De AVG en de kunst- en cultuursector: waar raken deze elkaar?

Hoe culturele instellingen en organisaties om kunnen gaan met de wettelijke verplichtingen

Vrijwel iedereen heeft inmiddels veelvuldig gehoord van de privacywetgeving, in het bijzonder de Algemene Verordening Gegevensbescherming (“AVG” of in het Engels: GDPR). De AVG (en daaraan gerelateerde wetgeving) brengt diverse verplichtingen mee voor ondernemers, ook voor partijen in de kunst- en cultuursector. Denk aan musea, muziekpodia, theaters, bioscopen, maar bijvoorbeeld ook muziekscholen en evenementenorganisaties. In dit blog zet ik een aantal van de geldende verplichtingen onder de privacywetgeving op een rijtje. Deze informatie is niet uitputtend, daarvoor verschillen de onderwerpen, maar ook de specifieke omstandigheden en activiteiten van de genoemde partijen teveel. Mijn doel is om nader inzicht te geven in wat er van partijen in deze sector wordt verlangd, waarbij ik een aantal praktische tips geef om mee aan de slag te kunnen.

Alles al op orde? Lees dan toch even verder

Het is belangrijk om goed in beeld te hebben welke persoonsgegevens er binnen de organisatie worden verwerkt en dat daarmee op een zorgvuldige manier wordt omgegaan. Het niet voldoen aan de AVG kan – zoals wellicht bekend – leiden tot boetes van de Autoriteit Persoonsgegevens (AP) en/of vorderingen van betrokken personen. Inmiddels zijn er ook aan kleinere organisaties boetes opgelegd.

Aangezien er door jouw organisatie wellicht inmiddels al de nodige maatregelen zijn getroffen, leert de ervaring dat het raadzaam is om de wijze waarop met persoonsgegevens wordt omgegaan van tijd tot tijd opnieuw te bekijken, documenten te updaten en maatregelen te evalueren en aan te scherpen. Verwerkingen en daarvoor ingezette technologieën of partijen zijn aan veranderingen onderhevig – zo ook de wetgeving en rechterlijke uitspraken op dit gebied. Ons privacy team helpt graag mee om ervoor te zorgen dat de basis op orde is – en blijft.      

De focus ligt in dit blog op organisaties die ‘klantgegevens’ (van particulieren) verwerken. Echter, de meeste zaken zijn (op hoofdlijnen) ook relevant voor andere organisaties, zoals filmproducenten en radio- en televisieomroepen.

Welke persoonsgegevens worden zoal verwerkt in de kunst- en cultuursector?

Culturele instellingen en organisaties verwerken persoonsgegevens van bijvoorbeeld werknemers, vrijwilligers/donateurs en klanten (leerlingen of bezoekers). Denk ook aan contactpersonen van leveranciers, samenwerkingspartners en websitebezoekers. Dit betreft bijvoorbeeld NAWTE-gegevens, bankrekeningnummers of videobeelden. Deze gegevens worden o.a. verwerkt door de ticketadministratie, leerlingenadministratie, bezoekersregistratie, klantenservice, websitebezoeken, cameratoezicht of interactieve tentoonstellingen, maar ook voor bijvoorbeeld het versturen van een nieuwsbrief of catalogus of vormen van (personeels-)monitoring en screening.

Hierbij heeft de organisatie veelal de rol van ‘verwerkingsverantwoordelijke’ in de zin van de AVG, nu zij bepaalt voor welk doel en op welke manier persoonsgegevens worden verwerkt. Dat brengt diverse verplichtingen mee.

Een aantal relevante wettelijke verplichtingen

Allereerst verwijzen wij naar onze ‘zeven vuistregels’ voor privacy, die wij ook bespreken in een podcastserie. Het is raadzaam deze te hanteren, dan ben je al een eind op weg!

De zeven vuistregels

1. Verwerk de persoonsgegevens alleen als daar een in de wet vermelde grondslag voor is;
2. Verzamel, gebruik en bewaar niet meer persoonsgegevens dan je nodig hebt en alleen als er geen andere manier is om het zelfde doel te bereiken die minder belastend voor de privacy is (dataminimalisatie; alleen need to know;
3. Gebruik de persoonsgegevens alleen voor het doel waarvoor je ze hebt verkregen (doelbinding);
4. Vertel altijd aan de betrokkene wat je doet met zijn persoonsgegevens (transparantiebeginsel);
5. Hoe privacygevoeliger de informatie, hoe meer vereisten (gewone, gevoelige en bijzondere persoonsgegevens);
6. Neem passende technische en organisatorische maatregelen tegen verlies, onbevoegde toegang of onbeschikbaarheid van de persoonsgegevens;
7. Regel voldoende waarborgen als je persoonsgegevens met derden uitwisselt.

Benodigde documenten

Daarbij zijn een aantal documenten nuttig (of zelfs noodzakelijk), zoals privacyverklaringen en verwerkersovereenkomsten. Maar denk bijvoorbeeld ook aan een verwerkingsregister, datalekkenprotocol of afspraken met een extern marketingbureau.

Zo zijn er nog een aantal zaken waar je aan kunt denken. Wij geven graag advies over welke documenten en acties er voor jouw organisatie nodig zijn. Voor bepaalde verwerkingen kan het nodig zijn om een Data Protection Impact Assessment (DPIA) te verrichten, waarmee privacyrisico’s in kaart worden gebracht en tot de nodige maatregelen kan worden besloten (zoals camerabewaking).

Wat kun je zelf doen?

Zoals beloofd geef ik alvast een aantal tips, waar jij mee aan de slag kunt:

• Breng in kaart welke persoonsgegevens er worden verwerkt en voor welke doeleinden. Is hierin de afgelopen tijd iets veranderd? En zijn al deze persoonsgegevens echt nodig?
• Heeft jouw organisatie voor deze verwerkingen een wettelijke grondslag (zoals genoemd in artikel 6 AVG)? En als dat toestemming is (opt-in), wordt die aantoonbaar verkregen?
• Met wie worden de persoonsgegevens gedeeld? Zijn met deze partijen schriftelijke overeenkomsten gesloten?
• Hoe lang worden de persoonsgegevens bewaard?
• Welke beveiligingsmaatregelen worden getroffen? Waar worden de gegevens opgeslagen en wie heeft daar toegang toe?
• Wie is verantwoordelijk voor dit onderwerp of bepaalde onderdelen hiervan (wie meldt datalekken, wie reageert op verzoeken van betrokkenen, wie zorgt voor controle of een  etc.)? Is er bijvoorbeeld een FG of privacy officer aangewezen?
• Welke documenten (zoals een privacybeleid) zijn er al op dit gebied en zijn deze recentelijk nog eens geüpdatet?
• Staat er een cookiebanner op de website? Breng ook in kaart welke cookies er worden gebruikt en welke regels daarvoor gelden.

Leg voornoemde analyse vast in een document (i.v.m. de verantwoordingsplicht onder de AVG). Wellicht komt hieruit al naar voren of jouw privacybeleid aan een update toe is.

Hoe kunnen wij hierbij helpen?

Wij kunnen jouw organisatie allereerst voorzien van een meer uitgebreide vragenlijst voor de inventarisatie van gegevensstromen en benodigde acties. Aan de hand van de invulling van de vragenlijst, kunnen wij een advies geven welke documenten er dienen te worden opgesteld en of eventuele andere acties, zoals het verrichten van een Data Protection Impact Assessment, zouden moeten worden verricht. Vanzelfsprekend kunnen wij vervolgens helpen met het opstellen van documenten en verrichten van andere acties om jouw organisatie AVG-proof te krijgen en houden; op een zo praktisch mogelijke manier.

Wij adviseren ook om medewerkers actief in te lichten over het privacybeleid binnen jouw organisatie. Hiervoor geven wij op maat gemaakte privacy workshops. Voor de dagelijkse privacyvragen kun je gebruik maken van onze privacy helpdesk. Wij voorzien je snel van telefonisch advies tegen een vooraf afgesproken tarief. Ook handig als je geen privacy officer of jurist binnen jouw organisatie hebt!

Benieuwd hoe wij jou kunnen helpen? Neem dan contact op met Nina Witt. Zij denkt graag mee.