We zijn eindelijk in het jaar van GDPR. Omdat organisaties van elke omvang zich misschien bestookt voelen met advies en angstzaaierij, denk eens na over liefdadigheidsorganisaties die zich moeten verdiepen in de update van de Wet Bescherming Persoonsgegevens.
Laten we er dus van uitgaan dat u al een basiskennis heeft van wat de Algemene Gegevensbeschermingsverordening (GDPR) is. Als dat niet het geval is, of als u uw kennis wilt opfrissen, kunt u een kijkje nemen in enkele van de verschillende AVG-bronnen die ISMS.online heeft samengesteld.
Hoewel er momenteel geen liefdadigheidsspecifieke richtlijnen worden gepubliceerd door het Information Commissioner's Office, kunt u de algemene educatieve handleidingen gebruiken die de ICO heeft opgesteld. De ICO is de organisatie die verantwoordelijk is voor het reguleren van de Wet bescherming persoonsgegevens en de daaropvolgende updates van de AVG.
Nu gaan we een aantal veelgestelde vragen bekijken die goede doelen aan de ICO hebben gesteld.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Zoals veel aspecten van de AVG en elke regelgeving op dat gebied, zijn er een aantal factoren die bepalen of uw liefdadigheidsinstelling al dan niet een functionaris voor gegevensbescherming moet aanstellen.
Net als elke andere organisatie bent u wettelijk verplicht een DPO te hebben als:
We hebben in een eerder blogartikel over updates van het Information Commissioner's Office kort gesproken over gegevens uit speciale categorieën. Dit zijn categorieën die als bijzonder gevoelig worden beschouwd, en als de veiligheid van die gegevens in gevaar komt, kunnen er “grotere risico’s bestaan voor de fundamentele rechten en vrijheden van een persoon.”
Het is waarschijnlijk dat u als liefdadigheidsinstelling gegevens van een speciale categorie verwerkt en dit kan (op het moment van schrijven) op een vergelijkbare manier worden behandeld als sectie 3 van de Data Protection Act 1998, Gevoelige persoonlijke gegevens.
Ter referentie: deze categorieën zijn Ras, Etnische afkomst, Politiek, Religie, Lidmaatschap van een vakbond, Genetica, Biometrie – waarbij gegevens worden gebruikt voor identiteitsdoeleinden, Gezondheid, Seksleven en Seksuele geaardheid.
Maar juist omdat u op grond van de AVG misschien niet verplicht bent een FG aan te stellen, kunt u er toch voor kiezen om dit wel te doen. Bovendien is het acceptabel om één functionaris voor gegevensbescherming in dienst te nemen die toezicht houdt op een groep bedrijven, zolang het maar realistisch is dat zij deze allemaal kunnen beheren.
De ICO heeft dit gemakkelijk gemaakt door de informatie waarmee u rekening moet houden bij het schrijven van een privacyverklaring in vier secties op te delen; Wat, waar, wanneer en hoe.
Om dit te doen, moet u uitzoeken welke persoonlijke gegevens uw liefdadigheidsinstelling bewaart. U moet weten wat er met de gegevens wordt gedaan of wat u ermee van plan bent. Zorg er dan voor dat u alleen de informatie verzamelt en opslaat die u nodig heeft. De ICO suggereert ook dat uw liefdadigheidsinstelling moet beslissen “of u nieuwe persoonlijke informatie aanmaakt en of er meerdere gegevensbeheerders zijn”.
De toestemming om persoonlijke informatie te delen moet een positieve opt-in omvatten – dit betekent dat het selectievakje niet vooraf mag zijn ingevuld. Leg uit hoe u de informatie gaat gebruiken, hoe lang u deze bewaart en geef de mogelijkheid om “in te stemmen met verschillende soorten verwerking”.
U kunt ook informatie opnemen over de manier waarop de gegevens verband houden met andere soorten gegevens, waarvoor u hun gegevens niet gaat gebruiken, en uitleg geven over eventuele reële gevolgen als u hun gegevens niet verstrekt.
De ICO heeft hiervan voorbeelden gegeven:
Geef privacy-informatie:
Overweeg een gelaagde aanpak:
Het taalgebruik dat u gebruikt, moet duidelijk en duidelijk zijn en in dezelfde stijl zijn als uw publiek.
Als u verschillende doelgroepen heeft, moet u voor elk een afzonderlijke mededeling doen. Het is ook belangrijk om de kennisgeving indien nodig te kunnen bijwerken.
Eenmaal geschreven, is het nuttig om de privacyverklaring te testen bij personeelsleden of echte gebruikers van uw diensten. Dit zorgt ervoor dat ze de toestemming die ze geven, begrijpen.
De ICO heeft een checklist geschreven voor het verkrijgen van toestemming voor gegevensverwerking met AVG. De lijst bevat manieren om u te helpen eventuele hiaten in uw huidige verwerking te identificeren. Het kan zijn dat de toestemming die u hebt verkregen op grond van de huidige Wet Bescherming Persoonsgegevens voldoende is, maar er kunnen ook omstandigheden aan het licht komen waarin toestemming opnieuw moet worden gevraagd om aan de AVG te voldoen.
Als uw liefdadigheidsinstelling per telefoon, e-mail of sms aan particulieren verkoopt, moet u naast de AVG ook voldoen aan de Privacy- en Elektronische Communicatieverordening (PECR).
Er komt veel bij kijken, maar een van de vele positieve kanten van de AVG is dat zodra het werk is gedaan en onderhouden, u uw marketingactiviteiten richt op potentiële fondsenwervers en donateurs die oprecht geïnteresseerd zijn in het werk dat uw liefdadigheidsinstelling doet.
Als u op zoek bent naar een tool waarmee u uw AVG-verantwoordelijkheden kunt beschrijven, demonstreren en voortdurend kunt beheren, neem dan contact op met het team en boek uw demo.
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering