lezing_privacy_en_data_verkleind_creditfreepik

AVG-facts:

  • Versterking en uitbreiding van privacyrechten.
  • Meer bewustwording van de risico’s die ‘onzorgvuldig omgaan met persoonsgegevens’ met zich meebrengt.
  • Meer verplichtingen en verantwoordelijkheden voor instanties die persoonsgegevens opslaan of verwerken.
  • Bevoegdheid tot het opleggen van boetes tot 20 miljoen euro.

Bijeenkomsten

Als Huis voor de Kunsten Limburg vinden wij het belangrijk om cultureel Limburg actief te informeren over zaken als bijvoorbeeld de AVG. Mede daarom organiseerden wij op 19 april jl. een lezing ‘Privacy en data’ en op 13 juni jl. de informatiebijeenkomst ‘Is mijn culturele stichting of vereniging AVG-proof’. Op 18 september a.s. van 19.15-21.15 uur organiseren wij bovendien een lezing over een onderwerp dat indirect ook verwant is aan de AVG, namelijk auteursrecht. Lees meer

HKL en de AVG

Binnen het Huis voor de Kunsten Limburg wordt veel gewerkt met persoonsgegevens van aangesloten organisaties, overige (culturele) organisaties en individuen, leveranciers, partners en medewerkers.

Persoonsgegevens worden voornamelijk verzameld voor het goed kunnen uitvoeren van de steunfunctie van het Huis voor de Limburgse cultuursector (kunsten en erfgoed). De betrokkenen moeten erop kunnen vertrouwen dat het Huis zorgvuldig en veilig met de persoonsgegevens omgaat. Hoe we dat doen, kunt u lezen in ons privacy beleid

Algemene verordening gegevensbescherming (AVG)

 
Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG), een Europese privacywetgeving die strengere eisen stelt aan het gebruik en de verwerking van persoonsgegevens. Het Huis voor de Kunsten Limburg wil culturele stichtingen en verenigingen bewust maken van de gevolgen van deze nieuwe wetgeving en hen voorzien van informatie en advies.  
stappenplan
In samenwerking met het Huis voor de Sport Limburg en dankzij financiële ondersteuning van de Provincie Limburg, kunnen Limburgse stichtingen en verenigingen gratis gebruik maken van de AVG-tool van de Stichting AVG voor Verenigingen. Hiermee kan een 15-stappenplan worden doorlopen die de administratie AVG-bestendig maakt. Het stappenplan bestellen kan via www.hvdsl.nl/avg.
hkl_avghuisvoordesport
Mocht uw vereniging of stichting er niet uitkomen met het stappenplan van de AVG voor Verenigingen, dan kunt u contact opnemen met Silvia Segers-Weusten van het Huis voor de Kunsten Limburg via ssegers@hklimburg.nl / T 0475-399264. 
veelgestelde vragen

Over de AVG

Wat betekent de nieuwe privacywetgeving voor mijn vereniging/stichting?
De nieuwe privacywetgeving is bedoeld om zorgvuldiger en bewuster om te gaan met het verzamelen, verwerken en bewaren van persoonsgegevens. Het gaat erom dat vastgelegd wordt wat precies met persoonsgegevens gebeurt binnen een vereniging/stichting, welke persoonsgegevens waarvoor worden bewaard, wie waar verantwoordelijk voor is en op welke manier met persoonsgegevens wordt omgegaan (bijv. procedures met betrekking tot het verwijderen van persoonsgegevens). Dataminimalisatie is ook een belangrijk uitgangspunt. Verzamel, verwerk en bewaar dus vooral geen persoonsgegevens die niet noodzakelijk zijn om als vereniging/stichting te functioneren! Kort samengevat:

  • zorg voor verzameling van persoonsgegevens binnen de doelen; 
  • verzamel niet te veel/geen onnodige persoonsgegevens;

  • vraag leden om toestemming waar nodig;

  • zorg ervoor dat de persoonsgegevens veilig opgeborgen zijn;

  • deel persoonsgegevens niet met derden wanneer hiervoor geen toestemming gegeven is of wanneer dit niet past binnen de doelen/grondslagen.

