fotolijn

Privacywetgeving (AVG / GDPR)

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze nieuwe privacywet, internationaal de General Data Protection Regulation (GDPR) genoemd, geldt in de hele Europese Unie en gaat onder andere over het bewaren en beschermen van persoonsgegevens. Hoewel veel afspraken al opgenomen zijn in de Nederlandse wet bescherming persoonsgegevens (Wbp), is die wet vanaf dan niet meer geldig. De nieuwe Europese privacywetgeving heeft daarom ook impact op Scouting. 

Wat verandert er?

Alle organisaties in de EU, dus ook Scouting, moeten nadenken over en vastleggen welke persoonsgegevens van vrijwilligers en leden ze bewaren en hoe ze die beveiligen. De wet kent drie belangrijke thema’s:

  1. Het bewaren van persoonsgegevens
  2. Het beschermen van persoonsgegevens
  3. Het melden van datalekken melden bij de toezichthouder

Alle afspraken die een organisatie hierover maakt, moeten worden vastgelegd in een beleidsplan dat inzichtelijk is voor leden. Hiermee voldoe je aan de verplichting in de wet die voorschrijft dat je moet aantonen dat je aan de wetgeving voldoet. 

Wat betekent dit voor jouw groep, regio of organisatieonderdeel?

Bij Scouting staan de algemene afspraken omtrent het bewaren en beschermen van persoonsgegevens beschreven in het Privacybeleid Scouting Nederland . Hierin staat ook vermeld hoe we omgaan met het melden van datalekken. Het hebben en naleven van dit beleid is voor alle organisatieonderdelen van belang. De toezichthouder kan torenhoge boetes uitdelen - ook aan verenigingen! - als niet aan de wetgeving is voldaan. Als groep of regio heb je daarmee nog niet aan alle 'eisen' voldaan. We adviseren Scoutingorganisaties om de volgende acties te ondernemen:

  • Stap 1 - Maak het bespreekbaar: Maak binnen je organisatie het onderwerp Privacy en het omgaan met persoonsgegevens bespreekbaar. Zet het onderwerp daarom op de agenda van de groepsraad, de regioraad of organiseer eens een thema-avond. Maak met elkaar een inventarisatie van de systemen en processen binnen de organisatie, waarbij je te maken hebt met persoonsgegevens. Leg de afspraken vast in een eigen verwerkingsregister. De  Checklist privacy  kan helpen om inzicht te geven in wanneer je met persoonsgegevens bezig bent en of je op dat moment die gegevens ook daadwerkelijk kan en mag gebruiken. Het format verwerkingsregister kun je aanpassen en gebruiken om de afspraken in vast te leggen.

  • Stap 2 - Informeer je leden met jullie eigen 'privacybeleid': Het allerbelangrijkste van de Privacywetgeving is dat je als organisatie bewust nadenkt over het omgaan met persoonsgegevens. De keuzes die je maakt, dienen beschreven te worden. Binnen Scouting maken we gebruik van Scouts Online als administratieve applicatie. Het grootste deel van de 'verwerkingen' van persoonsgegevens, vinden hier plaats. Daarom heeft Scouting Nederland een groot deel van het werk al voor je gedaan en zijn alle afspraken omtrent Scouts Online vastgelegd in het  Privacybeleid Scouting Nederland . Het voldoet echter niet om alléén naar dit document te verwijzen; je hebt als organisatie namelijk nog eigen werkwijzes, afspraken en systemen naast Scouts Online. Je dient de afspraken die je over deze systemen en werkwijze maakt, vast te leggen in je eigen, aanvullende 'privacybeleid'. 
    Hierin beschrijf je in ieder geval de volgende punten:
    • Een verwijzing naar het Privacybeleid van Scouting Nederland;
    • Een toelichting over het gebruik van eventuele inschrijfformulieren voor het lidmaatschap op papier of op de website; 
    • Een toelichting over het gebruik van eventuele inschrijfformulieren voor activiteiten en kampen op papier of de website;
    • Een toelichting over het gebruik van gezondheidsformulieren en/of registratie van bijzondere persoonsgegevens;
    • Een toelichting over het gebruik van andere systemen dan Scouts Online en bovengenoemd, bijvoorbeeld voor de financiën, cookies op de website en een e-mailnieuwsbrief;
    • Een toelichting over het gebruik van eventuele (hard-copy) ledenlijsten buiten Scouts Online;
    • Een toelichting over de omgang met beeldmateriaal (foto's, video) van leden;
    • Een toelichting op de gegevens die buiten de organisatie worden verwerkt (welke gegevens worden (extern) gedeeld? Zie ook stap 3);
    • Een beschrijving van de communicatie over jullie privacybeleid (hoe worden leden geïnformeerd?);

