Ga naar de hoofdcontent Pijl naar beneden icoon

AVG in de praktijk

De Algemene Verordening Gegevensbescherming (AVG) is nu bijna een jaar van kracht. De uitvoering is niet altijd eenvoudig. PGOsupport beantwoordt veelgestelde vragen van organisaties.

Het goede nieuws is dat privacybescherming nu meer aandacht krijgt. Keerzijde van de medaille is de stress die de AVG kennelijk bij organisaties oplevert. Want, o wee, wat als we er niet aan voldoen?

Geen paniek

Organisaties zijn soms wat overbezorgd. Dat is niet nodig, zolang je het 10-stappen-plan volgt.

Toch is de praktijk weerbarstiger. De regels zijn weliswaar bekend, maar er is veel grijs gebied. Hoe pas je de regels dan toe? Daarover krijgt PGOsupport veel vragen. De meestgestelde vragen beantwoorden we hieronder.

Mag je gezondheidsvragen noteren en intern doorgeven?

De patiënten- of cliëntenorganisatie is een geweldige vraagbaak. Patiënten, cliënten en naasten weten ze met hun vragen over zorg en behandeling wel te vinden. De contactpersoon die zo’n vraag ontvangt, kan die niet altijd zelf beantwoorden. Mag je de vraag en gegevens dan noteren en doorsturen naar de juiste ervaringsdeskundige?

Ja, dat mag, als dat zorgvuldig gebeurt. Bijvoorbeeld op de volgende manier, zoals een collega-organisatie in een protocol heeft vastgelegd:

  • Vraag de beller, e-mailer of het goed is om de persoonsgegevens en gezondheidsgegevens te noteren, zodat een deskundige later contact kan opnemen.
  • Krijg je geen toestemming, dan kun je helaas niet helpen en vernietig je alle persoonsgegevens.
  • Krijg je wel toestemming om de vraag te noteren, koppel de gezondheidsgegevens dan na beantwoording los van de algemene persoonsgegevens. Dan kun je wel bijhouden waarover zoal vragen worden gesteld, maar zijn de gegevens niet herleidbaar tot een persoon.

Mogen vrijwilligers persoonsgegevens zonder extra beveiliging via e-mail verwerken?

Deel bij voorkeur geen bestanden met persoonsgegevens via e-mail, maar organiseer dat vrijwilligers en werknemers de gegevens die voor hen bedoeld zijn, kunnen opvragen door in te loggen in een beveiligde omgeving.

Als mailen van persoonsgegevens echt de enige optie is, dan moet dit met aanvullende (technische) beveiliging.

Mag je de volledige geboortedatum vastleggen voor doelgroepenbenadering?

De AVG gaat ervan uit dat je alleen de hoogstnoodzakelijke persoonsgegevens vastlegt voor het doel dat je ermee hebt. Bij een doelgroepenbenadering is geboortejaar meestal voldoende. Vraag dan alleen daarnaar. De AVG stelt namelijk dat je persoonsgegevens alleen mag verwerken als je het doel niet redelijkerwijs op een andere manier kunt bereiken. In dit geval kan dat makkelijk door alleen het geboortejaar vast te leggen en niet de volledige geboortedatum.

Hoe ga je om met het recht om vergeten te worden?

De Autoriteit Persoonsgegevens beschrijft zelf duidelijk hoe om te gaan met verzoeken over verwijdering van persoonsgegevens, ook wel het recht op vergetelheid genoemd.

Hoe leg je vast wie bij welke persoonsgegevens mag in het CRM-systeem?

Een CRM-systeem is per definitie een middel om persoonsgegevens mee te verwerken. Heb je bovenliggend alles goed geregeld, zoals in ons 10-stappenplan staat, dan mogen vrijwilligers en medewerkers persoonsgegevens in het CRM-systeem verwerken. Uiteraard alleen voor de doelen waarvoor de geregistreerden hun toestemming hebben gegeven.

