De AVG voor verenigingen en stichtingen

Privacy is een grondrecht. Eenieder heeft het recht om zichzelf te kunnen zijn of zich onbespied te wanen. Ook is het belangrijk dat personen zelf zoveel mogelijk controle houden over wat er met hun persoonsgegevens gebeurt. Daar staat tegenover dat we steeds meer digitaal leven en ook binnen Europa veel persoonsgegevens worden gedeeld. De AVG biedt een kader voor de Europese Unie waarbinnen het gebruik van persoonsgegevens is toegestaan.

De AVG gaat over de verwerking van alle informatie die te herleiden is tot een natuurlijk persoon, persoonsgegevens dus. Denk hierbij bijvoorbeeld aan namen, adres- of contactgegevens maar ook online surfgedrag of betaalgedrag. De AVG noemt een persoon waarvan persoonsgegevens worden verzameld de betrokkene.

Het maakt in principe niet uit het digitale of fysieke informatie is. De AVG verplicht organisaties om zorgvuldig met persoonsgegevens om te gaan en biedt hiervoor het kader. Kortgezegd mag je als organisatie alleen gegevens gebruiken voor het doel waarvoor ze zijn verstrekt.

Je moet bij iedere uitvraag van persoonsgegevens heel scherp de afweging maken of het echt noodzakelijk is om die gegevens te verzamelen voor dat specifieke doel. Je mag dan ook niet meer persoonsgegevens verzamelen of deze langer bewaren dan voor het doel noodzakelijk is. De AVG is bedoeld voor die situaties waarin je niet anders kunt dan persoonsgegevens verzamelen.

Iedere verwerking van persoonsgegevens is in principe een inbreuk op de privacy van betrokkene. Maar de verwerking van persoonsgegevens is vaak wenselijk of zelfs nodig. De AVG noemt zes grondbeginselen voor de verwerking van persoonsgegevens die als uitgangspunt dienen voor de verwerking van persoonsgegevens. Ook beschrijft de AVG zes grondslagen voor het verwerken van persoonsgegevens. We zetten zowel de grondbeginselen als de grondslagen op een rij zodat je eenvoudig kunt nagaan hoe het zit.

6 grondbeginselen voor de verwerking van persoonsgegevens onder de AVG

In artikel 5 van de AVG staan zes grondbeginselen die leidend zijn bij de verwerking van persoonsgegevens. Iedere organisatie die persoonsgegevens verwerkt dient deze grondbeginselen na te leven. Deze grondbeginselen zijn:

• Transparantie en rechtmatigheid: je moet betrokkene informeren over iedere verwerking van persoonsgegevens op een transparante en begrijpelijke manier. Daarbij moet het de betrokkene duidelijk zijn welke welke risico’s, regels, waarborgen en rechten hij heeft en hoe hij deze rechten kan uitoefenen.
• Doelbinding: ‘een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd’ doel, waarbij je niet meer gegevens gebruikt dan noodzakelijk en deze niet langer bewaart dan noodzakelijk om dit doel te bereiken (en dus ook niet gebruikt voor iets anders dan het omschreven doel)
• Correctheid: je hebt de plicht er voor te zorgen dat de persoonsgegevens die je verwerkt en gebruikt correct en actueel zijn. Dit is een actieve plicht. 
• Dataminimalisatie: je verzamelt niet te veel, maar ook niet te weinig gegevens om een bepaald doel te bereiken en je zorgt ervoor dat nieuw ontwikkelde diensten of producten zo ontworpen zijn dat zij voldoen aan deze voorwaarde. Je past privacy by design toe: diensten en producten worden zo ontworpen en vervaardigd dat privacy ‘ingebakken’ is. En je past privacy by default toe: je maakt geen persoonsgegevens openbaar, tenzij een gebruiker daarvoor kiest. Denk bijvoorbeeld aan een openbaar profiel op social media of een online community.
• Opslagbeperking: je bewaart gegevens niet langer dan noodzakelijk (stel een redelijke bewaartermijn)
• Integriteit en vertrouwelijkheid: je neemt passende organisatorische en technische maatregelen om persoonsgegevens te beveiligen en ongeautoriseerde toegang te voorkomen.

6 grondslagen voor de verwerking van persoonsgegevens onder de AVG

De AVG noemt 6 grondslagen voor het verwerken van persoonsgegevens waar organisaties de verwerkingen op kunnen baseren (bron):

• Je hebt toestemming van de persoon om wie het gaat.
• Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
• Het is noodzakelijk om gegevens te verwerken omdat je dit wettelijk verplicht bent.
• Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
• Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
• Het is noodzakelijk om gegevens te verwerken om jouw gerechtvaardigde belang, of dat van een derde, te behartigen.

