GDPR

Icon gemaakt door Freepik met een CC 3.0 BY

De GDPR of General Data Protection Regulation is een Europese privacywetgeving die ingaat op 25 mei 2018. Voor KVG is de privacy van onze leden van het hoogste belang, daarom hebben we onze privacyverklaring hierop aangepast.

Uitgangspunten

De GDPR heeft twee grote uitgangspunten:

  • Ieder persoon is eigenaar van zijn of haar persoonsgegevens. Dat wil zeggen dat iedereen het recht heeft om zijn of haar persoonsgegevens bij een bepaalde organisatie in te zien, te wijzigen of te laten verwijderen. Dit moet eenvoudig kunnen gebeuren.
  • De gegevensverwerker is verantwoordelijk voor een zorgvuldige behandeling van persoonsgegevens. De opgevraagde gegevens moeten relevant zijn voor het doel van de vereniging en met gevoelige gegevens in het bijzonder moet voorzichtig omgegaan worden. De beveiliging is zeer belangrijk, er moet bewezen kunnen worden dat alles in het werk gesteld wordt om de privacy te garanderen.

Principes

  • Transparantie over de verwerking, het beheer en de bewaring van persoonsgegevens. Deze worden vermeld in onze privacyverklaring. Ook worden de gevoelige gegevens waarover we kunnen beschikken vermeld (met name informatie over de handicap en persoonsgegevens van leden jonger dan 16 jaar).
  • Belang van dataminimalisatie. De verzamelde persoonsgegevens moeten relevant zijn voor de aangegeven doelen. Gegevens van ex-leden en overleden leden worden ook niet langer bewaard dan nodig (maximum 5 jaar, dit omwille van het geïntegreerd systeem waarmee we werken, waarbij gegevens van sociaal dienstbetoon en absoluut vzw gedurende langere tijd beschikbaar moeten blijven).
  • Nadruk op de rechten van de betrokkene. Als KVG-lid kan je steeds je gegevens inzien, wijzigen of (laten) verwijderen (recht op informatie, recht op inzage, recht op aanpassing, recht op vergetelheid).
  • Belang van goede beveiliging van de persoonsgegevens. Niet enkel onze digitale tools (websites, Infad) dienen beveiligd te zijn, ook op alle andere manieren moeten we zorgvuldig omgaan met gegevens. Dat wil ook zeggen geen ledenlijsten laten rondslingeren, geen gegevens doorgeven aan andere organisaties en geen foto’s openbaar op het internet plaatsen.
  • Bewijslast bij de verwerkingsverantwoordelijke en de verwerker bij aansprakelijkheidskwesties. We moeten kunnen aantonen dat we alles in het werk stellen om de privacy van onze leden te garanderen. Moest er zich toch een datalek voordoen dan moet dit binnen de 72 uur gemeld worden.
  • Sterker toezicht door de Privacycommissie, die naast informatieorgaan ook waakhond wordt en boetes kan opleggen.

Wat moet jouw afdeling of vrijetijdsclub doen?

Ook voor lokale werkingen (afdelingen en vrijetijdsclubs) is het belangrijk om de regels van de GDPR na te streven.

In de praktijk betekent dit dat je zorgvuldig met de gegevens van je leden moet omgaan. Je mag geen ledengegevens doorgeven aan andere organisaties. Zodra je toch gegevens verliest (een bundel met ledengegevens, een USB-stick met daarop een ledenlijst, jouw login voor ons ledenbewegingssysteem, …), moet je dit aan het nationaal secretariaat signaleren.

Voorbeeld: goedkeuring vragen aan je leden

Op zich hoef je geen goedkeuring te vragen aan je leden voor de terbeschikkingstelling van hun persoonsgegevens.

Moest je dit echter wel willen om voldoende ingedekt te zijn, dan kan je bijgevoegd formulier gebruiken om te laten ondertekenen door je leden.

Voorbeeld: ledenlijst als kladpapier

We doen het allemaal: we hergebruiken oude documenten die maar aan één zijde bedrukt zijn. Goed voor het milieu, papierbesparing, alleen maar voordelen!

Tenzij natuurlijk als er persoonsgegevens van je leden op dit blad staan. Het is belangrijk om dit dan niet te gebruiken als kladpapier of om andere zaken op te noteren. Zodra je dit doet en het papier meeneemt of elders achterlaat, liggen de gegevens van je leden te grabbel.

