Natuurlijk proberen verenigingen zorgvuldig om te gaan met persoonlijke gegevens. Maar een nieuwe wet - met de titel AVG - wil dat ze dit ook concreet bewijzen. Dat betekent dat er een formeel beleid moet worden gemaakt. En dat er aantoonbaar inspanningen worden gedaan.

Ons land kende al langer regels rond privacy. Maar een omschakeling naar Europese wetgeving op 25 mei aanstaande maakt deze eisen veel strikter. Beveiliging, procedures en werkwijzen dienen officieel te worden vastgelegd. Ook moeten er allerlei acties worden genomen. Verenigingen die dit niet doen, riskeren een behoorlijke boete.

Daan Hoogendijk, voorzitter stichting AVG voor Verenigingen: "De Algemene verordening gegevensbescherming - AVG - heeft betrekking op alle inwoners en alle juridische organisaties. Of je nou een groot bedrijf bent, een multinational, een vereniging, een stichting of een inwoner. Allemaal moeten ze voldoen aan de nieuwe privacyregels."

Fragment uit informatievideo van stichting AVG voor Verenigingen 

Het gaat er vooral om dat de vereniging aantoont, dat ze zorgvuldig omgaat met gegevens. In de praktijk betekent het dat je werkwijzen, procedures en beleidsregels moet maken. Interne regels waarmee je aangeeft dat de vereniging serieus met de AVG omgaat.

De wet zegt eigenlijk: realiseer je nou dat het niet gewoon veldjes in een computerprogramma zijn, waarin iets staat. Er zitten echte mensen achter. De wet verplicht je eigenlijk om eens even goed naar je eigen organisatie te kijken en dat feit te realiseren. En dat je dus een aantal dingen moet doen om de privé-informatie van die mensen te beschermen.

Om dat bewustzijn te creëren, moet er vanuit de nieuwe wet een aantal stappen worden gezet. Dat begint onder andere bij een inventarisatie van de persoonlijke gegevens die er binnen de vereniging omgaan. Welke papieren en digitale gegevens zijn er aanwezig? En wie werkt daarmee of kan die gegevens raadplegen?
Denk daarbij trouwens niet alleen aan databestanden op de computer. Ook mailtjes kunnen gevoelige informatie bevatten. Daarvoor moet ook worden vastgelegd hoe een vereniging ermee omgaat.

Het blijkt in de praktijk dat de meeste verenigingen toch meer hebben dan ze denken. Een voorbeeld: van bestuursleden is vaak een kopie van het paspoort gemaakt. Als zo’n kopie in verkeerde handen komt, wordt identiteitsfraude heel gemakkelijk. Met verregaande gevolgen.

Een belangrijk onderdeel van de wet is dat iemand moet kunnen eisen dat zijn of haar gegevens worden verwijderd. De manier waarop ze dat kunnen doen, moet op een gemakkelijk toegankelijke plek worden vermeld. Concreet betekent dit dat er op de website van de vereniging een 'privacy policy' dient te staan. Met daarin een mailadres om het verzoek tot verwijdering van gegevens naar te sturen. Organisaties zijn vervolgens verplicht om dat te doen.

Je zult trouwens ook overeenkomsten moeten sluiten met externe partijen die over de persoonlijke gegevens van jouw vereniging beschikken. Als eigenaar van die gegevens moet jij erop toezien dat deze leveranciers of dienstverleners vertrouwelijk met die data omgaan. Denk dan bijvoorbeeld aan een externe beheerder van de website of de drukker die het clubblad verstuurt. Met die externe partijen moet je een officiële verwerkersovereenkomst afsluiten. Zeg maar een verklaring van zorgvuldig gedrag.

Voor een vereniging is dit natuurlijk een flink eisenpakket om aan te voldoen. Daarom heeft de stichting AVG voor verenigingen een speciaal stappenplan ontwikkelt. Dit hulpmiddel wordt voor een tarief van € 15 per jaar via de KNMO aan alle aangesloten verenigingen aangeboden. Dus ook alle leden van de BBM kunnen van deze aanbieding gebruikmaken.

In één tot anderhalve dag kun je dan een groot deel van de stappen die de AVG voorschrijft, doorlopen. Waarbij je ook standaarddocumenten van bijvoorbeeld de 'privacy policy' en de verwerkersovereenkomst vindt. Het invullen van de specifieke zaken van de vereniging is dan voldoende.

Buiten deze één tot anderhalve dag dient er nog wel het nodige geïnformeerd te worden. Leden moeten specifiek op de hoogte worden gebracht over hoe de vereniging voortaan omgaat met persoonlijke gegevens. En procedures, regels en beleid moeten worden gecommuniceerd. Een traject waar meer tijd in gaat zitten. Ook de contracten met de externe partijen kosten misschien meer inspanning. Maar de basis is met het stappenplan zeker gelegd.

Meer informatie en het aanmeldformulier voor het 15-stappenplan van de stichting AVG voor Vereniging vind je bij de KNMO.