ABN AMRO MeesPierson | Financial Focus

Voldoet u al aan de AVG?

Sinds mei 2016 is de nieuwe regelgeving rond de bescherming van persoonsgegevens van kracht. Organisaties kregen twee jaar de tijd hun dienstverlening volgens de Algemene verordening gegevensbescherming (AVG) in te richten. Per 25 mei moeten alle organisaties – dus ook goede doelen, vermogensfondsen en religieuze instellingen – de nieuwe regels ook echt gaan naleven. Uitgangspunt van de AVG is dat burgers nog beter beschermd zijn tegen misbruik van hun persoonsgegevens.

Otto Beelaerts van Emmichoven ging in gesprek met Patrick Jordens van DMCC Nederland. Hij merkt dat veel organisaties zich niet zo bewust zijn van de AVG en de aanpassingen die dat vraagt. Als ze al wel op de hoogte zijn, is het voor hen vaak niet goed duidelijk wat zij er nu precies mee moeten. Patrick Jordens, oprichter van DMCC Nederland, is gespecialiseerd in privacyvraagstukken rond klantcontact en heeft brede ervaring binnen maatschappelijke organisaties. Otto Beelaerts van Emmichoven vroeg hem naar zijn expertise op het gebied van de AVG.

Wat doet DMCC Nederland?

“We zijn een adviesbureau voor compliance rond klantcontact. Klantcontact is het visitekaartje van organisaties. In deze gedigitaliseerde wereld zijn organisaties 360 graden en 24/7 met hun klant bezig. Via eigen kanalen zoals website en telefoon en via metaplatformen zoals social media en messenger platformen. DMCC helpt deze organisaties hun klantcontactprocessen kwalitatief, compliant en veilig in te richten. Compliance gaat over de bewuste naleving van wet- en regelgeving. We adviseren commerciële en maatschappelijke organisaties rond privacywetgeving. Elke organisatie – hoe groot of klein ook – moet eind mei de nieuwe AVG-regels naleven. Hoewel velen al een eind op dreef zijn, is het voor sommige organisaties nog een beetje zoeken. En dat is voor een deel ook wel begrijpelijk. De materie is complex en geschreven op de grote, datagedreven organisaties. Toch zijn er wel een paar nuttige handvatten om de AVG-regels ook voor elke andere organisatie werkbaar te maken.”

Wat houdt die AVG nu precies in?

“De Algemene verordening gegevensbescherming voorziet in regelgeving voor het verwerken van persoonsgegevens. Onder ‘persoonsgegevens’ valt alle informatie die herleidbaar is tot een individu. Alleen een naam, achternaam en woonplaats bijvoorbeeld. Maar ook een kenteken van een auto of een IP-adres. Ook voor ‘verwerken’ hanteert de AVG een zeer ruime definitie. Je moet dan denken aan inzien, opschrijven, factureren, een bedrag innen, bellen, en alle andere vormen van contact waarbij persoonsgegevens een rol spelen. Dus of u nu een kerk bent die haar leden om een bijdrage vraagt, een vermogensfonds dat aanvragen voor donaties registreert, een school die resultaten van leerlingen vastlegt of ouders informeert of een goed doel dat met zijn achterban communiceert of nieuwe donateurs probeert te werven. In mei wordt u geacht de regels van de AVG na te leven.”

Hoe zien die regels er in grote lijnen uit?

“Laat ik vooropstellen dat de AVG zich niet in een paar regels laat omschrijven. De uitgangspunten zijn wel kort samen te vatten. Zo moet het helder zijn waarom u de persoonsgegevens vastlegt. U mag gegevens alleen vastleggen als u daar een geldige verwerkingsgrondslag voor heeft, bijvoorbeeld voor uitoefening van de klantrelatie. U bent verplicht de persoon te informeren dat u gegevens van hem vastlegt en waarom. Ook moet u hem de mogelijkheid bieden om gegevens in te zien, te wijzigen of te verwijderen. Alles wat u met deze persoonsgegevens doet, moet u bovendien vastleggen. U mag alleen gegevens vastleggen en bewaren die u actief nodig heeft. Uw informatiebeveiliging moet up-to-date zijn. En u moet uw medewerkers of vrijwilligers bewust maken van de regels bij de omgang met persoonsgegevens. Als externe partijen persoonsgegevens verwerken waar u verantwoordelijk voor bent, moet u daarover een overeenkomst met hen sluiten.”

Wat kan ik als bestuurder met de AVG?

“Er is een aantal punten waar ik graag wat dieper op in wil gaan. Drie belangrijke tips die ik bestuurders van stichtingen en verenigingen graag wil meegeven.”

Tip 1: Honoreer rechten van betrokkenen

“Met betrokkenen doel ik op personen waarvan uw organisatie de persoonsgegevens heeft vastgelegd: burgers, belanghebbenden, (kerk)leden, klanten, medewerkers, vrijwilligers, donateurs, leerlingen of hun ouders. Zij hebben het recht om hun gegevens in te zien, te corrigeren en zich tegen bepaalde verwerking hiervan te verzetten. Denk hier niet te licht over, richt dit proces goed in en werk hier in voorkomende gevallen altijd aan mee. Consumenten worden steeds privacy-bewuster en zullen deze vraag in de toekomst vaker gaan stellen. Dat betekent dat u niet alleen toegang moet bieden tot deze informatie maar ook dat u de informatie volgens de nieuwste regels heeft vastgelegd. U moet voorkomen dat een betrokkene reden ziet om uw organisatie in een kwaad daglicht te stellen en hiervan op sociale media zijn beklag gaat doen. Dan loopt u reputatieschade op die u niet zo maar weer even herstelt. En dan heb ik het nog niet over de mogelijke boete van de Autoriteit Persoonsgegevens.”

Tip 2: Zorg voor bewustwording binnen uw eigen organisatie

“Iets anders wat van groot belang is, is het informeren en bewustmaken van bestuursleden, medewerkers en vrijwilligers. En dan uiteraard vooral de mensen die zelf actief betrokken zijn bij het vastleggen of verwerken van persoonsgegevens. Maar vergeet ook zeker de mensen niet die hier alleen toegang toe hebben. Zorg dat zij duidelijke spelregels krijgen hoe zij met persoonsgegevens moeten omgaan maar ook  hoe zij in geval van uitzonderingen moeten handelen. Dit alles hangt uiteraard af van de rol die persoonsgegevens spelen in uw organisatie. Overweeg een interne opleiding of e-learning om de spelregels goed in te bedden binnen uw organisatie. Dit is aan te raden als veel mensen in uw organisatie met persoonsgegevens werken, er veel persoonsgegevens in beheer zijn of er jaarlijks veel activiteiten zijn waarbij persoonsgegevens een rol spelen.”

Tip 3: Leg afspraken met uw leveranciers altijd vast

“In best veel gevallen van een datalek ligt de oorzaak bij een externe verwerker; een bedrijf dat in uw opdracht persoonsgegevens verwerkt, en die bijvoorbeeld mailings verstuurt of telefonische werving verzorgt. De verantwoordelijkheid voor de persoonsgegevens ligt altijd bij uw organisatie zelf. En dus is het belangrijk om zorgvuldig te werk te gaan bij de selectie van dit soort leveranciers. Net als binnen de wet Bescherming Persoonsgegevens bent u ook volgens de AVG verplicht met externe verwerkers een verwerkersovereenkomst te sluiten. Veel grote organisaties hebben hier een eigen standaard voor. Brancheorganisaties als Goede Doelen Nederland of de FIN voor vermogensfondsen bieden vaak een standaardovereenkomst die helemaal is afgestemd op uw type organisatie. Vaak worden dit soort afspraken als een formaliteit gezien die de start van de werkzaamheden niet in de weg hoeft te staan. Mijn advies is: doe dit niet. Een data-incident door een onzorgvuldige leverancier levert u zonder verwerkersovereenkomst een flinke boete op.”

Wat staat ons als organisatie te doen?

“Wij raden organisaties aan volgens een duidelijk stappenplan te werken. In principe zijn er vijf stappen nodig. In onze whitepaper “In 5 stappen naar privacy compliance – De implementatie van de Europese Privacywet vertellen we wat er in welke stap moet gebeuren. Ik zal ze even kort benoemen.”