Wat is een persoonsgegeven?
Elk gegeven over een geïdentificeerde of identificeerbare persoon. Dat is informatie die direct overiemand gaat ofwel naar deze persoon te herleiden is. Oftewel: namen, adressen, woonplaatsen, telefoonnummers, e-mailadressen en bankgegevens. Contactgegevens van organisaties (naam organisatie, adres, postcode) vallen hier niet onder. Deze gegevens zijn (vaak) openbaar te vinden op bijvoorbeeld de website van de organisatie en mogen ook zonder toestemming bewaard en gedeeld worden.
 
Wat zijn bijzondere persoonsgegevens?
BSN-nummers, medische gegevens, religie, politieke voorkeur en ras/etnische informatie.
 
Vallen kentekens onder persoonsgegevens?
Ja. Deze zijn namelijk te herleiden naar personen.
 
Wat is een privacy beleid?

Een privacy beleid laat zien welke persoonsgegevens verzameld worden en waarom deze verzameld worden. Ook is te zien waarvoor en hoe de persoonsgegevens gebruikt worden.
                                        
Wat is een privacy reglement?
Een privacy reglementvertaalt het privacy beleid en laat zien hoe een organisatie concreet omgaat met de nieuwe wetgeving (intern).
 
Wat is een verwerkingsverantwoordelijke?
De verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking bepaalt. Met andere woorden, de verwerkingsverantwoordelijke bepaalt waarom er persoonsgegevens worden verzameld en hoe dat dan gebeurt.
 
Wat is een verwerker?
De verwerker is een externe, aparte partij die opdracht krijgt om voor het doel dat door de verwerkingsverantwoordelijke is bepaald persoonsgegevens te verwerken.

Wat valt onder verwerken?
In de AVG valt onder een verwerking:

  • verzamelen, vastleggen en ordenen; 
  • bewaren, bijwerken en wijzigen;

  • opvragen, raadplegen, gebruiken;

  • verstrekken door middel van doorzending;

  • verspreiding of enige andere vorm van ter beschikkingstellen;

  • samenbrengen, met elkaar in verband brengen;

  • afschermen, uitwissen of vernietigen van gegevens.

Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een overeenkomst met afspraken tussen de vereniging/stichting en derden over het verwerken van persoonsgegevens.
 
Wat is een geheimhoudingsverklaring?
Een geheimhoudingsverklaring is een ondertekend formulier waarin bijv. bestuursleden van een vereniging/stichting verklaren vertrouwelijk en zorgvuldig met persoonsgegevens om te gaan.
 
Wat is een verwerkingsregister?
In een verwerkingsregister legt u het volgende vast:

  • welke persoonsgegevens verzameld worden; 
  • de grondslag voor de verwerking;

  • bewaartermijnen voor de verwerking;

  • wie verantwoordelijk is;

  • beveiligingsincidenten en de respons daarop;

  • datalekken en meldingsprocedures en de respons daarop.

Op welke grondslagen mag ik persoonsgegevens verzamelen, verwerken en bewaren?
Leg de grondslag voor verwerking van privacy data vast. Geldige grondslagen zijn:

  • toestemming van betrokkene; 
  • noodzakelijk voor uitvoering van een overeenkomst;

  • wettelijke verplichting;

  • bescherming van vitale belangen van betrokkene;

  • noodzakelijk voor algemeen belang/openbaar gezag;

  • noodzakelijk voor gerechtvaardigd belang van verantwoordelijke of derde en grondrechten/fundamentele vrijheden betrokkenen wegen niet zwaarder.

Waarvoor geldt de AVG?
De AVG geldt alleen op organisatieniveau, dus niet van persoon tot persoon.
 
Hoe zit het met de handhaving en te verwachten boetes?
Minister Dekker: “Kleinere organisaties hoeven niet direct boete te verwachten door AVG.” (lees hier het volledige artikel).
 
Wat doet het Huis voor de Kunsten Limburg in het kader van de nieuwe privacywetgeving?
Het Huis voor de Kunsten Limburg heeft een privacy beleid opgesteld. Dit beleid is te lezen op onze website. Ook intern zijn diverse organisatorische maatregelen getroffen.

veelgestelde vragen

Specifieke aandachtspunten voor verenigingen/stichtingen

Hoe maak ik mijn vereniging/stichting AVG-proof?
Doorloop het 15-stappenplan om tot een privacy beleid, verwerkersovereenkomsten en geheimhoudingsverklaringen te komen. Dit stappenplan is gratis verkrijgbaar via de website.
 
