voor vrijwilligers(organisaties)?
a. Dit is een betaalde versie van Dropbox met een beveiliging die voldoet aan de voorwaarden van de AVG. Mits juist toegepast.

39. Eisen stellen aan je website?
a. Denk aan SSL certificaten voor websites. Dat voorkomt meelezen tijdens de communicatie met de website en het voorkomt vervalsen van websites.

40. Gegevens bewaren op de server van Vrijwilligershuis? Wat houdt dit in?
a. Het VH kan een deel van de server afschermen zodanig dat deze alleen toegankelijk is voor de organisatie met de juiste sleutel (code/wachtwoord)
b. In plaats van het bewaren van je gegevens in de cloud via bijvoorbeeld google of Microsoft met servers in Amerika, Oost Europa of Denemarken, maak je dan gebruik van de server in het Vrijwilligershuis die voldoet aan de beveiligingseisen uit de AVG. Je kunt daar dan vanaf iedere door jouw organisatie gekozen werkplek bij en door de personen die jouw organisatie kiest (bijvoorbeeld alle bestuursleden van huis uit)
c. Bij belangstelling maken we een afspraak: contact@vrijwilligershuisdrechtsteden.nl

41. Kan er op korte termijn een stappenoverzicht/ checklist komen m.b.t. op orde hebben van de beveiliging gegevens?
a. checklist digitale opslag persoonsgegevens VHD

FOTO’S en FILM
42. Welke foto’s mogen wel en niet worden gebruikt op social media? Wanneer is toestemming nodig?
a. Als mensen herkenbaar op de foto staan is toestemming nodig.
b. Dat geldt zeker voor kinderen: tot 16 jaar is toestemming van de ouders nodig

43. Wat als de krant komt en foto’s maakt?
a. Vraag of iemand bezwaar heeft en geef de gelegenheid om buiten beeld te blijven.
b. Voor de pers gelden regels die buiten deze AVG vallen en waar we hier niet op in gaan. Zoek desgewenst info bij NVJ.

44. Hoe dient er te worden omgegaan met foto’s van artiesten, musici?
a. Hiervoor bestaat aparte regelgeving die boven deze AVG van toepassing is.

45. Wat te doen met gasten/particulieren die foto’s openbaar maken?
a. Wil je bij een evenement niet dat er gefotografeerd wordt of binnen regels, maak dit dan bij binnenkomst duidelijk. Zorg dat je kunt aantonen dat je je best hebt gedaan om misbruik te voorkomen. Daarna is de particulier verantwoordelijk.

DATALEKKEN
46. Wat te doen bij een datalek?
a. Melden bij autoriteit, zie onderaan dit document.

47. Gegevens bewaren op de mobiele telefoon, waar dient dit aan te voldoen?
a. Is niet anders dan op een laptop of tablet.
b. Zorg wel dat je telefoon beveiligd is: ben je hem kwijt, hoe makkelijk kan de vinder dan bij de persoonsgegevens die er in staan?

48. Wat kunnen sancties zijn bij wangedrag?
a. Boetes

DIVERSEN
49. Welke gegevens dienen te worden bewaard omdat ze kunnen worden opgevraagd door b.v. de belastingdienst? Waar dient dit aan te voldoen?
a. Dit betreft je financiële administratie. Voor zover die gekoppeld is aan persoonsgegevens geldt alles wat hierboven is beschreven: van een vrijwilliger heb je naam en banknummer dan moet je toestemming hebben om die te bewaren en ze op een veilige plek opbergen.

50. Wat is de NOV, waar staat het voor en wat kunnen zij voor vrijwilligersorganisaties betekenen?
a. NOV is de koepel van vrijwilligersondersteuningsorganisaties. Je kunt als vrijwilligersorganisatie ook zelf lid worden – zie www.nov.nl.
b. De info over AVG is ook voor niet-leden toegankelijk.

Melding datalek http://datalekken.autoriteitpersoonsgegevens.nl

VH, 9 april 2018

deur
logo-vrijwilligershuis-drechtsteden

Participanten

Vrijwilligershuis Drechtsteden

Bij ons kun je terecht voor informatie,  ondersteuning, belangenbehartiging, advies en promotie van vrijwilligerswerk.  Wij bieden hulp en faciliteiten voor vrijwilligers zowel als organisaties.

Meld u aan of log nu in