Veel gestelde vragen over de GDPR

Inhoudstafel

  1. Geldt de GDPR-wetgeving ook voor mijn vereniging?
  2. Wat moet mijn organisatie doen om zich in regel te stellen met de GDPR?
    1. Informeren
    2. Documenteren
    3. Beveiligen
  3. Moeten we voor onze nieuwsbrieven toestemming vragen?
    1. Promotionele mailings
    2. Inhoudelijke en praktische mailings
  4. Mag ik de gegevens van mijn leden doorgeven aan derden zoals mijn sponsors?
  5. AVG of privacy wetgeving in 5 uitgangspunten.
  • Wat zijn de verplichte documenten?
    1. Register
    2. Privacyverklaring
    3. Overeenkomsten

    • Geldt de GDPR-wetgeving ook voor mijn vereniging?

    Ja. Ook feitelijke verenigingen en vzw’s ontsnappen niet aan de GDPR.
    Als je persoonsgegevens verwerkt. Maar dat doen nu eenmaal alle organisaties, zelfs op kleine schaal. Ook als je alleen maar op papier gegevens bijhoudt (de goede oude fichebak).

    Wat moet mijn organisatie doen om zich in regel te stellen met de GDPR?

    Drie sleutelwoorden: informeren / documenteren / beveiligen.

    Informeren

    Elke organisatie moet zijn leden, deelnemers aan activiteiten, partner, … wiens persoonsgegevens hij gebruikt (opslaan, bewaren, publiceren, doorgeven…) goed informeren over waarom je welke gegevens gebruikt.
    Je informeert in een duidelijke taal, bij het eerste moment waarop je gegevens opslaat. Voor verenigingen is dit meestal bij inschrijving als lid of deelname aan een activiteit. Als je een website hebt, maak je best een privacyverklaring op waarnaar je kan verwijzen op je deelnemings- of inschrijvingsformulieren. We raden je aan om op je deelnemers- of inschrijvingsformulieren ook kort te vermelden waarom je de gegevens opvraagt en hoe je hier mee omgaat. Als je toestemming vraagt voor het gebruik van gegevens, doe je dit ook op het allereerste moment dat mensen je hun gegevens bezorgen. De toestemming geldt alleen voor de doeleinden waarvoor je deze toestemming vraagt.

    Hoe maak je in Ledenbeheer je inschrijvingsformulier GDPR-proof? Je leest het hier.

    Documenteren

    GDPR is een zaak van iedereen in je organisatie die persoonsgegevens kan zien of gebruikt. Handel dit niet alleen af. Betrek alle medewerkers van je organisatie hierbij. Je moet elke stap die je zet en elke beslissing die je neemt goed documenteren en bijhouden. Hou alles over je aanpak van privacy van je deelnemers, leden, … goed bij.

    Maak hiervoor gebruik van een duidelijk register (meer info: zie register) . Elke organisatie is trouwens verplicht een register bij te houden (lidmaatschap, activiteiten, nieuwbrief).

    Beveiligen

    Elke organisatie is verantwoordelijk voor het gebruik van persoonsgegevens van zijn leden. Dit betekent dat je er ook zorgzaam moet mee omgaan. Door de gegevens te beveiligen. We geven alvast enkele tips.

    • Gegevens die je eigenlijk niet (meer) nodig hebt, schrap je direct.
    • Laat geen lijsten rondslingeren en maak hier duidelijke afspraken rond met je vrijwilligers, leiding, bestuur, …
    • Versleutel. Dit gaat van het bewaren van medische fiches in een gesloten koffertje, tot bewaren van documenten op laptops.
    • Zet niet zomaar foto’s op het net. Plaats ze in afgeschermde omgevingen en zorg er voor dat beeldmateriaal niet zomaar kan van het net gehaald worden. Meer informatie over gebruik van beeldmateriaal vind je hier.

    Moeten we voor onze nieuwsbrieven toestemming vragen?

    We raden aan om even na te denken wat je in je nieuwsbrief zet en naar wie je deze stuurt, voor je beslist om iedereen toestemming te vragen.

    Promotionele mailings

    Zijn je mailings en nieuwsbrief promotioneel, wil je hiermee mensen aanspreken om een aankoop te doen, een ticket te kopen, een plaats te reserveren, …. Met andere woorden: doe je aan direct marketing, dan geldt naast de GDPR hier ook de wetgeving op e-commerce.

