Deze website maakt gebruik van cookies ter verbetering van de bezoekerservaring. Lees meer in het Privacybeleid van Het Oranje Kruis. OK

Nieuwe privacywetgeving

Nieuwe privacywetgeving

20 april 2018

Het Oranje Kruis ontvangt regelmatig vragen betreffende de nieuwe regelgeving rond de privacy die in mei van dit jaar van kracht wordt. Hoewel Het Oranje Kruis onafhankelijk staat ten opzichte van opleiders en verenigingen en wij zelf nog actief bezig zijn met de invoering van aanvullende regelingen, bieden wij graag een advies aan.

Vanaf 25 mei treedt de GDPR (General Data Protection Regulation) in werking. In Nederland is dat de AVG (Algemene Verordening Gegevensbescherming). De kern van deze nieuwe wet stond al in de Wbp (Wet bescherming persoonsgegevens). De AVG is gekomen om in alle Europese lidstaten dezelfde regels te hebben. Daarbij is het onderdeel datalekken en de hieraan verbonden meldplicht een duidelijke aanscherping. De rechten van betrokkenen (de personen waarvan gegevens worden bewaard) zijn aanzienlijk versterkt.

Het organiseren van het beheer van data (persoonsgegevens) begint met helderheid over het doel en de middelen. Waarbij het zoveel mogelijk beperken van dataverzameling en -opslag een belangrijk uitganspunt is. Daarnaast moeten de persoon waarvan data worden opgeslagen weten dat die opslag er is, actief toestemming geven en kunnen verzoeken data te verwijderen.

Om dit allemaal te regelen is het handig een document op te stellen waarin bovenstaande staat beschreven, inclusief de rollen en bevoegdheden die in de organisatie zijn afgesproken. Een check door een privacyfunctionaris is daarbij zinvol. Voor kleinere organisaties is het raadzaam die functionaris te delen met anderen. Het Oranje Kruis wil onderzoeken of wij hierin zou kunnen bemiddelen. Ook is onderzoek nodig om afstemming te verkrijgen over bewaartermijnen van gegevens. De privacyfunctionaris is niet een eenmalige actie, maar dient eraan bij te dragen dat regelmatig wordt bekeken welke privacy risico’s bestaan en welke maatregelen moeten worden genomen. Technische maatregelen zijn de basis, waaronder pseudonimisering (het versleutelen van privacygevoelige gegevens).

Van belang is ook dat de organisatie, wanneer data gedeeld worden met een andere partij (bijvoorbeeld bij automatische verzending van een magazine, of externe ICT-ondersteuning) een bewerkingsovereenkomst afsluit met de bewerker. Hierin wordt de verantwoordelijkheid van de externe partij duidelijk vastgelegd.

Wij zullen binnenkort het vernieuwde privacybeleid van Het Oranje Kruis publiceren.