Wat is de GDPR?

Ook jouw kwb-afdeling houdt gegevens van personen bij. Van je leden bijvoorbeeld. Of van de contactpersonen van bevriende verenigingen. Misschien zelfs van deelnemers aan activiteiten. Of van losse medewerkers.

In principe mag dit niet. Tenzij je goede redenen hebt om dit te doen en goed zorgt draagt voor de privacy van de mensen van wie je gegevens verwerkt. Dit wordt vanaf nu allemaal geregeld door de GDPR*: een Europese verordening rond de bescherming van persoonsgegevens.

Die GDPR kan je zien als een uitbreiding en verbetering van de bestaande wet op de privacy. Zeker met de komst van bedrijven als Google en Facebook, die op alle mogelijke manieren persoonsgegevens verzamelen, was een aangepaste wetgeving nodig.

Maar het gaat verder: niet alleen de grote bedrijven vallen onder deze nieuwe wetgeving, maar ook kleinere organisaties, zoals kwb-afdelingen, moeten in orde zijn, vanaf 25 mei 2018. Dus ook jouw kwb-afdeling.

Met deze webpagina en de bijhorende brochure, zorgen we dat ook jij in orde bent met deze nieuwe privacywet.

 

*GDPR staat voor General Data Protection Regulation. In het Nederlands spreekt men over de AVG, de Algemene Verordening Gegevensbescherming.

Rechten & plichten

De GDPR behandelt de rechten van iedere persoon én de plichten van alle organisaties die persoonsgegevens bijhouden en gebruiken. Persoonsgegevens zijn alle gegevens die naar een natuurlijke persoon kunnen leiden. Dit gaat heel breed: naam, adres, foto’s, mailadressen, bankrekening, posts op sociale media, een IP-adres...

Iedereen van wie jouw kwb-afdeling persoonsgegevens bijhoudt, heeft deze rechten. Jouw afdeling moet zorgen dat deze rechten in orde zijn.

We zetten de belangrijkste punten op een rijtje.

Je mag niet zomaar gegevens van mensen bijhouden. Er moet een reden voor zijn, een 'rechtsgrond'.

Als je persoonsgegevens bijhoudt, dan moet daar een goede reden voor zijn, een ‘rechtsgrond’. Als die er niet is, mag je geen gegevens over personen bijhouden. Gelukkig is die rechtsgrond er voor kwb-afdelingen en hebben wij gerechtvaardigde redenen om gegevens bij te houden van leden en deelnemers aan onze activiteiten.

  • Je kan de toestemming hebben van de persoon in kwestie. Vult iemand bijvoorbeeld een testkaart in om 3 maanden gratis Raak en uitnodigingen te ontvangen, dan heb je de schriftelijke toestemming van die persoon om gedurende deze drie maanden zijn of haar gegevens te gebruiken om Raak en de uitnodigingen te bezorgen.
  • Lid worden van een vereniging kan gezien worden als een contract tussen het lid en de vereniging. De verwerking van de gegevens gebeurt dan op contractuele basis.
  • Als het over de gegevens van kwb-leden gaat, dan kunnen we deze reden ook omschrijven als ‘gerechtvaardigd belang’: als we geen adres en/of mailadres hebben van onze leden, dan kunnen we hen ook niet uitnodigen voor de activiteiten, kunnen we hen geen Raak bezorgen, kunnen we hen het afdelingsblaadje met de info over afdeling niet toesturen...

Je zorgt er ook voor dat de personen over wie je gegevens bijhoudt, kan zien wat deze reden is en wat je met de gegevens doet die je verzamelt. Dit doe je in een duidelijke, heldere privacyverklaring. Deze kan je op je website plaatsen of in je afdelingsboekje. In het tweede deel van deze brochure vind je enkele voorbeelden van zo’n privacyverklaring.

Als je toestemming hebt om de gegevens te gebruiken voor één iets, dan mag je deze niet gebruiken voor iets anders. En je mag ook enkel gegevens verzamelen die je gebruikt.

Een voorbeeld: je houdt de mailadressen van je leden bij om hen elke maand je digitale nieuwsbrief door te mailen. Je mag deze gegevens niet gaan gebruiken om hen te mailen met info over activiteiten van andere organisaties. Of doorgeven aan een politieke partij voor de gemeenteraadsverkiezingen.

De GDPR spreekt ook over ‘minimale gegevensverwerking’. Dit betekent dat je enkel die persoonsgegevens mag bijhouden die je nodig hebt om je doel te verwezenlijken.Je mag persoonsgegevens maar bijhouden zolang je ze nodig hebt voor het doel dat je in je privacyverklaring schreef. Als je ze hiervoor niet meer nodig hebt, dan moet je ze verwijderen.