Het beroep op één van deze grondslagen rechtvaardigt de verwerking van persoonsgegevens echter niet zonder meer. 

In de praktijk zullen verenigingen en stichtingen die de AVG navolgen zich in veel gevallen beroepen op een gerechtvaardigd belang of de uitvoering van een overeenkomst, bijvoorbeeld als het gaat om lidmaatschappen of (periodieke) donaties. Zorg in ieder geval dat je goed weet op basis van welke grondslagen je persoonsgegevens verzamelt en bewaart en leg dat voordat je start met het verzamelen van die gegevens vast. Houd daarbij in gedachten dat de grondslag toestemming één van de minst solide grondslagen is om persoonsgegevens te verzamelen, aangezien deze op ieder moment kan worden ingetrokken en je in dat geval geen andere grondslag mag toepassen om dezelfde gegevens te verzamelen.

Het moge duidelijk zijn dat een organisatie er onder de AVG zelf voor verantwoordelijk is om aan te tonen dat zij zich aan de wet houdt. Dit zogenaamde accountability principe draait erom dat je organisatie kan aantonen dat het de juiste maatregelen heeft genomen om aan de AVG te voldoen. En als je afwijkt, moet je dit goed intern vastleggen. Dit heet ook wel het ‘pas toe of leg uit’ principe. De verantwoordelijkheid kan niet worden uitbesteed.

Bij veel verenigingen en stichtingen is één persoon verantwoordelijk voor de uitvoering van het interne AVG-beleid. Deze persoon is nooit individueel verantwoordelijk voor het naleven van de AVG door de organisatie: die verantwoordelijkheid ligt bij de directie en/of het bestuur. Hoe dan ook is naleving van de AVG een gezamenlijke inspanning en een duurzaam intern bewustzijn van deze verantwoordelijkheid is dan ook zeer belangrijk.

Het is aan te raden om hier periodiek, bijvoorbeeld halfjaarlijks, aandacht aan te besteden, bijvoorbeeld door middel van een quiz of interactieve workshop. De AVG is namelijk leuker dan veel medewerkers misschien denken. Je zorgt er immers niet alleen voor dat zorgvuldig met de persoonsgegevens van je relaties wordt omgegaan, maar ook dat jouw organisatie zich op een verantwoorde manier beweegt in het maatschappelijk domein. Bovendien biedt de AVG kansen om echt kwalitatieve databases aan te leggen van relaties die oprechte interesse hebben in de missie en het reilen en zeilen van jouw organisatie. Om dat goed te kunnen doen is het van belang dat je inzicht hebt, en inzichtelijk maakt, welke persoonsgegevens je om welke redenen verzamelt.

Een andere algemeen principe dat van belang is bij de naleving van de AVG is geheimhouding. Een ieder die persoonsgegevens verwerkt moet in principe aan deze geheimhouding gebonden zijn. Deze geheimhouding zal dus onderdeel moeten worden van het contract met een medewerker, vrijwilliger of freelancer. Laat je hierover adviseren door een expert (bijvoorbeeld een jurist). Goed om te weten is dat de naleving van de AVG altijd de verantwoordelijkheid van de organisatie blijft, niet van individuen. Als een medewerker in strijd met de geheimhouding handelt, blijft de organisatie hiervoor aansprakelijk. In de betreffende overeenkomsten kunnen wel afspraken gemaakt worden over de gevolgen tussen de betreffende persoon (medewerker, vrijwilliger of freelancer) en de organisatie.

Hoe dan ook moet het uitgangspunt zijn dat de omgang met persoonsgegevens op vertrouwelijke basis plaatsvindt. Iedereen die toegang heeft tot persoonsgegevens moet dit bewustzijn zijn bijgebracht door de werkgever of opdrachtverstrekker. Neem daarom (uitleg van) de geheimhoudingsplicht ook op in het interne privacybeleid.

