GDPR

Templates

Hier vinden jullie nog een aantal templates i.v.m. privacy en GDPR:

Wat is de GPDR

GDPR betekent General Data Protection Regulation. In het Nederlands: AVG, de Algemene Verordening Gegevensbescherming. De GDPR is een uitbreiding en verbetering van de eerdere Belgische wet op de privacy. Deze Europese verordening is van kracht sinds 25 mei 2018.

  1. Rechten en plichten

De GDPR behandelt de rechten van iedere persoon én de plichten van alle organisaties die persoonsgegevens bijhouden en gebruiken. Persoonsgegevens zijn alle gegevens van een natuurlijke persoon: naam, adres, foto’s, mailadressen, bankrekening, posts op sociale media, een IP-adres, …

Elke persoon die opgenomen is in een lijst van een Pasar-afdeling heeft aan aantal rechten. Belangrijk is dat deze rechten in orde zijn. We zetten de belangrijkste op een rijtje.

Als je persoonsgegevens bijhoudt, dan moet daar een goede reden voor zijn, een zogenaamde rechtsgrond. Als die er niet is, mag je geen gegevens over personen bijhouden. Gelukkig is die rechtsgrond er voor Pasar-afdelingen en hebben wij gerechtvaardigde redenen om gegevens bij te houden van leden en deelnemers aan onze activiteiten.

De drie meest voorkomende redenen voor Pasar-afdelingen zijn de volgende:

  • Je kan de toestemming gekregen hebben van personen. Vult iemand bijvoorbeeld een document in om geïnformeerd te worden over activiteiten, dan heb je de schriftelijke toestemming van die persoon en mag je zijn of haar gegevens ervoor gebruiken. Om zo’n toestemming te vragen hebben we een contactformulier gemaakt. Zie op PasarNet: contactformulier.
     
  • Als iemand lidgeld betaalt, ontstaat een contract tussen het betalend lid en de vereniging. Zo heeft de vereniging dan de plicht om maandelijks een Pasar-magazine te bezorgen. De verwerking van de gegevens gebeurt dan op contractuele basis.
     
  • Ook niet-leden die deelnemen aan activiteiten mag je (blijven) informeren over je volgende activiteiten. De niet-leden zijn immers evenzeer jouw klanten. Het verschil met betalende leden is dat zij niet geïnformeerd mogen worden over het ruimer aanbod van Pasar, bijvoorbeeld over een wandelboek, een camping, een boek, … Wil je hen toch bijkomende informatie bezorgen, dan heb je daarvoor de expliciete toestemming nodig.

Je zorgt er ook voor dat de personen over wie je gegevens verzamelt en bijhoudt weten wat je met hun gegevens doet. Pasar vzw zet daarvoor automatisch een algemene privacyverklaring in je afdelingswebsite. Daarnaast ontwikkelen we in het najaar van 2018 een module die je kan gebruiken voor je lokale nieuwsbrief. Deze module zal meteen ook beantwoorden aan alle GDPR-vereisten.

Als je toestemming hebt om de gegevens te gebruiken voor één iets, dan mag je deze niet gebruiken voor iets anders. En je mag ook enkel gegevens verzamelen die je effectief gebruikt.

Een voorbeeld: je houdt de e-mailadressen van je leden bij om hen elke maand je digitale nieuwsbrief te sturen. Je mag deze gegevens niet gebruiken om hen te mailen met info over activiteiten van andere organisaties, of doorgeven aan een politieke partij voor de gemeenteraadsverkiezingen.

De GDPR spreekt ook over ‘minimale gegevensverwerking’. Dit betekent dat je enkel die persoonsgegevens mag bijhouden die je nodig hebt om je doel te verwezenlijken. Je mag dus geen geboortedatum opvragen als je die info niet specifiek nodig hebt voor je activiteit.

Je mag persoonsgegevens maar bijhouden zolang je ze nodig hebt voor het doel dat je voor ogen had. Als je ze hiervoor niet meer nodig hebt, dan moet je ze verwijderen na bijvoorbeeld 3 jaar.