Enkele voorbeelden:

  • Je mag de gegevens van ex-leden niet eindeloos bijhouden. We weten dat het handig is om bijvoorbeeld ex-leden uit te nodigen voor een jubileumviering, maar het mag niet.
  • Als iemand een testkaart invulde om 3 maanden gratis Raak en uitnodigingen van jouw afdeling te krijgen, maar na die 3 maanden geen kwb-lid wordt, dan moet je de gegevens van die persoon ook verwijderen. Je mag ze niet langer gebruiken én je mag ze ook niet langer bewaren.

Iedereen heeft recht om zijn eigen gegevens in te kijken en te vragen om die te corrigeren als er fouten in staan.

De gegevens die je bijhoudt, moeten correct zijn. En iedereen moet de eigen gegevens kunnen inkijken. Dat betekent echter niet dat iedereen rechtstreeks toegang moet hebben tot bijvoorbeeld je Excel-bestand waarin je alle gegevens bewaart. Je kan er bijvoorbeeld ook voor zorgen dat er een contactpersoon is waarbij men de gegevens kan opvragen en die deze gegevens verbetert als er fouten in staan.

De gegevens die je bijhoudt moeten goed beveiligd zijn.

Je moet zorgen voor een goede beveiliging van de gegevens die je bijhoudt. Dit gaat over technische beveiliging, zoals paswoorden op je bestanden zetten, en over organisatorische beveiliging: de toegang tot de gegevens beperken tot wie deze echt nodig heeft, geen lijsten laten slingeren, geen gegevens zomaar naar gelijk wie doormailen.

Een belangrijk element van de GDPR is de omkering van de bewijslast. Als iemand schade heeft geleden omdat kwb niet zorgvuldig met zijn of haar persoonsgegevens omging, dan is het aan kwb om aan te tonen dat kwb de GDPR correct heeft nageleefd en dus niet verantwoordelijk is voor de schade. Als dit niet mogelijk is, dan heeft de betrokkene recht op een schadevergoeding.

Tot nu toe moest de persoon die schade ondervond, het bewijs leveren dat kwb een fout had gemaakt. Onder de GDPR wordt dit dus omgekeerd en moet kwb het tegendeel bewijzen.

Je bent verplicht om ervoor te zorgen dat al deze rechten in orde zijn. Hoe je deze zaken concreet aanpakt in je afdeling, vind je hieronder.

In jouw kwb-afdeling

Wat moet je zeker hebben?

De kans is groot dat jouw afdeling niet zo gek veel gegevens van personen bijhoudt. Je leden steken waarschijnlijk in Korpus en misschien houd je ook nog gegevens van deelnemers bij in een Excel-bestand. Als dit het geval is, dan volstaan de 3 stappen die je hieronder vindt.

Stap 1 - Een gegevensregister

Wat je zeker moet hebben, is een gegevensregister. Zo’n register is een document waarin staat waarvoor je allemaal gegevens bijhoudt, wat je ermee doet, hoe je ze bewaart, hoe ze beveiligd zijn...

Je kan hier twee voorbeelden downloaden die je kan gebruiken in je afdeling.

  • Gegevens over leden -
  • Gegevens over deelnemers activiteiten -

Let op: het gegevensregister is een verplicht document!

Stap 2 - Privacyverklaring

Zodra je dit gegevensregister gemaakt hebt, zorg je voor een privacyverklaring. Dit is eigenlijk gewoon een tekst, waarbij je aan de mensen zegt welke gegevens je hebt en wat je met deze gegevens doet. Je kan dit op je website plaatsen: zo kan je er altijd naar verwijzen zonder dat je iedere keer de hele verklaring moet opnemen.

Je kan hier twee voorbeelden downloaden die je kan gebruiken in je afdeling.

  • Privacyverklaring leden -
  • Privacyverklaring deelnemers activiteiten -

Stap 3 - Enkele afspraken

Ziezo, het grootste werk is achter de rug. Naast het gegevensregister en de privacyverklaringen, maak je ook nog een paar andere afspraken binnen je bestuur:

  • Als mensen hun rechten willen laten gelden, zoals het inkijken en verbeteren van hun eigen gegevens, bij wie moeten ze dan zijn? De gegevens van deze persoon komen ook in je privacyverklaring.
  • Als er een datalek is (zoals verlies van een laptop of een usb-stick met persoonsgegevens) waarbij mensen schade kunnen ondervinden, dan moet je dit melden aan de privacycommissie binnen de 72 uur. Je spreekt best af wie dit opvolgt. Je hier een standaardformulier () om dit door te geven.
  • Als je je gegevens deelt met derden dan vraag je in het contract (op papier) ook of ze in orde zijn met de GDPR-wetgeving. Je ontvangt van kwb nationaal een dergelijke overeenkomst waarin staat dat de gegevens die in Korpus staan, volgens de GDPR-normen verwerkt worden.
  • Spreek ook af dat de gegevens goed beveiligd worden.

Houdt jouw afdeling alleen gegevens bij van leden en deelnemers aan activiteiten, dan volstaan deze stappen. Als je echter veel meer gegevens bijhoudt, dan kunnen de stappen die je in het volgende deel van de brochure vindt, je helpen om alles in orde te krijgen.

