fotolijn

Privacywetgeving (AVG / GDPR)

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze nieuwe privacywet, internationaal de General Data Protection Regulation (GDPR) genoemd, geldt in de hele Europese Unie en gaat onder andere over het bewaren en beschermen van persoonsgegevens. Hoewel veel afspraken al opgenomen zijn in de Nederlandse wet bescherming persoonsgegevens (Wbp), is die wet vanaf dan niet meer geldig. De nieuwe Europese privacywetgeving heeft daarom ook impact op Scouting. 

Wat verandert er?

Alle organisaties in de EU, dus ook Scouting, moeten nadenken over en vastleggen welke persoonsgegevens van vrijwilligers en leden ze bewaren en hoe ze die beveiligen. De wet kent drie belangrijke thema’s:

  1. Het bewaren van persoonsgegevens
  2. Het beschermen van persoonsgegevens
  3. Het melden van datalekken melden bij de toezichthouder

Alle afspraken die een organisatie hierover maakt, moeten worden vastgelegd in een beleidsplan dat inzichtelijk is voor leden. Hiermee voldoe je aan de verplichting in de wet die voorschrijft dat je moet aantonen dat je aan de wetgeving voldoet. Je bent bezig met persoonsgegevens of privacygevoelige informatie als je…

  • … een mailtje wilt sturen naar leden van alle groepen in de buurt.
  • … als penningmeester een factuur stuurt.
  • … vragenlijsten en onderzoeken verstuurt.
  • … een ledenlijstje exporteert om op het clubhuis neer te leggen.
  • … als speltak een lid informeert over de opkomsten.
  • … als gegevensbeheerder de ledenadministratie up-to-date houdt.
  • … een gezondheidsformulier wilt bewaren.
  • … aanmeldingen van een activiteit bij de groep of regio verzamelt.
  • … e-mails en nieuwsbrieven verstuurt.

Wat betekent dit voor jouw groep, regio of organisatieonderdeel?

Bij Scouting staan de algemene afspraken omtrent het bewaren en beschermen van persoonsgegevens beschreven in het Privacybeleid Scouting Nederland. Hierin staat ook vermeld hoe we omgaan met het melden van datalekken. Het hebben en naleven van dit beleid is voor alle organisatieonderdelen van belang. De toezichthouder kan torenhoge boetes uitdelen - ook aan verenigingen! - als niet aan de wetgeving is voldaan. We adviseren Scoutinggroepen om de volgende acties te ondernemen:

  • Maak het bespreekbaar: Maak binnen je organisatie het onderwerp Privacy en het omgaan met persoonsgegevens bespreekbaar. Bewustwording is erg belangrijk, kijk maar eens naar de punten die hierboven zijn genoemd als het gaat om wanneer je met privacygevoelige informatie bezig bent. De Checklist privacy  kan hierbij helpen.
  • Informeer je leden: Voeg in de informatie die je als organisatie aan (nieuwe) leden verstrekt toe hoe je omgaat met persoonsgegevens. In basis kun je verwijzen naar het  Privacybeleid  van Scouting Nederland. Wijk je af van de algemene afspraken? Beschrijf dit dan op die plek en communiceer dit met je leden. Zie ook 'Bewaren van persoonsgegevens'. Informeer ook bezoekers van je website over hoe je omgaat met bijvoorbeeld cookies
  • Denk na over de gegevens die je deelt: Deel je persoonsgegevens binnen of buiten je organisatie? Kijk na welke gegevens je kan en mag delen en ga na of hiervoor een overeenkomst nodig is.
  • Meld datalekken: Zorg voor een afspraak binnen je organisatie zodat voor iedereen duidelijk is wanneer er sprake is van een datalek en weet hoe je dit moet melden bij Scouting Nederland.

Hieronder volgt een toelichting op bovengenoemde aspecten uit de wet- en regelgeving omtrent privacy. Hoewel we de informatie zo beknopt en begrijpelijk mogelijk hebben geprobeerd te houden, is het veel informatie. We adviseren je om binnen het organisatieonderdeel waar je actief bent een kleine werkgroep te starten die zich verdiept in dit thema en bijvoorbeeld een toelichting kan geven tijdens een groepsraad. Zijn er na het lezen nog vragen, neem dan contact op via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.

Let op: de Europese privacywetgeving (GDPR) geeft individuele landen de mogelijkheid aanvullende / specifieke wetgeving voor het land te ontwikkelen. Nog niet alle gevolgen zijn daarom duidelijk of voldoende uitgewerkt. De informatie op deze pagina zal daarom in de loop van 2017 en 2018 verder worden aangevuld wanneer nodig. 


