De AVG en jongerenwerkstichtingen




De AVG en (jongerenwerk)stichtingen: verwerken van persoonsgegevens

 


Sinds mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De regels rondom het verwerken van persoonsgegevens zijn aangescherpt en dit heeft onder meer invloed op stichtingen. In het jongerenwerk wordt er veel gewerkt met privacygevoelige gegevens en het is belangrijk dat juist in dit vakgebied de nieuwe privacywetgeving wordt nageleefd. Dit betekent echter niet dat de jongerenwerker zich in allerlei moeilijke bochten moet wringen; de AVG probeert te waarborgen dat er juist en zorgvuldig met persoonsgegevens wordt omgegaan en als het goed is deden de meeste jongerenwerkstichtingen dit al. Toch zijn de regels aangescherpt en is het belangrijk om te kijken of persoonsgegevens binnen de stichting op de juiste manier verwerkt worden.

Wanneer verwerk ik persoonsgegevens?

De AVG is van kracht in de gehele Europese Unie. De verordening ziet op de verwerking van persoonsgegevens. Verwerking is een heel breed begrip en heeft betrekking op iedere handeling die een stichting kan uitvoeren met een persoonsgegeven. Het kan bijvoorbeeld gaan om het opslaan, het bewerken of het vernietigen ervan. Een persoonsgegeven is bijvoorbeeld iemands naam, adres of telefoonnummer. Er gelden strengere regels voor bijzondere persoonsgegevens. Deze hebben betrekking op bijvoorbeeld iemands ras, gezondheid, geaardheid of godsdienst.

Wanneer mag je persoonsgegevens verwerken?

Om een persoonsgegeven te mogen verwerken moet er sprake zijn van een grondslag. In de AVG zijn 6 grondslagen opgenomen op basis waarvan verwerkt mag worden:

Toestemming
Het grootste gedeelte van de persoonsgegevens zal in het jongerenwerk verwerkt worden op basis van toestemming. Het is belangrijk dat de toestemming vrijelijk, specifiek en ondubbelzinnig wordt gegeven. Dit komt er in het kort op neer dat degene wiens gegevens verwerkt worden goed geïnformeerd moet zijn. De toestemming moet bewust gegeven worden. Daarnaast moet de toestemming blijken uit een actieve handeling. Het is belangrijk om bewijs van de gegeven toestemming op te slaan, zodat je bij eventuele controles altijd kan aantonen dat er toestemming is gegeven.

Noodzakelijk voor de uitvoering van de overeenkomst
Persoonsgegevens mogen verwerkt worden als dat noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene.

Een wettelijke verplichting
De gegevens moeten verwerkt worden voor het nakomen van een wettelijke plicht.

Vitaal belang betrokkene
De gegevens moeten verwerkt worden om een vitaal belang van de betrokkene te beschermen.

Taak van algemeen belang
De gegevens moeten worden verwerkt om te kunnen voldoen aan een taak van algemeen belang.

Gerechtvaardigd belang
De verwerker heeft een gerechtvaardigd belang op grond waarvan de gegevens verwerkt mogen worden. Hier wordt een afweging gemaakt tussen het belang van de verwerker en het belang van de betrokkene. Ook wordt er gekeken of er geen minder zwaarwegende manier is om het beoogde resultaat te bereiken. Met de verwerking van persoonsgegevens wordt niet lichtvaardig omgegaan, dus er is niet zomaar sprake van deze grondslag.

Verwerken van bijzondere persoonsgegevens

Zoals eerder vermeld zeggen bijzondere persoonsgegevens iets over bijvoorbeeld iemands ras, geloof, gezondheid of politieke overtuiging. Voor het verwerken van bijzondere persoonsgegevens gelden er strengere eisen dan voor het verwerken van gewone persoonsgegevens. Er moet sprake zijn van uitdrukkelijk gegeven toestemming of een noodzakelijk belang dat blijkt uit artikel 9 AVG alvorens de persoonsgegevens verwerkt mogen worden. Omdat er in het welzijnswerk veel gewerkt wordt met bijzondere persoonsgegevens is het belangrijk om dit te onthouden.

Data protection impact assessment (DPIA)

Als de stichting gegevens verwerkt met een hoog privacyrisico voor degenen wiens gegevens verwerkt worden dan is een DPIA verplicht. De stichting bekijkt zelf of er sprake is van een dergelijk risico. Als de verwerking een hoog privacyrisico oplevert dan mogen de persoonsgegevens pas verwerkt worden als de DPIA is uitgevoerd. De Autoriteit Persoonsgegevens heeft een lijst opgesteld met situaties waarin er een hoog privacyrisico is.

In ieder geval is er sprake van een hoog risico als er grootschalige of systematische verwerking van bepaalde gegevens plaatsvindt. Dit kan gaan om financiële gegevens waaruit de inkomens- of vermogenspositie of het bestedingspatroon van de betrokkene kan worden afgeleid. Ook kan het gaan om gezondheidsgegevens, die vaak verwerkt worden door welzijnsstichtingen. Bovendien moet een DPIA worden uitgevoerd als er persoonsgegevens in samenwerkingsverband worden uitgevoerd tussen publieke of private partijen met de overheid.

De verwerking bijhouden in een verwerkingsregister

Het is bijna altijd verplicht om als jongerenwerkstichting een verwerkingsregister bij te houden. Het is van belang om in ieder geval de volgende informatie in het register op te nemen:

• De naam en de contactgegevens van de stichting of de vertegenwoordiger, van de andere organisaties met wie de doelen en middelen van de verwerking zijn vastgesteld, van de functionaris van de gegevensbescherming (als die er is) en van de eventuele internationale organisaties waarmee persoonsgegevens worden gedeeld
• De doelen waarvoor de persoonsgegevens verwerkt worden
• De categorieën van personen van wie de gegevens verwerkt worden
• De categorieën persoonsgegevens die verwerkt worden
• De datum waarop de gegevens gewist moeten worden
• De categorieën ontvangers van de persoonsgegevens
• Of er gegevens met een land of internationale organisatie buiten de EU worden gedeeld
• Beschrijving van de technische en organisatorische maatregelen die zijn genomen om de persoonsgegevens te beschermen

De rechten van betrokkenen

Betrokkenen hebben bepaalde rechten als hun gegevens verwerkt worden. Het is dus belangrijk om voorbereid te zijn op verzoeken van betrokkenen als zij deze rechten willen uitoefenen.

Dataportabiliteit
De betrokkene kan verzoeken om de persoonsgegevens die van hem of haar verwerkt zijn te ontvangen in een leesbaar formaat.

Het recht om vergeten te worden
Een betrokkene kan in bepaalde gevallen het recht hebben op het wissen van zijn of haar gegevens. Dit heeft voornamelijk betrekking op persoonsgegevens die verouderd zijn.

Inzage
De betrokkene heeft het recht om zijn of haar persoonsgegevens in te zien.

Rectificatie en aanvulling
Als de verwerkte persoonsgegevens niet kloppen of incompleet zijn dan heeft de betrokkene het recht op rectificatie en aanvulling.

Recht op beperking van de verwerking
De betrokkene heeft in bepaalde gevallen het recht om minder persoonsgegeven te laten verwerken.

Recht op bezwaar
De betrokkene heeft het recht om bezwaar te maken tegen het verwerken van zijn of haar persoonsgegevens.

Recht met betrekking tot profilering
De betrokkene heeft het recht op een menselijke blik bij het verwerken van zijn of haar gegevens.

Auteur: Lady Right  www.ladyright.nl