Wie de berichtgeving over de AVG een beetje heeft gevolgd kan, afhankelijk van de beschikbare kennis, tot verschillende conclusies komen. Wat je het meeste tegenkomt is een gevoel dat de AVG een heel ingewikkelde wet is, nauwelijks uitvoerbaar en onbegrijpelijk. Consultants, advocaten, adviseurs, ITers en toezichthouders zijn allemaal nodig om de boetes te ontlopen of voorkomen.
Degene om wie het gaat, de 'betrokkene', vaak een internetgebruiker, is er niet echt mee geholpen want aangifte, opsporing en vervolging zijn niet op grond van één aangifte te regelen. Hij/zij wordt telkens geconfronteerd met heel veel extra handelingen bij het ‘betreden’ van willekeurig welke website. De achterliggende verklaringen en voorwaarden worden terecht overgeslagen. Stel je voor dat je die verklaringen zou moeten accepteren bij een bakstenen winkel! Bij elke winkel en telkens opnieuw…
- Conclusie 1: de wet is te ingewikkeld want als verantwoordelijke ben je te veel tijd en geld kwijt aan externen en wie de wet toe wil passen moet hem ook nog begrijpen.
- Conclusie 2: de betrokkene, degene die beschermd moet worden, begrijpt de wet helemaal niet, leest hem niet want begrijpt er alleen maar nog minder door.
Laten we eens kijken wat die aanpak in de praktijk oplevert. De meeste wetten zijn nee-wetten. Die verbieden iets. Je mag niet … harder rijden dan, … iemand lichamelijk kwaad doen, … tegen de kerk plassen. De Wbp en de AVG zijn een ja-wet. Er staat niet in wat verboden is maar wat mag. Je mag digitale informatie over iemand niet verwerken tenzij…
En dat tenzij is de belangrijkste pijler van de AVG. En de belangrijkste tenzij is dat je gegevens verwerkt ten voordele van je eigen organisatie of ten voordele van de betrokkene. Ik laat de overheid even buiten beschouwing want daar is het tenzij al ingevuld: tenzij het voldoet aan wettelijk voorschrift. Maar elke organisatie moet dus weten met welk doel gegevens worden verwerkt (verzameld, opgeslagen, gekopieerd, gedistribueerd, gewijzigd of gewist).
Dat geldt dus zelfs voor het adresboek op de PC of tablet en daarmee dus ook voor een particulier. Is het adresbestand voor persoonlijk gebruik? Dan is het vrijgesteld. Maar ben je ZZPer en zijn het zakenrelaties dan is de AVG van toepassing. Laten we dit verder uitwerken: voor opa’s en oma’s, neven, nichten, kinderen, kleinkinderen, broers en zussen maar ook buren, vrienden en dergelijke hoef je geen toestemming te vragen om hun geboortedatum op te nemen. Je kunt van vrienden en familie verwachten dat ze dat bij willen houden.
Maar voor klanten, donateurs of leden is het minder voor de hand liggend om de geboortedatum bij te houden. Waarom wil je dat doen? Ga je kaartjes of cadeaus sturen, dan is dat wel logisch. Maar doe je het alleen om leeftijdsstatistiek te kunnen maken, zoals voor analyses van doelgroepen, dan kan je volstaan met alleen het geboortejaar. Dat ligt misschien voor hand, zoals bij een sportschool of ‑club. In het eerste geval is het goed dat vooraf uit te leggen, in het tweede geval is dat nauwelijks nodig.
Je kunt een stap verder gaan en opnemen welke allergieën iemand heeft. Als je familie komt eten kan je daar rekening mee houden. Maar als de sportclub daar naar vraagt, dan is dat misschien minder logisch. Aan de andere kant kan een sportclub belang hebben bij een lid met suikerziekte, hart- en vaatklachten of een kwetsbaar gewricht. Leg dat dan uit aan de leden bij inschrijving en laat de keus om iets op te nemen bij hen.
Het gaat mis als de sportclub een zakelijke sponsor heeft met medische of paramedische belangen en het ledenbestand is deel van de sponsorovereenkomst. Dat klinkt overtrokken maar het is vaker gebeurd. Je moet nu niet jouw leden vragen of ze daar bezwaar tegen hebben. Je moet het gewoon niet doen. Kan je dat oplossen?
Ga als verantwoordelijke (in de zin van de AVG) er tussen zitten. Stem met de sponsor af wat de boodschap moet zijn, zoals een folder, een vragenlijst of een website. Vraag waarop geselecteerd moet worden, bijvoorbeeld vrouwen boven de 40 in postcodegebied 4321. Verstuur de mailing als sportclub met een begeleidend schrijven van het clubbestuur waaruit blijkt dat je nergens toe verplicht bent en dat de persoonlijke gegevens niet zijn verstrekt. De sponsor heeft zijn boodschap bij de doelgroep maar krijgt geen toegang tot het ledenbestand, zelfs niet een geselecteerd deel er van.
