Veel gestelde vragen over de GDPR

Geldt de GDPR-wetgeving ook voor mijn vereniging?

Ja. Ook feitelijke verenigingen en vzw’s ontsnappen niet aan de GDPR.
Als je persoonsgegevens verwerkt. Maar dat doen nu eenmaal alle organisaties, zelfs op kleine schaal. Ook als je alleen maar op papier gegevens bijhoudt (de goede oude fichebak).


Wat moet mijn organisatie doen om zich in regel te stellen met de GDPR?

Drie sleutelwoorden: informeren / documenteren / beveiligen.

Informeren

Elke organisatie moet zijn leden, deelnemers aan activiteiten, partner, … wiens persoonsgegevens hij gebruikt (opslaan, bewaren, publiceren, doorgeven…) goed informeren over waarom je welke gegevens gebruikt.
Je informeert in een duidelijke taal, bij het eerste moment waarop je gegevens opslaat. Voor verenigingen is dit meestal bij inschrijving als lid of deelname aan een activiteit. Als je een website hebt, maak je best een privacyverklaring op waarnaar je kan verwijzen op je deelnemings- of inschrijvingsformulieren. We raden je aan om op je deelnemers- of inschrijvingsformulieren ook kort te vermelden waarom je de gegevens opvraagt en hoe je hier mee omgaat. Als je toestemming vraagt voor het gebruik van gegevens, doe je dit ook op het allereerste moment dat mensen je hun gegevens bezorgen. De toestemming geldt alleen voor de doeleinden waarvoor je deze toestemming vraagt.

Hoe maak je in Ledenbeheer je inschrijvingsformulier GDPR-proof? Je leest het hier.

Documenteren

GDPR is een zaak van iedereen in je organisatie die persoonsgegevens kan zien of gebruikt. Handel dit niet alleen af. Betrek alle medewerkers van je organisatie hierbij. Je moet elke stap die je zet en elke beslissing die je neemt goed documenteren en bijhouden. Hou alles over je aanpak van privacy van je deelnemers, leden, … goed bij.

Maak hiervoor gebruik van een duidelijk register (meer info: zie register) . Elke organisatie is trouwens verplicht een register bij te houden (lidmaatschap, activiteiten, nieuwbrief).

Beveiligen

Elke organisatie is verantwoordelijk voor het gebruik van persoonsgegevens van zijn leden. Dit betekent dat je er ook zorgzaam moet mee omgaan. Door de gegevens te beveiligen. We geven alvast enkele tips.

  • Gegevens die je eigenlijk niet (meer) nodig hebt, schrap je direct.
  • Laat geen lijsten rondslingeren en maak hier duidelijke afspraken rond met je vrijwilligers, leiding, bestuur, …
  • Versleutel. Dit gaat van het bewaren van medische fiches in een gesloten koffertje, tot bewaren van documenten op laptops.
  • Zet niet zomaar foto’s op het net. Plaats ze in afgeschermde omgevingen en zorg er voor dat beeldmateriaal niet zomaar kan van het net gehaald worden. Meer informatie over gebruik van beeldmateriaal vind je hier.

Moeten we voor onze nieuwsbrieven toestemming vragen?

We raden aan om even na te denken wat je in je nieuwsbrief zet en naar wie je deze stuurt, voor je beslist om iedereen toestemming te vragen.

Promotionele mailings

Zijn je mailings en nieuwsbrief promotioneel, wil je hiermee mensen aanspreken om een aankoop te doen, een ticket te kopen, een plaats te reserveren, …. Met andere woorden: doe je aan direct marketing, dan geldt naast de GDPR hier ook de wetgeving op e-commerce.

Deze wet stelt duidelijk dat je geen promotionele (ongevraagde) mails mag sturen, tenzij naar klanten voor gelijkaardige producten of als je de toestemming vraagt. Deze toestemming moet vanaf 25 mei 2019 ondubbelzinnig, dus vrij, actief, controleerbaar en specifiek zijn. Alleen maar een uitschrijfmogelijkheid is niet meer voldoende.

Inhoudelijke en praktische mailings

Zijn je nieuwsbrief en mailings puur informatief, inhoudelijk relevant voor diegene aan wie je ze stuurt en dus niet promotioneel of ‘commercieel’. En is de info en mailing die je verzend ‘nodig om je werking te kunnen organiseren’? Dan kun je dit verantwoorden vanuit het gerechtvaardigd belang. Let op, dit moet je wel argumenteren.

Dergelijke mails mogen niet ongewenst zijn of storend voor diegene aan wie je ze zend. En je moet duidelijk argumenteren waarom ze noodzakelijk zijn om je werking te kunnen organiseren. Je mag trouwens mensen nog steeds mensen mailen met puur praktische afspraken en inhoudelijke informatie zenden in het kader van de activiteiten of werking waarvoor ze intekenen.

Bijvoorbeeld.
Informatie en afspraken over je werking naar aangesloten leden lijkt ons aanvaardbaar onder gerechtvaardigd belang, omdat je leden dit verwachten, dit niet als storend beschouwen, en het belangrijk en nodig is dat je leden op de hoogte zijn van het reilen en zeilen in je organisatie.
Promotie van je voorstelling naar iedereen buiten je vereniging kun je dan weer eerder als promotioneel zien. En dan komt die e-commercewetgeving er bovenop.