    Deze wet stelt duidelijk dat je geen promotionele (ongevraagde) mails mag sturen, tenzij naar klanten voor gelijkaardige producten of als je de toestemming vraagt. Deze toestemming moet vanaf 25 mei 2019 ondubbelzinnig, dus vrij, actief, controleerbaar en specifiek zijn. Alleen maar een uitschrijfmogelijkheid is niet meer voldoende.

    Inhoudelijke en praktische mailings

    Zijn je nieuwsbrief en mailings puur informatief, inhoudelijk relevant voor diegene aan wie je ze stuurt en dus niet promotioneel of ‘commercieel’. En is de info en mailing die je verzend ‘nodig om je werking te kunnen organiseren’? Dan kun je dit verantwoorden vanuit het gerechtvaardigd belang. Let op, dit moet je wel argumenteren.

    Dergelijke mails mogen niet ongewenst zijn of storend voor diegene aan wie je ze zend. En je moet duidelijk argumenteren waarom ze noodzakelijk zijn om je werking te kunnen organiseren. Je mag trouwens mensen nog steeds mensen mailen met puur praktische afspraken en inhoudelijke informatie zenden in het kader van de activiteiten of werking waarvoor ze intekenen.

    Bijvoorbeeld.
    Informatie en afspraken over je werking naar aangesloten leden lijkt ons aanvaardbaar onder gerechtvaardigd belang, omdat je leden dit verwachten, dit niet als storend beschouwen, en het belangrijk en nodig is dat je leden op de hoogte zijn van het reilen en zeilen in je organisatie.
    Promotie van je voorstelling naar iedereen buiten je vereniging kun je dan weer eerder als promotioneel zien. En dan komt die e-commercewetgeving er bovenop.

    Tip: Misschien helpt het je om je mailbestanden niet alleen eens op te kuisen, maar ook onderscheid te maken welk soort informatie je naar wie zend. Ledenbeheer is al voorzien om promotionele e-mails en inhoudelijke informatie afzonderlijk te houden. Hoe? Je leest het hier: klik hier.

    Mag ik de gegevens van mijn leden doorgeven aan derden zoals mijn sponsors?

    Neen! Behalve als je leden hier nadrukkelijk toestemming voor hebben gegeven. Hoe kun je hun toestemming krijgen? Door de vraag te stellen op het inschrijvingsformulier, vermeld daar heel duidelijk welke gegevens je wil doorgeven en aan wie. Je leden moeten steeds de optie hebben om ja of neen te zeggen, je mag dit niet verplichten als voorwaarde om lid te worden van je sportclub! 

    Een tip: controleer of de persoon of bedrijf aan wie je die gegevens wil doorspelen wel aan de GDPR-voorwaarden voldoet. Anders kunnen die gegevens verder verspreid worden.

    Voorbeeld.

    De verzekeringen, je moet je leden kunnen verzekeren dus mag je die gegevens doorgeven maar alleen maar met het doel om je leden te verzekeren. Neem dit op in je GDPR-verklaring. Meer informatie en een model-verklaring kun je hier vinden: GDPR-verklaring voor sportclubs.

    AVG of privacy wetgeving in 5 uitgangspunten.

    Lijst op welke gegevens je organisatie bewaart. Waarom en hoelang bewaar je de gegevens?

    Hou alleen bij wat nodig is.

    Vraag je leden niet naar een rijksregisternummer als je die niet nodig hebt! Dit is een vaak voorkomend probleem.

    Met welke wettelijke grond houd ik gegevens bij?

    Er zijn 6 wettelijke gronden op basis waarvan je persoonsgegevens mag verwerken. Van die 6 zijn er vier mogelijke toepasbaar voor je organisatie. Het is aan jouw organisatie om de keuze te maken, dit te motiveren en je leden, deelnemers hierover te informeren (in je privacyverklaring).

    • Contractuele basis
    • wettelijke basis
    • gerechtvaardigd belang
    • ondubbelzinnige toestemming

    Alle informatie over de gerechtelijke toestemming kun je lezen in de spoedcursus die Danspunt en Scwitch hebben opgesteld: Spoedcursus GDPR