In een open jeugdwerking kom je soms in contact met persoonlijke gegevens van bezoekers of andere vrijwilligers. Denk aan een naam op een inschrijvingslijst, een e-mailadres voor de nieuwsbrief of een geboortedatum voor een activiteit.
Voor al die gegevens geldt de GDPR-wet (voluit: General Data Protection Regulation). Die wet zorgt ervoor dat iedereen in Europa zelf controle houdt over zijn of haar persoonlijke gegevens. En dat moet jij met je werking ook kunnen garanderen.
Wat betekent GDPR voor jouw werking?
Jullie werking moet kunnen uitleggen:
- Welke gegevens worden verzameld?
- Waarom worden die gegevens bijgehouden?
- Wat gebeurt er met die gegevens?
- Hoe worden ze veilig bewaard?
Wat moet je werking doen?
- Houd enkel persoonsgegevens bij wanneer dat wettelijk toegelaten (of verplicht) is. Ook nooit langer dan nodig.
- Maak een privacyverklaring waarin duidelijk staat welke gegevens worden verzameld, waarom, en hoe lang ze worden bewaard.
- Zorg voor veilige opslag van gegevens, met behulp van wachtwoorden of versleutelde lijsten.
- Heb een plan klaar voor als er toch iets misloopt (bijvoorbeeld een lijst die verloren raakt of online komt zonder toestemming).
En wat als de regels niet gevolgd worden?
De overheid controleert of organisaties de regels volgen. Doe je dat niet? Dan kunnen er boetes volgen. Bij zware fouten kunnen die hoog oplopen.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle info die iemand herkenbaar maakt. Denk aan:
- naam, telefoonnummer, e-mailadres
- een foto waarop je iemand herkent
- een geluidsopname of video
- geboortedatum, adres
- IP-adres of gegevens via cookies
Enkele voorbeelden van gegevens die je met het jeugdhuis verzamelt:
| Activiteit | Welke gegevens verzamel je? |
|---|---|
| Fuif organiseren | lijsten van crew & vrijwilligers, foto's van bezoekers |
| Graffiti workshop | inschrijvingen, contactgegevens, foto's of filmpjes |
| Podcast maken | namen van sprekers, stemopnames, publicatie op Spotify of socials |
| Uitwisseling naar buitenland | deelnemerslijsten, identiteitsgegevens, noodcontacten |
| Nieuwsbrief uitsturen | e-mailadressen, voorkeuren, klikgedrag |
Wanneer mag je persoonsgegevens bewaren en gebruiken?
Als je werkt met persoonlijke gegevens van anderen (zoals namen, e-mailadressen, telefoonnummers...), mag je die alleen gebruiken als daar een goede reden voor is. Dat staat in de GDPR-wet.
Er zijn 4 goede redenen om gegevens bij te houden:
Je bent wettelijk verplicht
Soms verplicht de wet je om gegevens bij te houden. Dan hoef je geen toestemming te vragen.
Voorbeelden:
- Je betaalt een dj of muzikant? Dan moet je hun gegevens bewaren voor de administratie.
- Voor je boekhouding moet je sommige documenten 7 jaar lang bijhouden.
- Je moet gegevens van de leden van de raad van bestuur van je vzw bijhouden.
Er is een contract
Als je een afspraak op papier maakt (een contract), mag je de gegevens gebruiken die daarbij horen. Je hoeft daar ook geen aparte toestemming voor te vragen.
Let op:
Je mag die gegevens alleen gebruiken voor wat in het contract staat. Bijvoorbeeld: je mag geen e-mailadres uit een contract gebruiken om die persoon toe te voegen aan jullie mailinglijst.
Er is een 'gerechtvaardigd belang'
Soms heb je bepaalde gegevens echt nodig om je werking vlot te laten verlopen. Dan kan je spreken van een ‘gerechtvaardigd belang’.
Maar: denk goed na of het echt nodig is.
Je mag niemand lastigvallen, schaden of verrassen door zomaar gegevens te gebruiken.
Voorbeeld:
Je organiseert een fuif en iemand kocht een ticket via jullie webshop. Je mag die persoon mailen als het uur verandert of als de locatie moeilijk bereikbaar is.
Iemand geeft zelf toestemming
Dan is het duidelijk. Maar let op, want ook hier gelden er regels:
- De toestemming moet vrij zijn: de persoon mag zelf kiezen en mag niet onder druk staan.
- De toestemming moet actief zijn: de persoon moet iets doen, zoals een vakje aanvinken of iets ondertekenen.
- De toestemming moet controleerbaar zijn: je moet kunnen bewijzen dat je toestemming kreeg.
- De toestemming moet specifiek zijn: het moet duidelijk zijn waarvoor de toestemming geldt (bijv. voor een nieuwsbrief).
Wat moet je als organisatie concreet doen om in orde te zijn met GDPR?
Een register is een document waarin je alle soorten persoonsgegevens die je verwerkt, verzamelt. In dat register moet je ook vermelden waarom je al die gegevens bijhoudt. Het register is een intern document dat je niet hoeft te verspreiden, maar dat wel kan opgevraagd worden door de Gegevensbeschermingsautoriteit.
Voorbeelden van soorten persoonsgegevens:
van leden
van vrijwilligers (bestuurders, leden van de algemene vergadering, vrijwilligers werkgroepen …)
van bezoekers
van vrienden (bijvoorbeeld ex-medewerkers)
van artiesten (muzikanten, dj’s …)
van personen die online een ticket kopen
(eventueel) van personeel
…
In de privacyverklaring schrijf je welke persoonsgegevens je verzamelt, waarom en hoelang je de gegevens zal gebruiken. De privacyverklaring is vergelijkbaar met het register, met dat verschil dat de privacyverklaring een openbaar document is voor het brede publiek. Bijvoorbeeld je leden en bezoekers moeten de privacyverklaring kunnen bekijken.
In de privacyverklaring beschrijf je de volgende zaken:
welke persoonsgegevens je gebruikt;
waarom je die persoonsgegevens gebruikt;
op welke manier je aan de persoonsgegevens komt;
wie de persoonsgegevens gebruikt en verwerkt;
welke persoonsgegevens voor welke periode worden bewaard;
hoe je de persoonsgegevens beveiligt (niet verplicht);
wie er toegang heeft tot de persoonsgegevens (niet verplicht);
hoe je de rechten respecteert van de personen van wie je de gegevens gebruikt.
Op de website van Scwitch vind je een handig stappenplan om jouw privacyverklaring op te stellen.
Elke persoon heeft het recht om zijn persoonlijke gegevens te bekijken, te laten corrigeren en te laten verwijderen. Maak duidelijk wie van de organisatie daarvoor het aanspreekpunt is. Zowel alle personen binnen je organisatie als bezoekers en deelnemers aan een activiteit moeten daarvan op de hoogte zijn. Het aanspreekpunt voor vragen over de inzage, correctie of verwijdering van persoonsgegevens moet goed weten hoe die binnen de dertig dagen op deze vragen kan reageren.
Let erop dat je enkel relevante gegevens verzamelt die je ook echt nodig hebt, zoals persoonlijke identificatiegegevens (naam, adres, telefoonnummer, e-mailadres). Verzamel je toch andere gegevens, zoals een geboortedatum? Maak dan duidelijk in het register en de privacyverklaring waarom je dat doet.
Je mag persoonsgegevens niet zomaar doorgeven aan derden. Daarmee bedoelen we iedereen die niet tot je organisatie behoort. Bijvoorbeeld vrienden buiten je werking, maar ook online platformen zoals Facebook en Mailchimp. Wil je om een bepaalde reden toch persoonsgegevens van iemand delen? Dan moet die persoon daarvoor uitdrukkelijke toestemming geven. Het is niet voldoende om dat enkel op te nemen in je privacyverklaring.
In uitzonderlijke gevallen mag je persoonsgegevens doorgeven om een bepaald doel te realiseren. Bijvoorbeeld om een nieuwsbrief te versturen met een mailingprogramma of als je een extern ticketbedrijf inschakelt om de tickets voor je evenement te verspreiden. Zorg er dan voor dat je dat heel duidelijk vermeldt in je privacyverklaring. Bovendien moet je ook een verwerkersovereenkomst hebben met de externe bedrijven waarmee je samenwerkt. In die overeenkomst verklaren de bedrijven dat ze de GDPR-wet respecteren, de persoonsgegevens niet verder verspreiden voor commerciële doeleinden en voldoende maatregelen nemen om de persoonsgegevens te beschermen.
Wil je toch een e-mail naar meerdere contacten tegelijkertijd sturen? Zet alle contacten dan in BCC (blind copy): zo voorkom je dat elke ontvanger ook de namen van de andere ontvangers kan zien.
Werp eens een kritische blik op alle communicatiekanalen die jouw werking gebruikt en welke persoonsgegevens je daarmee verspreidt.
Stel je bijvoorbeeld de volgende vragen:
- Is het nodig dat de persoonlijke gegevens van alle medewerkers op de website of de Facebookpagina staan?
- Gebruik je niet beter algemene e-mailadressen (bijvoorbeeld info@jeugdhuis.be of voorzitter@initiatief.be) dan de persoonlijke e-mailadressen van je medewerkers? Algemene e-mailadressen bevatten geen persoonsgegevens en kunnen verder gebruikt worden als het bestuur verandert.
Je hebt een overeenkomst met alle vrijwilligers binnen je organisatie en die moet de GDPR-wet respecteren. Je bent ook wettelijk verplicht om in het (interne) register alle leden van de algemene vergadering bij te houden.
De handigste manier om dat te doen, is via Assist Plus. Daarmee kan je gemakkelijk het ledenbeheer up-to-date houden en ben je automatisch volledig GDPR-proof. Voor leden van Formaat kost Assist Plus maar 99 euro per jaar.
Met Assist Plus kan je je leden indelen in verschillende interessegebieden (bijvoorbeeld voetbal, optredens…), zodat je niet telkens alle leden een e-mail of sms moet sturen als je iets organiseert. Je kan dan enkel communiceren naar wie er geïnteresseerd is.
📸 Gudrun Caelen
✔️ Hou je een register bij van gegevens die je verzamelt?
✔️ Vraag je toestemming voor foto's en opnames?
✔️ Heb je een privacyverklaring of info op je inschrijfformulieren?
✔️ Zijn gegevens veilig opgeslagen?
✔️ Werk je met externe tools? Zijn er afspraken of contracten?
✔️ Weet je wat te doen bij een datalek?