Voorbeeld: medische fiches

Als je medische fiches opvraagt van je leden, bijvoorbeeld voor een meerdaagse activiteit zoals een kamp of vakantie, dan werk je met gevoelige persoonsgegevens. Je hebt immers informatie in handen over de gezondheid van je leden. Tijdens de periode waarin je deze gegevens nodig hebt moet je die op een veilige plaats bewaren.

Na afloop van het kamp of de vakantie moet je de medische fiches ofwel vernietigen ofwel terug meegeven met het lid in kwestie. Je mag deze immers niet langer bewaren dan nodig. Tegen de tijd dat het volgende kamp of vakantie doorgaat zijn de gegevens mogelijk ook al verouderd, waardoor je je er toch niet meer op mag baseren.

Welke stappen moeten jullie ondernemen:

  1. Bespreek het belang van privacy binnen je bestuur.
  2. Stel een inventaris op van de gegevens die jullie gebruiken. Dit is niet verplicht, maar geeft een goed zicht of het nodig om deze gegevens op te vragen.
  3. Bekijk welke stappen je nu al neemt om de privacy van je leden en deelnemers te beschermen. Dit gaat over het zorgvuldig omgaan met gegevens.
  4. Stel een register op over je gegevensverwerking. Let op: dit is verplicht! Je kan hier voorbeeldformulieren downloaden die we al zoveel mogelijk voor jullie hebben ingevuld:
    1. GDPR vragenlijst ter voorbereiding van lokaal register (Word)
    2. GDPR lokaal register (Excel)

Beeldmateriaal

Nog een belangrijk punt gaat over beeldmateriaal. Want ook foto’s of filmpjes maken is een verwerking van persoonsgegevens. Er wordt een onderscheid gemaakt tussen het nemen van beeldmateriaal en het gebruiken van beeldmateriaal.

Bij het nemen van beeldmateriaal is toestemming van de betrokken personen nodig bij het maken van gerichte beelden: beelden waarbij de persoon of personen in kwestie gericht in beeld zijn genomen en duidelijk herkenbaar zijn. De toestemming moet niet schriftelijk zijn maar kan ook mondeling of zelfs stilzwijgend worden gegeven. Voor niet-gerichte beelden (groepsfoto’s, sfeerbeelden) is geen toestemming nodig.

Bij het gebruiken van beeldmateriaal geldt hetzelfde: voor het gebruik van gerichte beelden is toestemming nodig. Voor het gebruik van gerichte beelden voor promotionele doeleinden (bijvoorbeeld op een affiche, op een wijdverspreide flyer of op je website) is expliciete toestemming noodzakelijk. Voor beelden die je in je ledentijdschrift of binnen de eigen afdeling wil gebruiken is mondelinge of stilzwijgende toestemming voldoende.

Deze fijne foto van onze Familiedag in Bellewaerde is een niet-gericht beeld, er is dus geen toestemming nodig.

Bij het gebruik van beeldmateriaal op sociale netwerksites is het belangrijk om deze goed te beveiligen. Zorg dat foto’s niet zomaar gekopieerd of gedownload kunnen worden, gebruik de privacy-instellingen en gooi vooral niet zomaar alles online. Denk na over wat je op het internet zet.

Digitale nieuwsbrieven

Tijdens de weken voor het ingaan van de GDPR overstroomden onze mailboxen met vragen om de inschrijving voor een digitale nieuwsbrief te herbevestigen. Dit is inderdaad nodig als het om een commerciële dienst gaat.

Er zijn drie mogelijke wettelijke gronden voor het verspreiden van nieuwsbrieven:

  1. Toestemming
  2. Noodzakelijk voor de uitvoering van de overeenkomst
  3. Gerechtvaardigd belang

Digitale nieuwsbrieven versturen naar onze leden is een onderdeel van het lidmaatschap waarvoor ze intekenden, dus zowel de tweede en derde wettelijke grond (hierboven vermeld) zijn van toepassing. Je mag er vanuit gaan dat je leden dit verwachten en dit niet als storend beschouwen.

Voorbeeld: lijst mailadressen na vorming

Als je in het verleden een vorming organiseerde en mailadressen verzamelde van de aanwezige niet-leden, dan mag je deze niet vrij gebruiken om promotie te maken voor je activiteiten. Deze mensen vraag je dus opnieuw om toestemming om hen op de hoogte te houden.

Een uitzonderlijk geval waarin dit wel kan, is wanneer je een gelijkaardige vorming organiseert.  Maar ook in dit geval willen we oproepen om liever opnieuw toestemming te vragen.

Theme by Anders Norén