1. Wat is GDPR?

GDPR is de nieuwe Europese wet die op 25 mei 2018 van kracht zal zijn. De afkorting staat voor ‘General Data Protection Regulation’.

Deze nieuwe wet heeft als doel de bescherming van de persoonlijke levenssfeer van EU-burgers. Bescherming tegen wat? Tegen het misbruik van persoonsgegevens, maar ook bescherming tegen het gebrek aan controle dat mensen hebben over hun eigen persoonsgegevens.

Deze wet treft dus maatregelen die gebruikers & hun persoonlijke data moeten beschermen tegen bijvoorbeeld ongewenst verspreiden van persoonlijke gegeven (zoals gebeurde bij het Facebook – Cambridge Analytica schandaal), datalekken of hackers.

Wat zijn persoonsgegevens nu precies? Dit zijn gevoelige gegevens van mensen die nog leven, op basis waarvan men geïdentificeerd kan worden. Dit gaat dan over: naam, voornaam, telefoonnummer, medische gegevens, bankrekeningnummers, e-mail adressen, vingerafdrukken, rijksregisternummers… Maar ook foto’s!

Concreet zijn er enkele belangrijke verschillen met de oude wetgeving. Er moet nu expliciete toestemming gegeven worden aan organisaties of bedrijven om je persoonlijke gegevens te verzamelen, maar ook om die gegevens te gebruiken. Daarnaast heeft elk individu nu ook het ‘recht om vergeten te worden’. Dit betekent dat je kan vragen aan een organisatie om al je persoonlijke data te verwijderen uit hun gegevens en dat ze dit dan ook verplicht zijn om te doen.

Een belangrijk verschil is dat er nu boetes kunnen worden gegeven door de nationale autoriteiten. Dit betekent in de praktijk hopelijk een betere opvolging van de wetgeving en ook de mogelijkheid om de bescherming van de persoonsgegevens effectief af te dwingen, vooral bij grote bedrijven.

 

  1. Hoe ga je er mee aan de slag?

Als doorsnee burger ben je ongetwijfeld reeds in aanraking gekomen met e-mails van heel wat organisaties die je laten weten dat hun privacy voorwaarden zijn gewijzigd in het kader van de GDPR wetgeving.

Maar wat betekenen deze mails? Eigenlijk willen deze organisaties aangeven hun algemene voorwaarden of privacy statement zijn veranderd om de wetgeving van de GDPR te volgen. In die voorwaarden kan je lezen wat er precies zal gebeuren met je persoonlijke gegevens als je een account maakt bij de organisatie of je inschrijft bij de vereniging.

Daarnaast geven ze je een keuze om je persoonlijke gegevens (in dit geval je e-mailadres) te geven aan de organisatie. Indien je kiest om deze e-mail te negeren, zullen deze organisaties je gegevens verwijderen op 25 mei, omdat je geen expliciete toestemming hebt gegeven om de persoonlijke gegevens te gebruiken.

 

Gevolgen voor verenigingen en andere organisaties

Als organisatie of vereniging houdt GDPR ook enkele belangrijke zaken in. Je mag uiteraard persoonlijke gegevens verzamelen en gebruiken die noodzakelijk zijn voor de werking van je organisatie. Personen die zich inschrijven voor je activiteiten of lid zijn van je vereniging moeten weten welke gegevens je van hen gebruikt en hiervoor ‘ondubbelzinnige’ toelating hebben gegeven. Daarnaast, zoals eerder vermeld, moeten ze deze toestemming op ieder moment kunnen intrekken en mag de persoon ook inzage vragen in de persoonlijke gegevens die door hem of haar bij jullie organisatie worden gebruikt. Als organisatie of vereniging is het dan ook belangrijk dat deze toestemming goed bewaard wordt. De verantwoordelijkheid ligt bij jou om te bewijzen dat je je leden en deelnemers voldoende geïnformeerd hebt en dat ze hier ook akkoord mee zijn gegaan.

De organisatie is als verwerkingsverantwoordelijke aansprakelijk voor de verwerkingen van de persoonsgegevens. Dit betekent dat je als vereniging of organisatie moeten kunnen aantonen dat jullie stappen zetten om de persoonlijke gegevens conform de GDPR-wetgeving te laten verlopen. De persoonlijke gegevens van je klanten of leden moeten zowel digitaal als fysiek voldoende beschermd zijn tegen verlies of vernietiging en er moet een register moet bijgehouden worden over de verwerkingsactiviteiten.

Concreet kan je deze stappen volgen:

  1. Welke gegevens heb ik van mijn leden nodig voor het doel van mijn vereniging?
  2. Heb ik de expliciete toestemming gekregen voor de verwerking van deze gegevens?
  3. Zijn de gegevens beveiligd tegen diefstal, verlies, vernietiging?
  4. Maak een privacyverklaring & register op (dit kan op basis van deze templates: scwitch.be/toolkit).

 

  1. Foto’s

Ook foto’s zijn persoonlijke gegevens. In het kader van de GDPR moet met de volgende zaken rekening houden:

  • Het maken van een foto is ook een verwerking, je moet hiervoor dus toestemming hebben.
  • Het op het web plaatsen van een foto is uiteraard ook een verwerking, je moet hiervoor dus toestemming hebben.
  • Je moet expliciete toestemming hebben van een persoon op de foto als die persoon identificeerbaar is.
  • ‘Sfeerfoto’s’ waarbij personen niet identificeerbaar zijn heb je geen expliciete toestemming voor nodig.

 

Tot slot: GDPR geldt voor iedereen, ook voor ons

Ook projectvereniging BIE maakt momenteel werk van een nieuwe privacy verklaring. In de volgende nieuwsbrief bezorgen we je hier meer informatie over.