De Autoriteit Persoonsgegevens (AP) is de externe toezichthouder in Nederland, die toeziet of organisaties aan de verplichtingen die voortvloeien uit de AVG voldoen. Ook biedt de (website van de) AP handreikingen en extra uitleg over het toepassen van de AVG, die jouw organisatie kunnen helpen met het omgaan met persoonsgegevens. Met hyperlinks hebben wij verwijzingen aangebracht naar de handreikingen of extra toelichting van de AP of van andere instanties.
Uitgangspunten AVG
Onderstaande uitgangspunten bieden een handreiking op de vraag ‘hoe om te gaan met de persoonsgegevens van vrijwilligers’:
1. Doelbinding
Je mag de gegevens van jouw vrijwilligers alleen gebruiken voor het doel waarvoor je de persoonsgegevens hebt verzameld. Heb je de persoonsgegevens bijvoorbeeld verzameld voor het kunnen inzetten van jouw vrijwilligers? Gebruik deze gegevens dan niet voor andere doeleinden.
2. Minimale gegevensverwerking
Bij de verwerking van de persoonsgegevens van vrijwilligers moet je als organisatie te rade gaan of alle persoonsgegevens daadwerkelijk nodig zijn om jouw doel te kunnen bereiken. Voor het kunnen inzetten van jouw vrijwilligers is het bijvoorbeeld niet noodzakelijk om te weten of iemand al dan niet gehuwd is. Verzamel ook geen persoonsgegevens omdat dit ‘in de toekomst nog wel eens handig kan zijn’. In sommige gevallen kan je zelfs jouw doel bereiken zonder het gebruik van persoonsgegevens.
3. Juistheid
Als organisatie ben jij verantwoordelijk voor de juistheid van de persoonsgegevens van jouw vrijwilligers. Draag daarom ook zorg dat de persoonsgegevens worden geactualiseerd indien nodig. Dit kan bijvoorbeeld nodig zijn als een vrijwilliger verhuisd is.
4. Transparantie
Bij het verzamelen van persoonsgegevens van jouw vrijwilligers moet de vrijwilliger geïnformeerd worden hoe jouw organisatie omgaat met deze persoonsgegevens. Aan jouw vrijwilliger moet je bijvoorbeeld laten weten met welk doel je zijn persoonsgegevens hebt verzameld en indien van toepassing, met wie deze gegevens worden gedeeld. Op de website van Europa decentraal is extra toelichting op het transparantiebeginsel te vinden.
5. Bewaartermijnen
Bewaar de persoonsgegevens van jouw vrijwilligers niet langer dan noodzakelijk. Bepaal voorafgaand aan het verzamelen hoe lang je de gegevens nodig hebt en waarom. De gegevens van de vrijwilligers die niet meer nodig zijn, doordat de vrijwilliger bijvoorbeeld niet meer werkzaam is bij jouw organisatie, dien je dan te verwijderen.
6. Passende beveiliging
Jouw organisatie moet passende technische en organisatorische maatregelen treffen ter bescherming van de persoonsgegevens van jouw vrijwilligers. Een voorbeeld van een organisatorische maatregel is het beperken van toegang tot de gegevens van jouw vrijwilligers, ofwel zorgdragen dat niet iedereen deze gegevens kan inzien. Een voorbeeld van een technische maatregel is gebruik van wachtwoorden voor toegang tot systemen en/of bestanden. Voor meer uitleg door- en voorbeelden van de AP, zie: vragen over de verantwoordingsplicht (onderaan de pagina).
7. Verantwoordingsplicht
Als vrijwilligersorganisatie heb je de verantwoordelijkheid om te kunnen aantonen of jouw organisatie aan de AVG voldoet. Om te kunnen aantonen of jouw organisatie AVG-proof met de persoonsgegevens van vrijwilligers om gaat, is het belangrijk dit vast te leggen in procedures of het opstellen van een register van verwerkingsactiviteiten. De uitleg van de AP over verantwoordingsplicht vind je hier.
