“Niet altijd nodig om alle informatie op te slaan”

Romy Hamelink over de bescherming van persoonsgegevens bij MEO. De Europese Algemene verordening gegevensbescherming (AVG) is 25 mei 2018 in werking getreden. De privacywetgeving is dan overal in de Europese Unie hetzelfde. Wat houdt dat eigenlijk in? Wat betekent dit voor MEO en haar klanten? We spreken met Romy Hamelink, coördinator Backoffice bij MEO en binnen de organisatie verantwoordelijk voor het privacybeleid.

De AVG vervangt sinds 25 mei de Wet bescherming persoonsgegevens (Wbp). “Deze verandering is heel logisch. Vroeger stonden gegevens voornamelijk op fysieke dragers, zoals cd’s en harde schijven, die makkelijk vernietigd konden worden. Tegenwoordig is alles opgeslagen in de cloud, waardoor data nooit meer zomaar te verwijderen zijn. De komst van de nieuwe privacywet AVG gaat voor meer bewustzijn zorgen bij organisaties”, vertelt Romy.

De ethiek van het opslaan van persoonsgegevens vindt Romy belangrijk: “De AVG geeft de kaders weer waarin een organisatie zich mag bewegen, maar vanuit de organisatie zelf vind ik het belangrijk dat er ook kritisch wordt gekeken waarom je iets doet. Is het wel nodig om alle informatie op te slaan? De AVG helpt bij die kritische blik. Transparant werken vind ik belangrijk. Hier hebben privacybewuste medewerkers een grote rol in. Daarvoor moeten we ons niet alleen aan de regels houden, maar ook het belang zien voor MEO en voor onze klanten.”

De AVG verschilt vooral van de Wbp omdat er strengere controles en hogere boetes zijn. Bovendien moet meer vastgelegd worden, want een organisatie moet aan kunnen tonen bewust met gegevensbescherming bezig te zijn. Het is dus noodzakelijk dat dit op orde is.

Verantwoordelijkheid

Hoe zit dat als een andere partij je gegevens verwerkt, bijvoorbeeld als je de backoffice hebt uitbesteed? “In de basis is het zo dat elke organisatie, dus ook een non-profit, zelf verantwoordelijk is voor de eigen data. Wel zijn er verschillende manieren om de samenwerking duidelijk in kaart te krijgen, bijvoorbeeld door het opstellen van een verwerkingsovereenkomst. Zo kan je ook je samenwerkingspartners verantwoordelijk stellen voor hun aandeel in de gegevensverwerking.”

“Om voor MEO de risico’s met betrekking tot privacy in kaart te brengen, hebben we gebruik gemaakt van een Privacy Impact Assessment (PIA). Hiermee krijg je meer grip op de huidige situatie. Het heeft geholpen om een volledig overzicht van alle verzamelde data te krijgen. Het uitvoeren van een PIA kan ik elke organisatie aanraden, omdat je er zo bewust mee bezig gaat en erachter komt dat er meer data is dan je denkt.”

Ondersteuning voor verenigingen en stichtingen

De AVG bestaat uit veel verschillende onderdelen, zoals onder andere het onderscheid tussen typen persoonsgegevens en de gebruiksdoelen ervan. “Alle onderdelen zijn belangrijk, maar de bewustwording waarmee het een en ander wordt vastgesteld, is het meest belangrijk voor verenigingen. Ik hoop ook in het algemeen dat ze hierdoor minder gegevens op gaan slaan, namelijk alleen wat ze écht nodig hebben.”

Als er sprake is van grootschalige verwerking van gegevens, dient een organisatie een Functionaris Gegevensbescherming (FG) in te schakelen of aan te stellen. Het is op dit moment echter niet duidelijk wanneer precies sprake is van grootschalige verwerking, waardoor het ook nog niet duidelijk is of binnen vrijwilligersorganisaties zo’n functionaris aangesteld moet worden. Er kan altijd vrijwillig voor gekozen worden om een FG in te schakelen, maar voor kleinere organisaties met veel bestuurswisselingen is het niet waarschijnlijk dat een FG verplicht zal worden.

“Voor de klanten van MEO hebben we verwerkingsovereenkomsten aangepast en in een hand-out uitgelegd waar hun data wordt opgeslagen. Verder zie ik voor mezelf de rol om verenigingen, of ze nu klant zijn of niet, te helpen bij vragen omtrent de AVG. Ik kan me voorstellen dat het behoorlijk heftig is voor het bestuur van een vereniging om aan alle wetgeving te voldoen en overal van op de hoogte te zijn. MEO heeft hier altijd een ondersteunende rol in.”

Heb je vragen over de AVG? Neem dan contact met ons op.