Tip: Misschien helpt het je om je mailbestanden niet alleen eens op te kuisen, maar ook onderscheid te maken welk soort informatie je naar wie zend. Ledenbeheer is al voorzien om promotionele e-mails en inhoudelijke informatie afzonderlijk te houden. Hoe? Je leest het hier: klik hier.


Mag ik de gegevens van mijn leden doorgeven aan derden zoals mijn sponsors?

Neen! Behalve als je leden hier nadrukkelijk toestemming voor hebben gegeven. Hoe kun je hun toestemming krijgen? Door de vraag te stellen op het inschrijvingsformulier, vermeld daar heel duidelijk welke gegevens je wil doorgeven en aan wie. Je leden moeten steeds de optie hebben om ja of neen te zeggen, je mag dit niet verplichten als voorwaarde om lid te worden van je sportclub! 

Een tip: controleer of de persoon of bedrijf aan wie je die gegevens wil doorspelen wel aan de GDPR-voorwaarden voldoet. Anders kunnen die gegevens verder verspreid worden.

Voorbeeld.

De verzekeringen, je moet je leden kunnen verzekeren dus mag je die gegevens doorgeven maar alleen maar met het doel om je leden te verzekeren. Neem dit op in je GDPR-verklaring. Meer informatie en een model-verklaring kun je hier vinden: GDPR-verklaring voor sportclubs.


AVG of privacy wetgeving in 5 uitgangspunten.

Lijst op welke gegevens je organisatie bewaart. Waarom en hoelang bewaar je de gegevens?

Hou alleen bij wat nodig is.

Vraag je leden niet naar een rijksregisternummer als je die niet nodig hebt! Dit is een vaak voorkomend probleem.

Met welke wettelijke grond houd ik gegevens bij?

Er zijn 6 wettelijke gronden op basis waarvan je persoonsgegevens mag verwerken. Van die 6 zijn er vier mogelijke toepasbaar voor je organisatie. Het is aan jouw organisatie om de keuze te maken, dit te motiveren en je leden, deelnemers hierover te informeren (in je privacyverklaring).

  • Contractuele basis
  • wettelijke basis
  • gerechtvaardigd belang
  • ondubbelzinnige toestemming

Alle informatie over de gerechtelijke toestemming kun je lezen in de spoedcursus die Danspunt en Scwitch hebben opgesteld: Spoedcursus GDPR 

Informeer ik iedereen goed wiens gegevens ik gebruik (via de privacyverklaring)

 

Zorg dat de gegevens goed beveiligd zijn! Kies voor een partner zoals Ledenbeheer die GDPR-proof is.

Maak komaf van die Excel lijsten die op Dropbox, Onedrive en op 10 computers staan. Hoe meer mensen aan die file kunnen hoe groter het risico op een beveilingslek.

Laat de informatie op Ledenbeheer staan en geef enkel toegang aan bestuurders die de informatie nodig hebben.


Wat zijn de verplichte documenten?

Elke organisatie die systematisch persoonsgegevens verwerkt is verplicht om volgende documenten op te maken.

Register

Een register met overzicht van je verwerkingsactiviteiten en antwoord op enkele verplichte vragen over de bron, het gebruik en de bescherming van je persoonsgegevens.

Privacyverklaring

Mensen hebben het recht om van op het moment dat ze je hun gegevens bezorgen te weten wat er mee gebeurt. Als organisatie moet je dit duidelijk weergeven in een privacyverklaring. Bij elke eerste moment dat je gegevens opvraagt (registratie van een lidmaatschap, verkoop ticket voorstelling, inschrijving fietstocht, tombolaformulier met emailvak, …) moeten mensen op de hoogte zijn waarvoor ze hun gegevens geven en wat je er mee doet. Als je een privacyverklaring hebt, kun je op al deze documenten beknopt meegeven waar de gegevens voor dienen, met een verwijzing naar de privacyverklaring op je site.

Overeenkomsten

Elke organisatie geeft gegevens door aan verwerkers aan wie je de opdracht geeft om iets met die gegevens te doen. (denk maar aan de cloud waar je gegevens op bewaart, het mailprogramma waarmee je nieuwsbrieven stuurt, de lokale drukker aan wie je adressenlijsten bezorgt voor een gepersonaliseerde zending, …) Je mag alleen nog met bedrijven werken die in regel zijn met GDPR. De grote bedrijven zenden je waarschijnlijk zelf dergelijke overeenkomsten. (hoe deze ergens goed bij). Bij andere zal je er zelf moeten achter vragen of overeenkomsten sluiten.

Belangrijk in die overeenkomsten is vooral dat wordt aangetoond dat de gegevens goed beveiligd zijn, niet voor commerciële doeleinden worden doorgegeven, ze op veilige servers worden geplaatst (in Europa of landen waar Europa duidelijke afspraken heeft rond gemaakt), je op de hoogte wordt gebracht als er problemen bij de verwerker zijn, en hij je helpt bij datalekken.


Bron: