VERDIEPINGSARTIKEL

AVG-Regels rond het verzamelen van contactgegevens van donateurs

Is uw organisatie afhankelijk van fondsenwerving? Dan verwerkt u dagelijks contactgegevens om donaties te kunnen ontvangen. U houdt daarvan natuurlijk ook bestanden bij. Sinds de Algemene verordening gegevensbescherming (AVG) geldt, bestaat er voor non-profitorganisaties onduidelijkheid over de nieuwe verplichtingen en veranderingen rond contactgegevens.


29 juli 2019 4 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement online en Tahir Bodha, advocaat Privacy & Dataprotectie bij Marxman Advocaten, e-mail: bodha@ marxman.nl


Contactgegevens zijn volgens de AVG persoonsgegevens, die u niet zomaar mag verwerken. Het is dus goed om te weten wat volgens de AVG wel en niet mag op het gebied van ‘leads’ verzamelen. Leadgeneratie omvat alle activiteiten gericht op het in contact komen met potentiële klanten – of in uw geval donateurs. Zo kan uw organisatie leads genereren via mediarelaties, evenementen, online marketing, beurzen of telemarketing.

Let bij fondsenwerving op AVG rond persoonsgegevens

Bij telemarketing belt uw organisatie bijvoorbeeld naar een adressenbestand om potentiële donateurs te informeren over uw projecten. De potentiële donateur kan dan aangeven of hij belangstelling heeft om uw project te steunen. Een potentiële klant (of donateur) met belangstelling wordt een ‘lead’ genoemd.

Onder fondsenwerving vallen alle activiteiten die een organisatie zonder winstoogmerk onderneemt om haar activiteiten en doelen te kunnen financieren. De geworven fondsen zijn bijvoorbeeld donaties van particulieren, inkomsten uit loterijen, subsidies van overheden of inkomsten uit bedrijfsmatige nevenactiviteiten. Ook in het geval van fondsenwerving kunt u via online marketing of telemarketing een grote database van potentiële donateurs bereiken. Bij leadgeneratie en fondsenwerving spelen persoonsgegevens van potentiële donateurs dus een significante rol. Onder persoonsgegevens vallen ook zakelijke gegevens van een contactpersoon binnen een organisatie. Waar persoonsgegevens worden verwerkt, geldt de AVG. Als u een potentiële donateur benadert, noemt u die donateur in AVG-termen de betrokkene. Een betrokkene wordt in de AVG omschreven als een natuurlijk persoon die door de persoonsgegevens geïdentificeerd kan worden. U moet persoonsgegevens van betrokkenen volgens de AVG op een behoorlijke, rechtmatige en transparante manier verwerken. Daarnaast zijn er onder de AVG strengere eisen voor het krijgen van toestemming om de persoonsgegevens te mogen verwerken.

Spanje maakt uitzondering voor visitekaartje

Stel dat u een visitekaartje van een potentieel zakelijk contact ontvangt. Dan is het de vraag wat u met de gegevens van die persoon mag doen. Er is op dat moment vaak nog geen ondubbelzinnige toestemming gegeven voor de verwerking van de contactgegevens op het kaartje.

 

Legitiem

De Spaanse wetgeving stelt dat als het enige doel van de verwerking van de gegevens op een visitekaartje is om een relatie met het bedrijf tot stand te brengen, er een wettelijk vermoeden bestaat dat deze verwerking altijd in de legitieme belangen van uw organisatie zal zijn. Toestemming voor de verwerking is dan niet noodzakelijk. Spanje is tot nu toe de enige Europese lidstaat die een dergelijke bepaling heeft opgenomen in haar wetgeving. In Nederland is de ondubbelzinnige toestemming nog altijd het uitgangspunt.

