Als stichting werk je vaak met gevoelige informatie van donateurs, vrijwilligers of begunstigden. De Algemene Verordening Gegevensbescherming (AVG) stelt duidelijke regels aan hoe je met deze persoonsgegevens omgaat. Maar hoe zorg je dat je stichting aan alle eisen voldoet zonder dat het een hele administratieve last wordt? In dit artikel helpen we je met praktische stappen die je direct kunt implementeren om te voldoen aan de privacywetgeving. Door deze aanpak te volgen, bescherm je niet alleen de gegevens van je betrokkenen, maar bouw je ook aan vertrouwen en voorkom je hoge boetes. Laten we beginnen met de basis!
1: Wat houdt AVG-compliance in voor jouw stichting?
Voor stichtingen betekent de AVG dat je zorgvuldig moet omgaan met alle persoonsgegevens die je verzamelt en verwerkt. Dit gaat van contactgegevens van donateurs tot gezondheidsgegevens van begunstigden. Je bent verantwoordelijk voor het beschermen van deze gegevens en moet kunnen aantonen dat je dit goed doet.
Als stichting ben je een verwerkingsverantwoordelijke. Dit betekent dat je zelf bepaalt waarom en hoe je persoonsgegevens verwerkt. De AVG vereist dat je deze gegevens rechtmatig, behoorlijk en transparant verwerkt. Daarnaast mag je niet meer gegevens verzamelen dan nodig, moet je zorgen voor juiste en actuele informatie, en moet je gegevens beveiligen tegen onrechtmatige toegang.
Het niet naleven van de AVG kan vervelende gevolgen hebben: boetes tot €20 miljoen of 4% van je jaaromzet, reputatieschade, en verlies van vertrouwen van je donateurs en vrijwilligers. Juist voor stichtingen, die vaak afhankelijk zijn van vertrouwen, kan dit desastreus zijn.
2: Breng al je gegevensstromen in kaart
Begin met een inventarisatie van alle persoonsgegevens die je verwerkt. Denk aan donateurslijsten, vrijwilligersgegevens, nieuwsbriefabonnees en mogelijk zelfs bijzondere persoonsgegevens zoals medische informatie. Vraag jezelf bij elke verwerking af: welke gegevens verzamelen we, waarom doen we dit, waar slaan we het op, met wie delen we het, en hoe lang bewaren we het?
Maak een dataregister waarin je alle verwerkingen documenteert. Dit register is niet alleen een AVG-verplichting voor veel stichtingen, maar geeft je ook zelf een goed overzicht. Noteer per verwerking de verwerkingsdoeleinden, categorieën betrokkenen, soorten persoonsgegevens, ontvangers, bewaartermijnen, beveiligingsmaatregelen en of je gegevens deelt met partijen buiten de EU.
Tip: Gebruik een eenvoudige Excel-sheet of een speciale AVG-tool om je dataregister bij te houden. Controleer minimaal jaarlijks of je register nog actueel is en update het bij nieuwe verwerkingen.
3: Voer een risicobeoordeling uit
Na het in kaart brengen van je gegevensstromen is het belangrijk om te bepalen welke risico’s hieraan verbonden zijn. Voer een eenvoudige risicobeoordeling uit door per verwerking na te gaan wat de impact zou zijn als gegevens verloren gaan, gestolen worden of per ongeluk openbaar worden.
Let hierbij extra op gevoelige gegevens zoals gezondheidsgegevens, financiële informatie of gegevens van kwetsbare personen zoals kinderen. Voor verwerkingen met een hoog risico moet je mogelijk een uitgebreidere Data Protection Impact Assessment (DPIA) uitvoeren.
Stel jezelf vragen als: Wie heeft toegang tot deze gegevens? Zijn onze systemen voldoende beveiligd? Hebben we back-ups? Kunnen we gegevens herstellen na een incident? Door deze vragen te beantwoorden, krijg je inzicht in de zwakke plekken in je gegevensbescherming.
4: Stel een privacybeleid op
Een helder privacybeleid is niet alleen een wettelijke verplichting, maar zorgt ook voor vertrouwen bij je donateurs, vrijwilligers en andere betrokkenen. In dit document leg je in begrijpelijke taal uit hoe je stichting omgaat met persoonsgegevens.
Je privacybeleid moet minimaal bevatten: welke gegevens je verzamelt, waarom je dit doet, hoe lang je gegevens bewaart, met wie je gegevens deelt, hoe je de gegevens beveiligt en welke rechten betrokkenen hebben (zoals inzage en verwijdering). Zorg dat je beleid toegankelijk is – plaats het op je website en verwijs ernaar wanneer je gegevens verzamelt.
Tip voor kleine stichtingen: Hou het simpel en praktisch. Een privacybeleid hoeft geen juridisch document van tientallen pagina’s te zijn. Een duidelijk en eerlijk document van een paar pagina’s is vaak effectiever en makkelijker bij te houden.
5: Zorg voor beveiligde ICT-infrastructuur
Goede beveiliging van je digitale omgeving is essentieel voor AVG-compliance. Begin met basismaatregelen zoals sterke wachtwoorden, tweefactorauthenticatie en up-to-date software. Zorg dat je computers en apparaten zijn voorzien van actuele virusbescherming en dat je regelmatig back-ups maakt die je ook test.
Bepaal wie toegang heeft tot welke gegevens binnen je stichting. Niet iedereen hoeft toegang te hebben tot alle informatie. Stel verschillende toegangsrechten in en zorg dat ex-medewerkers of -vrijwilligers geen toegang meer hebben tot jullie systemen.
