[AVG] Subsidieverstrekker wil deelnemerslijst inzien

Wat is nu je vraag?

Het is toch duidelijk dat de gemeente niet de oorzaak van een datalek wil zijn en daarom niets wil opslaan.
Dat zijn fysiek inzage wil hebben om de subsidie aanvraag te kunnen beoordelen is ook logisch.

Dus waarom niet gewoon doen wat ze vragen?

Ja, je mag geen persoonsgegevens onnodig delen met eender welke partij.

Er staat overigens nergens dat je een namenlijst moet aanleveren, ze noemen alleen een aantal, dus ze voldoen hier aan de AVG (en NIS2)

Als het doel is om een fysieke lijst van de deelnemers (met namen e.d.) te laten zien dan mag ook dat niet. Je kan de lijst misschien anonimiseren?

[ Voor 37% gewijzigd door pagani op 27-11-2023 14:16 ]

Ik snap het verschil tussen digitaal aanleveren of fysiek ook niet helemaal.

Maar het verschil tussen een volledige lijst aanleveren of alleen een aantal snap ik dan wel weer.
De gemeente vraagt in principe dus alleen om een aantal, om dan een hele lijst aan te leveren zou dan inderdaad meer zijn dan nodig is en dus niet toegestaan.

EDIT: nvm heb het niet helemaal goed begrepen.

[ Voor 7% gewijzigd door ocwil op 27-11-2023 14:20 ]

pagani schreef op maandag 27 november 2023 @ 14:14:
Ja, je mag geen persoonsgegevens onnodig delen met eender welke partij.

Er staat overigens nergens dat je een namenlijst moet aanleveren, ze noemen alleen een aantal, dus ze voldoen hier aan de AVG (en NIS2)

Als het doel is om een fysieke lijst van de deelnemers (met namen e.d.) te laten zien dan mag ook dat niet. Je kan de lijst misschien anonimiseren?

Daarnaast had je voor deze handeling toestemming moeten vragen aan de deelnemers. En, die toestemming ondubbelzinnig en zonder dwang moeten verkrijgen.
Een voordeeltje zoals 'wel subsidie als we je gegevens delen, en niet als we dat niet doen' is dan volgen mij al 'dwang'.
Maargoed, wellicht is er een verwerkingsgrond te bedenken waar onder je dit zou mogen doen, al is die er volgens de ontvangende partij dus niet.

De gemeente probeert het goed, dat mag ook gezegd worden.
Al ik het zo lees willen ze fysiek inzage in de aantallen, nog niet eens de persoonsgegevens.
Om ook maar elke "opslag" te voorkomen, (maar eigenlijk is ook al het inzien door een persoon die er niets mee te maken heeft al te veel)

Wellicht kun je uit de leden administratie puur een uitdraai maken op basis van lidmaatschap nummer, zonder NAW gegevens ed.
Lidnr: 0000X; actief ja/nee;

Dieks77 schreef op maandag 27 november 2023 @ 14:30:
De gemeente probeert het goed, dat mag ook gezegd worden.
Al ik het zo lees willen ze fysiek inzage in de aantallen, nog niet eens de persoonsgegevens.
Om ook maar elke "opslag" te voorkomen, (maar eigenlijk is ook al het inzien door een persoon die er niets mee te maken heeft al te veel)

Wellicht kun je uit de leden administratie puur een uitdraai maken op basis van lidmaatschap nummer, zonder NAW gegevens ed.
Lidnr: 0000X; actief ja/nee;

Dit ja! Zoals ik het lees willen ze aantallen, ze lijken ook te hinten op een lijst zonder PII. Dat doet deze gemeente heel netjes; beter dan het gros.

Richard.v.Naam schreef op maandag 27 november 2023 @ 14:40:
[...]


Ja klopt. Je merkt dat ze er in NL meer mee bezig zijn afgelopen jaren. We verblijven/overnachten vaak in België. Daar schroomt men niet om alle gegevens van alle aanwezigen op te vragen incl geboortejaar, straatnaam etc etc.


[...]


Klopt, maar wat is dan het verschil met het digitaal toesturen van zo`n geanonimiseerde lijst versturen als dit het enige is wat ze willen? Beide voldoen, maar het digitaal toesturen is net ietwat makkelijker.

Als een minder oplettend lid van een stichting een Excel stuurt waar toevallig ook persoonsgegevens in staan heeft de gemeente ook een meldplicht en probleem. Dat willen ze denk ik voorkomen.

