Headerafbeelding

Privacywetgeving

Binnen Scouting wordt gebruik gemaakt van persoonsgegevens. Bijvoorbeeld voor het beheren van de ledenadministratie en het inschrijven voor activiteiten. Het verwerken van persoonsgegevens is aan regels gebonden. Deze regels staan in de privacywet, ook wel de Algemene Verordening Gegevensbescherming (AVG). Het Privacy Statement van Scouting Nederland beschrijft hoe binnen Scouting omgegaan wordt met persoonsgegevens. Hoe dit precies is geregeld, staat in het zogenaamde Privacybeleid. Iedere Scoutingorganisatie, zoals een Scoutinggroep of -regio, moet ook zelf een aantal zaken regelen.

Wat zegt de wet?

Alle organisaties in de EU, dus ook Scouting, moeten nadenken over en vastleggen welke persoonsgegevens van vrijwilligers en leden ze bewaren en hoe ze die beveiligen. De wet kent drie belangrijke thema’s:

  1. Het bewaren van persoonsgegevens
  2. Het beschermen van persoonsgegevens
  3. Het behandelen van datalekken en melden bij de toezichthouder

Alle afspraken die een organisatie hierover maakt, moeten worden vastgelegd in een privacybeleid en verwerkingsregister dat inzichtelijk is voor leden. Hiermee voldoe je aan de verplichting in de wet die voorschrijft dat je moet aantonen dat je aan de wetgeving voldoet.

Wat betekent dit voor jouw groep, regio of organisatieonderdeel?

Veel is geregeld in het Privacybeleid van Scouting Nederland, maar je zult meer specifieke afspraken binnen je groep of regio moeten vastleggen in je eigen beleid. We adviseren Scoutingorganisaties om de volgende acties te ondernemen:

  • Stap 1 - Maak het bespreekbaar: Maak met elkaar een inventarisatie van de systemen en processen binnen de organisatie, waarbij je te maken hebt met persoonsgegevens. Leg de afspraken vast in een eigen verwerkingsregister. De Checklist privacy & verwerkingen kan helpen om inzicht te geven in wanneer je met persoonsgegevens bezig bent en of je op dat moment die gegevens ook daadwerkelijk kan en mag gebruiken. Het format verwerkingsregister kun je aanpassen en gebruiken om de afspraken in vast te leggen.
  • Stap 2 - Informeer je leden met jullie eigen 'privacybeleid': De keuzes die je maakt, dienen beschreven te worden. Het voldoet niet om alléén naar het Privacybeleid van Scouting Nederland te verwijzen. Je hebt als organisatie namelijk nog eigen werkwijzen, afspraken en systemen naast Scouts Online. Je dient de afspraken die je over deze systemen en werkwijze maakt, vast te leggen in je eigen, aanvullende 'privacybeleid'.
  • Stap 3 - Leg je verschillende verwerkingen vast: Je beschrijft in je privacybeleid informatie voor je leden over hoe jullie omgaan met persoonsgegevens. In je Verwerkingenregister beschrijf je voor je vrijwilligers de processen waar persoonsgegevens worden verwerkt.
  • Stap 4 - Denk na over de gegevens die je deelt: Deel je persoonsgegevens binnen of buiten je organisatie? Kijk na welke gegevens je kan en mag delen en ga na of hiervoor een overeenkomst nodig is. Beschrijf ook dit in het privacybeleid van je groep, zoals vermeld onder stap 2.
  • Stap 5 - Meld datalekken: Zorg voor een afspraak binnen je organisatie zodat voor iedereen duidelijk is wanneer er sprake is van een datalek en weet hoe je dit moet melden bij Scouting Nederland. Leg in een incidentenregister vast wat je hebt gedaan bij een datalek. Beschrijf ook dit in het privacybeleid van je groep, zoals vermeld onder stap 2.

Achtergrondinformatie

De regelgeving rond de AVG is complex. Veel informatie is te vinden op de website van de Autoriteit Persoonsgegevens. De belangrijkste achtergrondinformatie voor Scoutingorganisaties vind je hieronder.

Hoe ga je om met persoonsgegevens en bijzondere persoonsgegevens?
Het is binnen Scouting heel gebruikelijk dat we met gegevens van leden werken. Dat moet ook, want op die manier houd je een groep, regio of activiteit draaiende. Bij het verwerken van deze persoonsgegevens moet je je bewust zijn van het feit dat de gegevens van een individueel lid zijn en veel over dat lid zeggen. Door hier onzorgvuldig mee om te gaan, kan je onbedoeld inbreuk maken op iemands privacy. Wees je dus bewust van privacy bij het werken met persoonsgegevens. Ga je aan de slag met persoonsgegevens of heb je voor een bepaalde taak gegevens nodig? Gebruik dan de Checklist privacy en verwerkingen, zodat je zeker weet dat je de gegevens voor jouw doel kunt gebruiken.