Hou je veel gegevens bij?

Misschien houdt jouw afdeling veel meer persoonsgegevens bij. We denken aan lijsten met contactpersonen, adressen van medewerkers van bevriende organisaties, journalisten, deelnemerslijsten van afdelingsreizen,...

Als dat het geval is, pak je alles best iets grondiger aan. Gebruik de stappen hieronder om jouw kwb-afdeling in orde te brengen.

Vooraf - Bewustmaking

Iedereen die in jouw afdeling met persoonsgegevens werkt, zou op de hoogte moeten zijn van de GDPR: wat mag, wat mag niet, waar moet je op letten, wat is belangrijk, wat is minder belangrijk... In deze infografiek () vind je de belangrijkste punten van de GDPR. Deze kan je gebruiken als basis om je bestuursleden te informeren.

Stap 1 - Maak een inventaris

Om de rest van het werk eenvoudiger te maken, maak je best eerst een inventaris, een overzicht van alle persoonsgegevens die je nu bewaart. Deze inventaris is niet verplicht, maar helpt je wel om de volgende stappen vlotter uit te werken.

Wat komt in zo’n inventaris?

  • Welke persoonsgegevens gebruiken wij in onze afdeling (naam, adres, leeftijd...)?
  • Waar bewaren we deze gegevens?
  • Hoe lang bewaren we ze?
  • Wie heeft er toegang tot deze gegevens?
  • Hoe zijn ze beschermd?
  • Met wie deel je deze gegevens?
  • Waarvoor gebruiken jullie de gegevens (mailen van uitnodigingen, nieuwsbrieven, bezorgen van Raak...)

Je maakt best zo’n overzicht op van de verschillende groepen waarvan je gegevens bijhoudt (leden, deelnemers aan activiteiten, verantwoordelijken van andere organisaties, sympathisanten...).

Hier vind je een Word-document () om dit overzicht voor jouw afdeling aan te maken.

Zodra je dit overzicht gemaakt hebt, kijk je waar je verbeteringen kan aanbrengen. Als er dingen zijn die niet mogen, dan pas je deze aan.

  • Heb je een reden, een doel om deze gegevens bij te houden?
  • Heb je wel alle gegevens nodig die je bijhoudt? Zijn er dingen die je kan schrappen?
  • Hou je de gegevens te lang bij?
  • Zijn de gegevens genoeg beveiligd?
  • Hoe kunnen de mensen aan hun eigen gegevens komen? Kunnen ze die (laten) verbeteren?
  • Hoe kunnen ze dit doen?
  • Informeer je de betrokkenen duidelijk? Heb je een privacyverklaring voor deze mensen? En waar is die te vinden?

Je bekijkt ook de beveiliging van je gegevens. Zowel technisch (zit er een paswoord op de bestanden, is je laptop beveiligd, staat er een virusscanner op je computer) als organisatorisch (deel geen paswoorden van Korpus, zorg dat enkel de mensen die toegang tot de gegevens moeten hebben, die ook hebben, laat geen lijsten rondslingeren). Met gezond verstand kom je hier al een heel eind.

Als je je gegevens deelt met een derde, bijvoorbeeld een drukker die voor jullie nieuwjaarkaartjes maakt, dan moet je er zeker van zijn dat deze ook de regels van de GDPR nakomt. Je vraagt hiervoor best een contract waarin dit duidelijk vermeld staat.

Stap 2 - Register van gegevensverwerking

Het gegevensregister is een verplicht document dat elke organisatie moet hebben. In dat register komt een overzicht van welke gegevensverwerking in jouw kwb-afdeling gebeurt. Voorbeelden hiervan:

  • Ledenadministratie
  • Nieuwsbrieven versturen
  • Communicatie met de deelnemers
  • Ledenverzekering
  • ...

Bij elk van deze verwerkingen noteer je volgende zaken:

  • Wat is de reden, de wettelijke basis van deze verwerking (zie ook deel 1 van deze brochure)?
  • Over welke gegevens gaat het?
  • Wat doe je met de gegevens (verzamelen, raadplegen, delen...)
  • Hoe lang bewaar je deze gegevens?
  • Hoe zijn de gegevens beveiligd?

Let op: dit is een verplicht document! Als er een klacht zou komen, is dit document het eerste wat gevraagd zal worden.

Dit is ook een ‘levend’ document: bekijk dit bijvoorbeeld elk jaar eens opnieuw om te zien of er aanpassingen nodig zijn.

Enkele voorbeelden van zo’n register vind je hieronder:

  • Gegevens over leden -
  • Gegevens over deelnemers activiteiten -
  • Blanco formulier -

Stap 3 - Privacyverklaringen

Voor elk van de groepen van wie je gegevens verwerkt, maak je een privacyverklaring op. Deze dient om de mensen te informeren wat je met hun gegevens doet. Zorg dat volgende zaken zeker in die privacyverklaring staan:

  • Welke gegevens worden verwerkt? