Inleiding AVG


Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing.
Cybercriminaliteit neemt toe, zoals identiteitsfraude. Was er enkele jaren geleden nog sprake van enkele tientallen gestolen identiteitskaarten, nu zijn dat er al zo’n 2.700 per jaar in Nederland. En dat aantal loopt op, terwijl gedupeerden hier heel veel ellende van ondervinden.

Europa heeft daarom besloten dat in alle Europese landen dezelfde wet op persoonsgegevens moet gelden. In Nederland heet dit AVG. Ten opzichte van de oude Wet Bescherming Persoonsgegevens vallen met AVG veel activiteiten veel sneller onder de privacywetgeving. Dit heeft gevolgen voor onder meer verenigingen die gegevens hebben van hun leden. AVG is een ‘inspanningswet’, dat wil zeggen dat je stappen moet hebben ondernomen om datalekken te voorkomen.



25 mei
Vanaf 25 mei 2018 kunnen er boetes worden opgelegd wanneer een vereniging of bedrijf een (ernstig) datalek heeft en het blijkt dat er onvoldoende is gedaan om dit datalekken te voorkomen.

Europese wet
AVG geldt in alle Europese landen. Echter, diverse organisaties gebruiken servers buiten Europa (bijvoorbeeld in Amerika). Daar gelden andere regels. Wie data opslaat buiten Europa moet daarom eerst goed nagaan of de data daar wel volgens de Europese regels kan worden opgeslagen. Dit kan ook van toepassing zijn als je data verzendt via bijvoorbeeld Dropbox of WeTransfer.

Alle Verenigingen
Alle verenigingen moeten voldoen aan AVG. Sportvisserij Nederland heeft al veel voorwerk gedaan.
Maar de puntjes op de i zetten, dat moeten de verenigingen zelf doen. Veel werk zal wellicht in de praktijk al zijn gedaan. Met bijgaand stappenplan kun je kijken in hoeverre jouw vereniging al aan AVG voldoet en wat er nog gedaan moet worden. Die inspanning is aan de vereniging.

Stappenplan
Sportvisserij Nederland heeft een stappenplan ontwikkeld. Wie dit stappenplan doorloopt en alle nodige acties uitvoert en maatregelen neemt, zal voldoen aan AVG.

Het stappenplan bestaat uit de volgende stappen:
Stap 1: Persoonsgegevens inventariseren
Stap 2: Waar worden deze gegevens bewaard
Stap 3: Doel van de informatie
Stap 4: Privacy policy
Stap 5: Verwerkersovereenkomst
Stap 6: (ICT) beveiligingsmaatregelen
Stap 7: Wie hebben toegang/ geheimhouding
Stap 8: Bewaartermijn
Stap 9: Direct marketing
Stap 10: Controle en evaluatie

Er zijn documenten ontwikkeld die als leidraad voor de vereniging kunnen worden gebruikt. Veelal hoeft alleen de naam van de vereniging te worden ingevuld.
-AVG: leden en functionarissen (met voorbeelden)
-AVG: personeel (met voorbeelden van een AVG voor wie personeel in dienst heeft)
-Privacy policy (aan te passen voor de vereniging)
-Verwerkingsovereenkomst (aan te passen voor de vereniging)

Deze documenten zijn onder downloads te vinden.


En verder

Bewustwording
Personen hebben met de AVG meer privacyrechten. Naast bovenstaande stappen is het daarom belangrijk dat elk bestuur zijn medebestuurders of leden, die toegang hebben tot persoonsgegevens, inlicht over de procedures bij de vereniging die gelden voor de beveiliging van persoonsgegevens. Bewustwording kan worden gegenereerd door er bijvoorbeeld vast agendapunt van te maken tijdens de ALV.

Toch een datalek
Bij een datalek vallen persoonsgegevens in handen van derden die geen toegang tot die gegevens zouden mogen hebben. Wie een datalek heeft, kan een boete krijgen. Dit is echter afhankelijk van welke data er is gelekt (medische gegevens lekken is ernstiger dan alleen een naam) en de hoeveelheid data die is gelekt. Een datalek kan niet alleen optreden door het hacken van de computer, maar ook wanneer iemand een USB-stick kwijtraakt, of wanneer een laptop wordt gestolen. (Ernstige) datalekken moeten binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegeven (AP, https://datalekken.autoriteitpersoonsgegevens.nl). Wie twijfelt of het datalek gemeld moet worden, kan dit het beste door een expert laten beoordelen (binnen die 72 uur).

Divide