Per punt beschrijf je in ieder geval beknopt:
1. Welke gegevens ga ik verwerken en van wie? 
2. Welke verwerkingen doe je, wat is het doel en wat is de grondslag? 
3. Waar bewaar je de gegevens, hoe lang en hoe zijn ze beveiligd?
4. Wie verwerkt de gegevens, wie heeft er inzicht in de gegevens en welke afspraken heb je met hen gemaakt?
5. Hoe heeft de persoon zelf inzicht in de gegevens en hoe kunnen ze die opvragen / wijzigen?
6. Hoe informeer je personen over het gebruik van hun gegevens? 
7. En eventueel: deel je gegevens met derden en welke afspraak heb je hierover gemaakt (overeenkomst)? (zie ook stap 3)

Download de  Checklist Privacy & verwerkingen . Deze checklist helpt je bij het beantwoorden van bovenstaande vragen. 
Voor meer informatie over stap 2 lees je ook 'Bewaren van persoonsgegevens'.

Omdat de situatie per groep verschilt, is er geen standaard format beschikbaar. Wel hebben we enkele voorbeelden verzameld van Privacybeleidsdocumenten voor lokale groepen

  • Stap 3 - Denk na over de gegevens die je deelt: Deel je persoonsgegevens binnen of buiten je organisatie? Kijk na welke gegevens je kan en mag delen en ga na of hiervoor een overeenkomst nodig is. Beschrijf ook dit in het privacybeleid van je groep, zoals vermeld onder stap 2. 

  • Stap 4 - Meld datalekken: Zorg voor een afspraak binnen je organisatie zodat voor iedereen duidelijk is wanneer er sprake is van een datalek en weet hoe je dit moet melden bij Scouting Nederland. Beschrijf ook dit in het privacybeleid van je groep, zoals vermeld onder stap 2. 

Hieronder volgt een toelichting op bovengenoemde aspecten uit de wet- en regelgeving omtrent privacy. Hoewel we de informatie zo beknopt en begrijpelijk mogelijk hebben geprobeerd te houden, is het veel informatie. We adviseren je om binnen het organisatieonderdeel waar je actief bent een kleine werkgroep te starten die zich verdiept in dit thema en bijvoorbeeld een toelichting kan geven tijdens een groepsraad. Zijn er na het lezen nog vragen, neem dan contact op via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.

Let op: de Europese privacywetgeving (GDPR) geeft individuele landen de mogelijkheid aanvullende / specifieke wetgeving voor het land te ontwikkelen. Nog niet alle gevolgen zijn daarom duidelijk of voldoende uitgewerkt. De informatie op deze pagina zal daarom in de loop van 2018 verder worden aangevuld wanneer nodig. 


Hoe werkt dat precies, die privacywet?

1. Bewaren van persoonsgegevens

Bij Scouting in Nederland werken we met Scouts Online als administratieve applicatie waarin de ledenadministratie centraal geregeld is. In het Privacybeleid staat uitgelegd welke gegevens er worden geregistreerd en welke gegevens in principe niet. Is daarmee alles voor je groep of regio geregeld? Het antwoord op die vraag is nee. Je hebt als organisatie zelf ook een rol in de wijze waarop je werkt met Scouts Online en eventueel andere systemen. Zo zijn er mogelijkheden om aanvullende gegevens te registreren bij leden. Welke informatie vul je daar in? En welke informatie vraag je aan een nieuw lid dat zich via een webformulier of papieren formulier aanmeldt bij je groep? Welke gegevens zijn nodig om goed te kunnen functioneren als organisatie en waar hou je die bij? Kortom: welke persoonsinformatie heb je als Scoutingorganisatie minimaal nodig om alles binnen de organisatie goed te kunnen regelen? Is het bijvoorbeeld noodzakelijk dat je weet wie van de leden medicijnen gebruikt? Wijk je – binnen de wettelijke kaders - af van het landelijk geldende Privacybeleid? Dan is het belangrijk dat je dit als organisatieonderdeel vastlegt en dit met je leden communiceert, zoals de AVG beschrijft. Dit kan via een pagina op je website of in je lidmaatschapsinformatie. In deze informatie kun je tevens verwijzen naar het algemene Privacybeleid van Scouting Nederland. Daarvoor kun je de volgende voorbeeldtekst gebruiken:

"Als Scoutingorganisatie verwerken wij persoonsgegevens om onze vereniging te kunnen organiseren, activiteiten uit te kunnen voeren en contact te hebben met onze leden. De gegevens van leden worden opgenomen in ons ledenadministratiesysteem Scouts Online. Als lid heb je zelf altijd inzicht in je eigen gegevens en heb je de mogelijkheid deze te bewerken of gegevens af te schermen. Hoe we met je gegevens omgaan staat beschreven op www.scouting.nl/privacy."