Om een overzicht te krijgen van welke persoonsgegevens worden verwerkt en wie die gebruiken, zowel intern als extern, leg je een verwerkingsregister aan en zorg je dat die actueel blijft. Zo zorg je dat alle verwerkingen binnen je organisatie in overeenstemming zijn met het verantwoordingsprincipe van de AVG. Wat in het verwerkingsregister moet staan, is vastgelegd in de AVG. Denk bijvoorbeeld aan informatie over voor welke doeleinden je gegevens nodig hebt, gegevens van de personen die de persoonsgegevens ontvangen, wie de verwerkingsverantwoordelijke is, de eventuele verwerker (bijvoorbeeld een callcenter), een algemene beschrijving van de beveiligingsmaatregelen, de gegevens van wie de persoonsgegevens zijn verkregen indien de betrokkene deze niet zelf heeft gegeven, etc. Vrijwel iedere organisatie moet een dergelijk register bijhouden. De Autoriteit Persoonsgegevens kan inzage vragen in dit register.

Voor sommigen soorten verwerkingen van persoonsgegevens moet voordat je start met gegevensverwerking een Data Protection Impact Assessment (DPIA) worden gemaakt. Het gaat dan bijvoorbeeld om gezondheidsgegevens, communicatiegegevens herleidbaar tot natuurlijke personen of locatiegegevens. De Autoriteit Persoonsgegevens heeft een lijst van 17 voorbeelden van soorten verwerkingen opgesteld waarvoor een DPIA noodzakelijk is. Dit is geen uitputtende lijst. Organisaties moeten zelf bij nieuwe of gewijzigde verwerkingen onderzoeken of een DPIA noodzakelijk is, ook als deze niet op de lijst staan.

Een functionaris voor gegevensbescherming (FG) ziet toe op de omgang met persoonsgegevens binnen een organisatie. Hij of zij controleert of de organisatie aan de wet voldoet. Een FG is voor de meeste verenigingen en stichtingen niet verplicht. Je moet in ieder geval een FG aanstellen als je op grote schaal uit hoofde van je kerntaak bijzondere persoonsgegevens verzamelt, zoals bijvoorbeeld persoonsgegevens over iemands levensovertuiging, politieke voorkeur of gezondheid.

Organisaties kunnen er ook vrijwillig voor kiezen een FG aan te stellen. Dit is met name in grotere organisaties verstandig om de naleving van de AVG te borgen en tijdig problemen en vraagstukken te signaleren. Er is geen vooropleiding verplicht om FG te worden. Je hoeft dus geen jurist te zijn. De AVG vereist wel dat de FG deskundig (‘expert knowledge) is op het gebied van de privacywetgeving. Wie deze taak  wil uitoefenen zal dus waarschijnlijk een opleiding moeten volgen. Let er goed op waar je dit doet, want de inhoud en kwaliteit kunnen sterk uiteen lopen.

Een belangrijke vraag is wat voor type personen of medewerkers de voorkeur hebben als FG. Veelal komen medewerkers met een juridische achtergrond in deze rol terecht. Maar het is ook aan te bevelen om een IT’er deze rol op zich te laten nemen als de organisatie die in dienst heeft. De reden daarvoor is dat verreweg de meeste, zo niet alle persoonsgegevens in organisaties via digitale systemen worden verzameld. IT’ers hebben de technische kennis om die gegevensverzameling en eventuele verwerking inzichtelijk te maken en te toetsen aan de AVG. 

Hoe dan ook is het verstandig dat de FG al een tijdje meeloopt in de organisatie en de interne processen goed kent. Het is ook toegestaan om de functie van FG te combineren met een andere functie. Een voorwaarde hiervoor is wel dat geen sprake is van een belangenconflict. De FG mag niet zijn eigen vlees keuren. Zo mag de FG niet ook manager IT zijn.

De AVG maakt een strikt onderscheid tussen de verwerkingsverantwoordelijke en de verwerker. Hoe zat dit ook alweer? De partij die de doelen en middelen voor gegevensverwerking bepaalt is de verwerkingsverantwoordelijke. Hij mag de verzamelde persoonsgegevens door een derde laten verwerken, bijvoorbeeld een softwareleverancier. Dit is de verwerker. Beide partijen sluiten een verwerkersovereenkomst om vast te leggen hoe met deze persoonsgegevens om wordt gegaan door de verwerker.

Niet iedere partij is aan te merken als een verwerker

Niet iedere partij die persoonsgegevens namens een ander verwerkt is daarmee meteen aan te merken als verwerker. Het verwerken van persoonsgegevens moet een primair onderdeel zijn van de opdracht (en is dus geen bijvangst). Denk aan opslag door een cloudleverancier of aan het versturen van e-mails voor marketingdoeleinden door een e-mailmarketingpartij. Indien de andere partij een eigen (wettelijke) taak heeft persoonsgegevens te verwerken, dan is dit geen verwerker maar heeft deze partij een eigen verantwoordelijkheid. Denk aan de Belastingdienst, een arbo-arts of het UWV.
De Autoriteit Persoonsgegevens (Nederland) heeft een voorbeeldlijst verwerkers beschikbaar gesteld (pdf).

