De Raad van Toezicht en de AVG

Invoering AVG en de RvT

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing op alle organisaties.

Vanaf deze dag geldt in heel Europa dezelfde privacywetgeving. De Wet bescherming persoonsgegevens (Wbp) geldt vanaf dat moment niet meer.

De vraag die de Raad van Toezicht zich moet stellen is: “Wat betekent dit voor onze organisatie? Voldoen wij op tijd aan de eisen die gesteld worden in de Verordening en hoe blijven wij als RvT op de hoogte van maatregelen die onze organisatie neemt?”

Iedere organisatie heeft 2 jaar de tijd gehad zich voor te bereiden op deze nieuwe wetgeving. Op 4 mei 2016 is de AVG gepubliceerd. Na deze datum is de organisatie als het goed is aan de slag gegaan met de voorbereidingen. Heeft de bestuurder de RvT meegenomen in de genomen maatregelen? Heeft er bijvoorbeeld een nulmeting plaats gevonden waar de organisatie staat en welke maatregelen genomen moeten worden?

De Autoriteit Persoonsgegevens heeft ter voorbereiding ‘Het AVG-10 stappenplan’, in 10 stappen voorbereid op de avg, opgesteld en bespreekt hierin de 10 belangrijkste AVG-thema’s.

Maar, wat is de rol van de RvT bij de invoering van de AVG?

Wij zoomen in op de volgende items voor de Raad van Toezicht:

Bewustwording

Zijn wij ons als RvT voldoende bewust van de consequenties van de invoering van de AVG? Is het onderwerp met enige regelmaat geagendeerd in het overleg van de RvT met de directeur-bestuurder? Is het bestuur zich voldoende bewust welke processen van de organisatie de AVG raakt, wie hierbij betrokken zijn? Denk hierbij aan de medewerkers, de leveranciers en ook de partners.

Sparringpartner

Voor bestuurders van organisaties is de wetgeving nieuw. Adviseurs bieden zich aan om de bestuurder te helpen. Ook brancheorganisaties faciliteren ondersteuning zodat kennis en kosten kunnen worden gedeeld. De leden van de RvT kunnen op dit gebied heel goed vanuit de eigen organisatie, het netwerk en hun achtergrond als sparringpartner input leveren aan de bestuurder.

Organiseer een brainstormsessie en ga na welke persoonsgegevens de organisatie vastlegt. Wanneer en waarvoor deze gegevens worden gebruikt? (Mogen we die nieuwsbrief blijven versturen?) En hoe kunnen wij ervoor zorgen dat onze leveranciers en partners ook op tijd aan de AVG voldoen?

Meldplicht bij datalekken

Is er een procedure opgesteld wanneer er een datalek optreedt? Hoe wordt gehandeld binnen de organisatie? En wanneer wordt de Raad van Toezicht hierin gekend? Een datalek kan groot, maar ook ‘klein’ zijn. Als een brief op een verkeerd adres wordt bezorgd en geopend wordt geretourneerd is er al sprake van een datalek.

Tip: Houd een incidentenregister bij. Agendeer het register periodiek bij de vergaderstukken van het overleg met de RvT. Is er sprake van een groot incident? In dat geval informeert de bestuurder de RvT direct.

Monitoring

De RvT stelt zich ook op als toezichthouder in dit traject. De bestuurder legt tijdig een nulmeting aan de RvT voor, geeft inzicht in de te nemen maatregelen en houdt de RvT op de hoogte van de genomen maatregelen.

Ter geruststelling

Wat wordt er nu daadwerkelijk verwacht van organisaties per 25 mei 2018?

Moet u klaar zijn?

Het is belangrijk te laten zien dat ook uw organisatie zich bewust is van de impact van de AGV, weet welke persoonsgegevens worden vastgelegd en op de hoogte is van de gegevens die worden gebruikt. Heel belangrijk: stel eisen aan leveranciers en ketenpartners en leg deze vast in de dienst- en/of samenwerkingsovereenkomst.

Bestaat er behoefte om eens van gedachten te wisselen over de AVG binnen uw Raad van Toezicht? Neem contact op met Cirkeltoezicht!
M: info@cirkeltoezicht.nl

4 misverstanden over de penningmeester

het team

Vanmorgen las ik in de krant: “De 41-jarige penningmeester van de atletiekvereniging ontvreemdde € 65.000 uit de verenigingskas.” Hoe is dit mogelijk? En waarom heeft niemand dit eerder ontdekt? Is ook dat de vraag die bij jou opkomt?
We lezen het bijna wekelijks in de krant.

Laat ik beginnen met 4 grote misverstanden rondom het penningmeesterschap van een (sport)vereniging of een stichting.

De penningmeester is de boekhouder.

Het kan inderdaad zo zijn dat de penningmeester de boekhouding van de vereniging of van de organisatie verzorgt. Dit hoeft echter niet! Het is heel goed mogelijk dat de boekhouding is uitbesteed aan een extern bureau of wordt uitgevoerd door een ander verenigingslid. De penningmeester is wel de persoon die toeziet op het goed uitvoeren van de boekhouding. De penningmeester heeft de verantwoordelijkheid voor het jaarlijks opstellen van een begroting en het correct uitvoeren van boekhoudkundige handelingen. Ook is zij verantwoordelijk voor het jaarlijks aanbieden van een financiële verantwoording aan de leden van de vereniging of aan het bestuur van de stichting.

De penningmeester is de enige die over de portemonnee beschikt

Het is heel erg wenselijk dat de organisatie over een eigen betaalrekening en spaarrekening op haar naam beschikt. En eventueel over een kleine kas. Betalingen verlopen niet via de privé betaalrekening van de penningmeester of een ander lid van de vereniging of het bestuur. Verplicht is het echter niet.
De rechten van het verrichten van betalingen kunnen worden verleend aan de penningmeester, de bestuursleden of andere leden van de vereniging of het bestuur. Het kan zelfs zo worden geregeld dat de penningmeester geen enkele betaling kan verrichten.

Wij, de overige bestuursleden, weten pas achteraf dat er geld is ontvreemd

Dit is een groot misverstand. Bij een vereniging of stichting is het belangrijk het ‘vier-ogen-principe’ toe te passen. Dit houdt in dat in geen enkel geval één persoon een verplichting kan aangaan en/of een betaling kan doen. In alle gevallen geven twee personen toestemming.

De penningsmeester is verantwoordelijk voor het verduisteren van de middelen

In de krant lijkt dit zo te zijn! De penningmeester heeft regelmatig privé uitgaven gedekt met middelen uit de kas van de organisatie. De penningmeester heeft hiervan geprofiteerd.
Dit is onjuist! Lees eens na in de statuten van jouw organisatie hoe het is geregeld met de verantwoordelijkheden en aansprakelijkheid! Door de rechten en verantwoordelijkheden niet goed te regelen en te borgen is het gehele bestuur in gebreke gebleven. Je kunt zelfs stellen dat gelegenheid is geboden voor misbruik en daarmee het ongewenste gedrag is uitgelokt. Oké, dit gaat misschien wat ver. Maar het is wel de vraag of alleen de penningmeester het tekort moet aanvullen.

Wordt vervolgd…

Wil je meer over weten over dit onderwerp en weten hoe je dit goed kunt regelen binnen jouw organisatie?
Neem dan contact met ons op. Wij helpen je graag!

Dat kan per mail: info@cirkeltoezicht.nl of telefonisch: Tessa 06 – 11 071 098 of Astrid: 06 – 2425 1869.

Gastblog | Jellie Tiemersma: De Raad van Toezicht als bron van diversiteit!

Jellie Tiemersma | Personal Too

Wie kent ‘m nog, de hit van Fluitsma & Van Tijn: ‘15 miljoen mensen’. De eerste zin luidt: ‘Het land van 1.000 meningen’! Het nummer dateert uit 1996 maar er is wat dat betreft nog niet veel veranderd!

De wereld om ons heen bestaat niet uit één soort mensen! Met één mening! Gelukkig niet! Dat maakt onze wereld, onze samenleving zo interessant maar ook zo complex, zo ingewikkeld. We zijn ons dat ook steeds meer bewust.

Diversiteit wordt de norm, niet de uitzondering.

Continue reading “Gastblog | Jellie Tiemersma: De Raad van Toezicht als bron van diversiteit!”