GDPR

Op 23 mei 2018 werd in de raadzaal een vorming over GDPR of Algemene Verordening Gegevensbescherming (AGV) voor lokale verenigingen gegeven. Hieronder vindt u de belangrijkste elementen ter info.

De presentatie van deze avond, samen met enkele relevante documenten die u verder kunnen helpen bij de implementatie voor een GDPR-beleid.


FAQ - EMAILS, MAILINGLIJSTEN EN NIEUWSBRIEVEN

Zo goed als alle verenigingen gebruiken e-mail voor hun communicatie en nieuwsbrieven om hun activiteiten kenbaar te maken. Voor het versturen van deze communicatie en/of nieuwsbrieven maak je gebruik van e-mailadressen. E-mailadressen met vermelding van de naam zijn persoonsgegevens en vallen dus onder de GDPR (voor het verzamelen, registreren en het gebruiken van de e-mailadressen). E-mailadressen waar geen naam in voorkomt (vb. info@club.be) zijn geen persoonsgegevens, en mogen in principe zonder beperking gebruikt worden.

 

De 5 meest gestelde GDPR- vragen (en antwoorden)

Tijdens de diverse uiteenzettingen behandelde scwitch heel wat vragen van grote en kleine vzw’s en feitelijke verenigingen in de socioculturele sector.
Hieronder lijsten we de 5 meest gestelde vragen en antwoorden. Dit als ruggesteun.

1. ‘Geldt dit ook voor mijn vereniging’

Hier kunnen we heel duidelijk op antwoorden. JA. Ook feitelijke verenigingen en vzw’s ontsnappen niet aan de GDPR. De verordening is geldig in heel Europa (de Europese
Economische Gemeenschap) en voor alle bedrijven, overheid en verenigingen. Als je persoonsgegevens verwerkt. Maar dat doen nu eenmaal alle organisaties, zelfs op
kleine schaal. Ook als je enkel op papier gegevens bijhoudt (de goede oude fichebak).

2. ‘Moeten we voor onze nieuwsbrieven toestemming vragen’

We raden aan om even na te denken wat je in je nieuwsbrief zet en naar wie je deze stuurt, voor je beslist om iedereen toestemming te vragen.

Promotionele mailings
Zijn je mailings en nieuwsbrief promotioneel, wil je hiermee mensen aanspreken om een aankoop te doen, een ticket te kopen, een plaats te reserveren,.... Met andere woorden: doe je aan direct marketing, dan geldt naast de GDPR hier ook de wetgeving op e-commerce. Deze wet stelt duidelijk dat je geen promotionele (ongevraagde) mails mag sturen, tenzij naar klanten voor gelijkaardige producten of als je de toestemming vraagt. Deze toestemming moet vanaf 25 mei ondubbelzinning, dus vrij, actief, controleerbaar en specifiek zijn. Enkel een uitschrijfmogelijkheid is niet meer voldoende. Daarom puilt je mailbox nu uit van toestemmingsmails.

Inhoudelijke en praktische mailings
Zijn je nieuwsbrief en mailings puur informatief, inhoudelijk relevant voor diegene aan wie je ze stuurt en dus niet promotioneel of ‘commercieel’. En is de info en mailing die je verzend ‘noodzakelijk om je werking te kunnen organiseren’? Dan kan je dit verantwoorden vanuit het gerechtvaardigd belang. Let op, dit moet je wel argumenteren. Dergelijke mails mogen niet ongewenst zijn of storend voor diegene aan wie je ze zend. En je moet duidelijk argumenteren waarom ze noodzakelijk zijn om je werking te kunnen organiseren. Je mag trouwens mensen nog steeds mensen mailen met puur praktische afspraken en inhoudelijke informatie zenden in het kader van de activiteiten of werking waarvoor ze intekenen.

3. Hoe zit het met foto’s?

GDPR wekt heel wat foto-vragen los. Toch passen bijna alle organisaties de belangrijkste principes al een tijdje goed toe. Vanuit een eigen ethiek, bewustzijn of kennis van de
bestaande wetgeving rond het gebruik van foto’s. En eigenlijk verandert er niets. Je vindt een toelichting op: http://scwitch.be/wp-content/uploads/2018/01/FAQ-beeldmateriaal-def-181.pdf. Zelf pleiten we vooral voor de gezonde goede huisvader aanpak. Zoals de meeste organisaties eigenlijk al jaren toepassen

4. Wat zijn de belangrijkste principes?

We vormden de 5 belangrijkste principes om tot 5 vragen die je je best stelt. Lijst op welke gegevens je organisatie waarom en hoe lang bewaart. En beantwoord vervolgens volgende 5 vragen:
• Hou ik enkel bij wat noodzakelijk is?
• Op basis van welke wettelijke grond houd ik gegevens bij? (contractuele basis/wettelijke basis/gerechtvaardigd belang/ondubbelzinnige toestemming)
• Informeer ik iedereen goed wiens gegevens ik gebruik? (via de privacyverklaring)
• Zorg ik ervoor dat de gegevens goed beveiligd zijn?
• Kan ik antwoorden op de vragen/rechten van mijn leden, deelnemers,... ?

5. Wat zijn de verplichte documenten?

Elke organisatie die systematisch persoonsgegevens verwerkt is verplicht om volgende documenten op te maken.

• Register
Een register met overzicht van je verwerkingsactiviteiten en antwoord op een aantal verplichte vragen over de bron, het gebruik en de bescherming van je persoonsgegevens.

• Privacyverklaring
Mensen hebben het recht om van op het moment dat ze je hun gegevens bezorgen te weten wat er mee gebeurt. Als organisatie moet je dit duidelijk weergeven in een privacyverklaring. Bij elke eerste moment dat je gegevens opvraagt (aanmaak lidmaatschap, verkoop ticket voorstelling, inschrijving fietstocht, tombolaformulier met e-mailvak,...) moeten mensen op de hoogte zijn waarvoor ze hun gegevens geven en wat je er mee doet. Als je een privacyverklaring hebt, kan je op al deze documenten
beknopt meegeven waar de gegevens voor dienen, met een verwijzing naar de privacyverklaring op je site.

• Overeenkomsten
Elke organisatie geeft gegevens door aan verwerkers aan wie je de opdracht geeft om iets met die gegevens te doen. (denk maar aan de cloud waar je gegevens op bewaart, het mailprogramma waarmee je nieuwsbrieven stuurt, de lokale drukker aan wie je adressenlijsten bezorgt voor een gepersonaliseerde zending,...) Je mag enkel nog met bedrijven werken die in regel zijn met GDPR. De grote bedrijven zenden je waarschijnlijk zelf dergelijke overeenkomsten. (hoe deze ergens goed bij). Bij andere zal je er zelf moeten achter vragen of overeenkomsten sluiten. Belangrijk in die overeenkomsten is vooral dat wordt aangetoond dat de gegevens goed beveiligd zijn, niet voor commerciële doeleinden worden doorgegeven, ze op veilige servers worden geplaatst (in Europa of landen waar Europa duidelijke afspraken heeft rond gemaakt) , je op de hoogte wordt gebracht als er problemen bij de verwerker zijn, en hij je helpt bij datalekken.

Een modelprivacyverklaring kan u hier downloaden en wijzigen naar uw wensen:

Model privacyverklaring 

Conclusie:

Je kan jouw elektronische puur informatieve nieuwsbrief versturen per e-mail, als je bestemmeling vooraf goed werd geïnformeerd. D.w.z. informeren over jouw voornemen om zijn gegevens te gebruiken voor direct marketing-doeleinden en over het recht van bezwaar dat betrokkene heeft op het ontvangen van nieuwsbrieven (als direct marketing boodschap).

Je kan jouw elektronische promotionele nieuwsbrief slechts versturen naar sympathisanten en potentiële klanten (d.w.z. niet-leden, ex-leden, niet-klanten, ex-klanten) indien je hun expliciete toestemming hebt gekregen. Voor ex-leden en ex-klanten moet je nagaan of het redelijk is dat hun gegevens nog in jouw bestanden aanwezig zijn (vb. langer dan 2 jaar).

Je kan jouw elektronische promotionele nieuwsbrief wel nog versturen naar (bestaande) leden en klanten, op voorwaarde dat je deze leden/klanten vooraf goed hebt geïnformeerd (vroeger of nu), en mits vermelding van hun ‘recht van bezwaar’.

De volledige powerpointpresentatie kan je hier vinden

Voor nog meer info verwijzen we u graag door naar http://scwitch.be/nieuws/online-toelichting-gdpr-lokale-verenigingen/