Belangrijk om hierbij op te merken is dat de scope van een verwerkersovereenkomst zich beperkt tot de omgang met persoonsgegevens. In bepaalde gevallen is er in de opdrachtovereenkomst (waaronder ook de algemene voorwaarden vallen) een risicoverdeling gemaakt qua aansprakelijkheid. Het is mogelijk hiervan af te wijken in de verwerkersovereenkomst. Uit de AVG volgt dat een verwerker alleen aansprakelijk is voor schade of boetes indien de verwerker in strijd heeft gehandeld met de afspraken in de verwerkersovereenkomst (bijvoorbeeld de persoonsgegevens voor eigen doeleinden gebruikt) of wanneer deze niet aan zijn eigen verplichtingen onder de AVG heeft voldaan.

Beperking van aansprakelijkheid

Partijen kunnen een beperking van aansprakelijkheid overeenkomen. Dit gebeurt veel in de praktijk. Deze beperking is afhankelijk van veel omstandigheden, bijvoorbeeld de aard van de gegevens (heel gevoelig), de verzekerde som of de omvang dan wel draagkracht van de verwerker. Deze beperking geldt overigens alleen ten opzichte van elkaar (regresrecht). In de andere gevallen is de verwerkingsverantwoordelijke aansprakelijk als er onverhoopt iets mis gaat met persoonsgegevens, bijvoorbeeld als meer gegevens worden verzameld en verwerkt dan noodzakelijk is.

Verwerkersovereenkomsten worden afzonderlijk vastgesteld of zijn opgenomen in de algemene voorwaarden van de verwerker. Een afzonderlijke verwerkersovereenkomst geeft meer flexibiliteit. Vanuit het oogpunt van de leverancier gezien is een verwerkersovereenkomst die is opgenomen in de algemene voorwaarden een betere manier om klanten uniforme beveiliging en garanties te geven, wat uiteindelijk de verwerkingsverantwoordelijke ten goede komt.

De AVG kent aan personen van wie persoonsgegevens worden verwerkt ook rechten toe, zodat deze personen controle hebben en houden over hun privacy. Voorbeelden van deze rechten zijn het  recht op inzage, recht op rectificatie en het recht op vergetelheid. We bespreken enkele van deze rechten waarmee je de in praktijk waarschijnlijk te maken krijgt. Om tijdig gehoor te kunnen geven aan deze verzoeken (vaak geldt een termijn waarbinnen een organisatie moet voldoen!) is het van belang dat organisaties hierop voorbereid zijn en processen hebben ingericht.

Recht op inzage

Iedere persoon waarvan je organisatie gegevens heeft verzameld, heeft recht op inzage. Dit betekent dat het voor diegene duidelijk moet zijn waarom je haar of zijn gegevens hebt verzameld, welke gegevens dat zijn en hoe die zijn omschreven. Het recht op inzage is een absoluut recht, waarbij het belang van de betrokkene om zijn gegevens in te zien zwaar weegt. Een organisatie maakt zelf de afweging welke gegevens worden verstrekt, maar het niet verstrekken van persoonsgegevens is alleen in specifieke omstandigheden gerechtvaardigd en er moet worden vastgelegd waarom bepaalde gegevens niet worden verstrekt. Zo kan het zijn dat interne notulen niet hoeven te worden verstrekt. Let er ook op dat in beginsel de opgevraagde gegevens binnen een maand moeten worden verstrekt. Houd bij het verstrekken ook rekening met de privacy van andere personen!

Recht op rectificatie

Daarnaast geeft het recht op rectificatie de betrokkene de mogelijkheid om foutieve gegevens aan te passen of een verzoek tot aanpassing in te dienen. Vervolgens moet er melding worden gemaakt van de aanpassing aan de betrokkene, ook als die de wijziging zelf heeft aangevraagd. 

Recht op vergetelheid

Bij de invoering van de AVG werd onder meer door media veel aandacht geschonken aan het recht op vergetelheid. De reden daarvoor is dat hiermee expliciet is geregeld dat organisaties persoonsgegevens uit hun databases moeten wissen, iets wat in menig CRM of nieuwsbriefbestand nog wel eens misgaat. Het recht op vergetelheid kan onder omstandigheden worden ingeroepen, bijvoorbeeld als de verwerking onrechtmatig is, als toestemming wordt ingetrokken of de gegevens niet meer nodig zijn.

