AVG en donateursadministratie: wat moet je als dierenorganisatie weten? 

Je dierenorganisatie heeft donateurs. En misschien ook vrijwilligers, adopteurs, leden, contactpersonen bij gemeenten of mensen die een dier hebben aangemeld. Al die mensen vertrouwen je hun gegevens toe. De AVG, de Algemene Verordening Gegevensbescherming, stelt daar eisen aan. Niet om je het leven moeilijk te maken, maar om te zorgen dat persoonsgegevens zorgvuldig worden behandeld. 

Dit blog legt uit wat de AVG in de praktijk betekent voor jouw organisatie. Wat mag je registreren, hoe vraag je toestemming, wanneer moet je gegevens verwijderen, en wat doe je als het een keer misgaat? Geen juridisch handboek, wel alles wat je als bestuurder moet weten. 

Wat is de AVG en geldt die ook voor ons? 

De AVG is een Europese wet die regelt hoe organisaties omgaan met persoonsgegevens. Een persoonsgegeven is elk stukje informatie waarmee je een persoon direct of indirect kunt identificeren: een naam, een e-mailadres, een telefoonnummer, een bankrekeningnummer, maar ook een combinatie van postcode en geboortedatum. 

De AVG geldt voor elke organisatie die persoonsgegevens verwerkt, dus ook voor een kleine stichting die dieren opvangt of een vrijwilligersorganisatie met een handjevol donateurs. De omvang van je organisatie maakt niet uit. Wat telt, is dat je gegevens verwerkt van mensen. 

Als je een donateursadministratie bijhoudt, een vrijwilligerslijst hebt, dieraanmeldingen registreert of nieuwsbrieven verstuurt, verwerk je persoonsgegevens en val je dus onder de AVG. 

Welke gegevens mag je registreren? 

Je mag alleen gegevens registreren die je ook écht nodig hebt voor een duidelijk doel. Dat klinkt logisch, maar in de praktijk slaan organisaties soms meer op dan nodig is. De AVG noemt dit het beginsel van dataminimalisatie: zo min mogelijk gegevens, voor zo kort als nodig. 

Voor een donateursadministratie zijn de volgende gegevens in de meeste gevallen gerechtvaardigd: 

• naam en adresgegevens; 
• e-mailadres en telefoonnummer; 
• bankrekeningnummer (als je incasseert of kwitanties verstuurt); 
• donatiehistorie en bedragen; 
• datum van aanmelding en eventueel opzegging.

Wat je beter niet kunt registreren zonder duidelijke reden:

• geboortedatum (tenzij je dit nodig hebt, bijvoorbeeld voor een ledenvoordeel);
• informatie over gezondheid, geloof of politieke voorkeur;
• aanvullende notities die niets met de donatierelatie te maken hebben. 

Een praktische vraag om jezelf te stellen: als iemand vraagt waarom je dit gegeven hebt opgeslagen, heb je dan een helder antwoord? Zo niet, dan is het waarschijnlijk beter het niet te registreren. 

Op welke grondslag verwerk je gegevens? 

De AVG verplicht je om voor elke verwerking van persoonsgegevens een geldige grondslag te hebben. Voor een dierenhulporganisatie zijn er drie grondslagen die het vaakst van toepassing zijn: 

Toestemming 

De persoon heeft expliciet en vrijwillig ingestemd met het verwerken van zijn of haar gegevens. Dit is de meest gebruikte grondslag voor nieuwsbrieven en marketingcommunicatie. Toestemming moet actief worden gegeven: een vooraf aangevinkt vakje telt niet. 

Uitvoering van een overeenkomst 

Je verwerkt gegevens omdat dat nodig is om een afspraak na te komen. Als iemand donateur wordt of een adoptieovereenkomst tekent, mag je de gegevens verwerken die nodig zijn om die overeenkomst uit te voeren. 

Gerechtvaardigd belang 

Je hebt een legitiem belang bij de verwerking, dat zwaarder weegt dan het belang van de betrokkene. Voor bestaande donateurs mag je bijvoorbeeld contact opnemen over vergelijkbare activiteiten van je organisatie, ook zonder opnieuw om toestemming te vragen. Let op: je moet dit belang kunnen onderbouwen. 

Leg per categorie gegevens vast op welke grondslag je die verwerkt. Dit hoeft niet uitgebreid te zijn, maar het moet wel ergens staan, bij voorkeur in een privacyverklaring of een intern verwerkingsregister. 

Toestemming vragen: hoe doe je dat goed? 

