Skip to main content

AVG-proof werken

Werken met publieksdata betekent automatisch dat je rekening moet houden met de AVG en dat roept nogal wat vragen op. “Sommigen denken dat er niet zoveel mag en wagen zich er liever niet aan, terwijl anderen de regels ingewikkeld geneuzel vinden en besluiten om maar gewoon met de data aan de slag te gaan. Met het eerste beperken organisaties zich onnodig, maar het is duidelijk dat het tweede grote risico’s oplevert. De verstandige lijn zit er dus – zoals vaak – tussenin. Als je het op de goede manier aanpakt, is er veel mogelijk”, vertelt Jan Baas, partner en hoofd Privacy Team van La Gro Geelkerken Advocaten.

6 min. lezen

Er bestaat in het veld veel onduidelijkheid over wat wel en wat niet mag. En over de vraag hoe je systemen en processen op de juiste manier kunt inrichten. Begrijpelijk, want AVG-proof werken is complex. Als hulpmiddel heeft de Taskforce Publieksdata een naslagwerk voor de culturele sector laten samenstellen waarin de belangrijkste aspecten over dit onderwerp aan bod komen. Jan Baas stelde vervolgens een aanvullend document op voor steden en regio’s die werken met het Culturele Doelgroepenmodel. 

Jan Baas | Foto: Enith van Tongeren

Belangrijkste uitgangspunten

  • Bedenk waar je data voor wilt gebruiken
  • Leg dit vast
  • Toets of je met die doelstellingen binnen de eisen blijft
  • Informeer het publiek hier goed over en vraag indien nodig om toestemming
  • Beveilig de gegevens

Duidelijke doelstellingen

“Wanneer je als culturele instelling gegevens wilt verwerken voor bijvoorbeeld statistische doelstellingen of subsidieverantwoording, dan moet je opschrijven welke doelstellingen je beoogt. De wet kent rechtsgrondslagen aan de hand waarvan je dat doel moet verantwoorden. Simpel gezegd komt het erop neer dat je een goede reden moet hebben om de persoonsgegevens voor dat doel te verwerken”, legt Baas uit. “Bedenk wat de impact is op de personen van wie je gegevens verwerkt, jouw publiek dus.” 

Gebruik voor marketingdoeleinden

Wil je persoonsgegevens gebruiken voor marketingdoeleinden, dan geldt in principe hetzelfde. “Op zich is marketing een gerechtvaardigd belang. Maar marketing is ook een containerbegrip, je hebt heel veel soorten marketing. Je moet steeds heel concreet kijken wat je gaat doen en nadenken over de vraag wat jouw publiek daarvan merkt. Is dat wel of geen goed idee? Het zou kunnen dat je vaststelt dat je de gegevens niet op basis van gerechtvaardigd belang verzamelt, maar dat je er toestemming voor moet vragen.” Bij het gebruik voor marketing moet je overigens altijd de mogelijkheid bieden om bezwaar te maken. “Dat is een absoluut recht en daar moet je jouw bezoekers over informeren”, geeft Baas aan. 

Gegevens beveiligen

Goed beveiligen van persoonsgegevens is – uiteraard – een must. “Je wilt niet dat publieksdata in handen komen van derden. Je kunt dit nooit garanderen en dat eist de wet ook niet. Maar de wet zegt wel dat je passende maatregelen moet nemen om gegevens te beveiligen tegen onrechtmatige verwerking en verlies. De techniek verandert voortdurend en daar moet je als organisatie op blijven inspelen. Een concreet voorbeeld is dat beveiliging met een enkelvoudig wachtwoord inmiddels niet meer genoeg is. Tweeweg authenticatie is een vereiste, zodat hackers niet met een simpel password toegang kunnen krijgen tot jouw database.”

Geanonimiseerde data uitwisselen

Publieksdata gebruik je in de eerste plaats binnen je eigen organisatie, maar deze worden ook breder gebruikt. Met het Culturele Doelgroepenmodel kunnen deze gegevens bijvoorbeeld – geanonimiseerd – worden ingezet om het cultuurbereik binnen een stad of regio in kaart te brengen. Sommige instellingen zijn daar wat huiverig voor, maar dat is niet per se nodig. “Geanonimiseerde data vallen niet onder de wet en die kun je dus sowieso uitwisselen. Natuurlijk zijn daar wel kanttekeningen bij te plaatsen. Ze moeten écht goed geanonimiseerd zijn. En bij het maken van een anonieme dataset werk je met data die niet anoniem zijn. Die verwerking moet je kunnen verantwoorden en je moet de betrokkenen goed informeren over het feit dat data niet alleen voor eigen doeleinden worden gebruikt, maar ook voor het onderzoek dat wordt gedeeld met anderen.”

Goed advies

De twee handleidingen op publieksdata.nl geven handvaten om op de juiste manier met data om te gaan. “Maar de wetgeving is toch vrij abstract. Zeker bij toepassingen waar je meer de grenzen opzoekt, is het handig om advies in te winnen. En ik denk dat het voor de algehele compliance – de naleving van relevante wet- en regelgeving en het werken volgens de door een organisatie opgestelde normen en regels – verstandig is om iemand mee te laten kijken. Wacht hier vooral niet te lang mee, maar denk er al bij de inrichting van processen en procedures over na. Het komt voor dat een nieuwe website al volledig is ontwikkeld en dat een dag voor de livegang wordt gevraagd om te checken of alles ook juridisch gezien klopt. Als er dan aanpassingen nodig zijn, is het te laat en nog kostbaar ook. Ontwikkel dus in een vroeg stadium werkwijzen waarin het naleven van regels is ingebouwd.”

Download de naslagwerken over de AVG

De Taskforce Publieksdata heeft twee naslagwerken laten opstellen.

Publieksdata & de AVG
Uitgebreid naslagwerk bestemd voor de culturele sector, in het bijzonder de kleinere en middelgrote organisaties. Het naslagwerk beoogt meer inzicht en duidelijkheid te verschaffen over de toepassing van de AVG. 

Het Culturele Doelgroepenmodel & de AVG
Aanvulling op de algemene handleiding. Dit naslagwerk zoomt in op specifieke AVG-aspecten rondom het gebruik van het Culturele Doelgroepenmodel, ontwikkeld door Rotterdam Festivals en ook toegepast in diverse andere steden en regio’s.

Stappenplan

  1. Vorm een privacyteam en/of -stuurgroep
  2. Wijs een privacycoördinator aan
  3. Spreek met de directie een budget af
  4. Creëer een overzicht van acties en vooruitgang per afdeling
  5. Ga na welke verwerkingen van persoonsgegevens in de organisatie plaatsvinden
  6. Stel een intern privacybeleid op
  7. Stel een heldere privacy policy op voor de website
  8. Zorg dat technische en organisatorische beveiligingsmaatregelen op orde zijn
  9. Zorg voor bewustwording, betrokkenheid en training binnen de organisatie
  10. Waarborg privacyrechten betrokkenen
  11. Check verwerkingen gegevens kinderen
  12. Maak een risicoafweging voor verwerkingen die een hoog risico opleveren

    Dit is een verkorte versie van het stappenplan dat je vindt in het rapport ‘Publieksdata & de AVG’.