Sommige gegevens zijn extra gevoelig en vormen daarom een risico voor de privacy van leden. Denk hierbij aan gegevens over gezondheid of godsdienst. Daarom mogen deze ‘bijzondere persoonsgegevens’ niet worden geregistreerd. In het Privacybeleid lees je hier meer over. Wil je een voorbeeld van wat je kan en mag vragen? Download dan het voorbeeld inschrijfformulier nieuwe leden. Ook kan het bijvoorbeeld bij kampen noodzakelijk zijn meer gegevens over bijvoorbeeld de gezondheid binnen handbereik te hebben. Daarvoor is een gezondheidsformulier beschikbaar. Een gezondheidsformulier mag alleen gebruikt worden voor het kamp waarvoor deze gegevens zijn verstrekt, daarna moet het worden verwijderd. Daarnaast is het niet toegestaan naar het Burgerservicenummer (BSN-nummer) te vragen. Voor meer informatie over medische zorg kun je het Infoblad zorgverzekering en ziektekosten downloaden.

Welke regels gelden er rond het gebruik en verstrekken van persoonsgegevens?
De persoonsgegevens die zijn geregistreerd in Scouts Online, waaronder het e-mailadres, mogen niet zomaar gebruikt of verstrekt worden. Kun je bepaalde gegevens niet zien of exporteren? Dan mag je dat vanwege je functie ook niet. Iemand anders mag jou die gegevens dan ook niet geven. In het Privacybeleid lees je welke gegevens volgens de wet door wie gebruikt mogen worden en voor welke doeleinden.

Welke regels zijn er rond het gebruik van beeldmateriaal (foto's en video's)?
De privacywet gaat niet direct over het gebruik van foto- en videomateriaal: niet al het beeldmateriaal is namelijk een 'persoonsgegeven'. De wet beschrijft wél hoe moet worden omgegaan met beeldmateriaal als deze gebruikt worden voor identificatie met bijvoorbeeld biometrische gegevens, of als een foto een 'bijzonder persoonsgegeven is'. Ook zijn er regels rondom het 'Portretrecht'.
Lees op de speciale pagina over Gebruik van foto's en video's meer informatie.

Hoe zit het met het bewaren van gezondheidsformulieren?
Hier zitten de nodige haken en ogen aan; gezondheidsgegevens zoals medicijngebruik en allergieën zijn 'bijzondere persoonsgegevens' en die mag een organisatie niet vragen en bewaren. Voor verenigingen is er een uitzondering, omdat een aantal gegevens essentieel zijn om bijvoorbeeld veilig activiteiten te kunnen organiseren. Daarbij geldt het volgende:

  • Je mag de gegevens niet langer dan strikt noodzakelijk bewaren voor het doel waarvoor je de gegevens vraagt;
  • Je kunt de informatie uit het gezondheidsformulier opslaan als 'aanvullende lidgegevens' in Scouts Online. Let op, sommige bijzondere persoonsgegevens (zoals BSN) mogen helemaal niet worden geregistreerd. Beschrijf in je privacybeleid duidelijk hoe je met het registeren van deze gegevens omgaat (zie het volgende punt);
  • De persoon van wie de gegevens zijn moet weten waar de gegevens worden bewaard, hoe ze zijn beveiligd, wie er inzicht heeft in de gegevens, hoe iemand gegevens kan muteren (of ervoor kan zorgen dat zijn gegevens verwijderd worden), en wat er met de gegevens zal gebeuren als de genoemde bewaartermijn is verlopen - geef dit aan op het formulier.

Wil je de gegevens langer gebruiken dan voor één kamp of activiteit? Je kunt in dat geval aangeven bij je formulier dat dit voor een geheel seizoen bewaard wordt en daarna worden vernietigd, waarbij je tevens een antwoord geeft op de vragen van de overige hierboven genoemde punten. Het blijkt in de praktijk lastig om dit goed te regelen, omdat formulieren op het clubhuis al snel voor het grijpen liggen, in plaats van op een plaats waar maar een heel beperkt aantal mensen bij kan.

