Vrijwilligerscentrale Westfriesland

Bescherming persoonsgegevens in de praktijk

Een vrijwilligersorganisatie mag alleen persoonsgegevens verzamelen en verwerken als er een voor is of as de betrokkene toestemming heeft gegeven voor het gebruik van zijn gegevens. Daarbij geldt dat de organisatie niet meer gegevens mag verwerken dan noodzakelijk is voor het doel waarvoor ze zijn verzameld.

Het verwerken van de persoonsgegevens moet steeds gebaseerd kunnen worden op het vooraf bepaalde doel en op één van de zes grondslagen zoals vermeld in de Wet bescherming persoonsgegevens (Wbp):

  1. Ondubbelzinnige toestemming
  2. Noodzakelijk voor de uitvoering van een overeenkomst
  3. Noodzakelijk ter uitvoering van een wettelijke plicht
  4. Noodzakelijk ter vrijwaring van een vitaal belang van betrokkene
  5. Noodzakelijk voor een goede vervulling van een publiekrechtelijke taak
  6. Noodzakelijk voor de behartiging van gerechtvaardig
    7. belang.

Als er geen enkele grondslag van toepassing is, is het verwerken van persoonsgegevens niet toegestaan. Voor vrijwilligersorganisaties zullen met name de eerste en/of laatste grondslag relevant zijn. als je activiteiten niet goed kunt uitoefenen zonder persoonsgegevens te verwerken, dan heb je een gerechtvaardigd belang in de zin van de Wet bescherming persoonsgegevens. De Wbp is sinds 1 september 2001 van kracht en geeft regels voor een zorgvuldige omgang met persoonsgegevens.

Verwerken van persoonsgegevens

Elke vrijwilligersorganisatie werkt met persoonsgegevens. Een naam of adres van bijvoorbeeld leden, vrijwilligers of sponsors wordt al snel geregistreerd. Persoonsgegevens zijn alle gegevens die tot een persoon te herleiden, bijvoorbeeld een adres, geboortedatum en geslacht. Voordat je persoonsgegevens mag verwerken, moet het doel daarvoor uitdrukkelijk bepaald en gerechtvaardigd zijn. Het is dus belangrijk dat je goed inventariseert en omschrijft waarvoor je de persoonsgegevens gaat verwerken. Maar wat houd 'verwerken' nu precies in? De Wbp beschouwt elke handeling met betrekkingen tot die persoonsgegevens als verwerken. Bijvoorbeeld het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen of vernietigen van gegevens. Te gedetailleerde gegevens mag een organisatie niet verwerken, als dat voor het doel niet noodzakelijk is. De verwerking van bijzondere persoonsgegevens als ras, politiek gezindheid, godsdienst of levensovertuiging, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en strafrechtelijke persoonsgegevens mogen alleen worden verwerk in de bij wet genoemde uitzondering of met uitdrukkelijke toestemming van betrokkenen. Zo mogen gegevens over iemands gezondheid in principe alleen worden verwerkt door de instelling in de gezondheidszorg.

Melden?

In principe moeten alle organisaties het verwerken van persoonsgegevens melden bij College Bescherming Persoonsgegevens (CBP). In sommige situaties is een verwerking echter vrijgesteld van melden. Als je wilt weten of en wat je of en wat je moet melden, maak dan eerst een inventarisatie van alle verwerkingen van persoonsgegevens binnen je organisatie. Op www.cbpweb.nl vind je de Handreiking Vrijstellingsbesluit (HVB) waarmee je kunt nagaan of een verwerking is vrijgesteld van melden.

Vrijstelling

Verenigingen of stichtingen hoeven de verwerking van persoonsgegevens van hun leden of donateurs niet te melden aan het CBP als aan alle genoemde voorwaarden in artikel 3 word voldaan. Ten aanzien van de administratie wordt bijvoorbeeld vermeld dat alleen de volgende persoonsgegevens mogen worden verwerkt:

  1. Naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer een soortgelijke voor communicatie benodigde gegevens (Bijvoorbeeld het e-mailadres), als mede het bank- en girorekening nummer van het lid of de begunstiger;
  2. Een administratienummer, indien dat geen andere informatie bevat dat bij het vorige punt bedoelde gegevens;
  3. De bij het eerste punt bedoelde gegevens van de ouders, voogden of verzorgers van minderjarige leden of begunstigers;
  4. Gegevens die betrekking hebben op het lidmaatschap of de begunstiging. Hieronder zijn begrepen gegevens over de aard van het lidmaatschap of begunstiging, de functie binnen de vereniging, stichting of publiekrechtelijke beroepsorganisatie en de deelname aan de activiteiten;
  5. Gegevens voor het berekenen, vastleggen en innen van contributies en giften.

Verder gelden er ook voorwaarden voor de toegestane doeleinden van de verwerking, ontvangers van de gegeven en de toegestane bewaartermijn. Een ledenadministratie moet bijvoorbeeld wel worden gemeld als de leden niet in gelegenheid zijn gesteld om verzet aan te tekenen tegen de voorgenomen verstrekking van hun gegevens voor direct marketing-doeleinden of als de vereniging de ledengegevens langer dan twee jaar wil bewaren.

Verstrekking van persoonsgegevens

Persoonsgegevens mogen ook niet zomaar aan derden worden verstrekt. Een vereniging mag bijvoorbeeld alleen persoonsgegevens aan een sponsor verstrekken als de leden daarvoor expliciet toestemming hebben gegeven. Als het gaat om activiteiten die voor de vereniging gebruikelijk zijn of zijn goedgekeurd door de ledenvergadering, hoeft geen expliciete toestemming gevraagd te worden aan de leden.

Meer informatie over de Wet bescherming persoonsgegevens en over de het College Bescherming Persoonsgegevens op: www.cbpweb.nl daar vindt u ook de handleiding voor verwerkers van persoonsgegevens en het Wbp-meldingsformulier.

Bronnen: vakwerk Tekst Vanessa

Naar vorige pagina