Is er een certificaat, zoals bij de ANBI-status, te verkrijgen dat aangeeft dat de vereniging/stichting officieel AVG-proof is?
Nee. Het doorlopen van het stappenplan is een handreiking met handvaten om privacyzaken goed te regelen. Er bestaat geen officieel certificaat of diploma dat een vereniging/stichting aan alle eisen voldoet.
 
Hoe zit het met bewaartermijnen?
Financiële administratie: 7 jaar. Subsidie-administratie: 10 jaar. Alle gegevens rondom sollicitaties: 4 weken zonder toestemming, 1 jaar met toestemming. Voor het bewaren van persoonsgegevens door verenigingen/stichtingen worden verder geen bewaartermijnen aangegeven. Zolang een persoon lid is van een vereniging/stichting mogen de gegevens uiteraard bewaard blijven. Wanneer een lid zijn lidmaatschap opzegt, dient toestemming gevraagd te worden om de gegevens in een archief te bewaren.
 

Externe communicatie m.b.t. AVG

Wat moet ik doen als ik foto’s en/of video’s van evenementen online of gedrukt wil delen?
Wanneer foto’s met zichtbaar herkenbare mensen (met name deelnemers van evenementen) gepubliceerd worden, dienen deze personen daarvoor vooraf toestemming te hebben gegeven. Aanwezig publiek kan vooraf moeilijk toestemming geven, maar dient wel geïnformeerd te worden dat foto’s en/of video-opnames gemaakt worden, zodat zij daar eventueel bezwaar tegen kunnen maken bij de fotograaf of de organisator.

Voor de professionele pers (zoals kranten) gelden andere regels. In het kader van de persvrijheid mogen zij wel foto’s, gemaakt door professionals, zonder toestemming publiceren.

Voorbeeld van aanpak:
Leden moeten toestemming geven aan de vereniging/stichting om fotomateriaal op o.a. Facebook te plaatsen. Dit geldt ook voor het gebruik van foto’s op eventuele websites, in clubblaadjes, op posters, enz. Bij nieuwe leden kan dit opgevangen worden door dit aan het inschrijfformulier toe te voegen. Bij bestaande leden kan hier een apart formulier voor gemaakt worden waarin het lid toestemming geeft.

Te gebruiken tekst voor toestemming deelnemers vooraf:
Tijdens onze activiteiten worden foto’s, video’s en geluidsopnames gemaakt. U doet middels het ondertekenen van dit formulier afstand van een eventueel beroep op het portretrecht en geeft belangeloos toestemming tot openbaarmaking en verveelvoudiging van de foto’s, video’s en geluidsopnames. De foto’s, video’s en geluidsopnames worden mogelijk gebruikt in communicatieve en/of promotionele uitlatingen van de vereniging/stichting (bijvoorbeeld folders, brochures, website, social media e.d.) in Nederland en/of het buitenland in originele en/of bewerkte vorm, in gedrukte- alsmede in digitale vorm.

Te gebruiken tekst op blaadje om op te hangen tijdens evenementen:
Tijdens dit evenement maken wij beeldopnames. Deze kunnen wij gebruiken op drukwerk, onze website, in presentaties of sociale media. Heeft u hiertegen bezwaar? Maak dit dan direct kenbaar bij de fotograaf, cameraman of een van onze bestuursleden / de organisatoren die vandaag aanwezig zijn.
 
Te gebruiken tekst op inschrijfformulier verwerken persoonsgegevens:
Voor dit evenement verzamelen wij aan de hand van dit inschrijfformulier uw contactgegevens. Deze gegevens worden bewaard voor administratieve doeleinden met betrekking tot het evenement en om u daarover te informeren. Deze gegevens worden niet gedeeld met derden.
*Ben je minderjarig? Dan dient een ouder/verzorger het inschrijfformulier te ondertekenen.
 
Wat moet ik doen wanneer ik een online nieuwsbrieftool gebruik?
De ervaring leert dat niet alle nieuwsbriefabonnees aan de hand van expliciete toestemming zijn verkregen. Wij raden daarom aan om opnieuw toestemming te vragen om de nieuwsbrief te mogen versturen. De meest gangbare nieuwsbrief-tools, zoals MailChimp, hebben hiervoor tools en formulieren ontwikkeld om naar huidige nieuwsbriefabonnees te sturen. Meer informatie is hier en hier te vinden.
 
