Sinds 25 mei 2018 moet iedere vereniging, sportclub, bedrijf en school (kortom elke organisatie) het beheer over persoonsgegevens goed hebben geregeld. Dat geldt dus ook voor de muziekverenigingen die bij een KNMO-bond zijn aangesloten! Bestuurders zijn persoonlijk aansprakelijk. Is het niet op orde? Dan kan de Autoriteit Persoonsgegevens een forse boete opleggen. Laat dat niet gebeuren. Voorkom problemen door de juiste maatregelen te nemen.
Via de KNMO kun je bij de Stichting AVG voor Verenigingen een 16-stappenplan doorlopen, waarna je AVG-proof bent. Via deze link: https://www.avg-programma.nl/aanmelden-knmo kunnen KNMO-leden zich hiervoor aanmelden tegen een gereduceerd tarief. Ook voor stichtingen die naast de verenigingen functioneren, kun je als aangesloten muziekvereniging een kortingscode aanvragen. Het invullen van de 16 stappen is niet moeilijk, maar soms wel wat werk. Aan de hand van duidelijke instructies en uitleg pas je de ICT, de organisatie, de communicatie en alle juridische zaken, zoals contracten, aan de nieuwe eisen aan. Het programma ziet geen onderdelen van de wettelijke verplichting over het hoofd. Het is gebruiksvriendelijk en ontdaan van moeilijke juridische taal.
Heb je hulp nodig? De Stichting AVG voor verenigingen (avgverenigingen.nl) heeft professionals die alles weten van de wet én weten hoe je die moet implementeren. Met de licentie heeft u toegang tot deze hulp.
Privacy policy en verwerkersovereenkomst
Informatie over de gegevens die de KNMO vastlegt en met welk doel vind je hier: Privacy policy KNMO
Voor de verenigingen aangesloten bij een van de KNMO-bonden is een verwerkersovereenkomst opgesteld, i.v.m. de periodieke verstrekking van persoonsgegevens. Je kunt deze invullen en tekenen, en fysiek of elektronisch bewaren bij je overige AVG-stukken. In de privacy policy staat op blad 2 welke gegevens de KNMO in het kader van het bondslidmaatschap periodiek zal registreren. Je kunt het document hier downloaden: Verwerkersovereenkomst Vereniging – KNMO getekend
Heb je een vraag over de privacywetgeving of over het 15 stappenplan? Kijk dan even of je vraag hieronder staat. Is dat niet het geval, dan kun je je vraag mailen naar info@knmo.nl. Wij zullen dan zo snel mogelijk zorgen dat er een antwoord komt.
Zet een privacyverklaring op je website
Het is belangrijk dat je de privacyverklaring duidelijk op je website hebt staan! Dit is makkelijk van achter een bureau te controleren. Als je geen privacy statement op je website hebt staan, is direct duidelijk dat je niet aan de AVG voldoet. Iedere vereniging is verplicht leden en andere relaties te vertellen wat je met persoonlijke gegevens doet. Zorg ervoor dat de verklaring helder en duidelijk én gemakkelijk op de website te vinden is. Plaats deze bijvoorbeeld onderaan in de footer van de website en/of bij je contactgegevens. In het stappenplan staan voorbeelden. In alle documenten waar je naar persoonsgegevens vraagt, verwijs je naar deze privacyverklaring.
Zie hier een voorbeeld van een privacyverklaring.
We hebben de laatste maanden veel vragen gekregen. Vragen waarop het antwoord soms niet eensluidend is. De deskundigen zijn het er soms nog niet over eens wat de wet precies betekent. Hieronder vind je de vragen die het meest gesteld werden:
Antwoorden op vragen over AVG
Mag ik nog foto’s maken en verspreiden?
Het maken en verspreiden van foto’s, die in een openbare ruimte zijn gemaakt, is onder bepaalde voorwaarden toegestaan. Ook een repetitieruimte is een openbare ruimte.
Allereerst geldt dat foto’s waarop één of meerdere personen zijn afgebeeld, zijn aan te merken als persoonsgegevens. Van een persoonsgegeven wordt namelijk gesproken wanneer het gegeven een persoon identificeert of kan identificeren. In het geval van een foto is daar sprake van. De op de foto’s afgebeelde personen zijn namelijk identificeerbaar, danwel kunnen op basis van de foto’s geïdentificeerd worden.
Het maakt daarbij niet uit of het een foto van een individu betreft of juist een groepsfoto waarop meerdere personen staan afgebeeld. Iedere foto met daarop het gelaat van een persoon is als persoonsgegeven aan te merken. Dit betekent echter niet, dat wanneer het gelaat niet is afgebeeld, de foto niet als een persoonsgegeven wordt aangemerkt. Ook in de gevallen waarin het gelaat niet duidelijk zichtbaar is, kan een persoon – bijvoorbeeld vanwege zijn houding of een ander opvallend uiterlijk kenmerk – op basis van de foto identificeerbaar zijn danwel geïdentificeerd worden.
Al met al geldt dus dat een foto waarop een persoon staat afgebeeld al snel als een persoonsgegeven heeft te gelden. Dat maakt dat voor de verwerking van persoonsgegevens, door bijvoorbeeld de foto openbaar te maken, de AVG van toepassing is.
Verwerking van persoonsgegevens
Het (op welke wijze dan ook) openbaar maken van foto’s is een verwerking in de zin van de AVG. De AVG vereist dat voor verwerking van persoonsgegevens een rechtmatige grond bestaat, ook wel verwerkingsgrondslag genoemd. In artikel 6 van de AVG zijn een zestal verschillende verwerkingsgrondslagen opgenomen:
- Verwerking op grond van toestemming betrokkene
- Verwerking die noodzakelijk is voor uitvoering van een overeenkomst
- Verwerking die noodzakelijk is om te voldoen aan een wettelijke verplichting
- Verwerking die noodzakelijk is om vitale belangen te beschermen
- Verwerking die noodzakelijk is voor vervulling taak van algemeen belang/openbaar gezag
- f. Verwerking die noodzakelijk is behartiging gerechtvaardigd belang
Voor wat betreft de verwerking van persoonsgegevens door foto’s openbaar te maken zijn de grondslagen genoemd onder sub a en sub f het meest relevant.
Sub a – toestemming
Ten aanzien van de verwerkingsgrondslag genoemd onder sub a geldt dat foto’s mogen worden verwerkt (en dus openbaar worden gemaakt) indien de betrokkene daarvoor zijn toestemming heeft gegeven. Toestemming kan voorafgaand worden gegeven, bijvoorbeeld bij het aangaan van het lidmaatschap van de vereniging. De toestemming moet echter altijd “vrij” zijn gegeven. Zo wordt bijvoorbeeld verondersteld dat een werknemer zijn toestemming niet “vrij” aan zijn werkgever kan geven vanwege de tussen partijen geldende machtsverhouding.
Tevens geldt dat een betrokkene zijn toestemming weer kan intrekken. Op de website van de Autoriteit Persoonsgegevens1 wordt ook naar deze situatie verwezen. De Autoriteit Persoonsgegevens schrijft hier het volgende over: “Toestemming intrekken moet net zo makkelijk gaan als toestemming geven. U kunt bijvoorbeeld op uw website een knop bij foto’ s plaatsen met de tekst: ‘bent u te zien op deze foto en wilt u dat niet? Klik dan hier’”. Wanneer een betrokkene zijn toestemming daadwerkelijk intrekt, moet de foto van de website worden verwijderd en uit het fotoarchief worden vernietigd.
Praktisch gezien kleven er dus een aantal nadelen aan de verwerkingsgrond gebaseerd op toestemming van de betrokkene.
Sub f – gerechtvaardigd belang
Een andere verwerkingsgrond is genoemd onder sub f en ziet op verwerking van persoonsgegevens gebaseerd op een gerechtvaardigd belang van de organisatie, i.c. het belang van de vereniging. Het gerechtvaardigd belang van de organisatie kan per organisatie verschillen. Zo is de uitoefening van het recht op de vrijheid van meningsuiting een gerechtvaardigd belang, maar ook een ‘commercieel belang’ en ‘directe marketing’ kunnen als gerechtvaardigd belang worden aangemerkt.
Bij de verwerkingsgrondslag genoemd onder sub f, moet altijd een belangenafweging worden gemaakt tussen enerzijds het gerechtvaardigde belang van de organisatie en anderzijds de belangen, grondrechten en fundamentele vrijheden van de betrokkene. Dit betreft veelal een beroep op bescherming van de privacy. Bij het maken van deze belangenafweging dient rekening te worden gehouden met de omstandigheden van het geval. Bijvoorbeeld de manier waarop de foto’s openbaar worden gemaakt. Staan de foto’s bijvoorbeeld op een afgeschermd deel van de website of juist op een openbare, voor ieder toegankelijke, pagina. Daarnaast kan ook de context van de foto een rol spelen in de belangenafweging. Denk daarbij aan de setting waarin de foto’s is gemaakt. Wanneer het foto’s betreffen die feitelijk neerkomen op een verslaggeving van een repetitie of evenement, kan beargumenteerd worden dat dit valt onder de verwerkingsgrond ‘gerechtvaardigd belang’.
Van een gerechtvaardigd belang is echter geen sprake, indien het doel van de organisatie ook op een andere manier kan worden bereikt, die minder gevolgen heeft voor de privacy van de betrokken persoon.
Al met al geldt dat het gerechtvaardigd belang van de organisatie als een verwerkingsgrondslag kan worden aangemerkt, op grond waarvan de organisatie de foto’s openbaar mag maken. Vanwege de belangenafweging die iedere keer gemaakt moet worden, geldt echter dat niet op voorhand is te zeggen dat deze belangenafweging iedere keer in het voordeel van de organisatie uitvalt. Er zijn situaties voorstelbaar waarbij het belang (op privacy) van de betrokken persoon zwaarder weegt dan het (gerechtvaardigd) belang van de organisatie. Het is om die reden aan te raden de verwerkingsgrondslag gebaseerd op het gerechtvaardigd belang, duidelijk in de privacyverklaring uit te werken.
Het advies is dan ook om de leden om toestemming te vragen om hun persoonsgegevens te mogen verwerken. Leden zouden deze toestemming bijvoorbeeld al kunnen geven bij het aangaan van het lidmaatschap van de vereniging.
Een ander advies is om de grondslag van de verwerking en het gerechtvaardigd belang van de vereniging om de persoonsgegevens te verwerken duidelijk in de privacyverklaring te omschrijven. Er zijn verschillende gerechtvaardigde belangen denkbaar, bijvoorbeeld het belang van nieuwe ledenwerving.
Op het moment dat een (oud-)lid verzoek een foto waarop hij of zij staat afgebeeld te verwijderen, dan moet deze mededeling worden opgevat als het intrekken van zijn of haar toestemming. Indien een (oud-)lid zijn of haar toestemming intrekt, zullen in beginsel de foto’s waarop dit lid staat afgebeeld moeten worden verwijderd (en tevens uit de archieven moeten worden vernietigd). Enkel wanneer het openbaar maken van de foto’s is gebaseerd op een gerechtvaardigd belang, is de vereniging niet gehouden de foto’s te verwijderen. Afhankelijk van het gerechtvaardigd belang van de vereniging zal vervolgens per geval een belangenafweging moeten worden gemaakt tussen enerzijds het belang van de vereniging en anderzijds het belang van het (oud)lid. Aangezien de belangenafweging per geval moet worden gemaakt, is niet in zijn algemeenheid een standaardantwoord te geven op de uitkomst van de belangenafweging. Een ander advies is om de foto’s enkel op een afgeschermd deel van de website te plaatsen waar leden enkel met inloggegevens de toegang toe hebben.
Lees ook het interview op de website van de BBM.
Moet ik met alle leden een lidmaatschapsovereenkomst afsluiten?
Verenigingen hoeven niet met alle leden een nieuwe lidmaatschapsovereenkomst af te sluiten. Het volstaat om leden, bijvoorbeeld in een mail, te verwijzen naar de privacystatement die op de website wordt geplaatst.
Moet ik mijn archief met persoonsgegevens vernietigen?
We hopen toch dat verenigingen niet hun oude archief met persoonsgegevens hebben vernietigd, want dat is beslist niet nodig. Deze gegevens heb je vergaard voor de wet inging. Het is wel zaak om het vanaf nu anders te doen! Stel dat je persoonsgegevens wilt bewaren om in de toekomst een reünie of lustrumconcert te organiseren, dan is dat een doelbinding! Oud-leden zullen het juist jammer vinden als ze niet op de hoogte worden gehouden van jullie nieuws. Een goede reden dus om de gegevens wel te bewaren. Maak naast een inschrijfformulier ook een uitschrijfformulier en vraag vertrekkende leden om toestemming om gegevens te mogen bewaren en om mails met nieuws te mogen sturen. Je kunt ze dan ook meteen vragen om steunend lid of donateur te worden.
Verwerkersovereenkomst met de KNMO en andere partijen
Dit vinden we zelf best een lastige. De AVG zegt dat je een verwerkersovereenkomst moet afsluiten met partijen die persoonsgegevens van jouw vereniging verwerken. Dat doen wij en de bij ons aangesloten bonden als er jubilarissen gehuldigd worden, muziekdiploma’s geprint worden of als verenigingen en individuele leden deelnemen aan wedstrijden en concoursen. We hebben een verwerkersovereenkomst opgesteld, die is te vinden op www.knmo.nl/avg. Ook de bij ons aangesloten bonden hebben zo’n overeenkomst. Denk er ook aan dat grote partijen als Google, Dropbox en iCloud als verwerkende partijen worden aangemerkt. Zij hebben vaak een standaard verwerkersovereenkomst die je kunt downloaden.
Welk boetebedrag moet ik in de geheimhoudingsverklaring opnemen?
In het stappenplan staan twee voorbeelden van een geheimhoudingsverklaring. Er zijn verenigingen die veel met bijzondere persoonsgegevens werken, zoals medische beroepsverenigingen. Dan is een boete op z’n plaats als iemand bewust gegevens doorspeelt. Daarvan is bij verenigingen geen sprake, het volstaat daarom om de korte verklaring te gebruiken.
Wie heeft toegang tot persoonsgegevens?
Het kan bij je vereniging maar zo voorkomen dat verschillende leden over adressenbestanden beschikken. Maak je leden attent op de privacywetgeving en vertel ze dat ze de bestanden alleen mogen gebruiken zoals je dat binnen je vereniging afspreekt. Je kunt bijvoorbeeld afspreken dat alleen de secretaris mails naar leden verstuurd. Het andere uiterste is dat je met alle leden afspreekt, dat persoonsgegevens met alle leden gedeeld worden. Als je maar duidelijk vastlegt wat je doet. Wen je aan om alle mails met de geadresseerden in BCC te versturen. Doe je dat niet, dan kan dat een datalek zijn. In het stappenplan staat wat een datalek is en wat je dan moet doen.
Kijk voor meer informatie op: https://avgverenigingen.nl/kennisbank/