Toestemming is een van de meest gebruikte grondslagen, maar ook de meest kwetsbare: als je het niet goed vastlegt, heb je er juridisch niets aan. Een goede toestemming voldoet aan vier voorwaarden: 

1. Vrij: de persoon heeft geen nadeel als hij geen toestemming geeft. 
2. Specifiek: je vraagt toestemming voor een concreet doel, niet voor 'alles'. 
3. Geïnformeerd: de persoon weet waarvoor hij toestemming geeft. 
4. Ondubbelzinnig: de toestemming is actief gegeven, bijvoorbeeld door een vakje aan te vinken. 

Praktisch gezien betekent dit dat je op je aanmeldformulier voor de nieuwsbrief een apart (niet vooraf aangevinkt) vakje opneemt, met een korte tekst als: 'Ik geef toestemming om mijn naam en e-mailadres te gebruiken voor het versturen van de nieuwsbrief van [naam organisatie]. Ik kan me op elk moment afmelden.' 

Sla die toestemming op. Niet alleen het feit dat iemand zich heeft aangemeld, maar ook wanneer en via welk formulier. Als iemand later vraagt of je toestemming hebt, moet je dat kunnen aantonen. 

Hoe lang mag je gegevens bewaren?

Je mag gegevens niet onbeperkt bewaren. De AVG schrijft voor dat je gegevens niet langer bewaart dan nodig is voor het doel waarvoor je ze hebt verzameld. Tegelijkertijd zijn er wettelijke bewaarplichten die soms juist verplichten om gegevens te bewaren. 

Voor een dierenhulporganisatie betekent dat in de praktijk het volgende: 

Donateursgegevens 

Financiële gegevens, waaronder donatieoverzichten en bankgegevens, vallen onder de fiscale bewaarplicht van zeven jaar. Je mag ze daarna verwijderen, tenzij er een lopend geschil is. 

Nieuwsbriefabonnees 

Bewaar gegevens zolang iemand actief abonnee is. Na uitschrijving verwijder je de gegevens, tenzij je ze nog nodig hebt voor de financiële administratie. 

Oud-donateurs of oud-vrijwilligers 

Na het beëindigen van de relatie geldt in de meeste gevallen een bewaartermijn van maximaal twee jaar voor contactgegevens, tenzij je een andere grondslag hebt. Bepaal dit bewust en leg het vast in je beleid. 

Een jaarlijkse 'schoonmaak' van je administratie is geen overbodige luxe. Loop dan na wie zich heeft uitgeschreven, wie al jaren niets meer heeft gedaan en of je de gegevens van die personen nog nodig hebt. 

Rechten van donateurs en hoe je daarmee omgaat 

Iedereen van wie je gegevens verwerkt, heeft rechten. Als bestuurder moet je weten welke dat zijn en hoe je een verzoek afhandelt. 

• Recht op inzage: iemand mag opvragen welke gegevens je van hem hebt. 
• Recht op correctie: als gegevens onjuist zijn, moet je ze aanpassen. 
• Recht op verwijdering: ook wel het 'recht om vergeten te worden'. Iemand kan vragen zijn gegevens te verwijderen. Je hoeft hier niet altijd aan te voldoen, bijvoorbeeld als er een wettelijke bewaarplicht is. 
• Recht op bezwaar: iemand kan bezwaar maken tegen het gebruik van zijn gegevens voor bepaalde doeleinden, zoals direct marketing. 
• Recht op gegevensoverdraagbaarheid: iemand kan vragen zijn gegevens in een gangbaar formaat te ontvangen, zodat hij ze elders kan gebruiken. 

Je bent verplicht om binnen een maand te reageren op een verzoek. Zorg dat je weet wie binnen je organisatie dit afhandelt en hoe je snel kunt opzoeken welke gegevens je van iemand hebt. 

Wat als het misgaat? Het datalek 

Een datalek is elke inbreuk op de beveiliging van persoonsgegevens. Dat kan een hacker zijn, maar ook een e-mail die per ongeluk naar de verkeerde persoon is gestuurd, een gestolen laptop, een verloren USB-stick of een medewerker die per abuis de volledige donateurslijst als bijlage meestuurde in een groepse-mail. 

Het klinkt misschien als iets wat jou niet snel zal overkomen, maar de meeste datalekken bij kleine organisaties zijn het gevolg van menselijke fouten. Ze zijn niet kwaadwillig, maar ze zijn wel meldingsplichtig. 

Wanneer moet je een datalek melden? 

