Privacybescherming van je leden: voorbeelddocumenten

bewakingscamera

Hoe bescherm je de privacy van je leden? Per 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving. Die zogeheten Algemene Verordening Gegevensbescherming (AVG) geldt voor alle organisaties, dus ook voor energiecoöperaties. Voor energiebesparings- of energieopwekkingsprojecten verzamelen energiecoöperaties en initiatieven bijvoorbeeld persoonlijke gegevens van leden. Maar hoe zorg je dat jouw administratie als coöperatie voldoet aan deze privacy eisen? We delen graag een aantal voorbeeld documenten.

Voorbeeld documenten

Met hulp van Auke ten Hoeve, Functionaris Gegegevensbescherming bij Intrakoop, hebben we een aantal voorbeelddocumenten ontwikkeld om eisen uit de AVG-wetgeving in het beleid en de administratie van de coöperatie door te kunnen voeren.

Privacy beleid

Onder ‘gegevensbescherming’ wordt de bescherming van alle gegevens binnen de organisatie verstaan. Een privacybeleidskader helpt verduidelijken hoe je als organisatie  dient te organiseren om grip te hebben op het thema Gegevensbescherming en daarmee te voorzien in data- en privacybescherming. Hiermee wordt voldaan aan dé kernbepaling in de AVG.

Artikel 10

  1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
  2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
  3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

Artikel 5.1 (a)

Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

Als coöperatie is het van belang om in je privacybeleid te laten zien hoe je werkt aan bescherming van de gegevens van betrokkenen.  Zie hier een voorbeeld:

Privacyverklaring

Je bent wettelijk verplicht klanten en bezoekers, maar ook vrijwilligers en werknemers, duidelijk te informeren over welke privacygevoelige gegevens u verzamelt en met welk doel. Informeren gebeurt meestal via een privacyverklaring. Alle betrokkenen, zoals klanten, websitebezoekers en vrijwilligers, moeten deze eenvoudig kunnen vinden en de tekst moet voor de lezer goed leesbaar en duidelijk zijn. 

Enkele voorbeelden:

Model verwerkingsovereenkomst

Een verwerkingsovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als de coöperatie voor de verwerking van gegevens een een derde partij inschakelt. Een organisatie die persoonsgegevens verwerkt heeft een verantwoordingsplicht ('accountability'). Het opstellen van een verwerkingsovereenkomst als de administratie van gegevens uitbesteed wordt is hier onderdeel van. De verwerkingsovereenkomst is de overeenkomst tussen verantwoordelijke, de coöperatie en de verwerker, bijvoorbeeld een administratiekantoor. In de overeenkomst wordt schriftelijk vastgelegd hoe de verwerker met de persoonsgegevens moet omgaan. Kijk hier voor een voorbeeld:

Verwerkingsregister

Het opstellen van een register van verwerkingsactiviteiten (verwerkingsregister) is onder de AVG vaak een verplichte maatregel. Of je zo'n register moet opstellen, hangt af van de omvang van je organisatie en het type gegevens dat je verwerkt. In het verwerkingsregister staat informatie over de persoonsgegevens die je als coöperatie verwerkt. 

Organisaties met meer dan 250 medewerkers

Heeft de organisatie meer dan 250 medewerkers? Dan is het verplicht om een verwerkingsregister bij te houden.

Organisaties met minder dan 250 medewerkers

Minder dan 250 medewerkers? Dan moet je over een verwerkingsregister beschikken als een of meer van de volgende situaties op de coöperatie van toepassing is:

  • De verwerking van persoonsgegevens is niet incidenteel. In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van leden die je verwerkt. Of van je vrijwilligers.
  • je verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie je persoonsgegevens verwerkt.
  • je verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

In de praktijk betekent het dat dit van toepassing is op energiecoöperaties. En de coöperatie over een verwerkingsregister moet beschikken.

Zie hier enkele documenten die je helpen bij het vormgeven van het verwerkingsregister voor de coöperatie:

Dit artikel is tot stand gekomen in samenwerking met Auke ten Hoeve, Functionaris Gegegevensbescherming bij Intrakoop, de grootste inkoopcoöperatie van de zorg in Nederland. Met dank aan voorbeelden van Windpower Nijmegen en Deltawind. Vragen over privacywetgeving? Stel je vraag via de HIER opgewekt helpdesk. Vragen worden beantwoord in samenwerking met Auke ten Hoeve als privacy professional.

Op de hoogte blijven?

Ontvang tips, artikelen, nieuws en meer! Geef hieronder aan welk thema je voorkeur heeft.

Lees voor meer informatie ons privacybeleid
Lijsten