Wellicht kun je even telefonisch met de gemeente persoon overleggen.
Geanonimiseerd zou het geen probleem mogen zijn, dan kun je het net zo goed even mailen inderdaad.

Máár, er staat ook dat er een handtekening wordt verwacht van bestuur voor akkoord geconstateerd aantal.
Dat wordt al een stukje lastiger als daarvoor geen digitaal handtekening systeem voorhanden is.
Dus ze verwachten een bestuurslid op het spreekuur, mét de lijst én om af te tekenen.

De gemeente geeft een nette invulling aan haar taak om de doeltreffendheid van haar subsidie te controleren. Je kan stellen dat dit voorkomt uit haar wettelijke taak en dus om gegevens mag vragen. Vervolgens doet het dat ook nog met minimale inbreuk op de privacy (geen lijsten die kunnen rondzwerven).

In theorie kan het ook zijn dat de gemeente op basis van een lijst een audit of steekproef laat uitvoeren door te controleren of genoemde aanwezigen daadwerkelijk aanwezig waren.

Richard.v.Naam schreef op maandag 27 november 2023 @ 14:06:
Beste medetweakers,

De vereniging waar ik lid van ben krijgt jaarlijks subsidie van de gemeente.
Onlangs kreeg ik deze brief:


[i]In het kader van de AVG hebben wij u verzocht om géén deelnemerslijst met persoonsgegevens bij de aanvraag te voegen. Aangezien uw organisatie wordt gesubsidieerd op basis van het aantal deelnemers bent u gevraagd (om een data lek voor uw organisatie te voorkomen) de aantallen van de actieve deelnemers via een overzicht te overleggen tijdens het subsidiespreekuur. Op deze manier kunt u noodzakelijke gegevens overleggen zonder dat er persoonsgegevens worden opgeslagen door de gemeente. Het overleggen van deze deelnemerslijst heeft nog niet plaatsgevonden.

Hier zit de sleutel. Voor de subsidieverstrekking zijn de aantallen van belang. De gemeente heeft geen bevoegdheid (wettelijke basis) om de persoonsgegevens van de deelnemers te verwerken en mag een dergelijke lijst niet in behandeling nemen.

Tijdens het subsidiespreekuur wordt het getal van het aantal deelnemers genoteerd welk noodzakelijk is ter completering van de aanvraag én voor de berekening van het subsidiebedrag 2024 en 2025. Dit aantal wordt door mij genoteerd en hiervoor tekent één van de bestuursleden van uw organisatie voor akkoord.[/i]

Dit is een controle in het kader van voorkoming van misbruik en oneigenlijk gebruik. De controleur bekijkt de lijst of er aanwijzingen zijn voor onregelmatigheden. Op deze wijze worden er geen persoonsgegevens van de deelnemers door de gemeente vastgelegd.

Ik vraag me af of het daadwerkelijk gezien wordt als een AVG schending als ik een deelnemerslijst overhandig aan de subsidieverstrekker. Het lijkt mij best redelijk dat ik met deze partij een deelnemerslijst deel om te kunnen blijven bestaan?

Waarom zal dat redelijk zijn? De gemeente kan en mag niets met die gegevens. Tevens heb jij hebt geen wettelijke basis om de deelnemerslijst aan de gemeente te versturen. Want zoals de gemeente al schrijft; dan veroorzaak je een datalek. Niet doen dus

Daarnaast vraag ik mij af, is er erg een groot verschil vanuit de AVG of er een kopie digitaal wordt toegestuurd of een kopie fysiek naar de subsidieverstrekker wordt gebracht waarna ze inzage krijgen. Is dat niet evengoed een datalek?

Niet, zolang er door de subsidieverstrekker geen persoonsgegevens in de eigen administratie worden overgenomen. Verder zul jij de kopie daarna weer mee moeten nemen.

Begrijp me niet verkeerd, als ze denken dat hier veel fraude mee gepleegd wordt en daarom inzage willen begrijp ik dat. Wat ik van de AVG wetgeving weet lijkt mij dit niet correct. Misschien is iemand hier met een soortgelijke situatie en/of veel meer kennis op dit gebied dan ik heb.

Gemeenten moeten bij subsidieverstrekking voldoen aan wettelijke verplichtingen; zoals controle op rechtmatigheid. Vandaar dat wordt gekeken of de deelnemerslijst niet gemanipuleerd is.

Richard.v.Naam schreef op maandag 27 november 2023 @ 14:06:
Beste medetweakers,

De vereniging waar ik lid van ben krijgt jaarlijks subsidie van de gemeente.
Onlangs kreeg ik deze brief:


In het kader van de AVG hebben wij u verzocht om géén deelnemerslijst met persoonsgegevens bij de aanvraag te voegen. Aangezien uw organisatie wordt gesubsidieerd op basis van het aantal deelnemers bent u gevraagd (om een data lek voor uw organisatie te voorkomen) de aantallen van de actieve deelnemers via een overzicht te overleggen tijdens het subsidiespreekuur. Op deze manier kunt u noodzakelijke gegevens overleggen zonder dat er persoonsgegevens worden opgeslagen door de gemeente. Het overleggen van deze deelnemerslijst heeft nog niet plaatsgevonden.

Tijdens het subsidiespreekuur wordt het getal van het aantal deelnemers genoteerd welk noodzakelijk is ter completering van de aanvraag én voor de berekening van het subsidiebedrag 2024 en 2025. Dit aantal wordt door mij genoteerd en hiervoor tekent één van de bestuursleden van uw organisatie voor akkoord.


Ik vraag me af of het daadwerkelijk gezien wordt als een AVG schending als ik een deelnemerslijst overhandig aan de subsidieverstrekker.

Er is enkel sprake van een AVG schending als de betroffen leden geen akkoord hebben gegeven met het delen van deze informatie voor deze doeleinden.
Als deze toestemming niet is verleend had de vereniging deze subsidieaanvraag niet mogen doen.
Ik neem aan dat dit is geregeld in de (algemene) voorwaarden van het betreffende lidmaatschap.

Daarnaast vraag ik mij af, is er erg een groot verschil vanuit de AVG of er een kopie digitaal wordt toegestuurd of een kopie fysiek naar de subsidieverstrekker wordt gebracht waarna ze inzage krijgen. Is dat niet evengoed een datalek?

Door de lijst fysiek te laten zien/controleren door een ingezworen ambtenaar en de lijst niet zelf te bewaren kunnen ze garanderen dat er geen data word opgeslagen/bewaard.
Wat enkel word opgeslagen is het aantal leden op de lijst, geen persoonlijke data.

De ingezworen ambtenaar heeft ook een plicht tot geheimhouding. Dus gegevens tonen aan een ingezworen ambtenaar is heel iets anders dan diezelfde gegeven tonen aan een willekeurig persoon.

Begrijp me niet verkeerd, als ze denken dat hier veel fraude mee gepleegd wordt en daarom inzage willen begrijp ik dat. Wat ik van de AVG wetgeving weet lijkt mij dit niet correct. Misschien is iemand hier met een soortgelijke situatie en/of veel meer kennis op dit gebied dan ik heb.

Aan een subsidie zitten voorwaarden. Daar dien je aan te voldoen als je deze aan wilt vragen. Wil je deze voorwaarden niet voldoen dan moet je simpelweg de subsidie niet aanvragen.

In die geval wil de subsidieverlener het aantal leden verifiëren. Zeer waarschijnlijk volgt dit vanuit hun taak ivm controle op oneigelijk gebruik van de subsidie. Dit word bij deze subsidieverlener gedaan door een ingezworen ambtenaar (niet een willekeurig persoon) die de ledenlijst wil inzien en vervolgens het aantal leden vermeld op de uiteindelijke aanvraag. Er word dus geen data opgeslagen.

Heb je al geïnformeerd waar deze lijst aan moet voldoen? Ik zie nergens terug welke data ze precies willen inzien.

Persoonlijk lijkt me dit een hele valide methode. Persoonsgegevens kunnen op deze manier nooit worden opgeslagen bij de subsidieverlener.

Richard.v.Naam schreef op maandag 27 november 2023 @ 14:06:
Beste medetweakers,

De vereniging waar ik lid van ben krijgt jaarlijks subsidie van de gemeente.
Onlangs kreeg ik deze brief:


In het kader van de AVG hebben wij u verzocht om géén deelnemerslijst met persoonsgegevens bij de aanvraag te voegen. Aangezien uw organisatie wordt gesubsidieerd op basis van het aantal deelnemers bent u gevraagd (om een data lek voor uw organisatie te voorkomen) de aantallen van de actieve deelnemers via een overzicht te overleggen tijdens het subsidiespreekuur. Op deze manier kunt u noodzakelijke gegevens overleggen zonder dat er persoonsgegevens worden opgeslagen door de gemeente. Het overleggen van deze deelnemerslijst heeft nog niet plaatsgevonden.

