By Ruben Schuring

Aangezien er zoveel vragen over GDPR zijn onder nonprofits willen we daar als Cloud for Good graag in meedenken. Het enige spannende is dat het voldoen aan de AVG of GDPR regelgeving iets van iedere organisatie op zich is, deze blog geeft dus geen garanties.

Veel non-profits lijken niet uit te kijken naar 25 mei. Er komt een heel pakket aan regelgeving aan, met bijpassende boetes en wat het voor jouw non-profit betekent is nog niet helemaal duidelijk. Laten we eens een paar dingen op een rij zetten zodat je alvast een eerste belangrijke stap kan zetten naar GDPR compliancy.

Maar eerst de basis-principes van GDPR:

1- Niet iedereen mag data verwerken

Het opslaan en verwerken van persoonlijke gegevens is alleen toegestaan als daar een wettelijke grondslag voor is. Dit kan bijvoorbeeld zijn dat je deze data nodig hebt om aan een afspraak of contract te kunnen voldoen. Als je hebt afgesproken dat je jouw nieuwsbrief toestuurt aan een geïnteresseerde bezoeker van jouw website, dan is het logisch dat je zijn naam en e-mailadres bewaard. Uiteindelijk moet je dus kunnen uitleggen welke data je allemaal bewaard.

2 – Toestemming vragen moet je specifiek doen

En daarmee bedoel ik: welke tekst staat er naast het vinkje voor ‘meer informatie’? Om toestemming te hebben iemand te mailen moet iemand daar vanuit vrije wil (dus het mag geen onderdeel zijn van bijv. een aankoop) en specifiek (dus uitleggen wat je precies gaat sturen zonder dat het voor meerdere uitleg vatbaar is) naar gevraagd worden. Je moet dus altijd een keus hebben.

3 – Je mag geen data delen zonder toestemming van de eigenaar

En dat betekent dus als uitgangspunt dat je met niemand de data mag delen die jou is toevertrouwd. Dit betekent ook dat je passende maatregelen neemt om de veiligheid van die data te garanderen. Denk maar aan die sauna waarvan er beelden van naakte bezoekers op internetfora terecht kwamen. Reken maar dat je dan mag uitleggen in hoeverre je deze data hebt beschermd. Ook moet je beleid kunnen overleggen waarin je privacy waarborgt, waarin je de gevolgen voor privacy van organisationele veranderingen beschrijft en waarin je bijhoudt wat er met je data gebeurt.

4 – Datalekken moet je melden

Als er onverhoopt toch gegevens op straat belanden, moet je dit als organisatie binnen 72 uur aan de ‘slachtoffers’ laten weten. Tenzij er geen risico is op enig negatief gevolg van dit lek.

5 – Wijs een Data Protection Officer aan!

Iedere organisatie die regelmatig en op grote schaal persoonlijke data verwerkt, of actief is in het structureel monitoren van personen, moet een Data Protection Officer aanwijzen, die er op zijn of haar beurt voor zorgt dat alle medewerkers die te maken hebben met persoonlijke data altijd op de hoogte zijn van hoe ze daarmee om moeten gaan.

6 – Gebruik alleen ‘privacy-veilige’ producten en diensten

Als jij als ‘data controller’ bijvoorbeeld Salesforce gaat gebruiken moet je een schriftelijke overeenkomst hebben waarin wordt afgesproken dat Salesforce (de data processor in dit geval) zorgvuldig met jouw privacy-gevoelige data omgaat. Het is jouw verantwoordelijkheid om daar goed op te letten. Als je je gegevens ergens bij een schimmige club zet, en je hebt nooit afgesproken dat ze zorgvuldig met je data omgaan, is het ook jouw verantwoordelijkheid als er data uitlekt.

7 – De nieuwe rechten van de burger

Er komt een heel scala aan nieuwe rechten voor burgers van de Europese Unie. Zo kunnen burgers/donateurs/supporters straks een overzicht aanvragen van de persoonlijke informatie die jij over hen bewaart. Ze kunnen verzoeken om deze informatie opgestuurd te krijgen/te downloaden, de informatie te wijzigen of zelfs compleet te laten verwijderen (het recht om vergeten te worden). Ook moet men eerder afgegeven toestemming kunnen intrekken of wijzigen.

Goed, dan komen we nu bij advies nummer 1 in het ‘pad naar GDPR compliancy’:

Zorg ervoor dat je alle persoonlijke data van jouw achterban in één systeem hebt staan. 

Nog te vaak spreek ik organisaties die her en der nog wat “excelletjes” hebben rondslingeren. Het zijn er vaak meer dan je denkt, en je weet vaak niet waar er allemaal kopietjes staan. Daarnaast kan het makkelijk bij de verkeerde personen in of erger: buiten je organisatie terechtkomen. Kortom: als je wilt voldoen aan de nieuwe privacy-wetgeving dan wordt je leven een stuk makkelijker als je voor al die persoonlijke data, die je rechtmatig en met pijn en moeite hebt geworven, maar op één locatie hoeft te kijken: in een slim, overzichtelijk en veilig CRM-systeem.

Meer weten over GDPR en Salesforce? Check deze geweldige Trailhead-module!

Ruben Schuring

Ruben Schuring

Leave a Reply

Your email address will not be published. Required fields are marked *

USADutch