Hoe zit het met bijvoorbeeld WhatsApp of Facebook-groepen met leden of ouders?
WhatsApp-groepen zijn een handig communicatiemiddel. Dit wordt door veel leidingteams gebruikt om direct met ouders of leden te communiceren. Je kunt men echter niet ongevraagd toevoegen aan een WhatsApp-groep. Strikt gezien is, net als voor een e-mailnieuwsbrief, een OPT-In nodig: een vinkje dat door iemand gezet wordt waarbij men akkoord gaat met het ontvangen van berichten via deze weg en het feit dat andere leden inzicht krijgen in persoonsgegevens als het telefoonnummer en de profielfoto. Wil je het iets praktischer organiseren? Maak dan gebruik van de mogelijkheid om een uitnodiging voor deelname aan een WhatsApp-groep per link te versturen. Iemand heeft dan zelf de keuze om zichzelf toe te voegen aan de groep. Uiteraard communiceer je vooraf duidelijk over het doel van de groep. Dit geldt ook voor Facebookgroepen waarbij je iemand kunt uitnodigen in plaats van direct toe te voegen.

Welke rechten hebben leden rond hun gegevens en hoe gaat dat in z'n werk?
In de privacywetgeving (AVG) is opgenomen dat mensen bij een organisatie kunnen opvragen welke persoonsgegevens de organisatie van hen verwerkt en bewaard. Dit ook wel subject access request (SAR) of inzageverzoek genoemd. Ook geldt het zogenaamde recht op vergetelheid (right to be forgotten (RTBF)). Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene erom vraagt. Dit recht geldt niet altijd, maar alleen in de volgende voor Scouting relevante situaties:

  • Als de persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt;
  • Als een Scoutingorganisatie gegevens van niet-leden gebruikt voor direct marketing, bijvoorbeeld een e-maillijst naar aanleiding van een open dag;
  • Als de betrokkene eerder toestemming heeft gegeven aan de organisatie voor het gebruik van zijn gegevens, maar die toestemming nu intrekt.

Daarnaast geldt een wettelijke bewaartermijn voor gegevens, waar voor verenigingen tevens een uitzonderingssituatie geldt voor oud-leden. De gegevens die niet bewaard mogen blijven worden bij oud-leden automatisch verwijderd uit Scouts Online bij uitschrijving en/of het verlopen van de bewaartermijn.

Indien iemand een inzageverzoek (SAR) doet of een beroep doet op het recht op vergetelheid (RTBF), heeft een organisatie één maand de tijd om aan dit verzoek te voldoen. Daarbij moeten ook derde partijen geïnformeerd worden. Zijn er bijvoorbeeld verzendlijsten uitgewisseld met een externe leverancier voor het verzenden van jullie clubblad? Dan moet die partij de gegevens ook wissen binnen de gestelde termijn. Zijn er persoonsgegevens gepubliceerd via een website? Bijvoorbeeld in een overzicht met bestuursleden of vrijwilligers? Dan moeten ook zoekmachines worden geïnformeerd, zodat gewiste gegevens niet meer verschijnen in de zoekresultaten.

Een inzageverzoek in het kader van SAR of een beroep op het recht op vergetelheid (RTBF) dient altijd te worden ingediend bij Landelijk team Juridische zaken van Scouting Nederland via privacy@scouting.nl. Dit team draagt zorg voor de afhandeling van het verzoek en betrekt en ondersteund daarbij de organisatieonderdelen waar de persoon verder toe behoort bij de uitvoering van het verzoek.

Wat moet ik doen bij het gebruik van andere systemen dan Scouts Online?
Maak je gebruik van andere systemen dan Scouts Online, waarin je werkt met persoonsgegevens? Dan moet je duidelijk beschrijven hoe je hiermee omgaat. Dit doe je in een verwerkingenregister. Denk bij andere systemen bijvoorbeeld aan een eigen cloudservice (zoals MS365, Google Workspace of Dropbox) waarin je ledenlijsten bewaard en bewerkt, eigen boekhoudingssoftware of een intranet op je website.

Download de Checklist Privacy & verwerkingen. Deze checklist helpt je bij het beantwoorden van bovenstaande vragen.

Wat moet ik doen bij een (vermoeden van een) datalek?
Zijn er ondanks alle zorgvuldigheid toch persoonsgegevens op straat terecht gekomen? Dan moet dat mogelijk gemeld worden bij de Autoriteit Persoonsgegevens (AP). Is er sprake van een datalek in jouw groep, regio of organisatieonderdeel? Omdat gegevens in basis geregistreerd worden in Scouts Online vragen we je altijd contact te leggen met Scouting Nederland via privacy@scouting.nl. Zie voor meer info de Procedure datalekken (verwerkers). Samen met het betrokken organisatieonderdeel worden de vervolgstappen besproken.

Waar moet ik rekening mee houden bij de bescherming van persoonsgegevens?
De bescherming van gegevens (data) gaat over meer dan alleen het aanstellen van een gegevensbeheerder en het beveiligen van de systemen waar de persoonsgegevens op staan.

In Scouts Online is er sprake van een uitgebreide permissiematrix met voor iedere rol eigen rechten. De gegevensbeheerder van het organisatieonderdeel gaat over de rollen en rechten die via Scouts Online in de organisatie worden toegekend. Kun je iets niet zien, bewerken of exporteren? Dan heb je daar ook geen recht op.

Het beschermen van persoonsgegevens gaat verder dan Scouts Online. Zo zul je als organisatie ook afspraken moeten maken met bijvoorbeeld drukkers en andere leveranciers of dienstverleners die gebruik maken van de bestanden bij bijvoorbeeld het verspreiden van clubblad of digitale nieuwsbrief. Belangrijk is dat je vastlegt in een overeenkomst dat zij de bestanden vernietigen na gebruik. Je kunt hiervoor gebruik maken van het Model verwerkersovereenkomst.

Het is niet nodig dat leden voor ieder gebruik van hun gegevens apart toestemming moeten geven. Het moet uiteraard wel duidelijk zijn wat er met hun gegevens gebeurt. Het is goed als je dit aangeeft bij je inschrijfformulier. Ook moet er een mogelijkheid zijn dat mensen bezwaar kunnen maken tegen het gebruik van hun persoonsgegevens; in Scouts Online kun je hiervoor in de basistab aangeven dat persoonsgegevens verborgen moeten zijn. Het gebruik van gegevens is dan beperkt voor de mensen waar het strikt noodzakelijk voor is en om je organisatie te runnen: de penningmeester moet een factuur kunnen sturen en de teamleider moet een ouder kunnen bellen in geval van nood. Leden kunnen ook zelf de zichtbaarheid van hun gegevens instellen in de basistab van hun profiel in Scouts Online. Ga daarvoor in Scouts Online naar Mijn Scouting - Mijn basisgegevens.

Wat staat er in een eigen privacybeleid?
Hierin beschrijf je in ieder geval de volgende punten:

  • Een verwijzing naar het Privacybeleid van Scouting Nederland;
  • Een toelichting over het gebruik van eventuele inschrijfformulieren voor het lidmaatschap op papier of op de website;
  • Een toelichting over het gebruik van eventuele inschrijfformulieren voor activiteiten en kampen op papier of de website;
  • Een toelichting over het gebruik van gezondheidsformulieren en/of registratie van bijzondere persoonsgegevens;
  • Een toelichting over het gebruik van andere systemen dan Scouts Online en bovengenoemd, bijvoorbeeld voor de financiën, cookies op de website en een e-mailnieuwsbrief;
  • Een toelichting over het gebruik van eventuele (hardcopy) ledenlijsten buiten Scouts Online;
  • Een toelichting over de omgang met beeldmateriaal (foto's, video) van leden;
  • Een toelichting op de gegevens die buiten de organisatie worden verwerkt (welke gegevens worden (extern) gedeeld? Zie ook stap 3);
  • Een beschrijving van de communicatie over jullie privacybeleid (hoe worden leden geïnformeerd?)

Wat staat er in een eigen verwerkingenregister?
In een verwerkingenregister leg je vast:

  • Welke gegevens ga ik verwerken en van wie?
  • Welke verwerkingen doe je, wat is het doel en wat is de grondslag?
  • Waar bewaar je de gegevens, hoe lang en hoe zijn ze beveiligd?
  • Wie verwerkt de gegevens, wie heeft er inzicht in de gegevens en welke afspraken heb je met hen gemaakt?
  • Hoe heeft de persoon zelf inzicht in de gegevens en hoe kunnen ze die opvragen / wijzigen?
  • Hoe informeer je personen over het gebruik van hun gegevens?
  • En eventueel: deel je gegevens met derden en welke afspraak heb je hierover gemaakt (overeenkomst)?

Privacy Statement en Privacybeleid Scouting Nederland
Het privacystatement en privacybeleid van Scouting Nederland vind je terug op scouting.nl/privacy.

BESTUUR