Bij het werken in de cloud is het belangrijk dat je gegevens veilig zijn opgeslagen. Gebruik alleen cloudoplossingen die voldoen aan Europese privacynormen en die garanties bieden voor veilige gegevensopslag. Een oplossing als Microsoft 365 biedt niet alleen vertrouwde toepassingen, maar ook uitgebreide beveiligingsmogelijkheden speciaal voor stichtingen.
6: Train je medewerkers en vrijwilligers
De sterkste beveiliging kan teniet worden gedaan door één onoplettende medewerker. Zorg daarom dat iedereen binnen je stichting – of het nu betaalde krachten of vrijwilligers zijn – begrijpt wat de AVG betekent voor hun dagelijkse werkzaamheden.
Organiseer korte, praktische trainingen waarin je uitlegt waarom privacybescherming belangrijk is en hoe je stichting hiermee omgaat. Behandel praktijkvoorbeelden zoals: hoe ga je om met e-mailverzoeken over persoonsgegevens, wanneer mag je gegevens delen, hoe herken je phishing-pogingen, en wat moet je doen bij een mogelijk datalek?
Maak privacy een terugkerend onderwerp in teamoverleggen en deel regelmatig tips en updates. Zo creëer je een cultuur waarin zorgvuldig omgaan met persoonsgegevens vanzelfsprekend wordt. Dit is vaak effectiever dan een eenmalige training die snel weer vergeten wordt.
7: Hoe regel je verwerkersovereenkomsten?
Als je stichting samenwerkt met externe partijen die persoonsgegevens voor jullie verwerken, ben je verplicht om verwerkersovereenkomsten af te sluiten. Denk hierbij aan leveranciers van CRM-systemen, e-maildiensten, boekhoudprogramma’s of clouddiensten.
In een verwerkersovereenkomst leg je vast dat de verwerker alleen handelt volgens jouw instructies, passende beveiligingsmaatregelen neemt, jullie helpt bij het naleven van de AVG, en na afloop van de dienstverlening alle persoonsgegevens verwijdert of teruggeeft. Veel leveranciers hebben standaard verwerkersovereenkomsten beschikbaar, maar controleer altijd of deze aan de eisen voldoen.
Hou een overzicht bij van alle verwerkersovereenkomsten die je hebt afgesloten. Controleer regelmatig of deze nog actueel zijn en of de afspraken worden nageleefd. Een goede verwerker is transparant over de genomen beveiligingsmaatregelen en meldt eventuele datalekken direct.
8: Implementeer procedures voor datalekken
Ondanks alle voorzorgsmaatregelen kan er toch een datalek optreden. Zorg dat je hierop voorbereid bent door een duidelijk protocol op te stellen. Hierin beschrijf je wie verantwoordelijk is voor de afhandeling van een datalek, hoe je het lek beoordeelt en wanneer je het moet melden bij de Autoriteit Persoonsgegevens (AP) en betrokkenen.
Je moet een datalek binnen 72 uur melden bij de AP als het waarschijnlijk is dat het lek risico’s oplevert voor de rechten en vrijheden van betrokkenen. Als er een hoog risico is, moet je ook de betrokkenen zelf informeren. Documenteer alle datalekken, ook de kleine incidenten die je niet hoeft te melden.
Tip: Maak een eenvoudig intern meldingsformulier waar medewerkers en vrijwilligers mogelijke datalekken kunnen melden. Zorg dat iedereen weet waar ze dit kunnen vinden en dat ze niet aarzelen om incidenten te melden, hoe klein ook.
9: Respecteer de rechten van betrokkenen
De AVG geeft mensen verschillende rechten met betrekking tot hun persoonsgegevens. Als stichting moet je ervoor zorgen dat je aan verzoeken voor inzage, correctie, verwijdering en beperking van verwerking kunt voldoen. Stel hiervoor duidelijke procedures op.
Bepaal wie binnen je stichting deze verzoeken afhandelt, hoe je de identiteit van de verzoeker verifieert, binnen welke termijn je reageert (maximaal een maand), en hoe je de gevraagde informatie verstrekt. Zorg dat je systemen zo zijn ingericht dat je gegevens gemakkelijk kunt vinden, aanpassen of verwijderen.
Het is belangrijk om bij het ontwerpen van nieuwe processen of activiteiten direct na te denken over hoe je voldoet aan deze rechten. Dit wordt ook wel ‘privacy by design’ genoemd en is een kernprincipe van de AVG.
Aan de slag met een AVG-compliant werkomgeving
Nu je de belangrijkste stappen kent voor een AVG-compliant werkomgeving, is het tijd om ermee aan de slag te gaan. Begin klein, prioriteer de acties met de grootste impact en bouw stap voor stap verder. Privacy en gegevensbescherming zijn geen eenmalige projecten, maar een doorlopend proces van verbetering.
Bij Officebox begrijpen we de uitdagingen waar stichtingen voor staan. Onze beveiligde cloudoplossingen, zoals Officebox 365, helpen je om veilig en flexibel te werken met Microsoft-applicaties, terwijl je persoonsgegevens optimaal beschermd blijven. Met onze twee-factor authenticatie, Endpoint Protection en data-opslag in West-Europese datacenters voldoe je al aan een groot deel van de technische vereisten van de AVG.
Wil je weten hoe jouw stichting specifiek kan voldoen aan de AVG? Neem dan contact met ons op voor een vrijblijvend gesprek. Samen zorgen we voor een veilige, AVG-compliant werkomgeving waarin jouw stichting zorgeloos kan focussen op waar het écht om gaat: jullie maatschappelijke missie.