Alles over de privacywet – de AVG

Wat zijn persoonsgegevens?

De AVG gaat over alle gegevens die te herleiden zijn tot een specifiek persoon. Dit gaat niet alleen om een naam of een adres, maar ook om bijvoorbeeld een foto of het IP-adres van een computer. U mag persoonsgegevens alleen gebruiken als u daarvoor een geldige reden heeft: een zogenoemde ‘grondslag’.

Sommige persoonsgegevens zijn extra beschermd vanwege hun gevoelige aard, zoals een geloofsovertuiging, medische status, etnische afkomst of vakbondslidmaatschap. Dit worden ‘bijzondere persoonsgegevens’ genoemd. Het verzamelen van deze gegevens is in de meeste gevallen verboden.

Voor de hele EU gelden dezelfde regels. In het Engels: General Data Protection Regulation (GDPR).

Wat zijn de regels?

De AVG gaat over (a) het verzamelen, (b) het bewaren, en (c) het delen van persoonsgegevens.

• U mag persoonsgegevens alleen maar verzamelen als u daar een ‘grondslag’ voor heeft.
• U mag persoonsgegevens alleen maar gebruiken voor een bepaald doel. En niet daarna voor nog een ander doel.
• U mag niet méér persoonsgegevens verzamelen dan strikt noodzakelijk is voor dat doel. Verstuurt u een nieuwsbrief? Dan hoeft u van de abonnees geen telefoonnummers te noteren.
• U mag de gegevens niet langer bewaren dan noodzakelijk is.
• U moet de gegevens veilig bewaren. Niet alle medewerkers hoeven toegang te hebben tot de adressen.
• U mag de gegevens alleen maar delen met derden als daar een geldige reden voor is. Geef dus niet zomaar uw klantenbestand aan een organisatie die een evenement wil organiseren in uw kerkgebouw. Voorkom ‘datalekken’.
• Uw contacten hebben recht op inzage in de gegevens die u van hen bewaart.
• Uw contacten mogen u verzoeken de gegevens aan te passen, over te dragen en/of te verwijderen.
• Iedereen heeft recht op duidelijke informatie over hoe u met persoonsgegevens omgaat. U maakt daarom een ‘privacyverklaring’.

Wat is een grondslag?

Een grondslag is een voor de wet geldige reden om persoonsgegevens te verzamelen en te gebruiken:

• U kunt bewijzen dat u expliciet toestemming heeft van de persoon. Bijvoorbeeld: de aanmelding voor de nieuwsbrief
• Het is noodzakelijk voor het uitvoeren van een overeenkomst. Bijvoorbeeld: een arbeidscontract, de reservering van een toegangskaartje
• Het is noodzakelijk om aan een wettelijke verplichting te kunnen voldoen. Bijvoorbeeld voor een rechtszaak
• Het gaat om een zaak van leven en dood. Bijvoorbeeld bij een ongeval
• Het is noodzakelijk voor het algemeen belang en de openbare orde – en alleen als u ertoe gerechtigd bent. Bijvoorbeeld: de gemeente mag een toezichtscamera ophangen, als particulier mag u dat niet.
• U kunt aantonen dat u er een andere, heel goede reden voor heeft. Bijvoorbeeld: er zijn sterke aanwijzingen voor fraude in uw organisatie en u wilt dit onderzoeken

Wat is een datalek?

Soms komen persoonsgegevens in handen van anderen terecht (‘datalek’) of bestaat het risico daarop (‘veiligheidslek’).

Gaat het om grote hoeveelheden informatie, om gevoelige informatie, of kunnen de betrokkenen schade oplopen, dan bent u verplicht het lek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens (AP) en/of bij de betrokkenen.

Wat is een privacyverklaring?

Een privacyverklaring is er vooral voor uw publiek. Uw relaties willen graag weten welke gegevens u van hen bewaart en hoe u daarmee omgaat. In een privacyverklaring legt u vast:

• Wat voor soort organisatie heeft u precies? Is uw organisatie een particuliere stichting, een bedrijf, een overheidsinstelling? Valt het misschien onder een andere organisatie – die toegang heeft tot uw administratie?
• Welk soort persoonsgegevens verzamelt en gebruikt uw organisatie?
• Hoe komt u aan die gegevens?
• Op welke grondslagen verzamelt en gebruikt u die gegevens?
• Kunt u garanderen dat er veilig mee wordt omgegaan?
• Met welke partijen deelt u de gegevens, en voor welke doeleinden?
• Zijn er ook partijen buiten de EU waar u gegevens mee deelt? Daar is de AVG namelijk niet van toepassing.
• Verzamelt u gegevens zoals IP-adressen via het bezoeken van uw website? (cookies, statistieken)

In het privacyregelement hoort u ook te melden dat mensen het recht hebben op inzage, aanpassen en verwijderen van hun gegevens. Ook publiceert u het contactadres van uw privacyfunctionaris.

Het privacyreglement publiceert u op uw website. Check af en toe of het nog actueel is.

Let op: een privacyverklaring is geen privacybeleid. Achter de schermen moet alles natuurlijk daadwerkelijk goed geregeld zijn.

Wat is een privacyfunctionaris?

Grote organisaties zijn verplicht een privacyfunctionaris aan te stellen: een persoon die erop toeziet dat alle privacyregels goed worden toegepast en nageleefd. Ook voor kleinere organisaties is het verstandig iemand aan te wijzen die zich verdiept in de privacywetgeving en regelmatig controleert of alles goed verloopt.

Wat is een verwerkingsregister?

Werkt u vaak met persoonsgegevens? Bijvoorbeeld voor de salarisadministratie? In een ‘verwerkingsregister’ legt u nauwkeurig vast hoe u dat doet.

Wat is verwerkingsverantwoordelijkheid?

Heeft u een bureau ingeschakeld uw voor financiële administratie of voor het organiseren van evenementen? Of maakt u gebruik van een online dienst voor uw digitale nieuwsbrief? In dat geval deelt u persoonsgegevens met derden. De afspraken over het gebruik van deze gegevens legt u vast in een ‘verwerkingsovereenkomst’. Let op: u blijft zelf ‘verwerkingsverantwoordelijk’.

Hoe zit het met portretten?

Afbeeldingen waarop mensen herkenbaar staan afgebeeld, vallen ook onder de AVG. U mag dus bijvoorbeeld niet zomaar een foto van een kerkbezoeker delen op sociale media; hiervoor is altijd toestemming nodig.

Foto’s van iemand die in een openbare functie optreedt, zoals een directeur die een tentoonstelling opent, mogen meestal wel zonder toestemming worden gepubliceerd.

Daarnaast kan het portretrecht van van toepassing zijn. Het portretrecht is onderdeel van het auteursrecht en beschermt de geportretteerde tegen ongewenst gebruik van zijn of haar beeltenis.