Soms vergt het wat lateraal denken maar in de praktijk blijkt het toch telkens weer hetzelfde. Er is informatie verstrekt of gebruikt zonder dat de betrokkene daarover weet. Vaak met de beste bedoelingen maar toch, niet doen.
Aan de andere kant zijn veel handelingen met persoonsgegevens erg voor de hand liggend. Maak een lijstje van welke doelgroepen je hebt. Denk aan klant, leverancier, afnemer, donateur, lid, personeel. Welke actie is nodig of nuttig en voor wie? Welke gegevens heb je nodig voor welke actie naar elke doelgroep? Meer gegevens moet je bestand, je database, niet omvatten. Geen gegevens opslaan zonder doel, voor je-weet-maar-nooit wanneer het handig is.
De volgende stap is de acties beoordelen. Welke acties liggen erg voor de hand, zodanig dat elke klant, elk lid dat zelf kan verzinnen? Bijvoorbeeld het betaalverzoek voor het lidmaatschap of de automatische incasso. Het toezenden van de maandelijkse nieuwsbrief met alle wedstrijden. Het is niet belangrijk of de verzending per e-mail of op papier gebeurt: het adresbestand is digitaal en valt daardoor onder de AVG. Maar omdat dit wel erg logisch is hoef je dat niet te vermelden.
Vermelden? Wat, waar, waarom? Tja, het privacy statement in goed Nederlands. Als je bovengenoemde analyses goed hebt gedaan dan weet je wat niet voor de hand ligt. Alleen dat moet je vermelden: wat de betrokkene niet verwacht zoals bijzondere gegevens of hergebruik door derden. Je hoeft al helemaal niet te vermelden dat je zorgvuldig en volgens de wet zult werken. We gaan er van uit dat dit zo is. Dat scheelt 80 tot 90% van het privacy statement wat het geheel meteen een stuk leesbaarder maakt.
Ik zal het statement van sportclub “DeBIRD” (De Bal Is RonD) als voorbeeld gebruiken. Zo eenvoudig kan het ook.
"Uw gegevens
De sportclub DeBIRD heeft uw gegevens opgeslagen en gebruikt deze voor de administratie, het informeren en oproepen van leden, sporters en vrijwilligers. U krijgt ook informatie en oproepen op de wijze die u bij inschrijving heeft aangegeven. Coaches, trainers, bestuursleden, paramedici en verzorgers hebben tevens toegang tot deze gegevens voor hun werkzaamheden.
Wij delen uw informatie als u lid bent met de landelijke organisatie. Daarmee kan de koepel u informeren over landelijke evenementen. Als u geen lid bent maar bijvoorbeeld vrijwilliger of donateur worden uw gegevens niet uitgewisseld.
Daarnaast registreren wij gegevens over ons personeel en zakelijke relaties.
Vragen over uw gegevens kunt u sturen naar de secretaris van de club op secretaris@debird.nl. Wij kunnen u alleen informatie over derden verstrekken als u ouder of verzorger bent."
Je hoeft klanten, bezoekers, leden niet te vragen opnieuw akkoord te gaan met de opslag en het gebruik van hun gegevens. Dat hebben ze namelijk onder de oude wet, de Wbp, al gedaan en daarin is niks veranderd. Dat hoef je alleen maar te doen als je het gebruik, de verwerking dus, hebt gewijzigd of als je bijzondere verwerkingen onder de Wbp hebt verzwegen.
Dat de informatie door jou ook gebruikt wordt voor periodieke samenvattingen over de ledenaantallen per sekse, woonwijk en leeftijdsgroep hoeft niet vermeld te worden: het is dan gecumuleerd en anoniem gemaakt. Bovendien mag je van een bestuur verwachten dat ze informatie nodig hebben voor hun beslissingen.
In het kort, houd het kort. Welke doelgroepen, welke acties, welke gegevens? Wat wijkt af van de verwachting: delen met derden, onnodige gegevens. Schrap alle overbodige gegevens. Maak een privacy statement met alleen die zaken die niet voor de hand liggen. Geef aan hoe je als betrokkene jouw gegevens kunt inzien en wijzigen. Klaar, niks meer aan doen.
PS - Dit blog is op 9 december 2017 inhoudelijk iets aangescherpt.
Geen opmerkingen:
Een reactie posten