AVG en Privacy

De nieuwe privacywetgeving en kinderkampen

Op 25 mei 2018 moeten alle organisaties klaar zijn voor de (aangescherpte) privacywetgeving, ook kinderkamporganisaties. De wet ‘dwingt’ je om bewust te worden van de persoonsgegevens die je beheert, wat je ermee doet en hoe je deze gegevens beveiligd. Deze wet is vooral van belang voor kinderkamporganisaties, omdat wij vaak ‘bijzondere persoonsgegevens’ verwerken, zoals medische gegevens van deelnemers van je kamp. Hiervoor gelden extra strenge regels.

De AVG is al even van kracht, maar vanaf 25 mei 2018 zal de Autoriteit Persoonsgegevens ook daadwerkelijk op deze verordening gaan controleren. De AVG is een Europese regeling en vervangt de huidige Wet bescherming persoonsgegevens.

Voor alle ‘ondernemers’
De AVG geldt voor alle ‘ondernemers’, dus ook stichtingen, verenigingen en eenmansbedrijven/initiateven. Daarnaast ziet de AVG op het verwerken van alle persoonsgegevens, dus naast deelnemers, bijvoorbeeld ook de kampleiding.

Wat zijn persoonsgegevens?
Feitelijk zijn alle gegevens die terug te voeren zijn naar een persoon ‘persoonsgegevens’. Gegevens die zien op bijvoorbeeld godsdienst, medische informatie of een VOG zijn bijzondere persoonsgegevens.

Voor alle persoonsgegevens geldt dat deze niet langer opgeslagen mogen worden dan waarvoor de gegevens zijn verstrekt; dit geldt zeker voor bijzondere persoonsgegevens (zoals medische gegevens of een VOG) die feitelijk direct na een kampweek vernietigd moeten worden en bij voorkeur niet digitaal worden verwerkt. Gegevens zoals het Burgerservicenummer (BSN) mogen door ons niet worden opgeslagen.

De AVG regelt -kort samengevat- dat iedere kinderkamporganisatie:

  1. Een grondslag moet hebben én kunnen aantonen, waarom hij gerechtigd is bepaalde persoonsgegevens te verwerken. Die grondslag zal -in de praktijk- doorgaans zijn:
    1. De gegevens zijn noodzakelijk voor de uitvoering van een overeenkomst, zoals het bijwonen van een kinderkamp. Besef dat deze grondslag alleen geldt voor persoonsgegevens die echt noodzakelijk zijn voor de uitvoering van de overeenkomst. Ga je de gegevens ook voor een mailing gebruiken, dan moet daar (zie b) uitdrukkelijke toestemming voor gegeven worden. In de praktijk: houd goed in de gaten dat alleen noodzakelijke gegevens worden gevraagd en vastgelegd. Om elke discussie te voorkomen is het raadzaam om ook (aanvullende) toestemming te vragen.
    2. Uitdrukkelijk gegeven toestemming die vrijwillig en ondubbelzinnig is gegeven, voor het specifieke doel waarvoor je de gegevens wilt verwerken of met wie je deze deelt. Deze persoon moet onder meer duidelijk geïnformeerd over welke gegevens je verzamelt en gebruikt, waar je ze voor gaat gebruiken en dat men het recht heeft deze toestemming weer in te trekken. In de praktijk: vermeld deze informatie op uw website (Privacyverklaring, zie ook 4 d), laat mensen actief aanvinken dat men toestemming verleent voor het verwerken van hun gegevens en vermeld waarvoor je deze gegevens gaat gebruiken.

Het is vereist om -op verzoek- aan te kunnen tonen dat je aan de voorstaande grondslagen hebt voldaan. Bij het aantonen van de gegeven toestemming (zie b) moet ook de informatie vastgelegd worden die aan de persoon is verstrekt.

