Al geruime tijd is de AVG in het nieuws. Ook de uitvaartverenigingen en instanties die gegevens verwerken van personen in welke vorm dan ook zullen alert moeten zijn op hun werkwijze. Overtreding kan namelijk vervelende gevolgen hebben, zo is wettelijk vastgelegd. De laatste tijd lijkt het of komt er geen einde aan de stroom informatie waar de uitvaartverenigingsbesturen aan moeten voldoen. Zelfs zo erg dat men de indruk zou kunnen krijgen dat het wel haast onmogelijk lijkt om ‘risicovrij’ te kunnen blijven werken. Toegegeven, het vraagt inspanning van de bestuurders/verantwoordelijken, maar als men het Tien Stappenplan zorgvuldig doorloopt en uitvoering aan geeft, dan is het zeker haalbaar. Overigens is het natuurlijk ook vooral in het belang van uw leden dat elke vereniging de regels op de juiste wijze hanteert.
DE AVG
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt –meer dan nu –op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.
Uitvaartverenigingen verwerken persoonsgegevens en moeten daarom voldoen aan de AVG. Gegevens die door elke vereniging verwerkt worden zijn de Naam Adres Woonplaats gegevens van hun leden en hoogstwaarschijnlijk ook een IBAN en een BSN. Dit zijn privacy gevoelige gegevens.
De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.
- Om u te helpen bij de voorbereiding op de AVG, heeft de AP de interactieve tool ‘de AVG-regelhulp‘ ontwikkeld. Als u de vragen uit de regelhulp beantwoordt, krijgt u een praktisch advies op maat over waar u nog aan moet werken om goed voorbereid te zijn op de AVG. De AVG-regelhulp is ontwikkeld in samenwerking met de Rijksdienst voor Ondernemend Nederland (RVO).
- Zo is er het document “De AVG in een notendop”.
- Ook de onderstaande TIEN stappen zijn een hulpmiddel om te beoordelen wat een vereniging wel en ook wat er niet gedaan hoeft te worden. De stappen die hieronder uitgeschreven staan kunt u vinden via deze link.
IN TIEN STAPPEN NAAR DE AVG
STAP 1: BEWUSTWORDING
Zorg ervoor dat de relevante mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.
De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen om de AVG na te leven. Zoals de website hulpbijprivacy.nl en de AVG-regelhulp. Maar ook guidelines die zijn opgesteld samen met de andere privacy toezichthouders in Europa.
Bedenk dat de AP uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van uw omzet als u zich niet aan de nieuwe privacywetgeving houdt.
STAP 2: RECHTEN VAN BETROKKENEN
Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
STAP 3: OVERZICHT VERWERKINGEN
Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.
Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.
U kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.
Gegevens voor Verwerkingsregister
Daar moet in elk geval het volgende in staan.
- De gegevens van de betreffende uitvaartvereniging
- De contact gegevens van de verantwoordelijke persoon, de FG
- Het doel waarvoor de gegevens verwerkt worden
- De grondslag volgens welke de gegevens verwerkt mogen worden
- Welke gegevens verwerkt worden.
- NAW gegevens leden
- IBAN leden
- BSN leden
STAP 4: DATA PROTECTION IMPACT ASSESSMENT
Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.
Komt straks uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG.
Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.
STAP 5: PRIVACY BY DESIGN & PRIVACY BY DEFAULT
Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.
Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.
Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
STAP 6: FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal of dit voor uw organisatie geldt. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.
STAP 7: MELDPLICHT DATALEKKEN
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan.
U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.
STAP 8: VERWERKERSOVEREENKOMSTEN
Heeft u uw gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
De AVG beschrijft gedetailleerd wat er in de verwerkersovereenkomst moet staan.
- Schriftelijke instructies
In de eerste plaats moet in een bewerkersovereenkomst staan dat de persoonsgegevens uitsluitend door de bewerker mogen worden verwerkt op basis van schriftelijke instructies van de verantwoordelijke.
- Vertrouwelijkheid
Daarnaast dient de bewerker te waarborgen dat de personen die gemachtigd zijn om persoonsgegevens te verwerken, zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen.
In de praktijk kan de bewerker aan deze verplichting voldoen door een geheimhoudingsbeding in de arbeidsovereenkomst op te nemen of door zijn werknemers een afzonderlijke geheimhoudingsverklaring te laten ondertekenen. Dit is niet nodig als personen op basis van een wettelijke verplichting al aan vertrouwelijkheid zijn gebonden (zoals artsen).
- Beveiliging
Ten derde moet in de bewerkersovereenkomst worden opgenomen dat de bewerker voldoende passende technische en organisatorische beveiligingsmaatregelen neemt.
STAP 9: LEIDENDE TOEZICHTHOUDER
Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.
STAP 10: TOESTEMMING
Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens
te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.