Inleiding
Vanaf 25 mei 2018 gelden nieuwe en striktere regels voor het gebruik van persoonsgegevens. Deze regels zijn vastgelegd in de Algemene verordening gegevensbescherming (afgekort: AVG). Zij zijn van toepassing op alle instanties, dus ook verenigingen die persoonsgegevens verwerken.
Achtergrond en veranderingen
Al op 4 mei 2016 is de AVG gepubliceerd in het publicatieblad van de Europese Unie (EU). Vanaf 25 mei 2018 gelden dus binnen de hele EU dezelfde regels voor wat betreft het verwerken van persoonsgegevens.
Deze regels betreffen voor verenigingen vooral:
- Uitbreiding van privacy-rechten van betrokkenen > ieder persoon waarvan de gegevens worden verwerkt:
- moet deze snel kunnen laten wijzigen en verwijderen (zgn. recht op vergetelheid), als dat past binnen het doel van de registratie. (vb: iemand kan vragen uit de ledenadministratie geschrapt te worden, maar niet toch lid willen blijven).
- moet snel inzicht kunnen krijgen in hoe en welke gegevens worden verwerkt.
- heeft recht van bezwaar en
- kan een klacht indienen bij de toezichthouder, de Autoriteit Persoonsgegevens (AP).
- Verenigingen krijgen meer verantwoordelijkheden en verplichtingen:
- zij moeten kunnen aantonen welke gegevens zij verwerken en mogen verwerken,
- daarin aan betrokkenen inzicht geven,
- anti-misbruik organiseren,
- snel kunnen inspelen op de rechten van betrokkenen.
- De AP is toezichthouder, ontvangt klachten en kan (forse) boetes opleggen bij niet voldoen aan de AVG.
Kortom, personen hebben meer rechten, organisaties als verenigingen meer verplichtingen en verantwoordelijkheden.
Inhoud van de AVG, toegespitst op verenigingen
De wet bestaat uit 99 artikelen, onderverdeeld in zeer veel sub-artikelen. Daarom hieronder een opsomming van de meest relevante punten:
- De AVG is niet van toepassing op natuurlijke personen bij de uitoefening van het huishouden en de AVG is ook niet van toepassing op overleden personen.
- De AVG is wel van toepassing op alle verwerking van persoonsgegevens en de verantwoordelijke voor die persoonsgegevens heeft verplichtingen. De wet maakt onderscheid tussen verantwoordelijke en verwerker. De verwerker beheert en bewerkt persoonsgegevens in opdracht van de verantwoordelijke.
- Persoonsgegevens zijn: namen, identificatienummers, kentekens, locatiegegevens, digitale identificaties, fysieke, psychologische, culturele of sociale kenmerken van natuurlijke personen en ook beelden en afbeeldingen.
- Persoonsgegevens moeten rechtmatig en transparant verwerkt worden
- Dat moeten de verantwoordelijke en eventueel verwerker kunnen aantonen
- Rechtmatig wil zeggen dat de betrokken persoon toestemming heeft gegeven en de verwerking noodzakelijk is voor de vervulling van de gerechtvaardigde belangen van de vereniging
- Ander gebruik van persoonsgegevens dan waarvoor zij verzameld zijn, mag alleen onder strikte voorwaarden; gezondheidszorg en historisch onderzoek zijn bijvoorbeeld uitzonderingen. Er zijn er meer.
- De toestemming moet aangetoond kunnen worden
- Als de betrokkene nog geen 16 jaar is moet een ouder toestemming geven.
- De betrokken persoon mag altijd zijn gegevens inzien, wijzigen, laten verwijderen en zijn toestemming intrekken, behalve wanneer er in de AVG daarvoor een uitzondering is gemaakt. Â
- Binnen een maand moet de verantwoordelijke of de verwerker op een verzoek als bedoeld in het vorige punt reageren.
- Duidelijk moet zijn wie binnen de organisatie voor welke verwerking verantwoordelijk is.
- Zorgvuldigheid is vereist en er moeten waar nodig organisatorische maatregelen worden genomen om te voorkomen dat er misbruik gemaakt kan worden, dat de transparantie geregeld is en dat haar beleid duidelijk is
- Als persoonlijke gegevens uit andere bron verkregen dan de persoon zelf, worden verwerkt, dan moet de betrokkene daarover ingelicht zijn, maar ook daarvoor gelden uitzonderingen. (vb: gegevens medische instituten)
- Persoonsgegevens gebruiken voor direct marketing is aan stringente voorwaarden gebonden. Betrokkenen moeten daarvan in kennis worden gesteld en kunnen daartegen bezwaar maken
- De verwerker mag alleen onder voorwaarden derden inschakelen die persoonsgegevens in zijn opdracht verwerken
- Personen kunnen altijd een klacht indienen bij de AP.
Wat moet de OBV doen en wat niet meer doen?
Gezien de complexe regelgeving is het niet eenvoudig om exact te bepalen wat er nu wel en niet mag in alle voorkomende situaties. Deels is het helder, deels is het interpretatie.
Deze lijst is voorlopig en zal in de loop van de tijd (na ervaringen bij de Vereniging zelf, bij anderen en door berichten van de AP) aangepast moeten worden.
De OBV verwerkt gegevens van de volgende categorieën personen:
1. van haar leden en bestuursleden
2. van personeelsleden en vrijwilligers
3. van niet-leden betrokken bij een uitvaart en van derden
 Algemene maatregelen
- De OBV benoemt een contactpersoon AVG: in dit geval een bestuurslid die juridische zaken behartigt.
- Het bestuur zorgt er voor dat het privacybeleid van de Begrafenisvereniging is vastgelegd en op verzoek kan worden getoond. Dat is dit stuk na vaststelling door het bestuur.
- Het bestuur inventariseert wie eventueel persoonsgegevens voor de vereniging beheert. verwerkt of benut. Dat kan bijvoorbeeld de ledenadministrateur of een drukker zijn.
- Alleen bestuurders en personeelsleden hebben onder geheimhouding toegang tot de bestanden van de vereniging incl. de uitvoerende BV.
- Bezoekers kunnen alleen onder begeleiding van een bestuurslid of de administrateur  informatie inzien. Van inzage door derden van persoonsgegevens wordt een registratie bijgehouden.
- Van persoonsgebonden informatie worden geen afschriften verstrekt behalve aan de betrokken persoon zelf.
- Het bestuur maakt een omschrijving van een datalek en van de procedure waarmee een datalek gemeld wordt bij de AP. Zie par.5 en bijlage overzicht datalekken.
- Bij twijfel kan iedereen de AVG contactpersoon van de Begrafenisvereniging raadplegen
Maatregelen m.b.t de gegevens van leden
- De ledenadministrateur heeft taken met betrekking tot de persoonsgegevens:
- Hij beschrijft in een persoonsregistratie welke gegevens per lid worden vastgelegd, uit welke bron deze gegevens komen en hoe lang de gegevens worden bewaard als er sprake is van wijzigingen en opzeggingen.
- Hij zorgt er voor dat zijn administratie alleen toegankelijk is voor bestuursleden.
- Hij zorgt er voor dat individuele leden hun eigen gegevens kunnen inzien en binnen een maand kunnen laten corrigeren. Verwijderen van ledengegevens is alleen mogelijk na opzegging van het lidmaatschap van de vereniging.
- Hij verstrekt gegevens uit de ledenadministratie alleen aan anderen voor  de rechtmatige werkzaamheden van de vereniging (bijv. de samenstelling van werkgroepen, de verspreiding van publicaties) en als de betrokkenen toestemming hebben gegeven.
- Als de Begrafenisvereniging of een andere instantie een bijzondere actie op touw zet waarbij alle leden of grote delen daarvan worden benaderd dan vraagt het bestuur de algemene ledenvergadering om toestemming Ăłf het bestuur vraagt alle leden om toestemming om benaderd te worden.
- Het bestuur draagt er zorg voor dat uitbesteding van verzending van publicaties en ander drukwerk aan een drukker of een ander bedrijf vergezeld gaat van de voorwaarde dat de naam-adres gegevens alleen voor de verzending mogen worden gebruikt.
- Bij mailverkeer wordt alleen het emailadres van de belangrijkste betrokkenen (bijv. bestuur of een werkgroep) in de “aan”-balk vermeld, de rest in de ”bcc”- balk (dus niet in de “cc”- balk)
- De opgaveformulieren van nieuwe leden worden bewaard. De huidige tekst wordt aangepast met tekst over de wijze waarop de Vereniging zorgvuldig omgaat met de persoonsgegevens.
