Nieuwe regelgeving: goede doelen worstelen met databeveiliging

12 juni 2017
Nieuws | | Validatie & Toezicht

De nieuwe Europese regelgeving voor databeveiliging betekent een grote uitdaging voor goede doelen. Veel organisaties zeggen wel op de hoogte te zijn van de nieuwe Algemene Verordening Gegevensbescherming (AVG), maar vaak ontbreekt een actueel beleidsplan, of is er een achterhaald of helemaal geen enkel plan. Dat blijkt uit een rondvraag van CBF en Nederland Filantropieland onder de eigen achterban. Beide koepels hielden onlangs een voorlichtingsbijeenkomst.
 
Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) daadwerkelijk van toepassing. Deze nieuwe Europese verordening was officieel al op 25 mei 2016 in werking getreden, maar wordt pas vanaf mei 2018 (strikter) toegepast. Deze aanloopperiode geeft ngo’s en bedrijven de kans zich aan te passen aan de nieuwe regelgeving. Tot de nieuwe wet daadwerkelijk wordt toegepast, blijft de Nederlandse Wet bescherming persoonsgegevens (Wbp) van kracht.
 
Brancheorganisatie Nederland Filantropieland (NLFL) organiseerde onlangs samen met het CBF een bijeenkomst om goede doelen bij te praten over de consequenties van de nieuwe verordening. In een verslag op haar website vat CBF de belangrijkste conclusies samen:
 
Wat gaat er veranderen?
Veel bepalingen uit de nieuwe AVG zijn al te vinden in de bestaande Nederlandse wet. De principes zijn vergelijkbaar, maar de AVG kent een aantal aanvullingen.
1.
Een organisatie moet beter kunnen aantonen dat zij toestemming heeft gekregen van een persoon om informatie over die persoon te verzamelen en op te slaan.
2.
In de AVG staat een aantal aanvullende rechten: zo hebben consumenten nu meer rechten om hun gegevens te laten verwijderen.
3.
De AVG is een stuk strenger is dan de oorspronkelijke Nederlandse wet. Waar nu nog met enige soepelheid wordt opgetreden, zal straks strikter gehandhaafd worden. Vanaf 2018 is de drempel voor de Nederlandse Autoriteit Persoonsgegevens om te straffen een stuk lager geworden.
 
Uitdaging voor goededoelensector
De nieuwe verordening vergt volgens CBF en NLFL veel van goede doelen. Beide organisaties hebben onderzoek gedaan naar de bekendheid van de veranderingen onder de achterban. Hieruit komt duidelijk naar voren dat veel organisaties hun zaakjes in de praktijk nog (lang) niet op orde hebben.
Veertig procent van de ondervraagden in het CBF-onderzoek heeft actueel beleid op het vlak van privacy en informatiebeveiliging. Dertig procent heeft geen beleid en eenzelfde percentage heeft een verouderd plan. ‘Deze laatste twee groepen moeten dan ook een behoorlijke stap zetten om als organisatie klaar te zijn voor de nieuwe wetgeving.
Deze veranderingen vereisen expertise en capaciteit, waar lang niet altijd het budget voor is in de goededoelensector’, aldus het CBF. 

Wat kunnen goede doelen doen?
Toch is er een aantal zaken waar organisaties al mee aan de slag kunnen zonder al te veel budget, stellen CBF en NLFL:
1.
Creëer bewustzijn binnen de organisatie en houd medewerkers op de hoogte van de wetgeving rondom privacy en databescherming.
2.
Plaats het onderwerp op de agenda, bijvoorbeeld om mee te nemen in overleggen van de directie/bestuurders.
3.
Ga van agendering naar beleidsvorming rondom AVG:  ‘Je moet bij de Autoriteit Persoonsgegevens kunnen aantonen dat je je best hebt gedaan als organisatie. Je moet vooral kunnen bewijzen dat er actieve systemen zijn ter beveiliging van de data en dat deze passend zijn in jouw specifieke situatie.’
 
Grijs gebied
Sommige bepalingen zijn breed geformuleerd en in de praktijk moet nog blijken hoe de Autoriteit Persoonsgegevens daarmee omgaat. Wat bijvoorbeeld te doen bij een datalek? Wat is een ‘actieve systeembeveiliging’ die ‘passend is bij jouw type organisatie’?
Of en in hoeverre de capaciteit van de Autoriteit Persoonsgegevens voldoende is om al deze vereisten te toetsen, daarover wordt druk gespeculeerd. Aangenomen wordt dat de huidige capaciteit ontoereikend is voor een adequate handhaving. Dit laat onverlet dat organisaties intrinsiek gemotiveerd moeten zijn om zorgvuldig met de gegevens van bijvoorbeeld donateurs om te gaan.
 
De CBF-erkenning en de nieuwe wetgeving
Ook in de normen die het CBF hanteert voor de erkenning is het beleid en de beveiliging rond informatie meegenomen. Deze normen zijn afhankelijk van de grootte van de organisatie en voor de grotere organisaties gelden aanvullende normen. De ICT en databeveiliging moeten zodanig ingericht zijn dat zij voldoen aan de geldende wetgeving.
 
►Bron: CBF/NLFL
 ♦Lees ook: Startschot modern toezicht: van digitaal naar reflectief

Nederland Filantropieland heeft extra informatie over dit onderwerp verstrekt via het online kenniscentrum en op het forum (beide toegankelijk voor leden). In het kenniscentrum zal NLFL in de loop van de tijd steeds meer informatie plaatsen over dit onderwerp. Ook is NLFL bezig met het ontwikkelen van een toolkit. Die zal bestaan uit een brochure met informatie over de gevolgen van de AVG en een checklist, die organisaties kunnen gebruiken tijdens het doorvoeren van de benodigde veranderingen.
Nieuw:
DDB Dailyelke dag om 12.00 uur het laatste nieuws & opinie van de afgelopen 24 uur in uw mailbox. Gratis service naast uw wekelijkse DDB Journaal.
Aanmelden: klik hier.
2/2