Tijdens het subsidiespreekuur wordt het getal van het aantal deelnemers genoteerd welk noodzakelijk is ter completering van de aanvraag én voor de berekening van het subsidiebedrag 2024 en 2025. Dit aantal wordt door mij genoteerd en hiervoor tekent één van de bestuursleden van uw organisatie voor akkoord.


Ik vraag me af of het daadwerkelijk gezien wordt als een AVG schending als ik een deelnemerslijst overhandig aan de subsidieverstrekker. Het lijkt mij best redelijk dat ik met deze partij een deelnemerslijst deel om te kunnen blijven bestaan?
Daarnaast vraag ik mij af, is er erg een groot verschil vanuit de AVG of er een kopie digitaal wordt toegestuurd of een kopie fysiek naar de subsidieverstrekker wordt gebracht waarna ze inzage krijgen. Is dat niet evengoed een datalek?

Begrijp me niet verkeerd, als ze denken dat hier veel fraude mee gepleegd wordt en daarom inzage willen begrijp ik dat. Wat ik van de AVG wetgeving weet lijkt mij dit niet correct. Misschien is iemand hier met een soortgelijke situatie en/of veel meer kennis op dit gebied dan ik heb.

Wat jij redelijk acht is al in strijd met de AVG

Een datalek kan inderdaad zowel digitaal als via papier ontstaan (printjes op de printer laten liggen kan een datalek zijn).

Je gemeente is zelf goed bezig door geen data te vragen welke zij niet mogen hebben; het gaat hen om aantallen en absoluut niet die (herleidbare) gegevens.

Geef dus je aantallen door en daarmee is de kous af.

ChaserBoZ_ schreef op maandag 27 november 2023 @ 15:11:
[...]
Geef dus je aantallen door en daarmee is de kous af.

Niet helemaal, want de gemeente moet ook controleren of je niet fraudeert met de aantallen. Daarom willen ze op locatie inzage in de hele lijst. Dan kunnen ze controleren of er geen indicatie van fraude is zonder dat ze na die controle zelf gegevens verwerken omdat jij de lijst weer meeneemt.

Richard.v.Naam schreef op maandag 27 november 2023 @ 14:17:
[...]


Precies, zo begrijp ik het wel. Het zou een beetje raar zijn als ik een blaadje uitprint waar het getal 20 op staat en dan vervolgens overhandig.
Ze willen een deelnemerslijst zien en ze willen het aantal deelnemers kunnen tellen. De uitkomst van die telling zal vervolgens worden toegevoegd bij de subsidieaanvraag.

Wat ze willen is tijdens het overleg een overzicht zien met het aantal deelnemers, dat mag dus waarschijnlijk gewoon een geanonimiseerd overzicht zijn (lidnummer, begindatum lidmaatschap, evt. de postcode van die persoon (zonder huisnummer) zodat te zien is dat het unieke leden zijn), maar het punt is vooral dat de gemeente je bestand niet wil. Ze gaan dus ook een papieren versie van je overzicht niet fysiek aannemen, ze noteren gewoon alleen het aantal dat daar uit komt. Als je een online administratie hebt die je vanaf je telefoon kunt bereiken zou dat dus ook al genoeg zijn.

Maar ik zou vooral deze vraag bij de betreffende ambtenaar neer leggen, en vragen wat ze überhaupt willen zien. Misschien is een blaadje met het cijfer erop daadwerkelijk wat ze willen en geloven ze jou op je blauwe ogen.

Vwb AVG is het concreet alleen relevant dat jij kunt verantwoorden waarom je gegevens opslaat en deelt, en dat je privacystatement/ledenovereenkomst dit ook vermeldt. Volledige NAW-gegevens naar de gemeente sturen kun je niet zomaar verantwoorden, maar als het bestaan van je organisatie daar op rust wel. AVG vindt dat prima zolang de leden op de hoogte en akkoord zijn.
In dit geval wil de gemeente dat zelf niet, dat betekent niet dat er nu een datalek is omdat je dat eerder wel hebt gedaan, maar betekent dat je de volgende keer dus gewoon de nodige informatie meeneemt naar de bespreking en niet de lijst doormailt naar de gemeente.

[ Voor 20% gewijzigd door Oon op 01-12-2023 10:01 ]

Wat ik me kan voorstellen: een pseudonieme lijst tonen van scherm of papier (namen weglaten, alleen deelnemersnummer o.i.d.). Als dat voldoet, done. Als de gemeente moet verifieren dan kan dat, bijv. steeksproefgewijs: ze vragen te zien wie deelnemers 3124, 358972 en 425 zijn. Geen brede inzage, wel verificatie.

killercow schreef op maandag 27 november 2023 @ 14:18:
[...]
Daarnaast had je voor deze handeling toestemming moeten vragen aan de deelnemers. En, die toestemming ondubbelzinnig en zonder dwang moeten verkrijgen.

pickboy schreef op maandag 27 november 2023 @ 15:03:
[...]
Er is enkel sprake van een AVG schending als de betroffen leden geen akkoord hebben gegeven met het delen van deze informatie voor deze doeleinden.

Nee. Toestemming is de 'slechtste' grondslag voor verwerkingen. Alleen toestemming vragen als er betere andere grondslag is - en daarbij een goed verhaal voor die grondslag, natuurlijk.

Al was het maar omdat toestemming altijd kan worden ingetrokken - zoals een uur nadat je de gemeente de gegevens hebt laten zien.

Als het bijvoorbeeld noodzakelijk is voor de uitvoering van het contract met de deelnemers, maak dat duidelijk.

Voordat er allemaal cowboy juristen aan de slag gaan even dit

Een van de redenen om data van perdonen te mogen verwerken is in het belang van de uitvoering van een wettelijke taak

Je moet daarvoor zo min mogelijk data verwerken en deze zobkort mogelijk opslaan

Kortom een paar a4tjes die na het tonen direct door de versnippering gaat is daarvoor uitstekend geschikt

Je controleert éénmalig de lijst en eventueel doe je daar een fraude check en daarna wis of vernietig je de gegevens

Probleem met gemeenten is dat ontvangen email automagisch in allerlei backups komen met dus risico op datalek vandaar dus een niet-traceerbaar papier

[ Voor 3% gewijzigd door i-chat op 01-12-2023 16:22 ]

Richard.v.Naam schreef op woensdag 29 november 2023 @ 22:01:
Dank allemaal voor jullie reacties.

Dat de persoon die onze gegevens gaat inzien een ingezworen ambtenaar is had ik zelf niet bedacht. Dat maakt het inderdaad anders.
Wat me nu ook duidelijk is geworden is dat de gemeente gewoonweg geen risico wilt nemen als het gaat om gegevens ontvangen. Ook al zouden wij vanuit de vereniging van alle leden toestemming hebben om gegevens te delen met de gemeente, willen zij dit risico nog niet dragen/nemen.

Het ligt juridisch net iets anders. Inderdaad zou je kunnen argumenteren dat de toestemming van de leden de vereniging een wettelijke basis geeft voor het verstrekken van de persoonsgegevens (daarbij wat andere principes uit de AVG negerend) Maar dan ben je er nog niet. De gemeente, als beoogde ontvanger, moet zelf een wettelijke grondslag hebben voor het ontvangen (=verwerken) van die persoonsgegevens. En voor een overheidsorganisatie moet die grondslag in de basis bij wet zijn vastgelegd (de taak van algemeen belang) Zoals de gemeente aangeeft, mogen zij de persoonsgegevens niet verwerken. Daarmee geeft de gemeente aan geen grondslag te hebben. Met andere woorden: de gemeente is niet bevoegd .

Of het digitiaal is of op papier maakt niks uit.
Sterker nog, of de gemeente de data opslaat maakt op zich niet veel uit voor de AVG.
De AVG gaat over "verwerken", niet over "opslaan".
Een stuk stekst lezen is ook een vorm van verwerken.
Zelfs als de gemeente de brief alleen maar weg zou gooien dan is dat verwerken.

Zodra je gaat verwerken is het wel de bedoeling dat je dat zo minimaal mogelijk doet. Als het kan zonder opslaan dan heeft dat de voorkeur.

Of de vraag van de gemeente redelijk is kan ik niet goed beoordelen, op zich lijkt me een controle van het aantal leden niet onredelijk, maar ianal. Ik zou eens met de ambtenaar in kwestie bellen. Het klinkt alsof iemand in ieder geval heeft geprobeerd om het netjes te doen en er over heeft nagedacht. Wellicht kan persoon ook verduidelijken wat er precies wel of niet nodig is.

...

[ Voor 99% gewijzigd door Killjoy op 03-12-2023 19:05 . Reden: Beter lezen .. ]