Om organisaties te helpen aan de AVG te voldoen heeft de Autoriteit Persoonsgegevens een stappenplan online gezet, wat enige steun kan geven. De vereniging heeft dit stappenplan gevolgd, met onderstaande resultaat.

Bewustwording

Het stappenplan stelt: “Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.”

Gelukkig kan de vereniging hiervoor terugvallen op de moederorganisatie Scouting Nederland, die al het nodig heeft gedaan. Een voorbeeld is een privacyregeling voor de landelijke ledenadministratie. Maar de vereniging gebruikt (soms tijdelijk) meer gegevens dan in de landelijke administratie staat, zoals gegevens over medicijngebruik tijdens kampen in een gezondheidsformulier. Hiervoor zijn maatregelen genomen, waarvan de details hieronder staan.

Rechten van betrokkenen

“Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacy rechten. Zorg er daarom voor dat zij hun privacy rechten goed kunnen uitoefenen.”

Als lid van Scouting Nederland, en dus opgenomen in de landelijke administratie, kan elk lid (of de wettelijke vertegenwoordiger) de opgeslagen gegevens inzien en aanpassen. Dat is  al geregeld door de landelijke organisatie. Maar in die administratie staan niet alle gegevens.

Om de leden (en hun vertegenwoordigers als ze minderjarig zijn) inzage te geven in al hun opgeslagen gegevens worden deze minimaal éénmaal per jaar aan hun verstrekt, met het verzoek ze te controleren en desgewenst te corrigeren of aan te vullen. Daarnaast kunnen ze deze gegevens op elk gewenst moment opvragen (en corrigeren of laten verwijderen) bij de gegevensbeheerder van de eigen speltak. Bovendien worden de extra gegevens van de leden bij het opzeggen van het lidmaatschap standaard verwijderd en in de landelijke organisatie blijven alleen de gegevens bewaard die nodig zijn om de historie van het lidmaatschap van de leden na te gaan.

Indien een lid een beroep doet op het recht op vergetelheid (RTBF) of inzage in gegevens (SAR) reageert de vereniging binnen één maand op dit verzoek. Dit verzoek dient schriftelijk gedaan te worden via het secretariaat. Conform het privacy beleid van Scouting Nederland wordt dit verzoek in overleg met de afdeling Juridische zaken van Scouting Nederland in behandeling genomen.

Overzicht verwerkingen

“Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.”

De landelijke ledenadministratie van Scouting Nederland verwerkt o.a. NAW-gegevens, gegevens van ouders/contactpersonen, incasso machtigingen en gegevens over de ziektekostenverzekering. Deze zijn nodig om vast te leggen wie lid is, met wie contact moet worden opgenomen als er iets met het lid aan de hand is, hoe de contributie wordt betaald en waar het lid verzekerd is (als het lid naar de eerste hulp moet). Deze gegevens worden gedeeld met alle Scouting verenigingen waar de leden lid van zijn en de landelijke activiteiten waar ze aan deelnemen.

Daarnaast verwerkt de vereniging zelf meer gegevens, namelijk paspoortnummers en geldigheid daarvan (ook als kopie, voor buitenlandse kampen), medische gegevens (allergieën, medicijngebruik, benodigde speciale zorg, allen voor gebruik tijdens de wekelijkse opkomsten en incidentele kampen), behaalde zwemdiploma’s en dergelijke. Dit zijn ook de gegevens die vanuit Scouting Nederland worden aangegeven op hun gezondheidsformulier, wat bedoeld is voor gebruik tijdens kampen en wat vlak voor het kamp ingevuld en direct na het kamp vernietigd moet worden. Echter, de vereniging is van mening dat veel van de gegevens elke week tijdens de opkomsten nodig zijn. En daarom is besloten die gegevens in de administratie te houden. Dit is bij de leden en hun ouders bekend, dit staat op het inschrijfformulier vermeld. Overigens worden deze extra gegevens niet gedeeld buiten de leiding van de speltak waar de betrokkene lid van is.

Data protection impact assessment

“Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.”

Er is uit voorzorg een eenvoudige DPIA uitgevoerd. Hieruit blijkt dat de (o.a. medische) gegevens van de leden in de administratie een risico op schending van de privacy mogelijk maakt. Er is besloten de gegevens alleen te laten verwerken door personen die dat ook in de landelijke ledenadministratie zouden mogen en de gegevens beveiligd op te slaan (encrypted media, opslag voorzien van username/password bescherming en fysieke kopieën in een afgesloten ruimte met afgeschermde toegang).

Privacy by design & privacy by default

“Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.”

De landelijke ledenadministratie van Scouting Nederland is qua toegang ontworpen om alleen specifiek aangewezen/geautoriseerde personen toegang te geven tot bepaalde gegevens. Deze handelswijze wordt ook voor de extra gegevens gevolgd, echter is dat niet technisch maar procedureel geregeld. De gegevensbeheerder let zelf op verspreiding van gegevens.

Functionaris voor de gegevensbescherming

“Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.”

Het is voor de vereniging geen kerntaak om op grote schaal persoonsgegevens te verwerken, dus is er geen plicht om een functionaris voor de gegevensbescherming aan te stellen. Het verenigingsbestuur is voor dit soort zaken aanspreekpunt.

Meldplicht datalekken

“De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.”

Gelukkig heeft de vereniging tot op dit moment nog geen datalekken gehad en ook van de landelijke ledenadministratie is dat niet bekend. Bovendien is de landelijke organisatie verantwoordelijk voor het melden van datalekken in de landelijke ledenadministratie. De mogelijkheid van datalekken voor de extra gegevens wordt verder verkleind door ze op een versleuteld media en/of op een door gebruikersnaam/wachtwoord afgeschermde omgeving op te slaan. Hierdoor zijn de gegevens zelf niet in gevaar, zelfs als bijvoorbeeld het medium met de gegevens op straat komt te liggen.

Indien er sprake is van (een vermoeden van) een datalek wordt dit conform het ‘protocol datalekken verwerkers’ gemeld bij Scouting Nederland via . Na melding van een datalek heeft Scouting Nederland een informatieplicht die voorschrijft dat leden worden geïnformeerd over wat er met hun persoonsgegevens is gebeurd.

Bewerkersovereenkomsten

“Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn.”

Dit zou kunnen gelden voor de landelijke ledenadministratie van Scouting Nederland. Hiervoor is geen formeel contract afgesloten, omdat alle Scouting verenigingen vanuit hun statuten ook lid zijn van de landelijke organisatie. Gezien de aandacht die Scouting Nederland heeft voor de AVG is aangenomen dat hier geen herziening nodig is.

Leidende toezichthouder

“Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacy toezichthouder zaken te doen.”

Dit is voor de vereniging niet van toepassing.

Toestemming

“Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.”

Bij de  vereniging is bovenaan het formulier waarmee alle gegevens bij de leden of hun vertegenwoordigers opgevraagd wordt al een stuk tekst opgenomen waarin wordt uitgelegd dat en waarom de gevraagde gegevens worden opgeslagen en hoe deze gecorrigeerd of verwijderd kunnen worden. Hierop kan ook toestemming worden gegeven voor het publiceren van foto- en videomateriaal op de websites van de vereniging, de regio, Scouting Nederland en de internationale orgganisaties WAGGS/WOSM. Hiervoor tekent het lid of de wettelijk vertegenwoordiger(s) op de laatste pagina. 

Bij vragen hierover kan contact worden opgenomen met het bestuur van de vereniging.

Scouting Polaris wordt mede mogelijk gemaakt door: