AVG in de praktijk
Al vanaf 25 mei 2018 is de nieuwe privacywetgeving (de AVG) van kracht. Vanaf dat moment moeten alle verenigingen de zaken op orde hebben.
Toch blijkt dat nog steeds lang niet iedere verenigingen aan de eisen van de AVG voldoen.
Onderstaand hebben wij diverse info en een checklist geplaatst. Komt u er niet uit of hebt u andere vragen, neem dan contact met ons op. Dit kan via onze secretaris. Zie hiervoor de contactpagina op deze site. BAV Oost beschikt over een specialist betreffende de AVG wetgeving voor verenigingen.
Hoe ver is uw vereniging?
Checklist:
- Hebt u een privacyverklaring gemaakt en deze op uw site geplaatst? Staat deze verklaring op de home page en hoeft men niet te zoeken in allerlei sub pagina’s?
- Is de verklaring geschreven in zgn. Jip en Janneke taal?
- Is het bij u bekend dat de AVG privacywet in de plaats is gekomen van de wet Wbp (de Wet bescherming persoonsgegevens) en dat de Wbp daarom niet meer geldig is?) Soms zien we nog dat in de privacyverklaring wordt verwezen naar oude artikel uit de Wpg. Dit is dus onjuist.
- Wordt op uw digitale aanmeldformulier voor nieuwe leden verwezen naar de AVG verklaring en wordt, indien nodig, het nieuwe lid ook verzocht een toestemmingsverklaring te tekenen?
- Hebt u een verwerkingsverantwoordelijke aangesteld?
- Hebt u een verwerkingsregister opgesteld? Omdat dit register een juiste informatie geeft door wie en aan wie toestemming is verleend om persoonsgegevens te verwerken met vermelding van de juiste grondslag, is dit één van de belangrijkste onderdelen
- Hebt u uw leden, bestuursleden, vrijwilligers, ledenadministratie, loonadministratie, leiders, trainers, etc. de juiste verklaring laten ondertekenen? (toestemmingsverklaring, geheimhoudingsverklaring of verwerkingsovereenkomst)
Cameratoezicht
Bij veel verenigingen worden camera’s gebruikt, bijvoorbeeld om personen en eigendommen te beschermen of de orde te handhaven. Het is van belang dat zorgvuldig met camerabeelden wordt omgegaan.
Door cameratoezicht is de inbreuk op de privacy van mensen groot. Daarom moeten verenigingen ervoor zorgen dat de inbreuk op de privacy van de mensen zo klein mogelijk is. De vereniging zal moeten kunnen aantonen dat er ook vernielingen of diefstal plaatsvinden activiteiten waarbij veel mensen aanwezig zijn of er tijdens deze activiteiten ook geregeld calamiteiten plaatsvinden. Gebeurd dit voornamelijk in de nachtelijke uren of wanneer het clubgebouw of terrein is afgesloten, dan kan er op deze uren cameratoezicht plaatsvinden.
Verder zijn aan cameratoezicht nadere voorwaarden verbonden, zoals:
- De vereniging heeft vergaande maatregelen getroffen om de eigendommen te beschermen en deze zijn niet voldoende gebleken.
- De inzet van camera’s mag niet op zichzelf staan, maar gebeurt in combinatie met andere maatregelen, zoals (betere) verlichting of toezicht houden.
- De vereniging moet mensen informeren over het cameratoezicht, bijvoorbeeld met bordjes.
- De camera opnames mogen alleen bekeken worden door de persoon die hiervoor in het verwerkingsregister is opgenomen.
- Nemen de camera’s ook geluid op? Of worden er op een andere manier geluidsopnames gemaakt? Dan moet de vereniging mensen hierover ook informeren.
- personen waarvan een registratie heeft plaatsgevonden hebben recht op inzage van de camerabeelden en hebben recht op vergetelheid (camerabeelden van deze persoon moeten worden gewist)
- De vereniging mag de camerabeelden niet langer dan 4 weken bewaren. Behalve als er concrete vermoedens zijn dat er strafbare feiten op de camerabeelden staan. Dan mogen de beelden worden gebruikt om die strafbare feiten op te sporen.
- De vereniging moet een data protection impact assessment (DPIA) uitvoeren.
Fotografie
Fotografie in de openbare ruimte
Bij foto’s, gemaakt in de openbare ruimte waar mensen op te zien zijn, moet je je steeds afvragen of er sprake is van een persoonsgegeven. Denk aan straatfotografie, publiek bij een voetbalwedstrijd, een clubactiviteit, etc. Kunnen de personen die daarop staan zonder onevenredige inspanning worden geïdentificeerd? Zo ja, dan is er sprake van een persoonsgegeven en is de AVG van toepassing.
Journalistieke doeleinden
Portretten voor journalistieke doeleinden, bijvoorbeeld in opdracht van de krant, vallen in beginsel onder het doel van de gerechtvaardigde belangen. Wordt de foto echter opgeslagen in een beeldbank, in je eigen online portfolio of opgeslagen voor toekomstig gebruik met andere doeleinden, dan heb je daar toestemming voor nodig van de geportretteerde.
Wees bedachtzaam over het fotografiebeleid bij een evenement
Het is verstandig na te denken op welke manier en wanneer de fotograaf foto’s zal nemen. Factoren zoals het type evenement en de doelgroep moeten in de afweging meegenomen worden. Vragen die een organisatie zichzelf vooraf zou moeten stellen zijn: Zitten er kwetsbare groepen tussen de deelnemers zoals kinderen of mensen met handicap of beperking?
Persoonlijk gebruik
Laten we eerst het meest belangrijke tackelen. Foto’s die je privé houdt, die bijvoorbeeld op je telefoon staan en die je misschien wat via WhatsApp of op een andere manier in een wat beperkte kring deelt of laat zien, dat valt allemaal buiten de AVG. De AVG geldt voor bedrijven, stichtingen, verenigingen, overheid etc. en voor de gevallen waarin persoonsgegevens openbaar gemaakt worden, door het bijvoorbeeld (openbaar) te publiceren op social media.
Foto’s (dus persoonsgegevens) plaatsen op internet
Veel mensen publiceren gegevens over anderen op internet, zoals foto’s op Facebook. Ook organisaties plaatsen persoonsgegevens op internet. De gevolgen hiervan kunnen groot zijn voor de mensen om wie het gaat. Onder meer omdat eenmaal op internet geplaatste gegevens jaren later nog vindbaar zijn. Dit kan in toekomstige situatiesnadelige gevolgen hebben.
Vaak toestemming nodig
Niemand mag zomaar persoonsgegevens van een ander op internet publiceren. Dit mag in principe alleen als daarvoor een wettelijke grondslag is uit de AGV.
In de AVG staan 6 grondslagen. Eén daarvan is toestemming. Vaak is om persoonsgegevens te publiceren op internet toestemming nodig van de mensen om wie het gaat.
Persoonsgegevens verwijderen
Heeft iemand toestemming gegeven en staan iemands gegevens op internet, dan heeft diegene het recht om deze gegevens te laten verwijderen. Bijvoorbeeld omdat ze niet langer nodig zijn voor het doel waarvoor ze verzameld of verwerkt zijn, er geen rechtsgrond (meer) is voor verwerking of omdat de verwerking onrechtmatig is.