Privacywetgeving: hoe bescherm je de privacy van de leden van je coöperatie?

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De AVG geldt voor alle organisaties, dus ook voor energiecoöperaties. Energiecoöperaties verzamelen bijvoorbeeld persoonlijke gegevens van hun leden voor hun energiebesparings- of energieopwekkingsprojecten. Maar wat betekent de nieuwe privacywetgeving voor energiecoöperaties? We spraken hierover met Auke ten Hoeve, Functionaris Gegegevensbescherming bij Intrakoop, de grootste inkoopcoöperatie van de zorg in Nederland.

Wat verandert er in de nieuwe Europese AVG privacywet?

"In feite zit de grootste verandering in de wetgeving op het gebied van datalekken. Maar Nederland heeft daar twee jaar geleden in de Nederlandse Wet bescherming persoonsgegevens (Wbp) al een voorschot op genomen. Dus voor Nederland is het niet nieuw, maar voor de rest van Europa wel. Dat datalek onderdeel weegt wel zwaar want als je een datalek hebt dan moet je het ook melden. Sterker nog, ook al weet je het nog niet zeker, ook al is er maar een vermoeden van een datalek dan moet je het melden. En dat moet je dan ook nog doen binnen 72 uur na het ontstaan van het vermoeden. Het kan best zijn dat achteraf blijkt dat er niks aan de hand is, maar het feit dat er een vermoeden is is al een reden om het te melden."

"Vervolgens moet je laten zien welke maatregelen je neemt om dit in de toekomst te voorkomen. Als een datalek zich heeft voorgedaan is het dus van belang om te bekijken ‘Hadden we dit kunnen voorkomen? En welke maatregelen moeten we nemen om de kans op een datalek zo klein mogelijk te houden."

"Een datalek kun je nooit helemaal voorkomen, maar probeer wel de kans daarop zo klein mogelijk te houden. De beveiliging moet zo adequaat mogelijk zijn. Dat is meer dan alleen ICT. Heel veel mensen denken dat het alleen met techniek te maken heeft. Maar de meeste datalekken hebben nog altijd met menselijke fouten te maken. Bijvoorbeeld dat men de boel op een laptop heeft gezet die vervolgens verloren is. Of bestanden op een verloren USB-stick die niet beveiligd is. Of dat men via internet werkt en de boel niet goed afgeschermd heeft. Bijvoorbeeld door gebruik van een onbeveiligde internetverbinding."

Wat betekent de nieuwe wet voor energiecoöperaties?

"Energie coöperaties hebben nogal wat gegevens van leden. De wetgeving maakt een heel duidelijk onderscheid tussen normale persoonsgegevens en bijzondere persoonsgegevens. Normale persoonsgegevens zijn gegevens aan de hand waarvan een persoon geïdentificeerd kan worden. Denk aan naam- en adresgegevens, e-mailadressen. Onder bijzondere persoonsgegevens vallen sowieso de medische gegevens, maar daaronder vallen ook de financiële gegevens. En energie coöperaties hebben nogal wat financiële gegevens van mensen. Omdat ze daarin met hun geld participeren. En die gegevens zeggen iets over de financiële gegevens en de status van iemand. Dat zijn dus geen normale persoonsgegevens."

"De wet zegt dat je daar nog zorgvuldiger mee om moet gaan en dus nog beter moet beveiligen. Het komt er op neer dat je daar nog scherper op moet zijn. Bij wijze van spreken door er een dubbel slot op te zetten. Als het om gegevensbeveiliging gaat kun je als metafoor zeggen: moet het een DAF of een Rolls-Royce zijn? Nou, bij normale gegevens mag je toch wel verwachten dat het een Mercedes is en geen DAF. Maar misschien moet je met bijzondere gegevens, zoals financiële, wel een Rolls-Royce aanschaffen. In die gradatie moet je denken. Nogmaals een Rolls-Royce kan ook pech krijgen langs de weg, maar je mag er van uitgaan dat die net even wat beter is."

"De wetgeving zegt dus dat je voor bijzondere persoonsgegevens meer aantoonbaar moet laten zien dat je het goed doet. Dat betekent niet dat alles uit de wet van toepassing is. Want energie coöperaties zijn vaak kleine organisaties waarbij het de vraag is of het gaat om ‘grootschalige gegevensverwerking’. Als ze 1000 leden hebben kun je zeggen dat het grootschalig is. Maar in de wet is niet vastgelegd wat kleinschalig en wat grootschalig is. Dat is een grijs gebied."

"De wetgever heeft wel alle organisaties uitgenodigd om zo veel mogelijk de AVG toe te passen. Dus om ook dat te doen wat nog niet verplicht is. En wat moet je je daar bij voorstellen? Bijvoorbeeld een Functionaris Gegevensbescherming die toezicht houdt dat het ook goed gebeurt en de boel scherp houdt. Die toezichthouder kan ook zelf rondkijken en af en toe even een steekproef doen. In de nieuwe wetgeving zijn er hogere eisen gesteld aan die functie van een Functionaris Gegevensbescherming. Dit hoeft niet een interne medewerker te zijn die op de loonlijst staat. Dat kan ook gewoon een externe zijn waar je afspraken mee hebt gemaakt. Daar wordt ook voor gepleit omdat een externe onafhankelijker is."

