30 nov '21
Vrijwel iedereen heeft inmiddels veelvuldig gehoord van de privacywetgeving, in het bijzonder de Algemene Verordening Gegevensbescherming (“AVG” of in het Engels: GDPR). De AVG (en daaraan gerelateerde wetgeving) brengt diverse verplichtingen mee voor ondernemers, ook voor partijen in de kunst- en cultuursector. Denk aan musea, muziekpodia, theaters, bioscopen, maar bijvoorbeeld ook muziekscholen en evenementenorganisaties. In dit blog zet ik een aantal van de geldende verplichtingen onder de privacywetgeving op een rijtje. Deze informatie is niet uitputtend, daarvoor verschillen de onderwerpen, maar ook de specifieke omstandigheden en activiteiten van de genoemde partijen teveel. Mijn doel is om nader inzicht te geven in wat er van partijen in deze sector wordt verlangd, waarbij ik een aantal praktische tips geef om mee aan de slag te kunnen.
Het is belangrijk om goed in beeld te hebben welke persoonsgegevens er binnen de organisatie worden verwerkt en dat daarmee op een zorgvuldige manier wordt omgegaan. Het niet voldoen aan de AVG kan – zoals wellicht bekend – leiden tot boetes van de Autoriteit Persoonsgegevens (AP) en/of vorderingen van betrokken personen. Inmiddels zijn er ook aan kleinere organisaties boetes opgelegd.
Aangezien er door jouw organisatie wellicht inmiddels al de nodige maatregelen zijn getroffen, leert de ervaring dat het raadzaam is om de wijze waarop met persoonsgegevens wordt omgegaan van tijd tot tijd opnieuw te bekijken, documenten te updaten en maatregelen te evalueren en aan te scherpen. Verwerkingen en daarvoor ingezette technologieën of partijen zijn aan veranderingen onderhevig – zo ook de wetgeving en rechterlijke uitspraken op dit gebied. Ons privacy team helpt graag mee om ervoor te zorgen dat de basis op orde is – en blijft.
De focus ligt in dit blog op organisaties die ‘klantgegevens’ (van particulieren) verwerken. Echter, de meeste zaken zijn (op hoofdlijnen) ook relevant voor andere organisaties, zoals filmproducenten en radio- en televisieomroepen.
Culturele instellingen en organisaties verwerken persoonsgegevens van bijvoorbeeld werknemers, vrijwilligers/donateurs en klanten (leerlingen of bezoekers). Denk ook aan contactpersonen van leveranciers, samenwerkingspartners en websitebezoekers. Dit betreft bijvoorbeeld NAWTE-gegevens, bankrekeningnummers of videobeelden. Deze gegevens worden o.a. verwerkt door de ticketadministratie, leerlingenadministratie, bezoekersregistratie, klantenservice, websitebezoeken, cameratoezicht of interactieve tentoonstellingen, maar ook voor bijvoorbeeld het versturen van een nieuwsbrief of catalogus of vormen van (personeels-)monitoring en screening.
Hierbij heeft de organisatie veelal de rol van ‘verwerkingsverantwoordelijke’ in de zin van de AVG, nu zij bepaalt voor welk doel en op welke manier persoonsgegevens worden verwerkt. Dat brengt diverse verplichtingen mee.
Allereerst verwijzen wij naar onze ‘zeven vuistregels’ voor privacy, die wij ook bespreken in een podcastserie. Het is raadzaam deze te hanteren, dan ben je al een eind op weg!
Daarbij zijn een aantal documenten nuttig (of zelfs noodzakelijk), zoals privacyverklaringen en verwerkersovereenkomsten. Maar denk bijvoorbeeld ook aan een verwerkingsregister, datalekkenprotocol of afspraken met een extern marketingbureau.
Zo zijn er nog een aantal zaken waar je aan kunt denken. Wij geven graag advies over welke documenten en acties er voor jouw organisatie nodig zijn. Voor bepaalde verwerkingen kan het nodig zijn om een Data Protection Impact Assessment (DPIA) te verrichten, waarmee privacyrisico’s in kaart worden gebracht en tot de nodige maatregelen kan worden besloten (zoals camerabewaking).
Zoals beloofd geef ik alvast een aantal tips, waar jij mee aan de slag kunt:
Leg voornoemde analyse vast in een document (i.v.m. de verantwoordingsplicht onder de AVG). Wellicht komt hieruit al naar voren of jouw privacybeleid aan een update toe is.
Wij kunnen jouw organisatie allereerst voorzien van een meer uitgebreide vragenlijst voor de inventarisatie van gegevensstromen en benodigde acties. Aan de hand van de invulling van de vragenlijst, kunnen wij een advies geven welke documenten er dienen te worden opgesteld en of eventuele andere acties, zoals het verrichten van een Data Protection Impact Assessment, zouden moeten worden verricht. Vanzelfsprekend kunnen wij vervolgens helpen met het opstellen van documenten en verrichten van andere acties om jouw organisatie AVG-proof te krijgen en houden; op een zo praktisch mogelijke manier.
Wij adviseren ook om medewerkers actief in te lichten over het privacybeleid binnen jouw organisatie. Hiervoor geven wij op maat gemaakte privacy workshops. Voor de dagelijkse privacyvragen kun je gebruik maken van onze privacy helpdesk. Wij voorzien je snel van telefonisch advies tegen een vooraf afgesproken tarief. Ook handig als je geen privacy officer of jurist binnen jouw organisatie hebt!
Benieuwd hoe wij jou kunnen helpen? Neem dan contact op met Nina Witt. Zij denkt graag mee.
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.