Nieuws

Per 25 mei 2018 wordt de nieuwe Europese gegevensbeschermingswet van kracht: de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) genoemd. Deze wet vervangt de huidige Wet Bescherming Persoonsgegevens,  en betekent een aanzienlijke uitbreiding van de verantwoordelijkheden van organisaties en een uitbreiding van de rechten van personen. Dit heeft ook voor u gevolgen voor de vastlegging van persoonsgegevens en wat u hier omheen geregeld moet hebben.
 
Uw database Pluriform Goede Doelen bevat wellicht een grote verzameling van persoonsgegevens. Dit geldt natuurlijk voor gegevens van particuliere donateurs, maar ook in bijvoorbeeld een projectadministratie zijn persoonsgegevens opgenomen waarvan de vastlegging aan deze regels moet voldoen. Wij hebben ons daarom verdiept in de implicaties van de AVG voor u, onze klanten, wat heeft geleid tot drie parallelle initiatieven:

1. Benodigde software aanpassingen: Om u als gebruiker van Pluriform Goede Doelen / ProjectConnect in staat te stellen te voldoen aan de AVG, zijn aanpassingen in de software vereist. Dit betreft vooral aanpassingen om te kunnen voldoen aan de rechten die de betrokkene (bijv. een particuliere donateur) onder de nieuwe wet heeft. Doelstelling is deze aanpassingen te realiseren in de nieuwe productie release 2018.1 die vanaf 13 april 2018 beschikbaar komt.
2. Als organisatie voldoen aan de AVG: U bent verplicht om als organisatie AVG compliant te worden. Dit kunt u bereiken via deelname aan een serie bijeenkomsten, waarin we u helpen om de organisatie voor te bereiden op AVG compliance. Wij voorzien dat we hiervoor een reeks van vijf bijeenkomsten plannen in de periode november t/m april.
3. Contractueel: U bent verplicht om een verwerkersovereenkomst af te sluiten met ons als gegevensverwerker. Wij voorzien hierin graag collectief zodat niet ieder van u hier zelf initiatief (naar ons toe) hoeft te nemen; deze overeenkomst verwachten wij in februari 2018 beschikbaar te hebben. Op onze beurt regelen wij uiteraard de benodigde contractuele afspraken en regels met onze partners, medewerkers, inleners en derden, en treffen waar nodig ook de noodzakelijke organisatorische maatregelen.

Onderstaand hebben wij een aantal concrete voorbeelden uit de AVG uitgelicht en toegepast op goede doelen:

• Bij het verzamelen en registreren van persoonsgegevens moet de persoon in kwestie in begrijpelijke taal en volledig worden geinformeerd over het doel van de vastlegging, hoe lang de gegevens worden bewaard, waarvoor ze worden gebruikt, met wie de gegevens worden gedeeld (“verwerkers”), welke rechten de persoon heeft, etc.
• Personen kunnen meer rechten uitoefenen dan onder de Wet Bescherming Persoonsgegevens (WBP), (bijv. inzage, rectificatie, beperking van verwerking, wissen van gegevens, etc.). Een vraag daartoe is vormvrij en moet dus door de organisatie als zodanig worden herkend, omdat deze binnen 30 dagen moeten worden beantwoord.
• Personen hebben het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens, die daarop een onderzoek kan instellen. In een negatieve relatie kan een persoon die kwaad wil, u via de Autoriteit Persoonsgegevens mogelijk in een kwaad daglicht stellen wanneer u niet aan de regels voldoet.
• Anders dan onder de WBP en meldplicht Datalekken, vereist de AVG dat u moet kunnen aantonen dat u aan de AVG voldoet. Dat betekent dat aantoonbaar moet zijn (in beleid, policies, contracten, correspondentie, logfiles, etc.) dat de organisatie de wetgeving heeft geimplementeerd en geborgd in de organisatie.
• De rollen van verantwoordelijken en verwerkers zijn aangescherpt. Dit betekent dat van alle verwerkers waarvan de organisatie gebruikmaakt (niet alleen de hostingprovider, maar ook de mailingprovider die door een medewerker wordt gebruikt, en ook Dropbox, en het verzendhuis, etc.) actief moet worden vastgesteld dat zij voldoen aan de AVG. Dit moet aantoonbaar zijn, bijvoorbeeld in contracten en uitgevoerde audits.
• Er zijn vastleggingen in het kader van fondsenwerving, die het karakter hebben van profilering. Profilering wordt in de AVG expliciet benoemd als een activiteit waar extra informatie over moet worden verstrekt, en extra waarborgen moeten zijn geimplementeerd.
• De meldplicht rond Datalekken is aangescherpt. Een e-mail naar een groep mensen, waarbij per abuis de e-mailadressen van alle geaddresseerden zichtbaar zijn is een datalek!
• De medewerkers van de organisatie moeten zich veel bewuster zijn van de vergaande normen die door de AVG worden gesteld en weten wat wel en wat wettelijk niet kan.

Onze relaties hebben inmiddels een uitnodiging ontvangen voor de GDPR bijeenkomst, georganiseerd door Matthat Software, waarin u uitgebreid geïnformeerd wordt over de nieuwe regels en onze initiatieven. Heeft u de uitnodiging niet ontvangen maar wilt u wel graag aanwezig zijn? Stuur dan een e-mail naar lisa@matthat.nl .