Alleen via opt-in aanbiedingen doen

De AVG brengt een striktere vorm van toestemming vragen aan betrokkenen met zich mee. Uw organisatie mag bijvoorbeeld alleen via ‘opt-ins’ aan potentiële donateurs aanbiedingen doen. Dit betekent dat de potentiële donateur actief toestemming moet geven voordat u zijn gegevens mag gebruiken. De belangrijkste verandering die voor ‘opt-ins’ uit de AVG voortvloeit, is dat de toestemming ‘ondubbelzinnig’ moet zijn. Toestemming kan dus niet meer worden ontleend aan een akkoord op de algemene voorwaarden of het privacy statement. U moet kunnen aantonen dat de donateur u bewust en vrijwillig de ‘opt-in’ heeft gegeven. Als de ‘opt-in’ is verkregen voor de inwerkingtreding van de AVG, is het in principe niet nodig het verzoek om toestemming opnieuw te sturen. Dit moet echter wel als u niet kunt aantonen hoe u de ‘opt-ins’ heeft verkregen. Voor de komst van de AVG had de betrokkene al het recht op inzage, correctie (rectificatie) en bezwaar. De AVG heeft de rechten van betrokkenen uitgebreid met het recht om vergeten te worden en het recht op dataportabiliteit. U moet waarborgen dat betrokkenen hun rechten kunnen uitoefenen. Het meest vergaande recht van betrokkenen waar u bij leadgeneratie en fondsenwerving mee te maken kunt krijgen, is het recht om vergeten te worden, ook wel het recht op vergetelheid. Dit recht houdt in dat u in een aantal gevallen verplicht bent om de persoonsgegevens van betrokkene op zijn verzoek te wissen. Het betreft de gevallen waarin:

  • uw organisatie de persoonsgegevens niet meer nodig heeft voor de doelen waarvoor u ze heeft verzameld of waarvoor u deze verwerkt;
  • de betrokkene zijn eerder uitdrukkelijk gegeven toestemming intrekt;
  • de betrokkene bezwaar maakt tegen de verwerking;
  • uw organisatie de persoonsgegevens onrechtmatig verwerkt;
  • uw organisatie wettelijk verplicht is om de gegevens na bepaalde tijd te wissen;
  • de betrokkene jonger is dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website.

Verantwoordingsplicht ligt bij organisatie

De AVG legt de verantwoordelijkheid bij uw organisatie om aan te tonen dat u aan de privacyregels voldoet. Naast het aantonen van de toestemming, moet u bijvoorbeeld kunnen aantonen dat de verwerking ook transparant en doelmatig is en dat u de juiste technische en organisatorische maatregelen heeft genomen om verzamelde persoonsgegevens te beveiligen. In de AVG staan een aantal verplichte maatregelen genoemd die volgen uit de verantwoordingsplicht. Zo bent u onder meer verplicht om in specifieke gevallen een verwerkingsregister bij te houden. De verplichting om een verwerkingsregister op te stellen en bij te houden hangt af van de grootte van uw organisatie. Als uw organisatie meer dan 250 werknemers heeft, is het bijhouden van een verwerkingsregister verplicht. Heeft uw organisatie minder dan 250 werknemers, dan is een verwerkingsregister ook voor uw organisatie verplicht als de verwerking die uw organisatie verricht waarschijnlijk een risico voor de rechten en vrijheden van de betrokkenen inhoudt, de verwerking niet incidenteel is, of de verwerking bijzondere persoonsgegevens of persoonsgegevens over strafrechtelijke feiten betreft. In het kader van leadgeneratie en fondsenwerving bent u al snel verplicht een verwerkingsregister erop na te houden, aangezien de verwerking hoogstwaarschijnlijk niet incidenteel is.

Een derde partij is volgens AVG de verwerker

U kunt er ook voor kiezen om een derde partij in te huren om voor u de leads te genereren of de fondsen te werven. Die derde is volgens de AVG de verwerker en uw organisatie is de verwerkingsverantwoordelijke. Het is dan noodzakelijk dat u met de verwerker een verwerkersovereenkomst afsluit, waarin uw rechten en plichten net als die van de verwerker worden benoemd. Denk aan de verplichting van de verwerker om afdoende garanties te bieden op het gebied van technische en organisatorische maatregelen om persoonsgegevens te beschermen. U kunt ook denken aan de wijze waarop de verwerker aan verzoeken van betrokkenen gehoor moet geven. Ook moet u de rechten en plichten vaststellen voor het geval een datalek bij de verwerker ontstaat.

Verwerkingsverantwoordelijke moet datalek melden

Mocht er bij u of bij de verwerker onverhoopt een datalek ontstaan, dan bent u als verwerkingsverantwoordelijke verplicht om het lek te melden aan de Autoriteit Persoonsgegevens (AP). Deze melding moet zonder onredelijke vertraging en uiterlijk binnen 72 uur plaatsvinden nadat u op de hoogte bent gesteld van het datalek. Het is dus van belang dat u dit goed met uw verwerker regelt.