Nu was de spreker zo vriendelijk om toe te zeggen een aantal checklists, als ook hand-outs van de presentatie, na afloop ter beschikking te stellen. Deze worden ons binnenkort per e-mail nagezonden en daar kijken we volgens mij allen reikhalzend naar uit!
Want wij, de goede doelengemeente, hopen allemaal vurig dat toegezonden presentaties, links van gesuggereerde websites en andere bronnen van informatie ons zullen helpen met het zo eenvoudig en snel mogelijk klaarstomen van onze organisaties voor deze op handen zijnde aanscherping van bestaande wet- en regelgeving.
De moeizame conclusie (althans één van de conclusies, deze dan mogelijk wat teleurstellender dan andere) is natuurlijk dat deze wetgeving voor het overgrote deel ‘allang in onze organisaties verankerd ligt’ want de meeste verplichtingen worden al een aantal jaar als bekend verondersteld. Het feit dat we ons er thans collectief druk om maken, betekent dat we de afgelopen jaren ook al geworsteld hebben met wat er nu precies van stichtingen verwacht wordt.
Tegen het einde van de presentatie brandden er een aantal opmerkingen en beschouwingen op mijn lippen, maar omdat ze over meerdere sheets van de presentatie gingen, vond ik het lastig om er de juiste toonzetting bij te kiezen.
Er bekroop mij een enorm gevoel van enigszins misplaatste hoop (‘dat is dus een kwestie van verantwoordelijkheden van iedereen om ons heen goed vastleggen in diverse verwerkersovereenkomsten’), gecombineerd met ‘zo heet wordt de soep niet gegeten’ en vergezeld van ‘maar wij zijn toch goede doelen, dus bedoelen het toch goed?’.
Hiermee wil ik geenszins suggereren dat men gekomen was omdat men niet geïnteresseerd of bezorgd was om de mate waarin de eigen organisatie wordt geraakt door de aangescherpte wetgeving, maar dat ik vond dat het ergens in de presentaties toch iets te makkelijk werd afgedaan als iets dat je kunt vastleggen in een paar documentjes en overeenkomsten. Waar volgens mij aan voorbij gegaan werd, was en is de mate waarin de wet stelt, dat je de privacy moet verankeren in besef en gedrag. Ik verklaar mij graag nader.
IT heeft ook in de goede doelenwereld een enorme vlucht genomen; CRM-systemen, ellenlange lijsten met prospects, lauwe, warme, koude, bel-mij-niet-registers. Op ongelooflijk veel meer manieren dan vroeger slechts via televisie, de telefoon, de brieven- en de collectebus, zijn doelen tegenwoordig in staat om ons te benaderen. Dit heeft onder andere geleid tot een aan krankzinnigheid grenzende verzamelwoede van allerhande gegevens over potentiële donateurs, bestaande donateurs en voormalig donateurs.
Maar nu de wet eigenlijk voorschrijft welke gegevens je überhaupt mag bezitten, welke je MOET bezitten en welke je vooral zo snel mogelijk moet deleten, is het goed om wat concrete handvatten te bieden aan al die fondsenwervers en hun onmetelijk diepe databases:
- Maak onderscheid tussen CAM en CRM; Customer Administration Management en Customer Relationship Management. CAM voor al die donateurs, klanten met wie je als organisatie echt al eens gehandeld hebt en die dus ook ergens onderdeel van jouw jaarrekening vormen. Immers, dan verandert en kantelt het datahuis en moeten die gegevens tenminste 7 jaar bewaard worden en NIET verwijderbaar zijn. CAM vereist overigens een kleine hoeveelheid gegevens, NAW, IBAN en waar relevant bewijs van identificatie etc.
- Anders is het in CRM; want daar wordt mogelijk allerhande informatie bewaard van mensen die waarschijnlijk niet eens weten dat u het bewaart. Geboortedata, hobby’s en interesses voor specifieke uitnodigingen, contactmomenten, gastenlijsten van bijeenkomsten uit het verleden en nog heel veel meer andersoortige persoonsinformatie.
