Privacy-verklaring

Hoe zit het met Amnesty en de AVG?

Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe privacywet geeft personen meer privacy-rechten en organisaties meer verantwoordelijkheden. Elke organisatie die persoonsgegevens verwerkt, valt onder de AVG. Zo ook Amnesty International.

Persoonsgegevens zijn gegevens die (direct of indirect) te herleiden zijn tot een specifiek individu, denk aan: adresgegevens, telefoonnummer, e-mailadres, leeftijd, geslacht, bankgegevens, maar ook foto’s, videobeelden en IP-adressen. De AVG ziet niet alleen toe op digitale gegevens, maar ook op gegevens die op papier staan.

De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de privacywet en kan hoge geldboetes uitdelen wanneer een organisatie de verordening overtreedt. Daarnaast zorgt het lekken van gegevens voor de nodige negatieve aandacht en kan het imagoschade opleveren. Amnesty heeft in aanloop naar de AVG de volgende stappen genomen:

  1. In kaart brengen van aanwezige data

Allereerst is in kaart gebracht welke (categorieën) persoonsgegevens er bij Amnesty International, afdeling Nederland aanwezig zijn. Dit hebben wij gedaan aan de hand van alle in gebruik zijnde systemen en (web)applicaties. Vervolgens zijn wij nagegaan waarvoor Amnesty deze gegevens (nog) nodig heeft. Zijn de gegevens vastgelegd om uitvoering te geven aan het lidmaatschap, een donatie, het organiseren van een evenement/campagne of voor fondsenwervende doeleinden? Waarvoor bewaart Amnesty de gegevens nog? Is dat vanwege de fiscale bewaarplicht, vanuit het oogpunt van klachtenafhandeling of onverhoopte juridische onenigheid? Al deze informatie heeft Amnesty gedocumenteerd in een verwerkingsregister.

  1. In kaart brengen van alle verwerkers van gegevens en sluiten van verwerkersovereenkomst

Tegelijkertijd is Amnesty nagegaan binnen welke afdelingen en met welke partijen er persoonsgegevens worden uitgewisseld of gedeeld. Verkrijgen deze partijen gegevens bij de uitvoering van hun dienstverlening (HRM, ICT, Marketing) aan Amnesty? En welke partijen zijn aan te merken als verwerker? Met alle verwerkers zijn passende afspraken gemaakt over de omgang met de data, de bewaartermijnen en hoe te handelen in het geval van een datalek.

  1. Een protocol datalekken

Organisaties zijn verplicht om een protocol datalekken te hebben, zodat zij in staat zijn tijdig te voldoen aan de Meldplicht Datalekken. Ernstige datalekken moeten binnen 72 uur na het ontdekken ervan gemeld worden aan de AP. Een lek wordt als ernstig bestempeld als het om veel of gevoelige persoonsgegevens gaat. Naast de meldplicht hebben organisaties ook een protocolplicht. Alle beveiligingsincidenten moeten intern geregistreerd worden. Daarbij moeten ook de afwegingen worden vermeld die zijn gemaakt bij de beslissing om een lek wel of juist niet te melden. Denk bij beveiligingsincidenten ook aan een verloren smartphone, een verkeerd verzonden bericht (verkeerde ontvanger) of een e-mail met ontvangers in de CC in plaats van de BCC. Het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger was in 2017 het meest voorkomende type datalek in Nederland.

Teneinde aan de meldplicht te kunnen voldoen, heeft Amnesty een protocol datalekken en een intern meldpunt: datalekken@amnesty.nl. Alle geconstateerde beveiligingsincidenten worden gemeld via  dit meldpunt. Vervolgens wordt het incident intern geregistreerd en worden alle afwegingen gemaakt die nodig zijn om te kunnen bepalen of het datalek gemeld moet worden aan de AP en/of de personen van wie data zijn gelekt.

  1. Open en eerlijke informatievoorziening

Het belangrijkste uitgangspunt van de AVG is transparantie. Organisaties moeten open en eerlijk zijn over de gegevens die zij vastleggen en waarom zij dit doen. Dit gebeurt doorgaans in een privacy statement. Daarin leg je uit wat je verzamelt, hoe en waarom. Ook Amnesty heeft een privacy statement en een (apart) cookie statement. Daarnaast geeft Amnesty op alle plekken waar gegevens worden achtergelaten (denk aan: online web- en inschrijfformulieren) informatie over de gegevensverwerking.

  1. Het creëren van bewustwording

Last but not least : het creëren van bewustwording. Binnen Amnesty dient iedereen op de hoogte zijn van de nieuwe privacyregels en de gevolgen die de AVG op hem of haar heeft. Daarom worden medewerkers getraind en geïnstrueerd op het gebied van privacy en beveiliging van gegevens. En alle medewerkers moeten een e-learning over privacy volgen.

Vragen?

Heb je aanvullende vragen over privacy en/of de wijze waarop Amnesty omgaat met persoonsgegevens? Laat het ons weten via privacy@amnesty.nl.