Mag je e-mailadressen van donateurs in Facebook laden om vrienden-van-vrienden te bereiken?

Nee, dat mag niet. De vrienden van je donateurs hebben geen toestemming gegeven om ze te benaderen.

Hoe kun je toestemming krijgen voor het registreren van bijzondere persoonsgegevens?

Toestemming kun je krijgen door erom te vragen. Dat kan met een leeg aanvinkhokje (dus niet vooraf ingevuld) op een formulier: [ ] ik geef toestemming om de hierboven ingevulde gegevens te verwerken voor {het doel}. Zodat mensen expliciet hun toestemming kunnen geven, maar dat niet verplicht zijn te doen.

Moet je betrokkenen op de hoogte brengen wanneer je de privacyverklaring bijstelt?

De actuele privacyverklaring behoort altijd op de organisatie-website te staan. Het is niet nodig om iedere aanpassing te melden aan betrokkenen. Bij grote wijzigingen is dat wel netjes om te doen.

Wat moeten we als de verwerkersovereenkomst van een leverancier ons niet aanstaat?

Sommige leveranciers sporen organisaties aan om hun model verwerkersovereenkomst maar te accepteren. Soms staan er bijvoorbeeld voorwaarden over aansprakelijkheid in die je liever niet accepteert. Wat dan? In het uiterste geval zoek je een andere leverancier. Vaak valt er dan wel over te praten. Bijvoorbeeld om de model verwerkersovereenkomst te gebruiken uit ons 10-stappenplan. Zie ons eerdere artikel over de verwerkersovereenkomst.

Hoe beheer je de verwerkersovereenkomsten?

Vooral als een organisatie veel verwerkersovereenkomsten heeft, is het beheer een fikse klus. Je moet immers bijhouden wanneer een overeenkomst vervalt of verandert. Het register gegevensverwerking helpt je daarbij. Dat register is je werkdocument om alle acties voor de AVG in bij te houden. Een modelregister gegevensverwerking vind je in het 10-stappenplan.

Onder de tab Informatie gegevensverwerking kun je vanaf rij 58 vastleggen wie er allemaal voor je organisatie gegevens verwerken, medewerkers uitgezonderd. Zet je er de datum van verwerkersovereenkomst erbij, dan heb je een mooi overzicht.

Check dit register periodiek op actualiteit. Veranderen jullie bijvoorbeeld van drukker, dan kun je die wijziging hier vastleggen en zie je wie je moet vragen om de persoonsgegevens te verwijderen.

Hoe zorg je dat vertrekkende vrijwilligers alle persoonsgegevens verwijderen? Je kan toch moeilijk hun laptop controleren?

Het controleren is lastig. Je kunt in ieder geval vertrekkende vrijwilligers per e-mail op het hart drukken om persoonsgegevens die zij nog in bezit hebben te vernietigen. Neem dit op in jullie protocol. Daarmee kun je aantonen dat je organisatie al het mogelijke doet om zorgvuldig met persoonsgegevens om te gaan.

Hoelang mag je persoonsgegevens bewaren nadat een lid/donateur heeft opgezegd?

De AVG stelt dat je persoonsgegevens zo kort mogelijk bewaart, zonder termijn te noemen. Gebruikelijk is 1 of maximaal 2 jaar. Is de termijn verstreken, dan vernietig je de persoonsgegevens en mag je de voormalige leden/donateurs niet meer benaderen. Dat kan ook niet, want je hebt de gegevens niet meer!

Moeten wij een Functionaris Gegevensbescherming (FG) aanstellen?

Die kans is klein, want inmiddels stelt de AVG dat een Functionaris Gegevensbescherming in de zorg pas nodig is bij gegevensverwerking vanaf 10.000 personen.

Meer vragen over de AVG?

Heb jij andere vragen over de AVG? Of wil je meer weten? Martine Versluijs helpt je graag. Neem even contact op.