Welke e-mailadressen mogen niet zonder toestemming of andere grondslag gedeeld worden?
E-mailadressen waarbij de identiteit van de persoon te achterhalen is (waarbij de persoon die achter het e-mailadres zit dus te identificeren is) mogen niet zonder toestemming of andere grondslag gedeeld worden. E-mailadressen zoals info@... mogen wel gedeeld worden, omdat hier niet te achterhalen welke persoon achter het e-mailadres zit.
 
Wat moet ik doen als een drukker van onze vereniging/stichting een ledenlijst krijgt om clubblaadjes te drukken en te bezorgen?
Sluit een verwerkersovereenkomst af met de drukker waarin op papier staat wat de drukker precies met de persoonsgegevens doet (in dit geval het verspreiden van clubbladen).
 
Wat moet ik doen als ik concoursresultaten van leden openbaar wil maken op bijv. social media?
Wanneer concoursresultaten online (bijv. via social media) of gedrukt (bijv. via de krant) gedeeld worden, moeten de betrokken leden/deelnemers hier vooraf toestemming voor hebben gegeven. Tip: regel dit vooraf bij de inschrijving door deelnemers toestemming te laten geven op het inschrijfformulier met betrekking tot het delen van resultaten.

Geldt het principe “wie zwijgt, stemt toe” binnen de nieuwe privacywetgeving?
Nee. Vraag dus altijd om expliciete toestemming om persoonsgegevens te mogen bewaren en verwerken. Het is niet toegestaan om vooraf aan te vinken dat personen bijvoorbeeld de nieuwsbrief willen ontvangen als ze zich aanmelden voor aan activiteit.
 
Wanneer personen kaarten reserveren/bestellen voor een voorstelling en hiervoor persoonsgegevens geven, mag ik deze personen dan als vereniging/stichting onze nieuwsbrief sturen?
Nee. Personen dienen expliciet toestemming te geven om een nieuwsbrief te ontvangen.

Interne verwerking persoonsgegevens m.b.t. AVG

Mag ik als vereniging/stichting persoonsgegevens van oud-leden bewaren (bijv. in het kader van een reünie)?
Nee, mits de oud-leden hier toestemming voor gegeven hebben of er een andere grondslag van toepassing is.
 
Mag ik als vereniging/stichting klappers met BSN-nummers en kopieën van paspoorten bewaren?
Nee. We raden u aan om deze gegevens niet meer op te vragen en te bewaren. Deze vallen namelijk onder de bijzondere persoonsgegevens. In principe is er voor de verzameling van deze gegevens bij de (meeste) vereniging(en)/stichting(en)geen grondslag. Is het wel noodzakelijk om deze gegevens te verzamelen en te bewaren (bijvoorbeeld voor schutterijen in verband met wapenlicenties), vraag dan expliciet om toestemming.
 
Mag de Kamer van Koophandel om een kopie van mijn paspoort vragen?
Ja. Wanneer je een kopie van het paspoort aanlevert, streep dan, de foto, het BSN-nummer, het paspoortnummer en de strook met nummers onderaan het paspoort door.
 
Hoe zit het met het opslaan van persoonsgegevens in de cloud of op een externe server?
Wanneer persoonsgegevens in de cloud of op een externe server worden opgeslagen, moet deze cloud of server binnen de Europese Unie staan.
 
Is een accountant een verwerker?
Nee. Er is dus geen verwerkersovereenkomst nodig.
 
Valt de privacywetgeving onder de gemeentelijke vrijwilligersverzekering, net zoals bestuursaansprakelijkheid?
Nee.
 
Is het verstandig om een verzekering af te sluiten om me als vereniging/stichting in te dekken wat betreft de nieuwe privacywetgeving?
Dit is een optie, maar omdat het hier nieuwe verzekeringen betreft is het moeilijk in te schatten of het om een reële premie gaat.
  
Verdere vragen? Neem contact op via info@hklimburg.nl/T 0475-399299.
 

COOKIES
Deze website maakt gebruik van cookies, in verband met de werking van social media en Google Analytics.
Zo kunnen wij de site steeds verder verbeteren. Er worden geen persoonlijke gegevens opgeslagen.

Wilt u cookies toestaan?