Hoe werkt dat precies, die privacywet?

1. Bewaren van persoonsgegevens

Bij Scouting in Nederland werken we met Scouts Online als administratieve applicatie waarin de ledenadministratie centraal geregeld is. In het Privacybeleid staat uitgelegd welke gegevens er worden geregistreerd en welke gegevens in principe niet. Is daarmee alles voor je groep of regio geregeld? Het antwoord op die vraag is nee. Je hebt als organisatie zelf ook een rol in de wijze waarop je werkt met Scouts Online. Zo zijn er mogelijkheden om aanvullende gegevens te registreren bij leden. Welke informatie vul je daar in? En welke informatie vraag je aan een nieuw lid dat zich via een webformulier of papieren formulier aanmeldt bij je groep? Welke gegevens zijn nodig om goed te kunnen functioneren als organisatie? Kortom: welke persoonsinformatie heb je als Scoutingorganisatie minimaal nodig om alles binnen de organisatie goed te kunnen regelen? Is het bijvoorbeeld noodzakelijk dat je weet wie van de leden medicijnen gebruikt? Wijk je – binnen de wettelijke kaders - af van het landelijk geldende Privacybeleid? Dan is het belangrijk dat je dit als organisatieonderdeel vastlegt en dit met je leden communiceert, zoals de AVG beschrijft. Dit kan via een pagina op je website of in je lidmaatschapsinformatie. In deze informatie kun je tevens verwijzen naar het algemene Privacybeleid van Scouting Nederland. Daarvoor kun je de volgende voorbeeldtekst gebruiken:

"Als Scoutingorganisatie verwerken wij persoonsgegevens om onze vereniging te kunnen organiseren, activiteiten uit te kunnen voeren en contact te hebben met onze leden. De gegevens van leden worden opgenomen in ons ledenadministratiesysteem Scouts Online. Als lid heb je zelf altijd inzicht in je eigen gegevens en heb je de mogelijkheid deze te bewerken of gegevens af te schermen. Hoe we met je gegevens omgaan staat beschreven op www.scouting.nl/privacy."

Wat je verder moet weten:

Hoe ga je om met persoonsgegevens

Het is binnen Scouting heel gebruikelijk dat we met gegevens van leden werken. Dat moet ook, want op die manier houd je een groep, regio of activiteit draaiende. Bij het verwerken van deze persoonsgegevens moet je je bewust zijn van het feit dat de gegevens van een individueel lid zijn en veel over dat lid zeggen. Door hier onzorgvuldig mee om te gaan, kan je onbedoeld inbreuk maken op iemands privacy. Wees je dus bewust van privacy bij het werken met persoonsgegevens. Ga je aan de slag met persoonsgegevens of heb je voor een bepaalde taak gegevens nodig? Gebruik dan de  checklist , zodat je zeker weet dat je de gegevens voor jouw doel kunt gebruiken.

Sommige gegevens zijn extra gevoelig en vormen daarom een risico voor de privacy van leden. Denk hierbij aan gegevens over gezondheid of godsdienst. Daarom mogen deze ‘bijzondere persoonsgegevens’ niet worden geregistreerd. In het  Privacybeleid  lees je hier meer over. Wil je een voorbeeld van wat je kan en mag vragen? Download dan het voorbeeld  inschrijfformulier nieuwe leden . Ook kan het bijvoorbeeld bij kampen noodzakelijk zijn meer gegevens over bijvoorbeeld de gezondheid binnen handbereik te hebben. Daarvoor is een  gezondheidsformulier  beschikbaar. Een gezondheidsformulier mag alleen gebruikt worden voor het kamp waarvoor deze gegevens zijn verstrekt, daarna moet het worden verwijderd. Daarnaast is het niet toegestaan naar het Burgerservicenummer (BSN-nummer) te vragen.

Gebruik en verstrekken van persoonsgegevens

De persoonsgegevens die zijn geregistreerd in Scouts Online, waaronder het e-mailadres, mogen niet zomaar gebruikt worden. In het document ‘ Beleidsafspraken gebruik en verstrekken van persoonsgegevens ’ lees je welke gegevens volgens de wet door wie gebruikt mogen worden. 

Beeldmateriaal (foto's)

In de nieuwe privacywet wordt niet specifiek beschreven wat wel en wat niet mag als het gaat om beeldmateriaal of fotogebruik. De wet beschrijft wél hoe moet worden omgegaan met beeldmateriaal als deze gebruikt worden voor identificatie met bijvoorbeeld biometrische gegevens, of als een foto een 'bijzonder persoonsgegeven is'. Tegelijkertijd mag een foto niet standaard als bijzonder persoonsgegeven worden aangemerkt. Voor sommige verwerkingen, bijvoorbeeld een map foto's met spelende scouts in het bos zonder vermelding van namen, gelden deze regels dus niet. De regelgeving over het gebruik van foto's wordt verschillend verkondigd. Mag je dan zomaar foto's gebruiken? Nee. Want als organisatie heb je de plicht om zorgvuldig om te gaan met persoonsgegevens en die te beveiligen, in welke vorm dan ook. Voor het gebruik van fotomateriaal geldt dan ook de volgende richtlijn: 

  • Vraag bij inschrijving van het lid éénmalig expliciet toestemming voor het maken en gebruik van foto- en/of videomateriaal; 
  • Geef aan waarvoor je het beeldmateriaal gaat gebruiken en op welke kanalen het materiaal verspreid wordt;
  • Geef aan dat men de toestemming altijd in kan trekken. 

Hiermee geef je als Scoutingorganisatie aan dat je serieus bezig bent met het dit onderwerp en voorkom je onduidelijkheid en ongenoegen op een later moment. Omdat de wet en uitleg van de regelgeving niet op alle vlakken helder is, weet je op deze manier zeker dat je het goed geregeld hebt. De keerzijde is dat je wel uitvoering moet kunnen geven aan het besluit van een ouder als er géén toestemming gegeven wordt. Een lid mag hier geen nadelen van ondervinden. Hier moet je dus afspraken voor maken in je organisatieonderdeel. 

De toestemming kan voor alsnog in Scouts Online worden geregistreerd door hiervoor onder 'Aanvullende lidgegevens' een veld aan te maken.

Voor regio's en landelijke ledenactiviteiten geldt dat zij op het inschrijfformulier van evenementen of activiteiten apart om toestemming moeten vragen, waarbij ook de bovengenoemde punten worden gehanteerd; de toestemming die een lid aan de groep gegeven heeft, geldt hier namelijk niet. 

Naast de regelgeving omtrent privacy geldt voor het maken en gebruiken van beeldmateriaal ook het portret- en auteursrecht. Het  infoblad Portretrecht  geeft hierover meer informatie.

Recht op inzage en recht op vergetelheid

In de privacywetgeving (AVG) is opgenomen dat mensen bij een organisatie kunnen opvragen welke persoonsgegevens de organisatie van hen verwerkt en bewaard. Dit ook wel subject access request (SAR) of inzageverzoek genoemd. Ook geldt het zogenaamde recht op vergetelheid (right to be forgotten (RTBF)). Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene erom vraagt. Dit recht geldt niet altijd, maar alleen in de volgende voor Scouting relevante situaties:

  • Als de persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt;
  • Als een Scoutingorganisatie gegevens van niet-leden gebruikt voor direct marketing, bijvoorbeeld een e-maillijst naar aanleiding van een open dag;
  • Als de betrokkene eerder toestemming heeft gegeven aan de organisatie voor het gebruik van zijn gegevens, maar die toestemming nu intrekt.

Daarnaast geldt een wettelijke bewaartermijn voor gegevens, waar voor verenigingen tevens een uitzonderingssituatie geldt voor oud-leden. De gegevens die niet bewaard mogen blijven worden bij oud-leden automatisch verwijderd uit Scouts Online bij uitschrijving en/of het verlopen van de bewaartermijn.

Indien iemand een inzageverzoek (SAR) doet of een beroep doet op het recht op vergetelheid (RTBF), heeft een organisatie één maand de tijd om aan dit verzoek te voldoen. Daarbij moeten ook derde partijen geïnformeerd worden. Zijn er bijvoorbeeld verzendlijsten uitgewisseld met een externe leverancier voor het verzenden van jullie clubblad? Dan moet die partij de gegevens ook wissen binnen de gestelde termijn. Zijn er persoonsgegevens gepubliceerd via een website? Bijvoorbeeld in een overzicht met bestuursleden of vrijwilligers? Dan moeten ook zoekmachines worden geïnformeerd, zodat gewiste gegevens niet meer verschijnen in de zoekresultaten.