In 5 stappen naar privacy compliance

Stap 1 – Inventariseer welke gegevens u verzamelt
Verzamel alleen die persoonsgegevens waarvoor u een rechtmatige grondslag heeft.

Stap 2 – Documenteer uw verwerkingen
Houd in een verwerkingenregister bij welke data u verzamelt, via welke bronnen en in welke systemen.

Stap 3 – Beheer en controleer uw verwerkingen
Maak van privacy een belangrijk agendapunt en integreer het in uw procedures en processen. 

Stap 4 – Delegeer niet ondoordacht aan verwerkers
Leg afspraken met uw leveranciers over de aard van de opdracht, het type gegevens, bewaartermijnen en beveiligingsmaatregelen vast. 

Stap 5 – Informeer de personen in uw bestand
Informeer mensen dat u hun gegevens verzamelt en bied ze de keuze wat u met die gegevens mag doen.

Whitepaper ‘In 5 stappen naar privacy compliance’

Download hieronder ons whitepaper met praktische handvatten voor de implementatie van de Europese Privacywet.

Download Whitepaper: in 5 stappen naar privacycompliance

Wat is belangrijk om voor ogen te houden?

“De AVG is er ter bescherming van de burger. En dat zijn wij allemaal. Dat is iets waar je je als organisatie steeds bewust van moet zijn. Dit kun je ook als een soort meetlat gebruiken. Als het voor de organisatie waardevol is om bepaalde informatie vast te leggen, is het maar de vraag of dit vanuit het perspectief van een klant, relatie, (kerk)lid of donateur ook zo is. Dat moet je dus steeds goed voor ogen houden. Ook het toekomstperspectief is belangrijk. We bewegen steeds meer naar digitale consumenten en het eind is nog niet in zicht. Elektronische privacy zal de komende jaren steeds belangrijker worden en met steeds meer regelgeving gepaard gaan. Als organisatie is het van belang met deze ontwikkelingen mee te bewegen, anders heb je straks een achterstand die nauwelijks meer in te halen is.”

Waar vind ik meer informatie?

Uw relatiemanager denkt graag met u mee

Heeft u behoefte om van gedachten te wisselen over de impact van de AVG voor uw organisatie? Neem dan contact op met uw relatiemanager bij ABN AMRO MeesPierson Instituten & Charitas.

 

Advies van een privacy-expert

Heeft u behoefte aan persoonlijk advies van een privacy-expert of wilt u graag zijn mening over een inhoudelijke vraag die u bezighoudt? Neem dan contact op met Patrick Jordens van DMCC Nederland.

Informatie van uw koepelorganisatie

Wilt u weten wat er in uw specifieke branche speelt op het gebied van de nieuwe Europese privacywetgeving? Kijk dan op de website van uw koepelorganisatie. Enkele voorbeelden van (branche)verenigingen die aandacht besteden aan de AVG:

Wat doet Instituten & Charitas?

Instituten & Charitas bedient binnen ABN AMRO maatschappelijke instellingen. Hierin zijn we marktleider met circa 1.900 maatschappelijke instellingen als klant. Dit zijn onder andere goede doelen, vermogensfondsen, religieuze instellingen en branche- en belangenorganisaties.

Deel deze pagina

Artikel geschreven door:

Profiel foto van Otto Beelaerts van Emmichoven
Otto Beelaerts van Emmichoven Instituten, vermogensfondsen, maatschappelijk vermogen

Otto Beelaerts van Emmichoven heeft na zijn studie Bedrijfsrecht aan de Rijksuniversiteit Leiden functies bij diverse banken doorlopen op het gebied van private banking. In zijn huidige functie van Directeur Instituten & Charitas binnen ABN AMRO MeesPierson combineert hij zijn ruime ervaring als bestuurder van stichtingen en verenigingen met zijn diepgaande expertise op het gebied van financiële advisering.

Van gedachten wisselen met een specialist?

  • Wanneer het u uitkomt
  • Vrijblijvend
  • Persoonlijk
ABN AMRO MeesPierson | Financial Focus
Logo of ABN AMRO MeesPierson | Financial Focus