Maar wanneer zijn gegevens niet meer nodig? Er is - los van andere wettelijke bewaartermijnen - geen bewaartermijn vastgelegd in de AVG. Het is in aan de organisatie zelf om te bepalen wat een redelijke termijn is. 

Dit is grijs gebied: mag je iemand van wie je het e-mailadres hebt verkregen voor een bijeenkomst een jaar later mailen omdat er een nieuwe editie van het event is? Als je toestemming van de betrokkene hebt gekregen om het e-mailadres te mailen met ‘uitnodigingen voor bijeenkomsten’ totdat die toestemming wordt ingetrokken, dan is het antwoord ja. Maar als verder nergens expliciet toestemming voor is gegeven, dan moet je een sluitende argumentatie hebben voor de bewaartermijn. 

Als de betrokkene een beroep doet op het recht van vergetelheid, onderzoek dan eerst of dit recht wel slaagt of dat er redenen zijn om geen gehoor hieraan te geven. Dit laatste kan bijvoorbeeld het geval zijn als er wel een wettelijke bewaartermijn bestaat of indien een betrokkene nog een factuur moet betalen.

De praktijk van de AVG voor verenigingen en stichtingen houdt onder andere in dat je een privacyverklaring opstelt. Deze verklaring is verplicht en valt onder je informatieplicht. In je privacyverklaring is duidelijk en begrijpelijk omschreven hoe je omgaat met de persoonsgegevens van leden, donateurs, websitebezoekers, leden van je online community of andere personen.

Je privacyverklaring moet zonder barrières beschikbaar zijn. Het is daarom verstandig om hem op je website te plaatsen. De meeste organisaties zetten hem onderaan in de footer van de website.

De structuur van je privacyverklaring is vrij, maar moet wel een minimum aan informatie bevatten. Je kunt als voorbeeld hier de privacyverklaring van Procurios vinden. Het moet niet alleen duidelijk zijn welke persoonsgegevens je voor welke doeleinden verzamelt, maar bijvoorbeeld ook hoe lang je deze gegevens bewaart, waarom je voor die periode kiest en hoe je omgaat met eerder verzamelde persoonsgegevens als iemand zich bijvoorbeeld uitschrijft als lid of afmeldt van je nieuwsbrief. Vergeet ook niet te vermelden hoe iemand zich kan uitschrijven of afmelden en zorg dat ook deze informatie laagdrempelig beschikbaar is.

Om te voldoen aan de AVG als vereniging of stichting moet je website zijn ontworpen volgens bepaalde eisen. Eén van die eisen is een versleutelde of beveiligde verbinding tussen de server waar je website op staat en bezoekers van je website. Dit is verplicht als bezoekers op je website persoonlijke gegevens kunnen achterlaten in bijvoorbeeld een aanmeldformulier, maar ook als je (al dan niet met toestemming) foto’s van personen op je website hebt staan.

Zo’n beveiligde verbinding is te realiseren met een SSL Certificaat. Je herkent dit certificaat aan het slotje dat linksboven voor het webadres in beeld komt als je op een bepaalde website bent. Daarnaast moeten websites tegenwoordig verplicht een cookiemelding plaatsen die bezoekers van de website zien. Als je wilt weten hoe dit voor jouw website geregeld is, neem dan contact op met je webbouwer of de hoster van jouw website.

Het gebruik van cookies is niet geregeld in de AVG, maar in de Telecommunicatiewet, meer specifiek Artikel 11.7a In principe mag je functionele cookies en in meer beperkte mate analytische cookies (bijvoorbeeld om geanonimiseerd gedrag op websites inzichtelijk te maken) plaatsen. Andere typen cookies die niet nodig zijn voor het functioneren of verbeteren van je website mogen niet zonder meer worden geplaatst. Het gaat dan bijvoorbeeld om tracking cookies die jou op het internet herkenbaar maken met een unieke ID (veelgebruikt voor display advertising). Met dit soort cookies maak je inbreuk maakt op de privacy van bezoekers van je website. Daarom moet je voor deze cookies altijd toestemming vragen. Die toestemming moet ondubbelzinnig en vrij zijn. Toestemming vragen voor cookies kan prima met een zogenaamde ‘cookie bar’, maar behalve functionele cookies mag geen enkele optie vooraf zijn aangevinkt. Dit gaat in de praktijk vaak nog mis.

