Beveiliging van ledenadministratie

Beveiliging van ledenadministratie

Beveiliging van ledenadministratie: waarom?
Hoe zit het met de AVG en de ledenadministratie?

De ledenadministratie bevat veel persoonlijke gegevens. Op grond van de AVG moet je de gegevens beperken en goed beveiligen. Is er toch een datalek, dan moet je dat direct melden.

Persoonsgegevens

De ledenadministratie van een vereniging bevat persoonsgegevens. Met de invoering van de AVG zijn hier veel regels op van toepassing. Doel van de wet is om te voorkomen dat mensen hun gegevens onnodig openbaar worden. Deze privacywetgeving geldt voor alle organisaties in Nederland. Het maakt niet uit op welke manier je gegevens opslaat. Natuurlijk is de kans op hacken bij een online systeem groter dan bij een schriftje in je la. Voor de regels maakt het niet uit.

Wat mag ik opslaan van mijn leden?

Eigenlijk is het uitgangspunt tegenwoordig, zo min mogelijk. Je slaat dus zo min mogelijk persoonlijke gegevens op. De regels maken onderscheid tussen normale persoonsgegevens, zoals naam en adres en bijzondere persoonsgegevens. Die laatste categorie bevat gegevens over bijvoorbeeld iemands geloof of seksuele geaardheid. Die gegevens mag je niet opslaan, tenzij je een bijzonder goede reden hebt.

Wie mag er bij de gegevens?

Ook hier weer, zo min mogelijk mensen. Als je een geavanceerde systeem hebt kan je vaak op persoonsniveau dit bepalen. Dus alleen de penningmeester en de kascommissie kunnen de betaalgegevens van een lid zien. Deze personen hebben dan weer geen zicht op de sportieve gegevens.

Let ook heel goed op bij het publiceren van uitslagen of deelnamelijsten. Het is niet de bedoeling dat je op iemands naam kan terugvinden dat die deelnam aan een sportevenement.

Wijs een verantwoordelijke aan

In iedere organisatie die persoonsgegevens opslaat moet iemand hiervoor verantwoordelijk zijn. Logischerwijs is dat bij een vereniging de secretaris. Belangrijk is om dit goed te communiceren. Zijn er namelijk problemen of in het ergste geval een datalek, dan is deze persoon verantwoordelijk.

De leden en de administratie

Iedereen kan opvragen welke gegevens er zijn opgeslagen. Je bent dan als vereniging verplicht die gegevens te tonen. De betrokkene kan aangeven dat die gegevens gewijzigd moeten worden. Onder omstandigheden kan die ook vragen om de gegevens te verwijderen.

Dat verwijderen van gegevens kan heel lastig zijn voor een vereniging. Je moet er in principe aan meewerken. Maar er is gelukkig een uitzondering. Je hoeft de gegevens niet te verwijderen als er een wettelijke grond is om die te bewaren. Dat is in ieder geval de koppeling tussen de ledenadministratie en de financiële administratie. Om de rechtmatigheid van de inkomsten te kunnen contoleren heb je een sluitende ledenadministratie nodig.

Onder omstandigheden kan dit ook betrekking hebben op andere gegevens. Bijvoorbeeld de individuele sportprestaties als die invloed hebben of hadden op ranglijsten.

Wat te doen bij datalek?

Stel de ledenadministratie is gehackt? Wat nu? Je moet dit melden aan alle betrokken personen. Dus in ieder geval aan de leden. Je moet vertellen wat er is gebeurd en hoe dat kon gebeuren.

Je moet een datalek ook melden bij de Autoriteit Persoonsgegevens.

Imagoschade

Een organisatie lijdt door een digitale inbraak imagoschade op het gebied van veiligheid. Als de vereniging haar website niet kan beveiligen, zullen leden zich afvragen hoe het zit met de betrouwbaarheid en veiligheid van hun eigen gegevens.

Potentiële leden twijfelen of ze hun gegevens überhaupt wel moeten toevertrouwen aan de vereniging. Sponsors vragen zich af of ze hun geld niet beter in een professionelere vereniging (hadden) kunnen investeren. Bestuur en vrijwilligers worden geconfronteerd met vervelende vragen van de leden.

Deze imagoschade mag geen enkele invloed hebben op de openheid. Realiseer je namelijk dat het niet melden van een datalek ernstig bestraft kan worden.

Financiële schade

De eerste reactie van een organisatie waarvan de website is gehackt, is het offline halen van de database en de website. Zo lag de website van menig vereniging er maandenlang uit. Leden konden niet inloggen en zich inschrijven voor evenementen. Nieuwe leden konden zich niet inschrijven.

Als er een professioneel IT bedrijf wordt ingeschakeld zijn er grote bedragen uitgegeven om de schade vast te stellen. Hoe is de hacker binnen gekomen? Wat heeft hij gestolen, waar is het gebleven. Maar liever nog, hoe is dit te voorkomen in de toekomst? Allemaal vragen die meer kosten opleveren dan een adequate beveiliging.