AVG en sociaal ondernemen

Privacy en transparantie staan hoog in het vaandel, maar het kost veel tijd en moeite om de Algemene verordening gegevensbescherming (AVG) goed te doorgronden. Voor ondernemers is die tijd er simpel weg niet. Tijdens de workshop AVG/GDPR van vorige week heeft expert Erik van Dingen (PwC) licht geworpen op de regelgeving en een flink aantal ondernemers op weg geholpen. Waar het uiteindelijk op neer komt is dat je als organisatie moet kunnen aantonen wat, je van wie, waar en met welke doelstelling verwerkt. Toestemming vraag je aan de betreffende personen en het verwerkingsproces leg je op één plek vast.

Uiteraard zijn er nuances en uitzonderingen op de regelgeving met betrekking tot wat je wel of niet mag verwerken. Bijzondere persoonsgegevens zoals medische en strafrechtelijke gegevens mogen niet zomaar verwerkt worden. Bij uitzondering mag dit wel als het noodzakelijk is voor een gezonde en verantwoorde bedrijfsvoering en met toestemming van de betreffende persoon. Sociale ondernemers die ten behoeve van hun sociale doelen (bv. arbeidsparticipatie), werken met een kwetsbare doelgroep zouden bij uitzondering wel deze gegevens (bv. een medisch dossier) mogen verwerken. Zolang je maar kan aantonen dat je rechtmatig, transparant, doelgericht en juist handelt doe je niets verkeerd.

Voor nu is het beste advies: volg je gezond verstand, vraag toestemming, leg verwerkingsprocessen vast en verantwoord je keuzes. Zodra de AVG zich verder ontwikkeld en verdere verheldering geeft op de vraagtekens uit de social enterprise sector snijden wij het onderwerp zeker weer aan!

In een notendop de belangrijkste bevindingen op een rij:

Persoonsgegevens
Dit zijn alle gegevens die kunnen herleiden naar een persoon, zowel op schrift als op digitale media. Onderscheid bestaat tussen gewone persoonsgegevens (naam, adres, rekeningnummer, mail, telefoon) en bijzondere persoonsgegevens (medische gegevens, seksuele geaardheid, religie, gezondheid, BSN etc).

No go’s
Bijzondere persoonsgegevens mogen niet worden verwerkt, op enkele wettelijke uitzonderingen na (o.a. vitaal belang, wettelijke verplichting, gerechtvaardigd belang). Daarnaast is het niet toegestaan om via geautomatiseerde algoritmes/systemen doelgroepen te discrimineren op basis van hun persoonsgegevens en besluitvormingsprocessen te sturen op uitkomende profileringen.

Toestemming
Alle betrokkenen (partners, leden, klanten, enz.) moeten bewust en aantoonbaar toestemming hebben gegeven voor de verwerking van persoonsgegevens, zeker in het geval van bijzondere gegevens.
Tip: Vermeld hoe, waarom, waar en welke gegevens worden verwerkt in een clausule van een Algemeen Privacy Statement. Stuur deze mee in een mailing en vraag om toestemming door middel van een vinkje.

Delen met derden
Sluit een verwerkingsovereenkomst af met alle partners uit de keten die toegang nodig hebben tot persoonsgegevens in jullie bezit (o.a. de boekhouder en andere partijen aan wie werk wordt uitbesteed). Borg vertrouwen en verantwoordelijkheid.
Tip: Je hoeft het wiel niet opnieuw uit te vinden, gebruik deze verwerkingsovereenkomst template.

Medewerkers en zzp’ers
Bij het tekenen van een arbeidscontract / werkovereenkomst, specificeer in een geheimhoudingsverklaring hoe medewerkers of zzp’ers dienen om te gaan met de persoonsgegevens die in het bezit zijn van de organisatie. Stem in het contract ook af wat je opneemt / bijhoudt in het personeelsdossier en hoe de betrokkene hier invloed op kan uitoefenen.

Verwijderen
Te allen tijde heeft iemand het recht om vergeten te worden en bezwaar te maken tegen het verwerken van zijn/haar persoonsgegevens. Binnen 4 weken moet dit gehonoreerd en bevestigd worden. Sommige gegevens mogen echter in enkele gevallen wel behouden worden.

Behouden
Persoonsgegevens mogen worden behouden als het verwijderen vanuit wettelijke grondslag niet mogelijk is (bv. belastingdienst) en als het voor de kwaliteit van het bedrijf van aantoonbaar belang is (bv. orderhistorie). Zolang iets niet terug te koppelen is naar een persoon, kan het sowieso bewaard worden.

Datalekken
Een datalek dient binnen 72 uur na ontdekking gemeld te worden bij de autoriteit persoonsgegevens. Het is handig om een procedure op te stellen over hoe om te gaan met een lek.

Verantwoordelijke
Breng de verantwoordelijkheid voor de privacy wetgeving bij een persoon in de organisatie onder, die persoon wordt ook wel Privacy Officer genoemd. Als je op grote schaal bijzondere persoonsgegevens verwerkt dan is het verplicht om een Functionaris gegevensbescherming (FG) aan te stellen. Ook als je vanuit een kernactiviteit van de organisatie personen volgt en in kaart brengt (bv. monitoring via wearables, cameratoezicht houden, profilering voor risico inschattingen, etc.)

Data Privacy Impact Assessment
Dit assessment moet plaatsvinden als je (bijzondere) persoonsgegevens op grote schaal verwerkt en/of gebruik maakt van geautomatiseerde systemen om beslissingen te nemen over betrokkenen. Meer informatie en handleidingen vind je hier.