Wat volgens de Autoriteit Persoonsgegevens niet mag is een cookiewall. Een cookiewall is een meestal schermvullende ‘pop-up’ die je verplicht cookies van een website te accepteren. Doe je dat niet, dan kun je geen gebruik maken van de website, of slechts met heel beperkte functionaliteit. Het is maar zeer de vraag of er in dit geval sprake is van vrije en ondubbelzinnige toestemming bij een cookiewall. Er staan echter geen expliciet verbod op cookiewalls in de AVG of Telecomwet. Daarom zie je ze toch nog vaak verschijnen op websites: het laatste woord is er nog niet over gezegd.

De meeste verenigingen en goede doelen versturen nieuwsbrieven en andere direct marketing e-mailings naar leden, donateurs en andere relaties. Over dit onderwerp bestaat (nog steeds) veel onduidelijkheid: wanneer mag je mensen nou wel mailen en wanneer niet?

Er wordt onderscheid gemaakt tussen personen met wie je een financiële (of klant-)relatie hebt, en personen met wie je dat niet hebt. Als er wel sprake is van een financiële relatie, dan mag je je klanten (of leden of donateurs) mailen over soortgelijke diensten of producten die die relatie al afneemt. Als vereniging moet je je leden daarnaast kunnen informeren over bijvoorbeeld de ALV. Je hebt als vereniging dus een gerechtvaardigd belang om leden te e-mailen. Voor goede doelen geldt hetzelfde: je mag je donateurs mailen met nieuws over projecten en andere ontwikkelingen binnen de stichting.

Let wel op een aantal zaken:

• Zet in je privacyverklaring welke gegevens je verzamelt voor het verzenden van de nieuwsbrief of andere mailings
• Zorg voor een duidelijke uitschrijfmogelijkheid
• Zorg ervoor dat duidelijk is van wie de mailing afkomstig is, hoe vaak deze verstuurd wordt en wat de inhoud is.

Als je personen wilt mailen die geen lid of donateur zijn of een financiële relatie hebben met je organisatie, dan moeten zij een opt-in (toestemming) hebben afgegeven. Die opt-in moet ondubbelzinnig en vrij zijn: het moet diegene dus duidelijk zijn waarvoor hij of zij toestemming geeft, welke gegevens je daarvoor verzamelt en er mag geen sprake zijn van druk (je mag bijvoorbeeld niet pas bepaalde informatie geven in ruil voor een inschrijving voor de nieuwsbrief). Je hoeft geen dubbele opt-in te faciliteren, maar omdat je moet kunnen aantonen hoe toestemming is verkregen, is het verstandig dit wel te doen. Je kunt anders immers niet verifiëren of de persoon van wie het opgegeven e-mailadres is, ook echt toestemming heeft gegeven.

Tot slot moet je iedereen die je rechtmatig mails stuurt de mogelijkheid bieden om hun recht van verzet uit te oefenen: ze moeten hebben kunnen aangeven dat zij niet gemaild willen worden op het moment dat zij lid of donateur werden. Je mag je leden of donateurs dus gewoon mailen als zij de mogelijkheid hebben gehad om zich te ‘verzetten’ en je een duidelijke mogelijkheid tot uitschrijven biedt (opt-out). Let er wel op dat je hun gegevens ook verwijdert als zij zich uitschrijven.

Nieuwe e-mailadressen zul je vooral verkrijgen uit de aanwas van nieuwe leden en/of donateurs, omdat mensen zich inschrijven voor bijvoorbeeld je nieuwsbrief (toestemming) of omdat je een gerechtvaardigd belang hebt, in dit geval marketing. Toch zijn hier nog wat valkuilen. Want hoewel je e-mailadressen mag verzamelen onder de grondslag gerechtvaardigd belang, betekent dit niet dat je die e-mailadressen ook mag gaan mailen. En het wordt nog wat complexer, want met de in aantocht zijnde ePrivacy verordening moet mogelijk voor alle elektronische communicatie aan consumenten toestemming zijn verleend. Het staat nog niet vast dat die verplichting er komt: hierover wordt meer duidelijk zodra de definitieve tekst van deze verordening is vastgesteld.