- Vraagt u zich in aanloop naar de AVG alstublieft af wat de meerwaarde is van deze informatie, hoe wenselijk het zou zijn als u deze informatie per ongeluk zou “lekken”, maar vooral ook, hoe u deze informatie per persoon eenduidig kunt verzamelen om te kunnen verwijderen als dat verzoek van enige relatie in uw database komt?
- Vraag uw IT afdeling eens hoe zij daadwerkelijk data deleten. Wij slaan inmiddels meer data per jaar op dan in alle voorgaande jaren tezamen werd opgeslagen, niet in de laatste plaats door onze complete verslaving aan backups en redundancy. Maar hoe moet dat dan als op donderdag 24 donateurs vragen om vergeten te worden, vrijdag uw systeem vastloopt en op maandag de backup van donderdag teruggezet wordt, waar deze 24 donateurs weer in staan?
- Sowieso is het recht op vergetelheid interessant: iemand uit de zaal merkte terecht op dat als iemand vergeten wil worden, dit in theorie betekent dat ie binnen een week zomaar weer in een algemene mailing aangeschreven kan worden, omdat de organisatie formeel niet eens meer weet dat hij/zij de afgelopen 10 jaar donateur was? Is het bewaren van de gegevens van de persoon die niets meer wil weten van jouw organisatie, dan niet een betere manier om ze niet meer lastig te vallen? Stelt u zich het telefoongesprek eens voor, waarbij de telefoniste u niet meer herkent als u belt na 10 jaar lang bekend te zijn geweest?
- Of thuiswerken, moet dat in onze flexibele arbeidsmarkt dan nog wel worden toegestaan? Geen gevaar op lekkage zo groot als menselijk falen in enig proces. Mag er dan wel vanuit huis worden ingelogd via een niet- of slecht beveiligd netwerk? Kunnen er überhaupt nog documenten meegenomen worden naar huis om daar rond te slingeren of in de vuilnisbak te eindigen? En als die mensen dan thuis niets meer online mogen doen, wat gaan we dan in die uren van elkaar verlangen?
- Hoe verankert u het besef dat iedereen op kantoor zich realiseert dat een vriendelijk persoon, die voor de directeur komt, NIET geholpen mag worden met het uitprinten van een presentatie die op een USB stick staat, omdat die stick mogelijk hele andere doelen dient dan het dragen van de presentatie? Welke beren op de weg moeten we wel niet allemaal benoemen in cursussen en trainingen zodat we de privacy maar vooral het verliezen van, of bestolen worden van, data kunnen voorkomen?
In navolging op eerdere columns waarin ik onder meer waarschuwde voor de deels schijnzekerheid van compliance en governance, druk ik langs deze weg alle goede doelenorganisaties op het hart om vooral het hoofd te gebruiken bij het privacy compliant maken van uw stichting. Welke gegevens heb ik nou echt nodig, welke gegevens bewaar ik nou echt? Hoe verwijder ik nu iemand voor altijd?
Er zijn legio partijen te vinden die uw website AVG-proof kunnen maken met vinkjes op de juiste plekken. U kunt uw IT provider echt vragen om een document waarin gesteld wordt hoe zij omgaan met uw servercapaciteit in hun datacenter en wat deleten echt betekent.
Maar het is uw organisatie die de pers haalt als er data verdwijnen, het is uw organisatie die de Autoriteit Persoonsgegevens langs ziet komen als er onvrede onder voormalige donateurs is over de aanhoudende benadering (u kent ze immers niet meer!) via allerhande kanalen en het zijn uw mensen die op een of andere manier hier een modus in moeten vinden én tegelijkertijd hun targets moeten halen om de fondsinkomsten op peil te houden.
Ik wens u veel common sense toe en wijs u er nogmaals op dat het borgen van de eindverantwoordelijkheid bij derden, door middel van de verwerkersovereenkomst, niet zo beleefd zal worden door de maatschappij wanneer er iets misgaat.
Privacy vinden we allemaal heel erg belangrijk, vooral daar waar het onze eigen privacy betreft. Maar de wet die volgende maand z’n intrede doet, is overduidelijk niet geschreven voor de goede doelenindustrie, net zoals het UBO-register niet voor bestuurders zou moeten gelden. We kunnen ons er niet aan onttrekken, maar vertrouw ook niet op louter het afkopen van de uitdaging met documenten en overeenkomsten…
Succes!