Er bestaat in het veld veel onduidelijkheid over wat wel en wat niet mag. En over de vraag hoe je systemen en processen op de juiste manier kunt inrichten. Begrijpelijk, want AVG-proof werken is complex. Als hulpmiddel heeft de Taskforce Publieksdata een naslagwerk voor de culturele sector laten samenstellen waarin de belangrijkste aspecten over dit onderwerp aan bod komen. Jan Baas stelde vervolgens een aanvullend document op voor steden en regio’s die werken met het Culturele Doelgroepenmodel.
Belangrijkste uitgangspunten
Duidelijke doelstellingen
“Wanneer je als culturele instelling gegevens wilt verwerken voor bijvoorbeeld statistische doelstellingen of subsidieverantwoording, dan moet je opschrijven welke doelstellingen je beoogt. De wet kent rechtsgrondslagen aan de hand waarvan je dat doel moet verantwoorden. Simpel gezegd komt het erop neer dat je een goede reden moet hebben om de persoonsgegevens voor dat doel te verwerken”, legt Baas uit. “Bedenk wat de impact is op de personen van wie je gegevens verwerkt, jouw publiek dus.”
Gebruik voor marketingdoeleinden
Wil je persoonsgegevens gebruiken voor marketingdoeleinden, dan geldt in principe hetzelfde. “Op zich is marketing een gerechtvaardigd belang. Maar marketing is ook een containerbegrip, je hebt heel veel soorten marketing. Je moet steeds heel concreet kijken wat je gaat doen en nadenken over de vraag wat jouw publiek daarvan merkt. Is dat wel of geen goed idee? Het zou kunnen dat je vaststelt dat je de gegevens niet op basis van gerechtvaardigd belang verzamelt, maar dat je er toestemming voor moet vragen.” Bij het gebruik voor marketing moet je overigens altijd de mogelijkheid bieden om bezwaar te maken. “Dat is een absoluut recht en daar moet je jouw bezoekers over informeren”, geeft Baas aan.
Gegevens beveiligen
Goed beveiligen van persoonsgegevens is – uiteraard – een must. “Je wilt niet dat publieksdata in handen komen van derden. Je kunt dit nooit garanderen en dat eist de wet ook niet. Maar de wet zegt wel dat je passende maatregelen moet nemen om gegevens te beveiligen tegen onrechtmatige verwerking en verlies. De techniek verandert voortdurend en daar moet je als organisatie op blijven inspelen. Een concreet voorbeeld is dat beveiliging met een enkelvoudig wachtwoord inmiddels niet meer genoeg is. Tweeweg authenticatie is een vereiste, zodat hackers niet met een simpel password toegang kunnen krijgen tot jouw database.”
Geanonimiseerde data uitwisselen
Publieksdata gebruik je in de eerste plaats binnen je eigen organisatie, maar deze worden ook breder gebruikt. Met het Culturele Doelgroepenmodel kunnen deze gegevens bijvoorbeeld – geanonimiseerd – worden ingezet om het cultuurbereik binnen een stad of regio in kaart te brengen. Sommige instellingen zijn daar wat huiverig voor, maar dat is niet per se nodig. “Geanonimiseerde data vallen niet onder de wet en die kun je dus sowieso uitwisselen. Natuurlijk zijn daar wel kanttekeningen bij te plaatsen. Ze moeten écht goed geanonimiseerd zijn. En bij het maken van een anonieme dataset werk je met data die niet anoniem zijn. Die verwerking moet je kunnen verantwoorden en je moet de betrokkenen goed informeren over het feit dat data niet alleen voor eigen doeleinden worden gebruikt, maar ook voor het onderzoek dat wordt gedeeld met anderen.”
Goed advies
De twee handleidingen op publieksdata.nl geven handvaten om op de juiste manier met data om te gaan. “Maar de wetgeving is toch vrij abstract. Zeker bij toepassingen waar je meer de grenzen opzoekt, is het handig om advies in te winnen. En ik denk dat het voor de algehele compliance – de naleving van relevante wet- en regelgeving en het werken volgens de door een organisatie opgestelde normen en regels – verstandig is om iemand mee te laten kijken. Wacht hier vooral niet te lang mee, maar denk er al bij de inrichting van processen en procedures over na. Het komt voor dat een nieuwe website al volledig is ontwikkeld en dat een dag voor de livegang wordt gevraagd om te checken of alles ook juridisch gezien klopt. Als er dan aanpassingen nodig zijn, is het te laat en nog kostbaar ook. Ontwikkel dus in een vroeg stadium werkwijzen waarin het naleven van regels is ingebouwd.”
Download de naslagwerken over de AVG
De Taskforce Publieksdata heeft twee naslagwerken laten opstellen.
Publieksdata & de AVG
Uitgebreid naslagwerk bestemd voor de culturele sector, in het bijzonder de kleinere en middelgrote organisaties. Het naslagwerk beoogt meer inzicht en duidelijkheid te verschaffen over de toepassing van de AVG.
Het Culturele Doelgroepenmodel & de AVG
Aanvulling op de algemene handleiding. Dit naslagwerk zoomt in op specifieke AVG-aspecten rondom het gebruik van het Culturele Doelgroepenmodel, ontwikkeld door Rotterdam Festivals en ook toegepast in diverse andere steden en regio’s.