Beveiliging van ledenadministratie

Beveiliging van ledenadministratie

Beveiliging van ledenadministratie: waarom?
e-Boekhouden.nl
Hoe zit het met de AVG en de ledenadministratie?

De ledenadministratie bevat veel persoonlijke gegevens. Op grond van de AVG moet je de gegevens beperken en goed beveiligen. Is er toch een datalek, dan moet je dat direct melden.

Persoonsgegevens

De ledenadministratie van een vereniging bevat persoonsgegevens. Met de invoering van de AVG zijn hier veel regels op van toepassing. Doel van de wet is om te voorkomen dat mensen hun gegevens onnodig openbaar worden. Deze privacywetgeving geldt voor alle organisaties in Nederland. Het maakt niet uit op welke manier je gegevens opslaat. Natuurlijk is de kans op hacken bij een online systeem groter dan bij een schriftje in je la. Voor de regels maakt het niet uit.

Wat mag ik opslaan van mijn leden?

Eigenlijk is het uitgangspunt tegenwoordig, zo min mogelijk. Je slaat dus zo min mogelijk persoonlijke gegevens op. De regels maken onderscheid tussen normale persoonsgegevens, zoals naam en adres en bijzondere persoonsgegevens. Die laatste categorie bevat gegevens over bijvoorbeeld iemands geloof of seksuele geaardheid. Die gegevens mag je niet opslaan, tenzij je een bijzonder goede reden hebt.

Wie mag er bij de gegevens?

Ook hier weer, zo min mogelijk mensen. Als je een geavanceerde systeem hebt kan je vaak op persoonsniveau dit bepalen. Dus alleen de penningmeester en de kascommissie kunnen de betaalgegevens van een lid zien. Deze personen hebben dan weer geen zicht op de sportieve gegevens.

Let ook heel goed op bij het publiceren van uitslagen of deelnamelijsten. Het is niet de bedoeling dat je op iemands naam kan terugvinden dat die deelnam aan een sportevenement.

Wijs een verantwoordelijke aan

In iedere organisatie die persoonsgegevens opslaat moet iemand hiervoor verantwoordelijk zijn. Logischerwijs is dat bij een vereniging de secretaris. Belangrijk is om dit goed te communiceren. Zijn er namelijk problemen of in het ergste geval een datalek, dan is deze persoon verantwoordelijk.

De leden en de administratie

Iedereen kan opvragen welke gegevens er zijn opgeslagen. Je bent dan als vereniging verplicht die gegevens te tonen. De betrokkene kan aangeven dat die gegevens gewijzigd moeten worden. Onder omstandigheden kan die ook vragen om de gegevens te verwijderen.

Dat verwijderen van gegevens kan heel lastig zijn voor een vereniging. Je moet er in principe aan meewerken. Maar er is gelukkig een uitzondering. Je hoeft de gegevens niet te verwijderen als er een wettelijke grond is om die te bewaren. Dat is in ieder geval de koppeling tussen de ledenadministratie en de financiële administratie. Om de rechtmatigheid van de inkomsten te kunnen contoleren heb je een sluitende ledenadministratie nodig.

Onder omstandigheden kan dit ook betrekking hebben op andere gegevens. Bijvoorbeeld de individuele sportprestaties als die invloed hebben of hadden op ranglijsten.

Wat te doen bij datalek?

Stel de ledenadministratie is gehackt? Wat nu? Je moet dit melden aan alle betrokken personen. Dus in ieder geval aan de leden. Je moet vertellen wat er is gebeurd en hoe dat kon gebeuren.

Je moet een datalek ook melden bij de Autoriteit Persoonsgegevens.

Imagoschade

Een organisatie lijdt door een digitale inbraak imagoschade op het gebied van veiligheid. Als de vereniging haar website niet kan beveiligen, zullen leden zich afvragen hoe het zit met de betrouwbaarheid en veiligheid van hun eigen gegevens.

