Blog

GDPR-compliance voor non-profits en liefdadigheidsinstellingen

Door:  Henk Onstwedder

Naast het betekenisvolle werk dat non-profit organisaties doen, is ook het verzamelen en analyseren van data een belangrijk deel van hun werk. De gegevens worden gebruikt voor werkzaamheden ter plekke, maar ook voor het rapporteren over behaalde resultaten en social impact. Wat de invoering van de GDPR voor deze werkzaamheden betekent, is alleen voor velen nog niet helemaal duidelijk. Hoe kunnen non-profits ervoor zorgen dat de GDPR-invoering en compliancy vlekkeloos verloopt, zodat zij zich kunnen blijven focussen op het waardevolle werk dat ze doen?

Data is cruciaal voor non-profits – zij hebben deze nodig om de werkzaamheden uit te kunnen voeren. Het produceren van deze data-analyses betekent dat zij een enorme hoeveelheid aan gevoelige informatie verzamelen en verwerken. Denk hierbij aan persoonlijke gegevens van donoren en begunstigden, vaak ook met gevoelige informatie zoals gegevens rondom gezondheid en financiën. Voor begunstigden van de non-profits is het logisch en begrijpelijk dat zij deze informatie beschikbaar stellen – het helpt hen om de hulp te krijgen die zij zo hard nodig hebben. Echter deze werkwijze brengt meerdere privacy- en veiligheidsaspecten met zich mee, en de vraag is of organisaties zich hier voldoende bewust van zijn. Zeker in politiek gevoelige regio’s met bijvoorbeeld een instabiel regime, is het van cruciaal belang dat de privacy van mensen en gegevens goed gewaarborgd kan worden. De gegevens zouden anders zomaar in de verkeerde handen kunnen vallen, wat kan leiden tot fraude of zelfs diefstal van identiteit.

De meeste non-profits hebben hier uiteraard procedures en beleid voor ingericht. Maar eenmaal in ‘het veld’ – veelal in het buitenland – blijkt het vaak lastig om deze vooraf opgestelde regels ook daadwerkelijk in de praktijk te brengen. De mensen die ter plekke werken, hebben vaak een beperkte kennis van IT, data en security. Met het risico van gegevensinbreuk is van cruciaal belang dat databeveiliging bovenaan het prioriteitenlijstje komt te staan.

Welke organisaties moeten voldoen

Het is begrijpelijk dat het voor non-profits lastig is om hun organisatie, werkwijzen en processen in te richten naar de nieuwe regelgeving volgens de GDPR. Voor veel leiders van non-profits is het niet duidelijk genoeg hoe en wanneer de GDPR-regelgeving van toepassing is. Dat is met name een lastig vraagstuk wanneer de non-profit internationaal opereert.

De GDPR is een EU-verordening en is van toepassing op alle situaties waarbij gegevens worden beheerd en verwerkt. Dat is duidelijk. Wat niet zo duidelijk is, is of de regels ook van toepassing zijn wanneer de Europese non-profit gegevens verzamelt over begunstigden buiten de EU. En om het nog complexer te maken: hoe zit het dan wanneer gegevens worden verzameld door een niet-EU-dochteronderneming van de non-profit?

Het algemene advies luidt daarom als volgt: alle gegevens die worden verzameld door een internationale non-profit met aanwezigheid in de EU, zouden moeten voldoen aan de GDPR, vanwege deze drie redenen:

  1. Door naleving van deze wet ondervang je de juridische risico’s die je loopt als je niet voldoet aan de GDPR. En die risico’s zijn fors: hoge geldboetes en mogelijk verlies van donoren. Sterk argument dus.
  2. De organisatie is op een veel eenvoudigere en efficiëntere manier te managen indien deze beschikt over één organisatiebreed beleid op het gebied van privacy en beveiliging van gegevens. Dus als één onderdeel van de organisatie aan de GDPR moet voldoen, dan dient de volledige organisatie het juiste beleid en de juiste praktijken te hanteren om volledig aan de eisen te voldoen.
  3. Non profits zouden het als morele plicht moeten zien om te voldoen aan de GDPR. Gevoelige persoonlijke gegevens veilig houden voor donoren, begunstigden en medewerkers is simpelweg het juiste om te doen.

Door compliance aan de GDPR de komende tijd prioriteit te geven in de beleidsvorming van non-profits, borgen zij de veiligheid van hun data en kunnen zij zich blijven focussen op hun waardevolle werk.

Henk Onstwedder

Henk Onstwedder is Global VP at Unit4 focusing on the Not for Profit and Public Services industries. He is responsible for building Unit4’s value proposition, creating and delivering on industry product roadmaps, developing the ecosystem, and leading strategic sales engagements.

Volg mij linkedin