"Voor energie coöperaties met soms een of enkele betaalde krachten en veel vrijwilligers is dit wel een knelpunt. Advies is dus om te kijken of je extern – eventueel op pro deo basis – advies kunt inhuren. En ik pleit er voor om als coöperaties dit samen te gaan doen. Want het wordt zo complex om aan al die regelgeving te voldoen. En dat kun je op een bepaald moment niet meer aan vrijwilligers over laten, want dat gaat fout. We moeten dus samenwerken en zorgen dat dit soort dingen gedaan worden door mensen die daar deskundig in zijn."

Wat zijn de belangrijkste punten waar een energiecoöperatie aan moet denken?

"Coöperaties moeten transparant handelen. Ze moeten dus aangeven welke gegevens worden vastgelegd. Naam, straat, huisnummer, etc. En je moet ook aangeven waarom. Je mag niet ongebreideld gegevens gaan verzamelen het moet wel proportioneel zijn. Dat wil zeggen: met deze minimale gegevens kunnen wij ons werk doen. Verzamel niet meer gegevens dan voor het doel noodzakelijk. Je moet er dus voor zorgen dat de gegevens alleen worden gebruikt voor het doel waarvoor ze aan je verstrekt zijn. Het kan zijn dat je door je taken wettelijk verplicht bent om bepaalde gegevens te verzamelen. Dan kun je aangeven dat je op grond van wet X dat moet doen. Dat kunnen we dus niet voorkomen. Wees daar transparant in."  

"En als je zegt ‘we gaan daar zorgvuldig mee om’. Dan doe je een belofte en die belofte zal je waar moeten maken. Dat betekent ook dat je daar verantwoording over aflegt. Niet alleen als het fout gaat, maar ook gewoon jaarlijks in je jaarverslag. En daar speelt die Functioneel Gegevensbescherming een rol. Die houdt onafhankelijk toezicht, want anders zit een slager zijn eigen vlees te keuren."

"Ik adviseer coöperaties dan ook om samen de koppen bijeen te steken. Samenwerken met een persoon die dat doet voor ons allemaal. Bijvoorbeeld een Functioneel Gegevensbeschermer als toezichthouder voor meerdere organisaties."

Wat moeten energiecoöperaties concreet doen om de privacy van leden te waarborgen?

Register verwerkingsactiviteiten

"De wetgever zegt in feite: Leg in een register vast welke gegevens je vastlegt. Dat hoeft niet zo ingewikkeld te zijn. Maar het is wel zaak dat overzicht te hebben. En dan kun je gelijk ook zeggen waarom je dat doet en welke bewaartermijn je hanteert. Dan heb je dat in één overzicht weggewerkt. In feite dus gewoon een Excelbestandje. Maar zorg wel dat je het hebt!"

Bewaartermijn

"Als je weet welke gegevens bewaard worden moet je ook aangeven wat de bewaartermijn is en waarom. Soms kan het zijn dat het in de wet vastgelegd is. Stel bijvoorbeeld dat je energiecoöperatie opgeheven wordt, dan mag je die gegevens niet zomaar bij het grofvuil doen. Dan moet je ze minimaal 7 jaar nog bewaren. Dat beteken wel dat je dat zorgvuldig moet doen. Er zitten wel de namen van mensen in."

Privacyverklaring

"Wat ook belangrijk is is dat je je privacyverklaring op internet op orde hebt. Daar geef je aan welke gegevens je gebruikt. Waarom je gegevens bewaard, wat de bewaartermijn is en hoe je daar verder mee om gaat. In feite doe je daar de belofte mee: hier mag je me aan houden. Maar zorg ook voor een klachtenprocedure en een duidelijke procedure als een lid afzwaait en zijn/haar gegevens verwijderd moeten worden. En zorg dat de gegevens ook juist zijn en blijven. Wees zeker dat een persoon ook bevoegd is om lid te worden en zijn gegevens af te staan. Voor hetzelfde geld is het iemand die onder curatele staat. Of is komen te staan. In feite moet je regelmatig je leden vragen ‘kloppen je gegevens nog?’. Zorg dus dat je regelmatig de boel update."

Verwerkingsovereenkomst

"Stel dat je administratie aan een ander uitbesteed dan krijgt die de gegevens van de coöperatie om dat keurig te verwerken in opdracht van jou. Daar moet dan een verwerkingsovereenkomst voor gesloten zijn tussen de partijen waarin minimaal een aantal zaken geregeld zijn. Daarin staat hoe de gezagsverhoudingen zijn en bijvoorbeeld wat ze moeten doen als er een datalek is. In het geval van een datalek moet men dat bij jou melden want jij bent nog steeds verantwoordelijk. Of afspraken over een mogelijke schadeclaim. Bijvoorbeeld in het geval dat die ander een grove fout heeft gemaakt in de gegevensverwerking en coöperatie voor de kosten op draait dan mag je de kosten verhalen. Dat moet je allemaal duidelijk afspreken. Van die verwerkingsovereenkomst zijn overigens voorbeelden te vinden. Die zullen nog wel geschikt gemaakt moeten worden voor de energiecoöperaties, maar dat is zo gebeurt."

