Algemene Verordening Gegevensbescherming (AVG)
Sinds mei 2018 moet elke organisatie, groot of klein, voldoen aan de AVG (Algemene Verordening Gegevensbescherming). Dat heeft consequenties voor je bedrijfsvoering: je website en overige automatisering, de wijze waarop je documenten en gegevens van cliënten bewaart en eventueel je samenwerking met anderen. De Autoriteit Persoonsgegevens (AP) controleert en kan boetes opleggen, dus ben je nog niet AVG-proof, zorg dan dat je het snel wordt. En controleer regelmatig of je nog aan de regels voldoet. De AVG is niet iets wat je doet en waar je vervolgens mee ‘klaar’ bent; het is een voortdurend proces.
We zetten de belangrijkste items uit de AVG onderstaand voor je op een rij.
Aan het eind van dit document vind je informatie over het lidmaatschap van Stichting AVG voor Verenigingen, waar de VMBN partner van is. Op de website van deze stichting vind je ook heel veel informatie over waar je aan moet denken en hoe je dingen moet regelen.
Zie verder ook de website van de Autoriteit Persoonsgegevens.
Privacyverklaring
Je bent verplicht om je klanten te informeren over wat je met hun persoonlijke gegevens doet en hoe je deze verwerkt. Door een privacyverklaring op je website te plaatsen waarin je dit beschrijft voldoe je aan deze verplichting. Zorg ervoor dat de privacyverklaring helder en duidelijk is èn dat deze gemakkelijk is te vinden.
Welke gegevens mag je vragen?
Volgens de AVG mag je aan klanten alleen om gegevens vragen die je nodig hebt om je dienst te kunnen verlenen. Is het relevant voor je dienstverlening om naar een geboortedatum te vragen? Nee? Dan mag je daar ook niet naar vragen. Als je bepaalde leeftijdsgroepen bij elkaar wilt zetten, dan is het ook voldoende om een geboortejaar te vragen, dus vraag in dat geval niet naar de exacte datum, maar alleen naar het jaar. Vraag je bij elk gegeven af of je dat nodig hebt en zo nee, vraag er dan ook niet om.
Gegevens opslaan en bewaren
Je mag gegevens opslaan, mits je deze goed beveiligt. Dat betekent dat je ervoor moet zorgen dat niemand anders erbij kan. Werk je met iemand samen, of besteed je bijvoorbeeld je administratie/facturatie uit? Dan moet je met degene die ook toegang heeft tot de gegevens van jouw klanten een verwerkersovereenkomst sluiten en diegene een geheimhoudingsverklaring laten tekenen.
Wat is een datalek en wat moet je doen bij een datalek
Als je per ongeluk persoonsgegevens naar een verkeerde ontvanger stuurt, dan is dat al een datalek. Raak je een usb-stick kwijt waar gegevens van je cliënten op staan? Ook dat is een datalek.
Als er sprake is van een ernstig datalek, dan ben je verplicht hier melding van te doen bij het meldloket van de Autoriteit Persoonsgegevens (AP).
Als er persoonsgegevens zijn gelekt, zorg er dan eerst voor dat de schade zoveel mogelijk wordt beperkt. Breng de betrokkenen (de mensen waarvan je de persoonsgegevens hebt ‘gelekt’) op de hoogte van wat er is gebeurd en wat je doet of hebt gedaan om de schade te beperken.
Er is sprake van een ernstig datalek als er bijzondere persoonsgegevens zijn gelekt. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over politieke voorkeur, religieuze opvatting of overtuiging, genetische of biometrische gegevens, gegevens over gezondheid, gegevens over seksuele geaardheid, alles wat betrekking heeft op unieke identificatie (paspoort, BSN-nummer).
Als er gegevens zijn gelekt, ga dan zelf na hoe ernstig het lek is en informeer (bijvoorbeeld bij Stichting AVG voorr Verenigingen, ZZP-Nederland of bij de AP zelf) of je het datalek moet melden bij de AP.
En let wel, een e-mailadres is ook een persoonlijk gegeven. Stuur e-mails aan een groep dus altijd bcc (blind copy), zodat deelnemers elkaars adressen niet zien (dit kan weer wel als alle deelnemers daar toestemming voor hebben gegeven).
Verwerkersovereenkomst
Werk je met iemand samen, of besteed je bijvoorbeeld je administratie uit? Sluit dan met die persoon een verwerkersovereenkomst. In die overeenkomst leg je vast hoe die persoon met de gegevens van jou en je cliënten moet omgaan. Ook de verwerker moet zich aan de AVG houden, dus ook hij of zij moet ervoor zorgen dat de gegevens goed beveiligd zijn.
Je website
Veel trainers hebben op hun website een inschrijfformulier of contactformulier staan. Als daarmee persoonsgegevens worden verstuurd, is het verplicht om deze gegevens via een beveiligde verbinding te versturen. (Dat was overigens ook al zo voordat de AVG in werking trad.) Een beveiligde verbinding krijg je door op je website een zogeheten SSL-certificaat te installeren. Als je een SSL-certificaat op je website geïnstalleerd hebt, dan begint je website-adres met https://. Ook staat er dan een slotje in de url-balk. Let er in dat geval ook op dat je in al je communicatie het adres met https noemt, want veel websites werken nog steeds als http wordt gebruikt. Je kunt een website zo aanpassen dat deze automatisch altijd doorstuurt naar https. Het is verstandig om dat te doen.
Een SSL-certificaat vraag je aan bij je hostingprovider. De kosten verschillen per provider, dus let daarop bij de keuze van je provider.
Lidmaatschap Stichting AVG voor Verenigingen
De VMBN is partner van Stichting AVG voor Verenigingen. Hierdoor kunnen al onze leden tegen gereduceerd tarief lid worden van deze organisatie. Zij helpen je met een stappenplan en stellen diverse documenten beschikbaar, zoals een model-privacy-policy en verwerkersovereenkomsten. Ook is er een juridische helpdesk die je vragen kan beantwoorden (gratis voor leden). Je kunt lid worden van Stichting AVG voor Verenigingen.
Vul bij je aanvraag de kortingscode VMBNAVG50 in. De kortingscode geeft recht op 50% korting, waardoor je voor het lidmaatschap geen € 200,00 maar €100,00 per jaar betaalt.
Thuiswerken
De Autoriteit Persoonsgegevens geeft op https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/veilig-thuiswerken-tijdens-de-coronacrisis tips over hoe je op een veilige manier thuis kunt werken en veiligheid van de gegevens van je klanten kunt waarborgen.
Van de Stichting AVG voor Verenigingen ontvingen wij een overzicht van veilige tools voor thuiswerken:
- Skype
- Zoom ( versie Pro, Business, Enterprise)
- Microsoft Teams
- Google Hangout
- Join.me
- Weseedo
- Clickdoc
- Whereby