Telemarketing was de afgelopen jaren een heet hangijzer, in het bijzonder voor goede doelen. Reden hiervoor is dat per 1 juli 2021 een opt-in voor telemarketing werd ingevoerd om de consument beter te beschermen tegen overlastgevende of misleidende telemarketing. Die kwalificatie is natuurlijk niet van toepassing op goede doelen. Sterker nog: goede doelen vervullen een essentiële maatschappelijke functie en worden ernstig gehinderd door een opt-in in het uitvoeren van die functie. Mede daarom zijn voor goede doelen uitzonderingen opgenomen in de Wijziging van de Telecommunicatiewet waarmee deze opt-in wordt geregeld. Wie hier meer over wil weten kan terecht op de site van brancheorganisatie Goede Doelen Nederland.

De opt-in kwestie raakt natuurlijk ook aan de AVG. Onder de nieuwe regels voor telemarketing wordt ‘koud’ bellen verboden en wordt het bel-me-niet-register opgeheven. In principe mogen consumenten niet meer benaderd worden door organisaties als er geen sprake is van een klant- of financiële relatie, net zoals bij het versturen van mailings dus. Voor het geven van toestemming worden ook de vereisten van de AVG gehanteerd zoals opgesomd in deze FAQ.

Onder de AVG bestaat de verplichting voor organisaties om zogenaamde datalekken te melden. Het is belangrijk hier zorgvuldig mee om te gaan, want niet of te laat gemelde datalekken kunnen flinke boetes tot gevolg hebben. Ook datalekken die het gevolg zijn van nalatigheid, bijvoorbeeld in de beveiliging van persoonsgegevens, kunnen fors worden beboet.

De boetes zijn niet de enige reden om zorgvuldig met persoonsgegevens en informatiebeveiliging om te gaan. Datalekken hebben voor alle betrokkenen vervelende gevolgen. Personen van wie data op straat komt te liggen, ondervinden daar vaak jarenlang hinder van. Dat kan gaat van een niet aflatende stroom aan spam naar e-mailadressen van die persoon tot identiteitsfraude, oplichting en afpersing. De organisatie die verantwoordelijk is voor een datalek zal afhankelijk van de ernst van het lek te maken krijgen met reputatieschade. En het is niet ondenkbaar dat een datalek leidt tot een faillissement, hoewel dit in het Nederlandse taalgebied (voor zover we dit konden achterhalen) nog niet is voorgekomen.

Een vraag die voor veel verwarring zorgt is ‘wanneer is iets een datalek?’. De term ‘datalek’ is in deze context wat verwarrend, want het suggereert dat er data (ongemerkt) op straat komt te liggen, maar om aan de criteria van een datalek te voldoen, hoeft dit helemaal niet het geval te zijn. 

Datalekken komen (helaas) heel regelmatig voor. Er zijn verschillende manieren waarop datalekken ontstaan. In het algemeen is het zo dat sprake is van een datalek als persoonsgegevens onbedoeld toegankelijk, inzichtelijk of te bewerken zijn door derden. Ook als persoonsgegevens verloren gaan als dat niet de bedoeling was is sprake van een datalek.

Het kan hierbij gaan van het per ongeluk toesturen van persoonsgegevens aan een collega die daar geen toegang toe mag hebben, tot het verliezen van laptops met privacygevoelige data of hacks. Iedereen is kwetsbaar voor deze laatste categorie datalekken, zoals blijkt uit het recente lek van persoonsgegevens van zo’n 530 miljoen Facebookgebruikers, waaronder telefoonnummers. Ook het enorme datalek bij RDC, een Nederlands bedrijf dat persoonsgegevens over eigenaren van auto’s verwerkt voor autogarages. Verder zijn er lekken geweest van Linkedin en Clubhouse die een flinke impact hebben gehad.

Datalekken vallen uiteen in grofweg twee categorieën: lekken die intern moeten worden geregistreerd en lekken die daarnaast ook gemeld moeten worden bij de AP en/of de betrokkenen (de personen van wie persoonsgegevens zijn gelekt).

Bij het registreren van een datalek moet onder andere worden vastgelegd waar het datalek uit bestond (ongeoorloofd verstrekt, gewijzigd of ingezien, of verloren gegaan), wanneer het plaatsvond, wie de getroffenen zijn en om welke soorten gegevens het gaat. Ook moet worden geregistreerd wat de mogelijke gevolgen zijn voor de getroffenen en welke maatregelen zijn genomen om dergelijke datalekken in de toekomst te voorkomen.

