Culturele organisaties lopen in de dagelijkse praktijk geregeld aan tegen de vraag of iets ‘wel mag van de AVG’. Of het nu gaat om het verzamelen van publieksdata, het online publiceren van foto’s die tijdens een bijeenkomst zijn gemaakt of het versturen van nieuwsbrieven: de regels rondom persoonsgegevens roepen vaak vragen op.
De AVG wordt daarbij regelmatig gezien als een wet die organisaties vooral beperkt in hun werkzaamheden. Maar dat is lang niet altijd het geval. Veel is wél mogelijk, zolang je zorgvuldig omgaat met persoonsgegevens, de privacy van betrokkenen beschermt en kunt uitleggen waarom je bepaalde gegevens verwerkt.
Met ‘verwerken’ bedoelt de AVG alles wat je met persoonsgegevens doet, zoals verzamelen, opslaan, delen of verwijderen.
Vraag je je af wat je als organisatie nu eigenlijk mag doen met persoonsgegevens? Als je de volgende vijf stappen volgt, heb je je AVG-basis op orde.
1. Ga na welke persoonsgegevens je verwerkt en waarom
Bedenk welke persoonsgegevens je gebruikt en bepaal voor welk doel je ze gebruikt.
Dat kan bijvoorbeeld zijn voor dienstverlening of marketing, maar ook voor statistisch onderzoek of voor het werving- en selectieproces van de organisatie.
Het doel moet duidelijk en specifiek zijn. Ook moet je kunnen verantwoorden waarom de verwerking noodzakelijk is met het oog op de vastgestelde doeleinden. Zijn er geen andere, voor betrokkenen minder ingrijpende manieren om je doel te bereiken?
Het is belangrijk dat je alleen gegevens gebruikt die echt nodig zijn (dataminimalisatie) en dat de gegevens goed beveiligd zijn.
2. Bepaal of je deze gegevens mag gebruiken
Nadat je je gebruiksdoelen hebt vastgesteld, moet je iedere verwerking kunnen verantwoorden op basis van een van de wettelijke redenen (grondslagen) uit de AVG. De AVG kent zes grondslagen die van toepassing kunnen zijn:
- toestemming van de persoon om wie het gaat;
- noodzaak voor de uitvoering van een overeenkomst;
- een wettelijke verplichting;
- bescherming van vitale belangen (bijvoorbeeld in noodsituaties);
- uitvoering van een taak van algemeen belang of openbaar gezag;
- behartiging van een gerechtvaardigd belang: een legitiem belang van je organisatie.
Voor culturele organisaties zijn met name de grondslagen overeenkomst, toestemming en gerechtvaardigd belang relevant. Zorg ervoor dat je kunt onderbouwen waarom je voor een bepaalde grondslag hebt gekozen.
Overeenkomst
Vaak heb je bepaalde persoonsgegevens nodig om een overeenkomst uit te voeren. Bijvoorbeeld wanneer bezoekers van een voorstelling hun ticket per e-mail ontvangen. Je hebt dan het e-mailadres van de bezoeker nodig.
Toestemming
Je mag iemands persoonsgegevens verwerken als diegene daarvoor toestemming heeft gegeven. Mensen hebben altijd het recht om hun toestemming weer in te trekken. Je moet ervoor zorgen dat zij dit eenvoudig kunnen doen. Bij kinderen onder de 16 moeten de ouders of verzorgers de toestemming geven.
Gerechtvaardigd belang
In veel gevallen is de wettelijke basis voor verwerking het gerechtvaardigd belang van de culturele instelling. Bijvoorbeeld voor statistisch onderzoek naar bezoekers, waarmee je je programmerings- en marketingbeleid kunt verbeteren of waarmee je verantwoording kunt afleggen aan subsidiegevers. Ook voor bepaalde marketingdoeleinden kan verwerking van persoonsgegevens noodzakelijk zijn.
Voorwaarde is wel dat de verwerking echt nodig is voor het belang van je organisatie én dat je de belangen van betrokkenen zorgvuldig afweegt tegen je eigen belang.
3. Leg alle verwerkingen vast in een verwerkingsregister
Een verwerkingsregister is een overzicht van de persoonsgegevens die je gebruikt en waarom. Het is in de meeste gevallen verplicht om zo’n register bij te houden. Neem hierin naast de verwerkingen ook de bijbehorende grondslagen op.
4. Publiceer een (online) privacyverklaring
Het is belangrijk dat je mensen informeert over wat je met hun persoonsgegevens doet en waarom. Dit betekent dat je verplicht bent om mensen hierover duidelijk te informeren.
De meest praktische manier om dit vast te leggen, is in een privacyverklaring op je website. Vermeld daarin onder meer op basis van welke grondslag(en) je persoonsgegevens verwerkt.
5. Verwijder gegevens zodra ze niet meer nodig zijn
Je moet persoonsgegevens verwijderen zodra ze niet langer nodig zijn voor het oorspronkelijke doel waarvoor je ze hebt verzameld. Je mag gegevens dus maar een beperkte tijd bewaren.
De AVG geeft hiervoor geen vaste bewaartermijnen. Je kunt deze termijnen daarom zelf bepalen, mits je goed kunt uitleggen waarom je voor die termijn kiest. Leg deze ook vast in je privacyverklaring en verwerkingsregister. En minstens zo belangrijk: houd je ook daadwerkelijk aan de vastgestelde bewaartermijnen.
Met deze vijf stappen leg je een sterke AVG-basis
De AVG hoeft culturele organisaties niet in de weg te zitten. Veel is mogelijk, zolang je bewust en zorgvuldig omgaat met persoonsgegevens. Door helder vast te leggen welke gegevens je gebruikt, waarom je dat doet en hoe lang je ze bewaart, verklein je niet alleen risico’s, maar bouw je ook aan vertrouwen bij bezoekers, deelnemers, medewerkers en partners.
Met deze vijf stappen leg je een stevige basis voor een privacybewuste organisatie én kun je beter onderbouwen waarom bepaalde verwerkingen nodig zijn.
Checklist: persoonsgegevens zorgvuldig verwerken
Controleer met deze vijf stappen of je organisatie de AVG-basis op orde heeft.
- Ga na welke persoonsgegevens je verwerkt en waarom
- Bepaal of je deze gegevens mag gebruiken
- Leg alle verwerkingen vast in een verwerkingsregister
- Publiceer een (online) privacyverklaring
- Verwijder gegevens zodra ze niet meer nodig zijn
Meer artikelen per onderwerp
