Ledenadministratie, privacy en beveiliging
Bernoud Jonker, wo 01 mei 2024
De ledenadministratie van een vereniging bevat persoonsgegevens. Met de invoering van de AVG zijn hier veel regels op van toepassing. Doel van de wet is om te voorkomen dat mensen hun gegevens onnodig openbaar worden. Deze privacywetgeving geldt voor alle organisaties in Nederland. Het maakt niet uit op welke manier je gegevens opslaat. Een online database is relatief kwetsbaar en dus is een goede beveiliging een belangrijk punt. In deze Blog een nadere toelichting..
Wat mag ik opslaan van mijn leden?
Eigenlijk is het uitgangspunt tegenwoordig, sla zo min mogelijk gegevens op. De regels maken onderscheid tussen normale persoonsgegevens, zoals naam en adres, en bijzondere persoonsgegevens. Die laatste categorie bevat gegevens over bijvoorbeeld iemands geloof of seksuele geaardheid. Die gegevens uit de laatste categorie mag je niet opslaan, tenzij je een bijzonder goede reden hebt.
Eigenlijk is het uitgangspunt tegenwoordig, sla zo min mogelijk gegevens op. De regels maken onderscheid tussen normale persoonsgegevens, zoals naam en adres, en bijzondere persoonsgegevens. Die laatste categorie bevat gegevens over bijvoorbeeld iemands geloof of seksuele geaardheid. Die gegevens uit de laatste categorie mag je niet opslaan, tenzij je een bijzonder goede reden hebt.
Wie mag er bij de gegevens?
Ook hier weer, zo min mogelijk mensen. Als je een geavanceerde systeem hebt kan je vaak op persoonsniveau dit bepalen. Dus alleen de penningmeester en de kascommissie kunnen de betaalgegevens van een lid zien. Deze personen hebben dan weer geen zicht op de sportieve gegevens.
Wie is verantwoordelijk?
In iedere organisatie die persoonsgegevens opslaat moet iemand hiervoor verantwoordelijk zijn. Logischerwijs is dat bij een vereniging de secretaris. Belangrijk is om dit goed te communiceren. Zijn er namelijk problemen of in het ergste geval een datalek, dan is deze persoon verantwoordelijk.
Welke informatie kunnen de leden opvragen?
Iedereen kan opvragen welke gegevens er zijn opgeslagen. Je bent dan als vereniging verplicht die gegevens te tonen. De betrokkene kan aangeven dat die gegevens gewijzigd moeten worden. Onder omstandigheden kan die ook vragen om de gegevens te verwijderen.
Wat als een lid verzoekt data te verwijderen?
Het kan zijn dat een lid bepaalde gegevens niet opgeslagen wil hebben. Je moet hier in principe aan meewerken. Maar er is gelukkig een uitzondering. Je hoeft de gegevens niet te verwijderen als er een wettelijke grond is om die te bewaren. Dat is in ieder geval de koppeling tussen de ledenadministratie en de financiële administratie. Om de rechtmatigheid van de inkomsten te kunnen contoleren heb je een sluitende ledenadministratie nodig.
Hoe lang moet data bewaard worden?
Om een goede administratie te kunnen bijhouden, moeten organisaties bepaalde persoonsgegevens een tijd bewaren. Maar bewaren van persoonsgegevens mag niet langer dan noodzakelijk is. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Wel zijn er concrete bewaartermijnen in andere wetten waaraan organisaties zich moeten houden. Bijvoorbeeld in belastingwetgeving.
Mag je data delen met anderen?
Je mag de privacygevoelige informatie niet delen met anderen, het is zelfs niet toegestaan om een ledenlijst te publiceren. Dat kan je deels voorkomen door de leden om toestemming te vragen. Met toestemming is het delen van dergelijke lijsten alleen toegestaan onder de andere leden, dus binnen de vereniging. Deze regels gelden trouwens ook voor andere ledenactiviteiten, zoals deelname aan wedstrijden of zelfs wedstrijduitslagen. Je kan wel algemene gegevens delen die niet herleidbaar zijn naar specifieke personen. Zo kun je bijvoorbeeld met de Gemeente bijvoorbeeld totalen delen van alle leden opgedeeld in leeftijdscategorieën.
Hoe de opgeslagen data beveiligen?
Hier lees je de stappen om te komen tot een adequate beveiliging van je ledenadministratie.
- Bewustwording bestuur en administratie dat de administratie vertrouwelijk is en dat de gegevens van leden vertrouwelijk moeten worden behandeld.
- Kiezen sterk wachtwoord en daar voorzichtig mee omspringen, en het regelmatig wijzigen.
- Betrouwbare webserver, met een goede firewall geïnstalleerd en ssl-certificaat
- Up-to-date houden van software en eventuele bug-fixes zo snel mogelijk installeren
- Ook is het mogelijk de gevoelige informatie in de database versleuteld op te slaan, zodat die informatie alleen nog door de administratie op te vragen is.
Wat te doen bij datalek?
Stel de ledenadministratie is gehackt? Wat nu? Je moet dit melden aan alle betrokken personen. Dus in ieder geval aan de leden. Je moet vertellen wat er is gebeurd en hoe dat kon gebeuren. De eerste reactie van een organisatie waarvan de website is gehackt, is het offline halen van de database en de website. Dit heeft wel andere gevolgen, zoals leden die niet kunnen inloggen en zich inschrijven voor evenementen en nieuwe leden kunnen zich niet aanmelden. Je moet een datalek ook melden bij de Autoriteit Persoonsgegevens.