De drempel voor het melden van datalekken ligt laag. In principe moeten alle datalekken worden gemeld bij de AP, tenzij het niet waarschijnlijk is dat sprake is van een risico voor de betrokkenen. Dit risico kan ontstaan vanwege de omvang van het datalek (kwantitatief ernstig) of vanwege de inhoud van het datalek (kwalitatief ernstig). Een lek van gevoelige gegevens kan bijvoorbeeld bestaan uit inloggegevens of factuurgegevens of betrekking hebben op de gezondheid van degenen die het aangaat. Of sprake is van een risico hangt ook mede af van wie onrechtmatig inzage heeft gehad (te goeder trouw, geldt er een geheimhouding, is sprake van kwaadwilendheid etc). Het is aan de organisatie zelf hier een afweging in te maken.

Datalekken die gemeld moeten worden aan de toezichthouder moeten zonder onredelijke vertraging worden gemeld, maar uiterlijk binnen 72 uur nadat de verantwoordelijke een redelijk vermoeden heeft dat sprake is van een datalek.

Melden bij de betrokkenen hoeft alleen als je oordeelt dat er een hoog risico is voor de privacy van deze betrokkenen. Deze drempel ligt dus hoger. Je wilt ook niet te snel paniek zaaien. Ook deze afweging moet de organisatie zelf maken.

Doorloop dit stappenplan (pdf) van de Autoriteit Persoonsgegevens om ervoor te zorgen dat jouw organisatie op de juiste manier handelt bij een datalek. Je kunt ook zelf een procedure datalekken opstellen, dit is sterk aanbevolen.

Het helpt om intern een procedure datalekken op te stellen zodat daar in het geval van een datalek op teruggevallen kan worden. In een procedure datalekken is bijvoorbeeld opgenomen:

• wat een datalek is
• wat medewerkers moeten doen als ze een datalek vermoeden of hier vragen over hebben
• welke medewerker(s) belast is/zijn met het opsporen, beoordelen en afhandelen van datalekken
• waar medewerkers een datalek intern kunnen melden (bijvoorbeeld een centraal, algemeen e-mailadres zoals datalekken@voorbeeld.nl)
• waar verwerkers en leveranciers datalekken kunnen melden

Net als met de AVG zelf, is het belangrijk dat de procedure datalekken onder de aandacht blijft van medewerkers. Organiseer daarom periodiek sessies met bijvoorbeeld een spelelement of oefeningen om de procedure goed te verankeren in de organisatie.

Het is één van de vuistregels onder cybersecurity experts: de zwakste schakel bij de beveiliging van gegevens is de mens. Dat is misschien geen aantrekkelijke boodschap, maar wel één om in je achterhoofd te houden als het gaat om het voorkomen van datalekken.

Natuurlijk moet je ook zorgen dat de beveiliging van systemen technisch op orde is om datalekken te voorkomen. En je moet zorgen dat die beveiliging bij de tijd blijft, want dreigingen veranderen voortdurend. Maar in veel gevallen zijn het medewerkers die onbedoeld zorgen voor datalekken. Bijvoorbeeld doordat hun laptop wordt gestolen of omdat ze op een link klikken in een e-mail waar ze dat eigenlijk niet hadden moeten doen. Ook het delen van gegevens met personen die daar geen toegang toe zouden moeten hebben is een begrijpelijke maar mogelijk schadelijke fout. En soms is er sprake van kwade opzet. Ook dan is het zaak dat geen schade kan worden aangericht: kwaadwillenden moeten snel tegen de lamp lopen.

Dat dit eenvoudig mis kan gaan, blijkt uit de vele datalekken die alleen al in de eerste drie maanden van 2021 plaatsvonden door niets anders dan een gebrekkige configuratie van systemen. Zo konden bij de GGD miljoenen (bijzondere) persoonsgegevens lekken door zoiets simpels als een exportknop in een systeem, enkele medewerkers met kwade intenties en onvoldoende voorzorgsmaatregelen.

Eén van de meest effectieve manieren om datalekken te voorkomen is daarom om te investeren in de waakzaamheid van je medewerkers (en natuurlijk de beveiliging van je systemen). Zorg dat je medewerkers op zijn minst halfjaarlijks een privacy & security training volgen zodat zij zich bewust blijven van hoe belangrijk hun eigen rol is bij het voorkomen van datalekken of security incidenten. Schakel experts in om je systemen te beveiligen en veilig te houden. En zorg dat je een privacybeleid hebt en voorziet in duidelijke werkinstructies en processen voor een zorgvuldige omgang met persoonsgegevens.