Potentiële leden twijfelen of ze hun gegevens überhaupt wel moeten toevertrouwen aan de vereniging. Sponsors vragen zich af of ze hun geld niet beter in een professionelere vereniging (hadden) kunnen investeren. Bestuur en vrijwilligers worden geconfronteerd met vervelende vragen van de leden.

Deze imagoschade mag geen enkele invloed hebben op de openheid. Realiseer je namelijk dat het niet melden van een datalek ernstig bestraft kan worden.

Financiële schade

De eerste reactie van een organisatie waarvan de website is gehackt, is het offline halen van de database en de website. Zo lag de website van menig vereniging er maandenlang uit. Leden konden niet inloggen en zich inschrijven voor evenementen. Nieuwe leden konden zich niet inschrijven.

Als er een professioneel IT bedrijf wordt ingeschakeld zijn er grote bedragen uitgegeven om de schade vast te stellen. Hoe is de hacker binnen gekomen? Wat heeft hij gestolen, waar is het gebleven. Maar liever nog, hoe is dit te voorkomen in de toekomst? Allemaal vragen die meer kosten opleveren dan een adequate beveiliging.

Ledenadministratie beveiligen

Hier lees je de stappen om te komen tot een adequate beveiliging van je ledenadministratie.

  1. Bewustwording bestuur en administratie. Als eerste moet het bestuur van de verenging zich bewust worden van de noodzaak van gegevensbeveiliging. De ledenadministratie en webmaster moeten vervolgens weten dat de gegevens van leden vertrouwelijk zijn. En dus vertrouwelijk moeten worden behandeld.
    Aangezien zij toegang hebben tot de database, zullen ze een sterk wachtwoord moeten kiezen, voorzichtig met hun wachtwoord moeten omspringen, en het regelmatig wijzigen. Omdat e-mail via het openbare internet wordt verstuurd, is het niet aan te raden om de ledenadministratie export of een wachtwoord per e-mail te versturen naar derden.  
  2. Betrouwbare webserver. Een tweede stap is het kiezen van een hostingbedrijf die zijn beveiliging goed op orde heeft. Het is geen uitzondering dat aanbieders van webhosting op verouderde servers de websites van klanten draaien. Dit gebeurt met name bij de prijsconcurrenten. Die zijn eigenlijk alleen geschikt voor particulieren die het niet erg vinden als hun gegevens zoek raken. Een hostingbedrijf moet dus de server software goed up-to-date houden en een goede firewall hebben geïnstalleerd. En software installeren die inbraakpogingen ieder moment van de dag in de gaten houdt.
  3. Up-to-date administratie software. De derde stap is het up-to-date houden van de software waarop de website draait. Vaak worden door verenigingen en clubs CMS-en gebruikt. Waarmee de website wordt beheerd. Voor dergelijke software komen geregeld bug fixes uit. En die moeten zo snel als mogelijk worden “geupdate”. De programmacode van opensource is openbaar, maar dat geldt ook voor de fouten.  
  4. Installeren extra veiligheidsvoorzieningen. De laatste stap is het toevoegen van extra beveiligingsoplossingen, zoals een certificaat voor https of uitbreidingen van het CMS. Ook is het mogelijk de gevoelige informatie in de database versleuteld op te slaan, zodat die informatie alleen nog door de administratie op te vragen is met een wachtwoord zin.

Conclusie

Bovenstaand zijn 4 stappen benoemd die een vereniging of club zou moeten nemen om de beveiliging optimaal te houden. Heeft jouw vereniging geen zin, tijd of kennis om dit te doen? Neem dan een goede partij in de arm die deze zaken voor jouw vereniging oppakt. Beveiliging is geen eenmalige activiteit. Dit hoort bij het omgaan met vertrouwelijke gegevens een continu proces te zijn. Dat begint met bewustwording bij de mensen die met die gegevens omgaan, en resulteert in een constante verbetering van de veiligheid.

Lees ook: Ledenadministratie.

    e-Boekhouden.nl

    0
    Je winkelwagen