Wat je verder moet weten:

2. Bescherming van persoonsgegevens

De bescherming van gegevens (data) gaat over meer dan alleen het aanstellen van een gegevensbeheerder en het beveiligen van de systemen waar de persoonsgegevens op staan. Bij Scouting gaat de ‘landelijk gegevensbeheerder’ (Scouting Nederland dus) over wie wel en wie geen gebruik mag maken van de persoonsgegevens. Dit is uitgewerkt in de verschillende rollen in Scouts Online met voor iedere rol eigen rechten. De gegevensbeheerder van het organisatieonderdeel gaat over de rollen en rechten die via Scouts Online in de organisatie worden toegekend.

Het beschermen van persoonsgegevens gaat verder dan Scouts Online. Zo zul je als organisatie ook afspraken moeten maken met bijvoorbeeld drukkers en andere leveranciers of dienstverleners die gebruik maken van de bestanden bij bijvoorbeeld het verspreiden van clubblad of digitale nieuwsbrief. Belangrijk is dat je vastlegt in een overeenkomst dat zij de bestanden vernietigen na gebruik. Je kunt hiervoor gebruik maken van de voorbeeldovereenkomst die je hier kunt downloaden.

Het is niet nodig dat leden voor ieder gebruik van hun gegevens apart toestemming moeten geven. Het moet uiteraard wel duidelijk zijn wat er met hun gegevens gebeurt. Het is goed als je dit aangeeft bij je inschrijfformulier. Ook moet er een mogelijkheid zijn dat mensen bezwaar kunnen maken tegen het gebruik van hun persoonsgegevens; in Scouts Online kun je hiervoor in de basistab aangeven dat persoonsgegevens verborgen moeten zijn. Het gebruik van gegevens is dan beperkt voor de mensen waar het strikt noodzakelijk voor is en om je organisatie te runnen: de penningmeester moet een factuur kunnen sturen en de teamleider moet een ouder kunnen bellen in geval van nood.

Leden kunnen ook zelf de zichtbaarheid van hun gegevens instellen in de basistab van hun profiel in Scouts Online. Ga daarvoor in Scouts Online naar Mijn Scouting - Mijn basisgegevens. 

3. Datalekken

In de nieuwe wetgeving is het verplicht om datalekken te melden. Zijn er ondanks alle zorgvuldigheid toch persoonsgegevens op straat terecht gekomen? Dan moet dat gemeld worden  bij de Autoriteit Persoonsgegevens (AP). Omdat gegevens in basis geregistreerd worden in Scouts Online is Scouting Nederland de contactpersoon voor de Autoriteit Persoonsgegevens. Is er sprake van een datalek in jouw groep, regio of organisatieonderdeel? Dan dien je dit te melden bij Scouting Nederland via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Zie voor meer info de Procedure datalekken (verwerkers) .

Na melding van een datalek heeft Scouting Nederland een informatieplicht die voorschrijft dat leden worden geïnformeerd over wat er met hun persoonsgegevens is gebeurd. Samen met de betrokken organisatieonderdelen worden de vervolgstappen besproken.

Beveiliging Scouts Online

De laatste jaren hebben veel gespecialiseerde scouts meegewerkt om Scouts Online te laten voldoen aan alle wet- en regelgeving rondom privacy. Gegevens worden goed beveiligd en je kunt alleen die gegevens zien waarop je recht hebt. De verschillende rollen zijn niet altijd makkelijk, maar wel bedoeld om het werken met privacygevoelige informatie zo veilig mogelijk te maken. Misschien is het je al opgevallen dat je bij het exporteren van een ledenlijst een melding krijgt over het downloaden, bewaren of verspreiden van gegevens. Ook hier draait het om bewustwording: je kunt de gegevens die je exporteert zelf verwerken voor het doel dat je hebt. Het delen van die gegevens met iemand anders in je groep die zelf niet bij deze gegevens kan, is dus niet de bedoeling.

Alles over privacy en Scouting

Het privacystatement en privacybeleid van Scouting Nederland en andere praktische informatie rondom dit onderwerp vind je terug op www.scouting.nl/privacy. De informatie over dit onderwerp op deze pagina wordt aangevuld op basis van vragen die we van scouts krijgen. Zijn er zaken onduidelijk? Mail ons dan op Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Alle downloads die je nodig hebt op een rijtje: