GDPR in een notendop
Op 24 mei 2016 traden de nieuwe Europese regels over de bescherming van de persoonsgegevens in werking. Ze zijn beter bekend onder de naam GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming). Omdat koren ook data verzamelen en gegevens bewaren, moeten zij zich ook in regel stellen met de GDPR-wetgeving.
De GDPR is een Europese wet die ervoor zorgt dat de persoonlijke gegevens van mensen goed beschermd worden. Het betekent dat organisaties moeten uitleggen welke persoonsgegevens ze verzamelen, waarom ze dat doen en hoe ze die gegevens veilig bewaren. Elke persoon heeft het recht om te weten welke gegevens ze hebben, om die te laten aanpassen of zelfs te laten verwijderen. Organisaties moeten ook toestemming vragen voordat ze jouw gegevens gebruiken. Als er iets misgaat met je gegevens, moeten ze dat snel melden. Kortom, de GDPR zorgt ervoor dat jouw privacy beter beschermd is en jij meer controle hebt over je eigen gegevens.
Om als koor in overeenstemming te zijn met de GDPR-regels, neem je de volgende eenvoudige stappen:
Bijhouden van gegevens
De vereniging moet weten welke persoonlijke gegevens van leden worden verzameld (bijvoorbeeld naam, e-mail, adres, geboortedatum, enz.). Minstens even belangrijk is te bepalen waarom ze deze gegevens nodig heeft (bijvoorbeeld voor lidmaatschapsregistratie of communicatie) - dit moet steeds in lijn liggen met het doel en de werking van de vereniging. Er moet steeds een geldige en juridische basis zijn voor de verwerking van de gegevens.
Het is daarom ook verplicht om een verwerkingsregister bij te houden. Dit is een levend document, waarin alle activiteiten en handelingen van de vereniging met betrekking tot de persoonsgegevens beschreven staan, en op welke juridische basis deze gevraagd werden. Onderaan dit artikel vind je een modeldocument van zo'n verwerkingsregister.
Transparantie en toestemming
Het is belangrijk dat je als vereniging transparant bent naar je leden toe. Vraag aan de leden toestemming of ze akkoord gaan met het verzamelen en gebruiken van hun gegevens. Dit kan bijvoorbeeld via een inschrijfformulier, waarbij duidelijk wordt vermeld welke gegevens worden verzameld en waarvoor, of via de privacyverklaring, die dan door koorleden dient ondertekend te worden.
Privacyverklaring
De vereniging moet een document maken en beschikbaar stellen, bijvoorbeeld op de website, waarin staat hoe de gegevens worden verzameld, wat ermee gebeurt, hoelang ze bewaard worden, en wat de leden kunnen doen als ze hun gegevens willen inzien of laten verwijderen. Onderaan dit artikel vind je een modeldocument van zo'n privacyverklaring.
Bescherming van gegevens
De vereniging moet ervoor zorgen dat de gegevens veilig worden bewaard, bijvoorbeeld door beveiligde systemen te gebruiken of papieren documenten goed op te slaan, zodat ze niet in verkeerde handen vallen.
Informeer de leden over hun rechten
Leden hebben steeds het recht op toegang tot hun gegevens, om die te laten corrigeren of te verwijderen. Zij mogen ook steeds bezwaar maken tegen het gebruik van hun gegevens en hebben het recht om hun gegevens over te dragen naar een andere organisatie.
Datalekken melden
Als er iets misgaat (bijvoorbeeld als gegevens verloren gaan of onterecht gedeeld worden), moet de vereniging dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens en de leden informeren als dit hen kan schaden.
Derden betrekken
Als de vereniging externe bedrijven inschakelt (zoals een boekhouder of websitebeheerder) om gegevens te verwerken, moet ze met deze bedrijven een overeenkomst sluiten waarin staat dat ze de gegevens op de juiste manier behandelen.
Wat heeft de vereniging nodig?
| Privacyverklaring | Een document waarin duidelijk wordt uitgelegd hoe de gegevens van leden worden verzameld en gebruikt. Download modeldocument |
|---|---|
| Verwerkingsregister |
Een document waar alle gegevensverwerkingen in beschreven staan. |
| Beveiligingsmaatregelen | Zorg ervoor dat de gegevens veilig worden opgeslagen. |
| Interne regels | Werk uit hoe je verzoeken van leden om hun gegevens in te zien of te verwijderen, kan verwerken. |
Lees ook
Wat met foto's en filmpjes?
Met de opkomst van de smartphone, en de gemakkelijke toegang tot sociale media, worden meer en meer foto's en filmpjes gemaakt. Dit valt ook onder de verwerking van persoonsgegevens, en is dus GDPR-regelgeving van toepassing. Dit betekent dat je voor het maken en gebruiken van foto's en filmpjes in theorie de toestemming moet vragen van de afgebeelde persoon of personen. Toch maakt men een onderscheid tussen gerichte beelden en niet-gerichte beelden.
Op gerichte beelden worden één of enkele personen duidelijk herkenbaar uitgelicht. Hier is steeds toestemming van de betrokken personen vereist om te publiceren. Niet-gerichte beelden zijn eerder sfeerbeelden zonder de bedoeling personen duidelijk in beeld te brengen. Je hebt geen toestemming nodig om deze beelden te gebruiken.
Enkele extra tips voor foto's en filmpjes?
- Ook al heb je geen toestemming nodig om niet-gerichte beelden te gebruiken, toch is het goed om je aanwezigen te melden dat er algemene sfeerbeelden gemaakt en gedeeld kunnen worden. Weigeren er toch mensen op de foto te staan? Neem dan gewoon geen foto.
- Vraagt een persoon je om een foto weg te halen, doe dit dan onmiddellijk.
- Gebruik je gezond verstand en probeer je in te leven in de persoon wiens beelden je gebruikt.
- Wees voorzichtig wanneer je beelden publiceert op het internet. Beveilig het beeldmateriaal, anders verlies je elke controle: bv. maak foto's enkel zichtbaar voor leden, maak openbare foto's voldoende anoniem ...
- Vraag altijd de toestemming aan de ouders voor je beelden maakt/deelt van kinderen.
Mag je zomaar emails en nieuwsbrieven versturen?
E-mailadressen die de naam van een persoon vermelden zijn persoonsgegevens. Het bijhouden en verwerken van deze adressen valt dan ook onder de GDPR-regels. Of je toestemming moet vragen of niet, hangt af van het doel.
Geen toestemming nodig:
- Via e-mail communiceren met een lid, individuele vragen stellen en/of beantwoorden.
- Leden in groep via e-mail of een nieuwsbrief op de hoogte houden van de dagelijkse werking van je vereniging en verenigingsactiviteiten (data, organisatie ... ), zolang er geen commerciële boodschappen worden meegegeven (bv. publiciteit van sponsors).
Toestemming nodig:
- Om promotionele nieuwsbrieven te versturen heb je steeds de toestemming nodig van de ontvanger.
Wil je niet-leden op de hoogte houden over komende concerten? Of promotionele nieuwsbrieven van sponsors naar je leden versturen? Zorg er dan voor dat je personen op een correcte manier naar hun toestemming vraagt. Mensen moeten hun toestemming actief, duidelijk en uit vrije wil geven. Je kiest daarom het best voor een aanvinkvakje.
Lees ook hier verder.