  1. Grote organisaties (en dus ook de overheid), organisaties die als kerntaak medische of andere gevoelige informatie verwerken, grote hoeveelheden persoonsgegevens verwerken, personen volgen of op een andere manier een groot privacyrisico lopen, moeten aan extra eisen Zoals het aanstellen van een Functionaris gegevensbescherming of periodiek een Data protection impact assessment doen. Voor kinderkamporganisaties zullen deze aspecten van de verordening geen rol spelen.
  2. Als organisaties zal je bepaalde zaken moeten regelen:
    1. Hoewel de AVG nog een uitzondering lijkt te maken voor kleine ondernemingen, moet feitelijk iedereen die bepaalde gegevens structureel verwerkt een Register van verwerkingsactiviteiten Dit is niet meer dan een bestand waarin staat opgenomen wie je bent, waarvoor je de gegevens verwerkt, een beschrijving van categorieën van personen én (soort) persoonsgegevens die worden verwerkt, met wie je deze gegevens deelt, hoe lang je ze bewaart, op grond waarvan je toestemming hebt deze te bewaren én de wijze waarop je de gegevens hebt beveiligd. In de praktijk: stel een overzicht op, waarin deze informatie -duidelijk- staat omschreven.
    2. De beveiliging van gegevens verdient extra aandacht. De AVG schrijft voor dat het beveiligingsniveau moet zijn afgestemd op de risico’s die de gegevensverwerking met zich meebrengt. Des te gevoeliger de gegevens zijn die je verwerkt, des te zwaarder de eisen zijn. In de praktijk: beperkt het aantal personen die toegang hebben tot de gegevens en verander wachtwoorden regelmatig. En als het niet noodzakelijk is om de gegevens online te bewaren, doet dat dan niet. Test zelf periodiek of de gegevens naar de stand van de techniek nog voldoende beveiligd zijn.
  1. Tenslotte hebben de personen waarvan je de gegevens verwerkt grote zeggenschap over hun persoonsgegevens. Denk aan:
    1. Het recht op inzage. Dit wil zeggen dat je op verzoek van een persoon moet aangeven waarom je bepaalde gegevens verwerkt, welke gegevens je verwerkt, met wie je deze gegevens deelt, hoe lang je deze gegevens bewaart én dat men tevens het recht heeft op:
    2. Het recht van rectificatie. Mochten gegevens niet kloppen, dan moet je deze op verzoek van een persoon aanpassen én dit direct doorgeven aan de organisaties waarmee je deze gegevens deelt;
    3. Het recht om vergeten te worden. Persoonsgegevens moeten gewist worden, wanneer iemand daarom vraagt. Aan dit verzoek hoeft niet altijd gehoor gegeven te worden, maar wél wanneer het gaat om gegevens die niet meer nodig zijn om te bewaren of die te maken hebben met het intrekken van een gegeven toestemming (denk aan een mailinglist);
    4. Tenslotte rust op je een informatieplicht. Je bent verplicht om nieuwe en bestaande deelnemers/vrijwilligers duidelijk te informeren over wat je met hun persoonsgegevens doet. De makkelijkste manier is via een privacyverklaring op uw website. In deze verklaring moet duidelijk worden uitgewerkt wat je met de persoonsgegevens doet.

In de praktijk: de meeste van deze verplichtingen zijn (logische) rechten van een persoon. Het opstellen en gebruiken van een privacyverklaring is raadzaam.

Waar moet je beginnen?
De AVG vraagt van je om bewust met (privacygevoelige) persoonsgegevens om te gaan.
– Kijk daarom eerst wélke gegevens je hebt verzameld, wát je ermee doet en of dat allemaal noodzakelijk is. Zorg voor een splitsing in bijvoorbeeld je inschrijfformulier, waardoor medische persoonsgegevens eenvoudig vernietigd kunnen worden na een kampweek;
– Stel een Register van verwerkingsactiviteiten op (zie 3a);
– Ga na of je de vereiste (uitdrukkelijke) toestemmingen hebt om de persoonsgegevens op te slaan, wanneer dat niet al “logisch” voortvloeit uit het feit dat je een overeenkomst hebt gesloten met die persoon;
– Ga na hoe je de beveiliging van deze gegevens hebt geregeld en of dat beter kan;
– Houd in de gaten dat de personen waarvan je de gegevens verwerkt grote zeggenschap hebben over hun gegevens;
– Informeer de deelnemers en leiding duidelijk over wat je met hun persoonsgegevens doet en met wie je ze deelt. Stel een privacyverklaring op.

Ondersteuning
Omdat dit onderwerpen zijn, waar veel aangesloten organisaties niet in thuis zijn, stelt het Steunpunt KinderVakanties enkele documenten beschikbaar, zoals een voorbeeld van een Register van verwerkingsactiviteiten Kindervakanties,  een Privacybeleid Kindervakantie en Verwerkersovereenkomst.

Disclaimer: Deze (juridisch) document zijn modellen en dienen enkel als voorbeeld waarop een eigen document opgesteld zou kunnen worden. De daadwerkelijke definitieve tekst van de overeenkomst(en) wordt mede bepaald door de concrete omstandigheden van het geval. Deze omstandigheden kunnen juridisch inhoudelijke aanpassing van de bepalingen van deze voorbeeld documenten noodzakelijk maken. Het secretariaat stelt u graag in contact met een advocaat die u daarbij bij kan staan.  Het gebruik van deze voorbeeld documenten is geheel voor rekening en risico van gebruiker(s).