AVG-proof werken: wat komt daarbij kijken?
Welke publieksdata mag je als culturele instelling verzamelen? Op welke manier mag je publieksdata inzetten om het publiek te bereiken? Hoe kun je dat veilig en dus AVG-proof doen? Zijn alle medewerkers op de hoogte van de juiste richtlijnen? En zo zijn er nog veel meer vragen rondom de AVG. Waar begin je? DEN helpt je graag op weg!
Waarom is er een AVG-wetgeving?
In een maatschappij die steeds vaker en meer online is, ontstaat steeds meer data. Data die kan worden opgeslagen en die je met de juiste tools en algoritmes kan analyseren en inzetten om publiek te bereiken met een specifieke boodschap. Aan deze ontwikkelingen zitten positieve kanten: publieksdata kan worden ingezet om bestaand en nieuw publiek op een persoonlijke manier te bereiken. Echter, bij verkeerd gebruik kan de privacy van bezoekers in het gedrang komen.
Om deze privacy te waarborgen en te zorgen dat organisaties op een veilige manier omgaan met privacygevoelige data van bezoekers is sinds 2018 in de hele EU de AVG (Algemene verordening gegevensbescherming) van kracht. Deze wet (Opent een externe link) geeft rechten aan het publiek en maakt organisaties verantwoordelijk voor het zorgvuldig omgaan met (digitale) persoonsgegevens. Dit gaat om data zoals naam, e-mailadressen, maar ook medische of opleidingsgegevens.
Wat betekent dit voor jouw organisatie?
Kort gezegd betekent AVG dat elke organisatie de privacy van klanten en relaties moet respecteren en waarborgen. Dat betekent dat verantwoordelijkheden, systemen en processen hierop zijn ingericht. En dat het belangrijk is om op de hoogte te zijn van de regelgeving. Bijvoorbeeld door een expert mee te laten kijken bij bestaande en nieuwe processen waar gebruik wordt gemaakt van publieksdata. Voor kleinere instellingen kan het interessant zijn zo’n traject gezamenlijk op te pakken met een aantal andere instellingen.
Werken met een Excel-bestand waarin je persoonlijke gegevens opslaat kan eigenlijk niet meer in deze digitale wereld
Hoe integreer je de AVG in je werkzaamheden?
Om op een verantwoorde wijze met data om te gaan, is het opstellen van een privacybeleid een belangrijke stap. Daarin leg je vast hoe je als organisatie met privacy wilt omgaan. Zo’n beleid kan bijvoorbeeld de volgende onderdelen bevatten:
- De manier waarop persoonsgegevens worden verwerkt
- Transparantie over gegevensverwerking in een privacy policy
- De wijze waarop gegevens worden bewaard
- Direct marketing: wanneer mag dit wel en wanneer niet
- Beschrijven van werkwijze waarbij de dataverwerking wordt geminimaliseerd
- Het borgen van datakwaliteit
- Organisatorische en technische beveiligingsmaatregelen
Het Culturele Doelgroepenmodel
Veel instellingen, steden en regio’s werken met het door Rotterdam Festivals ontwikkelde het Culturele Doelgroepenmodel (Opent een externe link). Geldt dit ook voor jouw organisatie? Lees dan hier een document waarin een jurist inzoomt op AVG-aspecten rondom het gebruik van dit model (Opent een externe link).