Je bent verplicht een datalek te melden bij de Autoriteit Persoonsgegevens (AP) als het lek waarschijnlijk een risico vormt voor de rechten en vrijheden van betrokkenen. Dit moet binnen 72 uur na ontdekking. Als het lek ook een hoog risico vormt voor de betrokkenen zelf, moet je hen ook persoonlijk informeren. 

Niet elk incident hoeft gemeld te worden. Een e-mail die per abuis naar één bekende gaat en geen gevoelige informatie bevat, hoef je intern te documenteren maar niet te melden. Twijfel je? Leg het voor aan de AP of raadpleeg een adviseur. 

Wat je altijd moet doen, ook als je niet hoeft te melden: 

• Documenteer het incident intern (wat is er gebeurd, wanneer, welke gegevens, hoeveel personen). 
• Neem maatregelen om herhaling te voorkomen. 
• Bewaar die documentatie, want de AP kan ernaar vragen. 

Richt binnen je organisatie alvast een eenvoudig protocol in. Wie is het eerste aanspreekpunt bij een datalek? Wie beslist of er gemeld moet worden? Zorg dat iedereen weet wat ze moeten doen als ze een fout ontdekken. 

De privacyverklaring: verplicht, maar ook nuttig 

Je bent verplicht om mensen te informeren over hoe je hun gegevens verwerkt. Dit doe je via een privacyverklaring, ook wel privacybeleid of privacystatement genoemd. Die staat op je website, maar je verwijst er ook naar in je aanmeldformulieren en correspondentie. 

Een goede privacyverklaring bevat in elk geval: 

• wie je bent en hoe mensen contact met je kunnen opnemen; 
• welke gegevens je verwerkt en voor welk doel; 
• op welke grondslag je dat doet; 
• hoe lang je gegevens bewaart; 
• welke rechten mensen hebben en hoe ze die kunnen uitoefenen; 
• of je gegevens deelt met derden (en wie dat zijn). 

Je hoeft geen advocaat te zijn om een privacyverklaring te schrijven. Er zijn goede voorbeelden beschikbaar, onder andere via de website van de Autoriteit Persoonsgegevens. Zorg wel dat de verklaring aansluit bij wat je daadwerkelijk doet: een standaardtekst die niet klopt met jouw praktijk is erger dan een eenvoudige maar accurate beschrijving. 

Link: Recht op informatie | Autoriteit Persoonsgegevens 

Een verwerkingsregister: klinkt zwaar, valt mee 

Organisaties die persoonsgegevens verwerken zijn in principe verplicht een verwerkingsregister bij te houden. Dat is een overzicht van alle verwerkingen van persoonsgegevens binnen je organisatie. 

In de praktijk hoeft dit geen ingewikkeld document te zijn. Voor een kleine dierenhulporganisatie volstaat een simpele tabel met daarin: 

• de naam van de verwerking (bijvoorbeeld: donateursadministratie, nieuwsbrief, vrijwilligersregistratie); 
• het doel van de verwerking; 
• de categorie betrokkenen (donateurs, vrijwilligers, adopters); 
• de categorie gegevens; 
• de grondslag; 
• de bewaartermijn; 
• wie toegang heeft tot de gegevens. 

De AP biedt een model aan op haar website. Eén middag werk levert je een register op dat je daarna alleen nog hoeft bij te houden als je iets verandert. 

Link: Verantwoordingsplicht | Autoriteit Persoonsgegevens 

Tot slot: de AVG is geen bedreiging 

Veel bestuurders van kleine organisaties zien de AVG als een last. Begrijpelijk, want je hebt al genoeg aan je hoofd. Maar de AVG vraagt eigenlijk niet meer dan wat je als betrouwbare organisatie toch al zou moeten doen: zorgvuldig omgaan met de gegevens van mensen die je vertrouwen. 

Donateurs die hun gegevens aan je toevertrouwen, verdienen het dat je daar netjes mee omgaat. En als je kunt aantonen dat je dat doet, versterkt dat het vertrouwen in je organisatie. Dat is niet alleen verplicht, dat is ook gewoon goed bestuur. 

Kort samengevat: waar begin je? 

• Maak een lijst van alle soorten gegevens die je bijhoudt. 
• Bepaal per categorie: waarvoor gebruik je ze, op welke grondslag en hoe lang bewaar je ze? 
• Zet dit in een eenvoudig verwerkingsregister. 
• Schrijf of update je privacyverklaring en zet die op je website. 
• Spreek intern af wie verantwoordelijk is voor AVG-vragen en datalekken. 
• Plan een jaarlijkse schoonmaak van je administratie.