Een inzageverzoek in het kader van SAR of een beroep op het recht op vergetelheid (RTBF) dient altijd te worden ingediend bij de afdeling Juridische zaken van Scouting Nederland via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Dit team draagt zorg voor de afhandeling van het verzoek en betrekt  en ondersteund daarbij de organisatieonderdelen waar de persoon verder toe behoort bij de uitvoering van het verzoek.

2. Bescherming van persoonsgegevens

De bescherming van gegevens (data) gaat over meer dan alleen het aanstellen van een gegevensbeheerder en het beveiligen van de systemen waar de persoonsgegevens op staan. Bij Scouting gaat de ‘landelijk gegevensbeheerder’ (Scouting Nederland dus) over wie wel en wie geen gebruik mag maken van de persoonsgegevens. Dit is uitgewerkt in de verschillende rollen in Scouts Online met voor iedere rol eigen rechten. De gegevensbeheerder van het organisatieonderdeel gaat over de rollen en rechten die via Scouts Online in de organisatie worden toegekend.

Het beschermen van persoonsgegevens gaat verder dan Scouts Online. Zo zul je als organisatie ook afspraken moeten maken met bijvoorbeeld drukkers en andere leveranciers of dienstverleners die gebruik maken van de bestanden bij bijvoorbeeld het verspreiden van clubblad of digitale nieuwsbrief. Belangrijk is dat je vastlegt in een overeenkomst dat zij de bestanden vernietigen na gebruik. Je kunt hiervoor gebruik maken van de voorbeeldovereenkomst die je hier kunt downloaden.

Het is niet nodig dat leden voor ieder gebruik van hun gegevens apart toestemming moeten geven. Het moet uiteraard wel duidelijk zijn wat er met hun gegevens gebeurt. Het is goed als je dit aangeeft bij je inschrijfformulier. Ook moet er een mogelijkheid zijn dat mensen bezwaar kunnen maken tegen het gebruik van hun persoonsgegevens; in Scouts Online kun je hiervoor in de basistab aangeven dat persoonsgegevens verborgen moeten zijn. Het gebruik van gegevens is dan beperkt voor de mensen waar het strikt noodzakelijk voor is en om je organisatie te runnen: de penningmeester moet een factuur kunnen sturen en de teamleider moet een ouder kunnen bellen in geval van nood.

Leden kunnen ook zelf de zichtbaarheid van hun gegevens instellen in de basistab van hun profiel in Scouts Online. Ga daarvoor in Scouts Online naar Mijn Scouting - Mijn basisgegevens. 

3. Datalekken

In de nieuwe wetgeving is het verplicht om datalekken te melden. Zijn er ondanks alle zorgvuldigheid toch persoonsgegevens op straat terecht gekomen? Dan moet dat gemeld worden  bij de Autoriteit Persoonsgegevens (AP). Omdat gegevens in basis geregistreerd worden in Scouts Online is Scouting Nederland de contactpersoon voor de Autoriteit Persoonsgegevens. Is er sprake van een datalek in jouw groep, regio of organisatieonderdeel? Dan dien je dit te melden bij Scouting Nederland via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Zie voor meer info de Procedure datalekken (verwerkers) .

Na melding van een datalek heeft Scouting Nederland een informatieplicht die voorschrijft dat leden worden geïnformeerd over wat er met hun persoonsgegevens is gebeurd. Samen met de betrokken organisatieonderdelen worden de vervolgstappen besproken.

Beveiliging Scouts Online

De laatste jaren hebben veel gespecialiseerde scouts meegewerkt om Scouts Online te laten voldoen aan alle wet- en regelgeving rondom privacy. Gegevens worden goed beveiligd en je kunt alleen die gegevens zien waarop je recht hebt. De verschillende rollen zijn niet altijd makkelijk, maar wel bedoeld om het werken met privacygevoelige informatie zo veilig mogelijk te maken. Misschien is het je al opgevallen dat je bij het exporteren van een ledenlijst een melding krijgt over het downloaden, bewaren of verspreiden van gegevens. Ook hier draait het om bewustwording: je kunt de gegevens die je exporteert zelf verwerken voor het doel dat je hebt. Het delen van die gegevens met iemand anders in je groep die zelf niet bij deze gegevens kan, is dus niet de bedoeling.

Alles over privacy en Scouting

Het privacystatement en privacybeleid van Scouting Nederland en andere praktische informatie rondom dit onderwerp vind je terug op www.scouting.nl/privacy. De informatie over dit onderwerp op deze pagina wordt aangevuld op basis van vragen die we van scouts krijgen. Zijn er zaken onduidelijk? Mail ons dan op Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Alle downloads die je nodig hebt op een rijtje: