De General Data Protection Regulation (GDPR) is een Europese wetgeving om de privacy van Europese burgers te beschermen. Concreet gaat de wet over hoe je persoonsgegevens verzamelt, gebruikt, verwerkt en beveiligt.
Wat staat er in de GDPR-wet?
Als organisatie moet je kunnen aantonen:
welke persoonsgegevens je verzamelt;
hoe je persoonsgegevens gebruikt en verwerkt;
hoe je persoonsgegevens beveiligt;
dat er een goede reden is waarom je de persoonsgegevens bijhoudt.
Wat moet je als organisatie concreet doen om aan die voorwaarden te voldoen?
Je mag enkel persoonsgegevens bijhouden en verwerken als dat wettelijk toegelaten (of verplicht) is.
Je mag persoonsgegevens enkel bewaren zolang dat nodig is.
Je bent verplicht om een privacyverklaring op te stellen. Daarin moet je duidelijk vermelden welke gegevens je bijhoudt, van wie en waarom.
Je hebt een plan klaar voor het geval dat er persoonsgegevens zouden lekken (een datalek).
Is jouw organisatie niet in orde met de GDPR-wet? Dan riskeer je boetes die kunnen oplopen tot 2% van de jaarlijkse omzet. Bij ernstige overtredingen kan dat bedrag oplopen tot 4% van de jaarlijkse omzet.
Wanneer mag je persoonsgegevens bewaren en gebruiken?
Je mag enkel gegevens verwerken die nodig zijn voor jouw werking als er een wettelijke verplichting, een contractuele verplichting, een gerechtvaardigd belang of toestemming is.
Wat betekenen die voorwaarden?
Wettelijke verplichting
De wet verplicht je om bepaalde persoonsgegevens bij te houden. In die gevallen heb je geen toestemming nodig van de betrokken personen. Bijvoorbeeld:
Gegevens van personen die je vergoedt (bijvoorbeeld vrijwilligers, dj’s, muzikanten, vormingsmedewerkers …).
Gegevens die in documenten voor de boekhouding van je organisatie staan. Die moet je volgens de wet 7 jaar bewaren.
Gegevens van de raad van bestuur van je vzw.
…
Contractuele verplichting
Als je een contract afsluit, verwerk je bijna altijd persoonlijke gegevens. Net zoals bij een wettelijke verplichting heb je in dit geval geen toestemming nodig van de betrokken personen. De informatie die je door het opmaken van het contract ontvangt, mag je niet voor andere doelen gebruiken. Bijvoorbeeld: je mag geen e-mailadressen uit een contract halen en toevoegen aan de mailinglijst van je organisatie.
Gerechtvaardigd belang
Als je werking niet verder kan zonder bepaalde persoonsgegevens, is het mogelijk om het gerechtvaardigd belang in te roepen. Denk daar wel goed over na: check grondig of je de persoon in kwestie niet in de problemen brengt, lastigvalt of kwaad doet door de gegevens te gebruiken. Ga er zeker niet licht mee om. We stellen voor om het gerechtvaardigd belang vooral te gebruiken voor praktische mededelingen, bijvoorbeeld om personen die een ticket kochten voor een evenement te informeren over een gewijzigd aanvangsuur of de bereikbaarheid van de locatie.
Toestemming
De meest duidelijke voorwaarde is toestemming van de betrokken personen. Toch mag je ook niet vergeten dat elke persoon het recht heeft om die toestemming in te trekken. Toestemming geven moet even eenvoudig zijn als de toestemming weer intrekken.
De toestemming zelf moet ook aan vier voorwaarden voldoen:
De toestemming moet vrij zijn, wat wil zeggen dat de persoon niet onder druk mag staan om toestemming te geven en ook zonder toestemming moet kunnen deelnemen aan de activiteit.
De toestemming moet actief zijn, wat wil zeggen dat de persoon zelf een actie moet ondernemen om de toestemming te geven (bijvoorbeeld iets aanvinken of ondertekenen, een e-mail sturen…).
De toestemming moet controleerbaar zijn, dus je moet de toestemming kunnen bewijzen.
De toestemming moet specifiek zijn: het moet duidelijk zijn waarvoor iemand toestemming heeft gegeven (bijvoorbeeld om een nieuwsbrief te ontvangen).
Wat moet je als organisatie concreet doen om in orde te zijn met GDPR?
Een register is een document waarin je alle soorten persoonsgegevens die je verwerkt, verzamelt. In dat register moet je ook vermelden waarom je al die gegevens bijhoudt. Het register is een intern document dat je niet hoeft te verspreiden, maar dat wel kan opgevraagd worden door de Gegevensbeschermingsautoriteit.
Voorbeelden van soorten persoonsgegevens:
van leden
van vrijwilligers (bestuurders, leden van de algemene vergadering, vrijwilligers werkgroepen …)
van bezoekers
van vrienden (bijvoorbeeld ex-medewerkers)
van artiesten (muzikanten, dj’s …)
van personen die online een ticket kopen
(eventueel) van personeel
…
In de privacyverklaring schrijf je welke persoonsgegevens je verzamelt, waarom en hoelang je de gegevens zal gebruiken. De privacyverklaring is vergelijkbaar met het register, met dat verschil dat de privacyverklaring een openbaar document is voor het brede publiek. Bijvoorbeeld je leden en bezoekers moeten de privacyverklaring kunnen bekijken.
In de privacyverklaring beschrijf je de volgende zaken:
welke persoonsgegevens je gebruikt;
waarom je die persoonsgegevens gebruikt;
op welke manier je aan de persoonsgegevens komt;
wie de persoonsgegevens gebruikt en verwerkt;
welke persoonsgegevens voor welke periode worden bewaard;
hoe je de persoonsgegevens beveiligt (niet verplicht);
wie er toegang heeft tot de persoonsgegevens (niet verplicht);
hoe je de rechten respecteert van de personen van wie je de gegevens gebruikt.
Op de website van Scwitch vind je een handig stappenplan om jouw privacyverklaring op te stellen.
Elke persoon heeft het recht om zijn persoonlijke gegevens te bekijken, te laten corrigeren en te laten verwijderen. Maak duidelijk wie van de organisatie daarvoor het aanspreekpunt is. Zowel alle personen binnen je organisatie als bezoekers en deelnemers aan een activiteit moeten daarvan op de hoogte zijn. Het aanspreekpunt voor vragen over de inzage, correctie of verwijdering van persoonsgegevens moet goed weten hoe die binnen de dertig dagen op deze vragen kan reageren.
Let erop dat je enkel relevante gegevens verzamelt die je ook echt nodig hebt, zoals persoonlijke identificatiegegevens (naam, adres, telefoonnummer, e-mailadres). Verzamel je toch andere gegevens, zoals een geboortedatum? Maak dan duidelijk in het register en de privacyverklaring waarom je dat doet.
Je mag persoonsgegevens niet zomaar doorgeven aan derden. Daarmee bedoelen we iedereen die niet tot je organisatie behoort. Bijvoorbeeld vrienden buiten je werking, maar ook online platformen zoals Facebook en Mailchimp. Wil je om een bepaalde reden toch persoonsgegevens van iemand delen? Dan moet die persoon daarvoor uitdrukkelijke toestemming geven. Het is niet voldoende om dat enkel op te nemen in je privacyverklaring.
In uitzonderlijke gevallen mag je persoonsgegevens doorgeven om een bepaald doel te realiseren. Bijvoorbeeld om een nieuwsbrief te versturen met een mailingprogramma of als je een extern ticketbedrijf inschakelt om de tickets voor je evenement te verspreiden. Zorg er dan voor dat je dat heel duidelijk vermeldt in je privacyverklaring. Bovendien moet je ook een verwerkersovereenkomst hebben met de externe bedrijven waarmee je samenwerkt. In die overeenkomst verklaren de bedrijven dat ze de GDPR-wet respecteren, de persoonsgegevens niet verder verspreiden voor commerciële doeleinden en voldoende maatregelen nemen om de persoonsgegevens te beschermen.
Wil je toch een e-mail naar meerdere contacten tegelijkertijd sturen? Zet alle contacten dan in BCC (blind copy): zo voorkom je dat elke ontvanger ook de namen van de andere ontvangers kan zien.
Werp eens een kritische blik op alle communicatiekanalen die jouw werking gebruikt en welke persoonsgegevens je daarmee verspreidt.
Stel je bijvoorbeeld de volgende vragen:
- Is het nodig dat de persoonlijke gegevens van alle medewerkers op de website of de Facebookpagina staan?
- Gebruik je niet beter algemene e-mailadressen (bijvoorbeeld info@jeugdhuis.be of voorzitter@initiatief.be) dan de persoonlijke e-mailadressen van je medewerkers? Algemene e-mailadressen bevatten geen persoonsgegevens en kunnen verder gebruikt worden als het bestuur verandert.
Je hebt een overeenkomst met alle vrijwilligers binnen je organisatie en die moet de GDPR-wet respecteren. Je bent ook wettelijk verplicht om in het (interne) register alle leden van de algemene vergadering bij te houden.
De handigste manier om dat te doen, is via Assist Plus. Daarmee kan je gemakkelijk het ledenbeheer up-to-date houden en ben je automatisch volledig GDPR-proof. Voor leden van Formaat kost Assist Plus maar 99 euro per jaar.
Met Assist Plus kan je je leden indelen in verschillende interessegebieden (bijvoorbeeld voetbal, optredens…), zodat je niet telkens alle leden een e-mail of sms moet sturen als je iets organiseert. Je kan dan enkel communiceren naar wie er geïnteresseerd is.
📸 Gudrun Caelen