Uiteraard mag je alleen adressen verzamelen die je gebruikt voor je werking. Voor andere doelen mag je geen adressen verzamelen.

Iedereen heeft recht om zijn eigen gegevens in te kijken, te vragen om die te corrigeren als er fouten in staan of te laten schrappen.

Iedereen moet de eigen gegevens kunnen inkijken. Dat betekent echter niet dat iedereen rechtstreeks toegang moet hebben tot bijvoorbeeld je Excel-bestand waarin je alle gegevens bewaart. De algemene ledenlijsten worden door de ledenadministratie van Pasar vzw in Brussel beheerd. Alle vragen tot inzage, wijziging of schrapping volgen zij op en kan je sturen naar privacy@pasar.be. Bewaar je gegevens van niet-leden, zorg er dan voor dat er altijd een contactpersoon is binnen de afdeling waar mensen terecht kunnen met vragen. We zullen op elke afdelingswebsite vermelden bij wie de personen terechtkunnen indien ze hun gegevens willen inkijken, wijzigen of laten schrappen.

De gegevens die je bijhoudt moeten goed beveiligd zijn.

Je moet zorgen voor een goede beveiliging van de gegevens die je bijhoudt. Dit gaat zowel over een technische beveiliging, zoals paswoorden op je bestanden zetten, als over een organisatorische beveiliging: de toegang tot de gegevens beperken tot wie deze binnen het bestuur echt nodig heeft. Dus geen lijsten laten slingeren, geen gegevens zomaar naar gelijk wie doormailen.

Wat moet je afdeling zeker hebben?

Vooraf - Bewustmaking

Iedereen die in jouw afdeling met persoonsgegevens werkt moet op de hoogte zijn van de GDPR: wat mag, wat mag niet, waar moet je op letten, wat is belangrijk, wat is minder belangrijk. Deze tekst goed doornemen is dus een eerste stap.

Gegevensregistratie

De kans is groot dat jouw afdeling al bij al niet zo veel gegevens van personen bijhoudt. De betalende leden zitten sowieso in de centrale ledenapplicatie, maar daarnaast verzamel en gebruik je misschien gegevens van deelnemers die geen betalend lid zijn. Heb je zo’n lijst(en) of ga je ze aanleggen, meldt dit dan met het document ‘register bestanden afdelingen niet-leden’. Deze bestanden worden opgenomen in een centraal digitaal register. Vele afdelingen hebben dit formulier de afgelopen maanden al ingevuld en deze gegevens zijn opgenomen in het centrale register.

Een privacyverklaring

Op elke afdelingswebsite zal verwezen worden naar het privacybeleid dat van toepassing is bij Pasar vzw. Ook in de lokale nieuwsbrieven die vanuit de nieuwe module zullen verstuurd worden (najaar 2018), zal telkens verwezen worden naar dit beleid.

Enkele afspraken

  • Je afdeling moet een contactpersoon aanduiden die waakt over de privacy van de gegevens die je verzamelt en bijhoudt.
     
  • Als mensen hun rechten willen laten gelden, zoals het inkijken, verbeteren of schrappen van hun eigen gegevens, kan dat via jouw contactpersoon of via privacy@pasar.be.
     
  • Als er een datalek is (zoals verlies van een laptop of een usb-stick met persoonsgegevens) waarbij mensen schade kunnen ondervinden, dan moet je dit binnen de 24u melden aan privacy@pasar.be. Wij zorgen dan voor de verdere opvolging.
     
  • Als je je gegevens deelt met derden – wat je in principe zo veel mogelijk moet vermijden – dan vraag je (op papier) of deze partij in orde is met de GDPR-wetgeving.
     
  • Spreek ook af dat de gegevens goed beveiligd worden.

Indien je afdeling alleen gegevens gebruikt van leden en deelnemers aan activiteiten, dan volstaan deze stappen. Verzamel je echter meer data en twijfel je aan de wettelijkheid, contacteer dan privacy@pasar.be om te kijken wat je eventueel meer moet of kan doen.