AVG voor Vrijwilligersorganisaties: Zo Voorkom je Boetes en Bouw je Vertrouwen
Vrijwilligersorganisaties verwerken meer persoonsgegevens dan ze beseffen. Op basis van DAAR-onderzoek zetten we de regels helder op een rij — van verwerkersovereenkomst tot de 72-uur meldplicht.
Verwerkersovereenkomst (DPA)
Als organisatie ben je de controller, je software is de processor. Een geschreven verwerkersovereenkomst is wettelijk verplicht (Artikel 28(3) AVG). Gebruik een gratis DPA-template en pas deze aan voor jouw specifieke software — zonder DPA verwerk je illegaal.
Zes rechtsgronden
Toestemming, overeenkomst, wettelijke plicht, vitaal belang, algemeen belang en gerechtvaardigd belang. Een verkeerde keuze aan het begin van de verwerking is een fatale fout die de hele verwerking onrechtmatig maakt. Voor de meeste vrijwilligersgegevens volstaat contractueel noodzakelijk.
Minderjarigen (grens 16 jaar)
Leden onder de 16 jaar zijn handelingsonbekwaam voor hun eigen privacy-instellingen. Voor publicatie van naam of foto is schriftelijke ouderlijke toestemming verplicht. Fysieke prestatieparameters (hartslag, BMI) zijn juridisch gezondheidsgegevens en vereisen uitdrukkelijke, aparte toestemming van de ouder.
Datalekken & boetes
Melding bij de AP binnen 72 uur. Boetes lopen op tot €10 mln of 2% van de wereldwijde jaaromzet. Bekende voorbeelden: KNLTB (€525.000) en Enschede (€600.000 wegens wifitracking). Een verdedigbare positie rust op juridische, technische én operationele maatregelen.
Dieper ingaan op avg & privacy? Lees onze blogs
AVG & Privacy voor Vrijwilligersorganisaties
Het volledige stappenplan: DPA, rechtsgronden, jeugd-protocols en de 72-uur meldplicht.
Lees blogKennisbank: Organisatie & Management
Beknopte gids en aanverwante artikelen over governance en compliance.
Lees blogVrijwilligers-Burn-out voorkomen
Goed welzijnsbeleid is ook governance — voorkom uitval en aansprakelijkheid.
Lees blogVeelgestelde vragen
Wanneer ben ik verwerkingsverantwoordelijke als vrijwilligersorganisatie?+
Altijd wanneer jij bepaalt wélke persoonsgegevens je verwerkt en met welk doel; je softwareleverancier is dan de verwerker en Artikel 28(3) AVG verplicht een geschreven verwerkersovereenkomst. DAAR helpt je hierbij met de VrijwilligersCheck, waarmee je privacy- en governance-risico’s in 10 minuten in kaart brengt en direct ziet waar je DPA nog ontbreekt.
Welke rechtsgrond heb ik voor vrijwilligersgegevens?+
Voor roostering, contact en taakverdeling is de grondslag meestal "contractueel noodzakelijk"; zodra je data voor marketing of deling met derden gebruikt, verschuift de grondslag naar expliciete, te allen tijde intrekbare toestemming. DAAR ondersteunt organisaties hierin als betrokken partner en adviseur, met heldere templates en een stappenplan dat je stap voor stap compliant maakt.
Hoe zit het met minderjarige leden onder de 16 jaar?+
In Nederland (UAVG) ligt de grens voor zelfstandige digitale toestemming strikt op 16 jaar en is voor publicatie van naam of foto van een kind onder de 16 jaar schriftelijke ouderlijke toestemming verplicht. DAAR vertaalt deze regels in een praktisch jeugd-protocol en de VrijwilligersCheck, zodat je ook bij jeugdlidmaatschappen AVG-proof blijft.
Hoe snel moet ik een datalek melden?+
Binnen 72 uur bij de Autoriteit Persoonsgegevens, waarbij verwerkers contractueel binnen 36-48 uur aan de controller melden; bij hoog risico informeer je ook de betrokkenen zelf. DAAR bewaakt dit met een helder incident-response-proces en training, zodat jouw organisatie bij een lek direct de juiste stappen zet.
Klaar om jouw vrijwilligersbeleid naar het volgende niveau te tillen?
Doe de gratis VrijwilligersCheck en krijg in 10 minuten inzicht in je sterke en zwakke punten.
Start de VrijwilligersCheck