8. Rechtmatigheid
Je mag alleen persoonsgegevens van jouw vrijwilligers verwerken als je daarvoor een rechtmatige grondslag hebt. Over het algemeen zal jouw organisatie de persoonsgegevens van vrijwilligers verwerken ter uitvoering van de vrijwilligersovereenkomst. Voor sommige verwerkingen zal je een andere grondslag nodig hebben om de gegevens van jouw vrijwilligers te verwerken, zoals (expliciete en ondubbelzinnige) toestemming. Voor meer informatie over rechtmatige grondslagen, zie: deze pagina van de AP.
‘Gewone’ persoonsgegevens versus ‘bijzondere persoonsgegevens’
Over het algemeen zal jouw organisatie ‘gewone’ persoonsgegevens van vrijwilligers verwerken. Hierbij kun je denken aan een naam, adres, telefoonnummer en e-mailadres. ‘Bijzondere’ categorieën persoonsgegevens genieten extra bescherming onder de AVG. Deze categorieën van persoonsgegevens mogen namelijk niet verwerkt worden tenzij de wet een specifieke uitzondering toe laat. Bij ‘bijzondere’ categorieën persoonsgegevens gaat het specifiek om: gegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Zie de toelichting van de AP voor meer informatie over soorten persoonsgegevens.
Overige verplichtingen AVG
Andere belangrijke aandachtspunten in de AVG zijn, indien van toepassing:
Als er een datalek plaatsvindt, doordat bijvoorbeeld jouw vrijwilligersbestand per ongeluk is verspreid met een nieuwsbrief, ben je verplicht om dit te melden aan de AP. In sommige gevallen moet je datalekken óók melden aan de betrokkenen (in dit geval, de vrijwilligers). Klik hier voor meer informatie.
Als een verwerker voor jouw organisatie persoonsgegevens verwerkt, moet je met de verwerker een verwerkersovereenkomst afsluiten. Klik hier voor meer informatie.
In sommige gevallen is het verplicht om een functionarisgegevensbescherming aan te stellen. Klik hier voor meer informatie.
- Register van verwerkingsactiviteiten - In veel gevallen is het verplicht om een register van verwerkingsactiviteiten op te stellen en bij te houden. Voor meer informatie kun je op het onderwerp ‘register met alle verwerkingen’ klikken in de handreiking van de AP ‘de AVG in een notendop‘.
- Data Protection Impact Assessment (DPIA) - Als een verwerking een waarschijnlijk hoog privacy risico oplevert, moet je als organisatie een DPIA uitvoeren. Voor meer informatie over het (al dan niet) uitvoeren van DPIA’s, zie: deze pagina van de AP.
Rechten van betrokken
De AVG verstrekt ook de rechten van betrokkenen. Dit betekent dat vrijwilligers een aantal rechten hebben die voorvloeien uit de AVG. Een vrijwilliger kan onder meer een beroep doen op het inzagerecht, waarbij jouw organisatie moet kunnen laten zien welke persoonsgegevens er worden verwerkt over de betreffende vrijwilliger. Meer informatie over de rechten van betrokken vind je hier.
Privacy: een continu proces
Privacybescherming is niet een éénmalig, maar een continu proces. Om te controleren of jouw organisatie nog steeds aan de AVG voldoet heeft de Autoriteit Persoonsgegevens een checklist ‘houd grip op persoonsgegevens’ opgesteld.
In de bijlage vind je een uitgebreide handleiding van de overheid.
Dit artikel is opgesteld door/ in samenwerking met BMC/ Advies op Maat. Heb je een verdiepende vraag of wil je een andere vraag stellen waarop je het antwoord niet in de Kennisbank kunt vinden? Dien die vraag dan in door een e-mail te sturen naar netwerk@zorgzaam010.nl.