Wat is 4. Beveiliging?

• Gebruik sterke wachtwoorden en tweefactorauthenticatie • Bewaar ledenlijsten niet in onbeveiligde Excel-bestanden op gedeelde mappen • Geef alleen toegang aan mensen die de gegevens echt nodig hebben • Gebruik beveiligde software met encryptie

AVG en de vereniging: zo ga je om met persoonsgegevens

De AVG, Algemene Verordening Gegevensbescherming, geldt voor elke organisatie die persoonsgegevens verwerkt. Dus ook voor jouw sportclub, buurthuis of buurtvereniging. Toch hebben veel verenigingen hun zaakjes niet op orde. Hier is wat je moet weten en doen.

AVG GDPR privacy persoonsgegevens beveiliging

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die direct of indirect te herleiden zijn tot een persoon: naam, e-mailadres, telefoonnummer, geboortedatum, foto's, lidnummer, zelfs een IP-adres kan een persoonsgegeven zijn.

Welke regels gelden er?

De drie kernprincipes van de AVG voor verenigingen:

Doel: Bewaar alleen gegevens die je nodig hebt voor een duidelijk omschreven doel
Minimalisatie: Vraag niet meer dan nodig (geboortedatum hoeft niet als leeftijdscategorie volstaat)
Beveiliging: Bescherm de gegevens tegen ongeautoriseerde toegang

Wat moet je regelen?

1. Privacyverklaring

Op je website en/of aanmeldformulier moet duidelijk staan welke gegevens je verzamelt, waarvoor, hoe lang je ze bewaart en of je ze deelt met derden. Een privacyverklaring hoeft niet lang te zijn, maar moet duidelijk en begrijpelijk zijn.

2. Verwerkersregister

Houd bij welke persoonsgegevens je verwerkt, voor welk doel, op welke wettelijke grondslag en hoe lang. Dit hoef je niet te publiceren, maar je moet het kunnen laten zien als de Autoriteit Persoonsgegevens er om vraagt.

3. Bewaarlimieten

Stel duidelijk vast hoe lang je gegevens bewaart. Oud-leden: bewaar alleen wat nodig is voor belasting of claims. Algemene stelregel: verwijder gegevens als ze niet meer nodig zijn.

4. Beveiliging

Gebruik sterke wachtwoorden en tweefactorauthenticatie
Bewaar ledenlijsten niet in onbeveiligde Excel-bestanden op gedeelde mappen
Geef alleen toegang aan mensen die de gegevens echt nodig hebben
Gebruik beveiligde software met encryptie

5. Datalekken melden

Als er een datalek plaatsvindt (gegevens zijn gestolen, verloren of onbedoeld gedeeld), moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens, tenzij het risico voor de betrokkenen verwaarloosbaar is.

Foto's op sociale media

Let op: ook foto's zijn persoonsgegevens. Foto's van activiteiten die je op sociale media plaatst, mogen geen herkenbare mensen tonen zonder hun toestemming. Vraag bij aanmelding voor evenementen toestemming voor het gebruik van foto's.

Wat bij niet-naleving?

De Autoriteit Persoonsgegevens kan boetes opleggen tot €20 miljoen of 4% van de jaaromzet. Voor kleine verenigingen zijn de boetes doorgaans lager, maar het reputatierisico is even groot. Naleving is niet alleen wettelijk verplicht. Het is ook een kwestie van vertrouwen.