Wat zijn voorbeelden van het lekken van persoonsgegevens?

"Het meest voorkomende datalek is natuurlijk als iemand zijn laptop kwijtraakt of zijn USB laat slingeren. Maar vergeet niet dat het ergens in de cloud zetten van bestanden, in een dropbox of wat dan ook, ook tricky is. Want als er andere mensen bij kunnen, geeft dat ook risico’s. Daar moet je dus goed over nadenken. Wil je überhaupt dropbox bijvoorbeeld wel gebruiken? Of denk aan het zomaar onbeveiligd via de e-mail versturen van gegevensbestanden. Voor hetzelfde geld komt het mailtje met gegevens in de verkeerde handen terecht. En dat geld ook al bij de adressering van e-mails. Regelmatig krijg ik bijvoorbeeld mails van een organisatie en dan hebben ze alle ontvangers zichtbaar in het aan: veld staan. Dan zie ik dus aan wie de mail allemaal verstuurd is. Dan heb je al een datalek. Nee, zet de geadresseerden in het BCC:-veld. Dan ziet niemand het."

"Of stel dat een bestuurslid kwaad wegloopt en gegevens op straat gooit. Dat is natuurlijk het meest beruchte voorval. Dan moet je dus in je bestuur vastgelegd hebben dat wie dat doet voor de kosten opdraait. Want als je dat niet vastgelegd hebt, ben je als bestuur toch als geheel verantwoordelijk. Je wordt dus als bestuur er hoofdelijk op aangesproken. Wees dus, als je in het bestuur stapt, daar heel alert op. Een bestuurder is hoofdelijk aansprakelijk en er is ook niet tegen te verzekeren. Dat geldt, gekscherend gezegd, overigens ook voor verkeersboetes, daar kun je je ook niet tegen verzekeren. Het is dus van belang om met bestuursleden afspraken te maken over de privacy van gegevens."

Wat moet je doen in het geval van een datalek?

"Belangrijk is dat je in de constellatie van een (mogelijk) datalek de Voorzitter van de coöperatie benadert als aanspreekpunt voor het bestuur. De voorzitter doet er dan verstandig aan om direct met een groep bijeen te komen om dit te bespreken. Wat is hier aan de hand? Hoe hadden we dit kunnen voorkomen? En hoe gaan we hier verder mee om? En de Functioneel Gegevensbeheerder behoort volgens de wet direct betrokken te worden. Samen met hem kun je kijken wat de impact is. Een e-mailadres die uitlekt heeft minder zware impact dan wanneer financiële gegevens uitlekken. Het is niet alleen van belang dat het datalek geconstateerd wordt, maar het gaat er vooral om om de impact daarvan te bepalen. En als je weet dat meneer Jansen en meneer Pietersen daar de dupe van zijn. Neem dan ook direct contact met hen op. Het gaat dus vooral om het communiceren!"

Wat zijn de gevolgen als je je zaken niet op orde hebt?

"Als je je zaakjes niet goed op orde hebt dan kan de Autoriteit Persoonsgegevens je erop aanspreken. In de pers wordt veel geschreven dat je direct een hele zware boete krijgt. Maar zo is het dus niet. Als je kunt aantonen dat je de nodige maatregelen had genomen, die adequaat waren. En dat je ook direct nieuwe maatregelen hebt genomen om herhaling te voorkomen. Dan kan het zijn dat de Autoriteit Persoonsgegevens zegt dat dit voldoende of nog onvoldoende is. In dat laatste geval krijg je een aanwijzing. Op juridisch gebied heet dat een ‘aanwijzing onder bestuursdwang’. Dat wil eigenlijk zeggen dat als je dat niet doet je alsnog een boete krijgt. Een aanwijzing is daarmee dus niet vrijblijvend. Maak dus gewoon gebruik van hun aanwijzing en maak de boel in orde."

Welke tip heeft u voor energiecoöperaties?

"De belangrijkste tip: zie het niet als een technisch probleem, als een ICT-probleem. Het is ook geen juridisch vraagstuk. Want vaak gooien we het heel snel in de handen van juristen. Maar mijn advies is om het juist alsjeblieft uit de handen van die juristen te halen. Want die regelen de hele boel dood. Het is een ethisch vraagstuk. Je moet ethische normen hanteren: Hoe wil ik met anderen omgaan en hoe wil ik met jouw gegevens omgaan? En hoe wil ik als organisatie overkomen bij anderen? Als je die vraag beantwoord dan heb je het antwoord ook al en weet je wat je wel en wat je niet moet doen. Maatschappelijk verantwoord ondernemen hebben we, ook als energiecoöperaties, hoog in het vaandel staan. Naast de drie P’s van People, Planet en Profit in Maatschappelijk Verantwoord Ondernemen komt er een vierde P bij. Dat is privacy."