Een donatie begint vaak met vertrouwen. Maar zodra iemand online geeft, deelt diegene ook persoonsgegevens, betaalgegevens en soms informatie over online gedrag. Juist daarom zijn cookies en databeveiliging geen technische bijzaak, maar onderdeel van zorgvuldig goeddoen.
Joost Veeken (36) heeft als auditor en IT-verantwoordelijke twee petten op bij het CBF. De laatste maanden ligt een deel van zijn aandacht bij de cookies en databeveiliging van goede doelen. Een grootschalige scan van de websites van keurmerkhouders laat heel wat aandachtspunten zien. Veeken: "het eerste beeld is dat er werk aan de winkel is’.’
Je bent na de geboorte van je dochter net terug van ouderschapsverlof. Eerst: gefeliciteerd. Nu je weer achter je bureau zit, waar houd je je mee bezig?
"Binnen het CBF heb ik eigenlijk twee rollen. Enerzijds ben ik auditor en anderzijds ben ik verantwoordelijk voor IT. Wanneer ik als auditor met een collega naar onze eigen website kijk zet ik natuurlijk ook mijn IT-pet op. Dan stel ik mezelf vragen als: Zijn de keuzes die we maken uitlegbaar en passend bij onze rol en taak? We hebben in dit opzicht een duidelijke voorbeeldfunctie."
Donateurs en het grotere publiek moeten er op kunnen vertrouwen dat er niet te veel informatie wordt verzameld wanneer zij een site bezoeken, en dat hun informatie veilig opgeslagen wordt.—Joost Veeken, auditor en IT-verantwoordelijke CBF
Cookies en het netjes omgaan met data zijn recent in de normen voor het CBF-keurmerk opgenomen. Waarom zijn dit belangrijke onderwerpen voor het CBF?
"De Commissie Normstelling* heeft een norm opgesteld, maar er is ook wetgeving waar de Autoriteit Persoonsgegevens en de ACM op toezien. Wij merken dat het onderwerp bij goede doelen nog onvoldoende aandacht krijgt. Maar hoeveel datalekken hebben we dit jaar wel niet gezien in het bedrijfsleven en bij overheden?
Donateurs en het grotere publiek moeten er op kunnen vertrouwen dat er niet te veel informatie wordt verzameld wanneer zij een site bezoeken (dataminimalisatie), en dat hun informatie veilig opgeslagen wordt. Als jij een donatie doet, verstrek je persoonsinformatie en bankgegevens. Informatie van donateurs moet niet in verkeerde handen vallen. Het verzamelen van die informatie houdt natuurlijk verband met het levensbloed van organisaties: de fondsenwerving. Als sector moet je je afvragen wat daarin deugdelijk en verdedigbaar is. Welke gegevens heb je werkelijk nodig om je werk te doen?"
Wat doet het CBF in de praktijk met dit speerpunt?
"We zijn een samenwerking aangegaan met een aantal partijen. Samen met de Autoriteit Persoonsgegevens hebben we een webinar georganiseerd. Deze webinar ging over: Wat zijn cookies? Wat zijn de regels en hoe zorg je dat het goed op orde is? We werken ook samen met de Internet Cleanup Foundation (ICF). Samen met hen hebben we de websites van alle goede doelen met het CBF-keurmerk gescand. ICF heeft daar software en infrastructuur voor. De bevindingen hebben we teruggekoppeld naar de goede doelen. Via een persoonlijke link kunnen ze in het dashboard zien hoe het ervoor staat bij hun organisatie."
Dankzij de scan van de Internet Cleanup Foundation hebben jullie nu een goed beeld van cookies en data bij organisaties met een CBF-keurmerk. Wat valt daarin op?
"Het eerste beeld is dat er werk aan de winkel is. Het is niet zo dat de goededoelensector nu heel erg afwijkt van andere sectoren, dat we het slechter doen. Maar we moeten echt werken aan verbeteringen. Je ziet bijvoorbeeld dat er te veel informatie wordt verzameld, dat cookies worden geplaatst voordat er toestemming is gevraagd, of dat de beveiliging niet volledig op orde is.
Wanneer het niet goed gaat, is dat overigens vaak niet moedwillig. Soms zijn organisaties zich er simpelweg niet van bewust dat zij de wet niet naleven of welke risico’s er spelen. Soms wordt het uitbesteed en dan gaan organisaties ervan uit dat het goed zit. En wanneer je zelf de expertise niet hebt, is het moeilijk om dan de goede vervolgvragen te stellen. Wat opvalt is verder het verschil tussen kleine en grote goede doelen. Je zou verwachten dat grote organisaties het beter doen. Dat is niet altijd zo: zij hebben namelijk vaak meer websites en meer aandachtspunten."
Wat kunnen of moeten de keurmerkhouders met de bevindingen? En hoe gaat dit proces verder?
"Er zijn hoog-risico bevindingen, die dienen te worden opgepakt. Dat zijn onder andere de wettelijke verplichtingen. Daarnaast zijn er midden- en laag-risico bevindingen. Dat zijn zaken waar een goed doel naar dient te handelen en op zijn minst dient te overwegen, maar ook best practices.. Met deze handreiking kunnen goede doelen zelf of met hun IT-supplier aan de slag. Het dashboard werkt automatisch. Als een organisatie bevindingen verwerkt zien zij dit terug in hun dashboard. Wij zullen organisaties dit jaar een aantal keer attenderen op de bevindingen. Eind dit jaar zullen we een sectorrapport delen. Daarin verwachten we een positieve trend te kunnen rapporteren. En natuurlijk blijven we actief controleren en waar echt nodig is handhaven op de naleving van de normen."
Meer weten?
Neem contact op met Joost Veeken via j.veeken@cbf.nl of 020 – 417 0003.
*Relevante normen binnen het CBF-keurmerk
Datagedreven fondsenwerving en het gebruik van externe datapartners raken aan meerdere normen binnen het CBF-keurmerk. Voor CBF is dit daarom geen losstaand technisch onderwerp, maar onderdeel van zorgvuldig en verantwoord werken door goede doelen.
Norm 2.3.3 gaat over zorgvuldige fondsenwerving. Fondsenwerving mag het geefvertrouwen en de geefbereidheid van donateurs niet schaden.
Norm 3.5.1 gaat over privacy en informatiebeveiliging. Goede doelen moeten hiervoor actueel beleid hebben en passende organisatorische en technische maatregelen nemen.
Norm 3.7.1 gaat over maatschappelijk verantwoord handelen. Daarbij hoort dat organisaties hun handelen toetsen aan bestaande en te verwachten maatschappelijke verwachtingen.
Norm 7.2.1 gaat over de omgang met belanghebbenden. Goede doelen moeten zich onthouden van misleidende communicatie en transparant, respectvol en zorgvuldig omgaan met belanghebbenden. Daaronder vallen onder meer donateurs, andere gevers, vrijwilligers en sympathisanten.
Signalen over datagebruik, profilering, externe datapartners of mogelijke governance-vragen kunnen daarom onderdeel zijn van het toezichtsgesprek dat CBF met goede doelen voert.