- De formulieren en berichten waarmee opgaves van de mailadressen van de leden zijn gedaan moeten bewaard blijven. Daarin zit een toestemming verwerkt van betrokkenen om deze adressen te gebruiken voor doeleinden van de Begrafenisvereniging. Bij staken lidmaatschap kunnen zij na een paar maanden verwijderd worden
Persoonsgegevens van derden
- Het bestuur draagt er zorg voor dat werkplekken/ computers en overzichten worden afgeschermd voor onbevoegden. Het bestuur geeft bij de registratie van deze gegevens aan wie onder welke voorwaarden wel toegang heeft tot deze bestanden.
- Persoonsgegevens (van nog levende personen) mogen niet zomaar gepubliceerd worden. Â Alleen de toestemming van de betreffende persoon zelf geeft de mogelijkheid om te publiceren.
- Documentatie over personen uit bestanden van de vereniging alleen opslaan:
- bij daartoe bevoegde personen (voorbeeld ledenadministratie) en/of
- op de computers in de aula van de Begrafenisvereniging en in backup faciliteiten.
- In elk geval voorlopig geen foto’s publiceren op de website of in publicaties waarop nog levende mensen herkenbaar aanwezig zijn, zonder de toestemming van betrokkenen.
- De Vereniging verzamelt geen persoonsgebonden documentatie over zaken als politieke opvattingen, religieuze overtuigingen, gezondheid en geaardheid (van nog levende personen).
- De backup faciliteiten zijn beschreven en de toegang tot die faciliteiten is beperkt.
Een datalek
Volgens de AVG is een datalek (samengevat) een inbreuk op de beveiliging van persoonsgegevens die  per ongeluk of met opzet leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang tot persoonsgegevens. De beveiliging van persoonsgegevens moet gegarandeerd zijn; een datalek is een inbreuk daarop. Die inbreuk moet concreet zijn: de beveiliging is tekort geschoten.
Ieder datalek moet geregistreerd worden: wie heeft waar de inbreuk gepleegd. Dan komt de eerste afweging:
- Is de inbreuk van dien aard dat er een melding moet plaatsvinden bij:
a. de betrokkene
b. de Autoriteit Persoonsgegevens
Er zijn omstandigheden en voorwaarden vastgelegd waaronder géén melding hoeft plaats te vinden. De contactpersoon AVG moet die weten of achterhalen. Een belangrijk punt daarbij is of de betrokkene redelijkerwijze schade ondervindt van het datalek. Bij geen schade eindigt het datalek met de registratie van het lek en de reden waarom het niet gemeld is. - Het datalek moet wél gemeld worden bij de AP als het waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van betrokken personen. Dat is al gauw het geval wanneer de betrokkene geen zeggenschap meer kan uitoefenen over zijn persoonsgegevens. Voorbeeld: diefstal datastick met persoonsgegevens of onrechtmatig kopiëren van persoonsgegevens.
Als dat risico wel aanwezig is, moet het datalek onverwijld via de website bij het meldloket van de AP gemeld worden. De Vereniging mag wat tijd nemen (72 uur!) om vast te stellen of er echt een risico is. Afhankelijk van de ernst van het risico moet snel gereageerd worden. Â Dat houdt in dat zowel de vereniging als de betrokkene tijdig maatregelen kunnen nemen om de gevolgen te beperken.
De AVG schrijft voor welke gegevens gemeld moeten worden bij de AP en bij de betrokkene in geval van een datalek.
Bijgevoegd is een schema waarin kan worden bijgehouden welke datalekken in de administratie hebben plaatsgevonden.
Verwerkers
Wanneer een verwerker (bijv. een drukker) persoonsgegevens verwerkt, legt de Begrafenisvereniging de verplichtingen op aan de verwerker in een verwerkersovereenkomst. De AVG schrijft voor welke zaken geregeld moeten worden.
Verwerkersovereenkomsten worden in elk geval afgesloten met verwerkers die de opdracht hebben of krijgen om als derde persoonsgegevens te behandelen of te verwerken, bijvoorbeeld:
- salarisadministratie (Profinis)
- systeembeheerder en/of softwareleverancier
- websitebouwer en/of webhost.
Bijgevoegd is een overzicht van de eisen waaraan een verwerkersovereenkomst moet voldoen.