De Algemene verordening gegevensbescherming (AVG) is een Europese verordening die laat zien hoe particuliere bedrijven en instanties om moeten gaan met het verwerken van persoonsgegevens. Deze verordening is in werking getreden op 25 mei 2018 en is de vervanging van de databeschermingsrichtlijn uit 1996. In die richtlijn werd nog geen rekening gehouden met persoonsgegevens die digitaal verwerkt worden. Persoonsgegevens worden omschreven als gegevens die aan een persoon verbonden kunnen worden. Denk dan bijvoorbeeld aan een naam, telefoonnummer, (e-mail) adres, foto of bankrekeningnummer.
Ook verenigingen dienen zich te houden aan de AVG. Verenigingen verwerken immers ook persoonsgegevens, denk bijvoorbeeld aan gegevens van leden, sponsoren of vrijwilligers. Op welke manier moeten verenigingen rekening houden met AVG? En hoe kunnen verenigingen dat het beste doen? Dat zullen we hieronder bespreken.
AVG regels
Als een vereniging te maken heeft met persoonsgegevens dan mogen deze alleen worden verwerkt als ze voldoen aan de wet. Daarnaast is het belangrijk dat degene wiens gegevens worden verwerkt weet dat ze verwerkt worden en op welke manier dat gebeurt.
Het verwerken van persoonsgegevens moet een bepaald doel hebben. Gegevens mogen niet zomaar verzameld en verwerkt worden. Als er gegevens worden verzameld, dan moet de persoon om wie het gaat op de hoogte zijn van de organisatie of de persoon die de persoonsgegevens verwerkt en van het doel van het verzamelen.
Persoonsgegevens mogen ‘zo min mogelijk’ verwerkt worden. Dat houdt in dat de gegevens verwerkt moeten worden op een manier die past bij het doel waarvoor ze verzameld zijn. Alle gegevens die verwerkt worden moeten goed beveiligd zijn. Voor bepaalde persoonsgegevens gelden extra regels. Deze gegevens zijn bijvoorbeeld iemands ras, gegevens over gezondheid of iemands geloofsovertuiging. Omdat dit gegevens van gevoelige aard zijn kunnen ze de privacy van een persoon flink beïnvloeden. Deze bijzondere gegevens mogen alleen onder bepaalde voorwaarden worden verwerkt.
Als een vereniging niet voldoet aan de regels die zijn opgesteld in de AVG dan kunnen ze een boete opgelegd krijgen. De maximale boete die kan worden opgelegd is 20 miljoen euro of 4% van de wereldwijde jaaromzet als die hoger is dan 20 miljoen euro. Ook kan vanuit de AVG een reeks sancties worden opgelegd die gericht zijn op het tegengaan van een herhaling van overtreding.
AVG binnen de vereniging
Voor verenigingen werkt AVG soms net wat anders dan voor andere bedrijven. Verenigingen hebben vaak te maken met ledenlijsten, en bijvoorbeeld sportverenigingen maken lijsten met leden die bardiensten draaien of wedstrijden fluiten. In hoeverre mogen die lijsten gedeeld worden?
De gegevens die binnen de vereniging gedeeld worden mogen dat alleen als de vereniging een ‘gerechtvaardigd belang’ heeft bij het delen. Als dat belang er niet is heeft de vereniging in ieder geval toestemming nodig van de persoon of personen om wie het gaat.
Als er persoonsgegevens gedeeld worden van leden dan mag dat alleen met toestemming van de persoon of personen waar het om gaat. Als dit gedeeld wordt in een appgroep of op intranet dan moet de vereniging hier toestemming voor vragen.
Wat ook belangrijk is om te weten is dat gegevens van ex-leden verwijdert dienen te worden. Dat komt omdat in de AVG staat dat persoonsgegevens niet langer bewaart mogen worden als nodig is. Zodra de overeenkomst met een ex-lid beëindigt is moeten zowel fysieke als digitale persoonsgegevens worden verwijdert.
Uitzonderingen voor bepaalde verenigingen
Eerder hebben we het gehad over bijzondere persoonsgegevens en hoe deze niet zomaar opgeslagen mogen worden. Bepaalde verenigingen die werkzaam zijn in de politiek, levensbeschouwing, godsdienst of vakbonden, mogen wel bepaalde persoonsgegevens van hun leden verwerken. Dit mogen zij alleen als deze gegevens verband houden met de doelen van de vereniging. Een voorbeeld van een uitzondering is de ledenadministratie van een politieke partij. Ook deze gegevens mogen niet zonder toestemming van de persoon of personen zelf buiten de vereniging gedeeld worden.
Toestemming en AVG
Voorheen, onder de oude databeschermingsrichtlijn mochten gegevens alleen gepubliceerd worden als er toestemming was. Dat was voldoende. Onder de AVG is het verplicht om te kunnen aantonen dat deze toestemming is verleend en dat de vereniging er alles aan heeft gedaan om deze gegevens te beschermen. Een handtekening onder een toestemmingsverklaring is al voldoende om aan te kunnen tonen dat er toestemming is.
Er moet wel expliciete toestemming zijn. Bij geen antwoord mag niet worden uitgegaan dat er een akkoord is. Daarnaast moet de toestemming ook telkens worden gegeven voor een nieuwe activiteit. De toestemming geldt alleen voor een specifiek doel.
Wat betekent AVG voor leden van verenigingen?
De vereniging moet er zorg voor dragen dat rechten van de leden met betrekking tot persoonsgegevens niet worden overtreden. Leden van een vereniging hebben verschillende rechten, waar de vereniging dan ook rekening mee dient te houden. De rechten die leden hebben zullen hieronder besproken worden.
Inzage van gegevens
Als een lid om inzage vraagt van zijn of haar persoonsgegevens dan moet de vereniging kunnen aantonen welke gegevens worden gebruikt en om welke gegevens het gaat. Ook moet het lid kunnen weten wat het doel is van het gebruik van de persoonsgegevens. Daarnaast zal het lid ook inzage moeten krijgen in de herkomst van de persoonsgegevens en aan wie de gegevens nog meer zijn verstrekt.
Wijzigen van gegevens
Leden kunnen bijvoorbeeld wijzigingen aanvragen als de gegevens onjuist of onvolledig zijn. Ook kunnen leden vragen om inzage in of de gegevens in strijd zijn met de wet. Mocht het blijken dat dit het geval is dan kunnen leden ook vragen om hun gegevens te laten verwijderen door de vereniging.
Verwijderen van gegevens
Bij opzegging van een lidmaatschap dienen de persoonsgegevens van het lid worden verwijderd. Daarnaast heeft dit lid het recht om de vereniging te vragen om bij alle instanties waar ze hun gegevens delen aan te geven dat ook zij de persoonsgegevens verwijderen. Er moet kunnen worden aangetoond dat de gegevens ook daadwerkelijk zijn verwijderd.
Alleen het kapot scheuren en in de prullenbak gooien van een aanmeldformulier van een lid is niet voldoende. Deze papieren zullen volledig versnipperd moeten worden en op de juiste manier moeten worden weggegooid.