Wat is een passend beveiligingsniveau AVG bij de vereniging?

get-me-out-1605906_1920In de AVG wordt gesproken over passende maatregelen en beveiligingsniveau. Maar welke maatregelen moet de vereniging nu nemen?

Wat voor de ene vereniging passend is, is dat voor de andere niet

Verenigingen (en stichtingen) moeten zelf bekijken welke risico’s zij lopen bij datalekken. Het gaat er met name om hoe gevoelig informatie kan zijn, als deze ongewild op straat komt te liggen en de risico’s van misbruik. Bij sportverenigingen zal dat risico minder groot zijn dan bij verenigingen of stichtingen die gegevens verzamelen over de gezondheid.

Verenigingen die werken met bijzondere persoonsgegevens zullen meer moeten doen om de privacy te waarborgen dan verenigingen die alleen algemene gegevens verwerken. Uitgangspunt bij het vaststellen van het juiste beveiligingsniveau is de vertrouwelijkheid van de gegevens, integriteit en beschikbaarheid.

Hoe zorgt de vereniging voor een passend beveiligingsniveau?

  • Maak een analyse van de risico’s die betrokkenen lopen als de informatie die de vereniging over leden heeft, ongewild op straat komen te liggen. Het uitgangspunt ligt dus bij de ‘slachtoffers’ en niet bij de vereniging.
  • Bekijk vervolgens wat gebruikelijke maatregelen zijn om dit soort risico’s te beschermen, wat de technische mogelijkheden en de kosten zijn. Hierin moet dan in redelijkheid een keuze worden gemaakt welke maatregelen de vereniging gaat nemen.
  • Overleg met aanverwante verenigingen en stichtingen welke beschermingsmaatregelen zij nemen. Dat geeft een idee wat binnen de branche gebruikelijk is.
  • Het maken van back-ups, virusscanner, firewall en versleuteling van toegang tot systemen zijn maatregelen die elke vereniging minimaal wel moet nemen.
  • Zorg dat de meest actuele software wordt gebruikt.
  • Zorg dat medewerkers en vrijwilligers die met gegevens werken, weten wat zij wel en niet mogen doen. De vereniging moet dus zorgen voor informatie en zo nodig bijscholing.
  • Laat indien nodig medewerkers of vrijwilligers geheimhoudingsverklaring tekenen.
  • Bepaal welke medewerkers of vrijwilligers toegang mogen krijgen tot welke informatie en gebruik een softwaresysteem of online pakket dat daar onderscheid in kan maken.
  • Stel een protocol op hoe met datalekken en meldingen moet worden omgegaan.

Marjo Vink

Marjo Vink is jurist verenigingsrecht en stichtingenrecht. Zij adviseert en begeleidt bestuurders en beroepskrachten van verenigingen en stichtingen in de non-profit sector. Marjo geeft trainingen en is spreker bij ledenbijeenkomsten. Zij is jarenlang juridisch auteur geweest bij Wolters Kluwer en is huisjurist van diverse koepelorganisaties.