Stichtingen en fondsen verwerken dagelijks gevoelige persoonsgegevens van aanvragers. Een praktische checklist om uw aanvraagproces AVG-proof te maken.
Stichtingen en fondsen die aanvragen voor financiële bijdragen verwerken, hebben dagelijks te maken met gevoelige persoonsgegevens. Denk aan inkomensgegevens, schuldsituaties en gezinssamenstelling. Maar ook aan gezondheidsklachten of etniciteit als die relevant zijn voor het beoordelingsproces. De AVG stelt strenge eisen aan hoe u met al deze gegevens omgaat. Hoe vertaalt u die wettelijke eisen naar de dagelijkse praktijk van het aanvraagbeheer?
Gewone en bijzondere persoonsgegevens: een belangrijk onderscheid
Niet alle gevoelige informatie valt onder dezelfde categorie in de AVG. Financiële gegevens — zoals inkomen, schulden of bankgegevens — zijn gewone persoonsgegevens. Ze vragen om zorgvuldige bescherming, maar worden niet aangemerkt als 'bijzondere persoonsgegevens' in de zin van artikel 9 AVG.
Bijzondere persoonsgegevens zijn uitsluitend: gezondheidsgegevens, etnische of raciale afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, vakbondslidmaatschap, genetische of biometrische gegevens, en gegevens over seksueel gedrag of strafrechtelijk verleden. De verwerking hiervan is in principe verboden, tenzij een uitdrukkelijke wettelijke uitzondering van toepassing is. Als uw stichting dergelijke gegevens verwerkt — bijvoorbeeld omdat gezondheid een rol speelt in de aanvraagbeoordeling — gelden extra strenge eisen.
Dit onderscheid is niet alleen academisch. Het bepaalt welke juridische grondslag u nodig heeft, welke technische maatregelen verplicht zijn en of u mogelijk een DPIA moet uitvoeren.
Wanneer is een DPIA verplicht?
Een Data Protection Impact Assessment (DPIA), in het Nederlands ook wel gegevensbeschermingseffectbeoordeling genoemd, is verplicht wanneer uw gegevensverwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Als vuistregel geldt: als uw verwerking aan twee of meer van de negen risicocriteria van de Europese toezichthouders voldoet, moet u een DPIA uitvoeren vóórdat u start met de verwerking.
Voor stichtingen en fondsen is een DPIA al snel aan de orde: u verwerkt kwetsbare groepen (mensen in financiële nood), combineert meerdere gegevenscategorieën, en beoordeelt mensen op basis van hun situatie. Raadpleeg de lijst van de Autoriteit Persoonsgegevens om te bepalen of uw verwerking hieronder valt.
Checklist: 10 punten voor AVG-proof aanvraagbeheer
1. Verwerkingsregister
Leg vast welke persoonsgegevens u verwerkt, voor welk doel, hoe lang u ze bewaart en wie er toegang toe heeft. Dit register is verplicht voor elke organisatie die structureel persoonsgegevens verwerkt.
2. Grondslag voor verwerking
Zorg dat u voor elke gegevensverwerking een wettelijke grondslag heeft. Voor aanvraagbeheer is dit meestal 'uitvoering van een overeenkomst' of 'gerechtvaardigd belang'. Voor bijzondere persoonsgegevens is altijd een expliciete uitzondering nodig — in de praktijk vaak uitdrukkelijke toestemming of een wettelijke verplichting.
3. Dataminimalisatie
Vraag alleen gegevens op die daadwerkelijk nodig zijn voor de beoordeling van de aanvraag. De AVG vereist dat u niet meer verzamelt dan strikt noodzakelijk voor het opgegeven doel.
4. Bewaartermijnen
Stel vast hoe lang u persoonsgegevens bewaart en zorg dat gegevens na afloop automatisch worden verwijderd of geanonimiseerd. Gevoelige gegevens die onnodig lang worden bewaard, vormen een onnodig risico.
5. Toegangscontrole
Niet elke medewerker hoeft toegang te hebben tot alle gegevens. Richt een systeem van rollen en rechten in zodat medewerkers alleen de informatie zien die relevant is voor hun functie.
6. Versleutelde opslag
Persoonsgegevens moeten versleuteld worden opgeslagen, zowel in uw database als in documenten en bijlagen. Bij een datalek zijn versleutelde gegevens onleesbaar voor onbevoegden.
7. Tweefactorauthenticatie
Bescherm de toegang tot uw systeem met tweefactorauthenticatie (2FA). Een gestolen wachtwoord alleen is dan niet voldoende om bij gevoelige gegevens te komen.
8. Actielogboek
Houd een gedetailleerd logboek bij van wie wanneer welke gegevens heeft ingezien of gewijzigd. Dit is niet alleen een AVG-vereiste, maar ook essentieel bij audits of klachten van aanvragers.
9. Datalekprocedure
Zorg voor een gedocumenteerde procedure voor het geval er een datalek optreedt. Conform de AVG moet u een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens, zodra u redelijkerwijs kunt aannemen dat er een risico is voor betrokkenen. Als het risico hoog is, moet u ook de betrokkenen zelf informeren. Leg intern vast hoe u datalekken herkent, registreert en meldt.
10. Verwerkersovereenkomst en rechten van betrokkenen
Sluit met elke partij die namens u persoonsgegevens verwerkt een verwerkersovereenkomst. Zorg bovendien dat u inzageverzoeken, correctieverzoeken en verwijderverzoeken van aanvragers snel en volledig kunt afhandelen — dit is een wettelijk recht dat u actief moet faciliteren.
Van checklist naar praktijk
Het voldoen aan de AVG hoeft geen onoverkomelijke opgave te zijn. De sleutel is om privacy niet als een apart project te behandelen, maar als een integraal onderdeel van uw werkprocessen. Wanneer uw aanvraagsysteem is gebouwd met privacy als uitgangspunt — met ingebouwde toegangscontrole, versleuteling, een actielogboek en geautomatiseerde bewaartermijnen — wordt AVG-compliance een natuurlijk bijproduct van uw dagelijkse werk in plaats van een jaarlijkse stresstest.
Wilt u weten hoe u uw aanvraagproces AVG-proof kunt inrichten? Bekijk onze mogelijkheden op het gebied van veiligheid en compliance of plan een demonstratie.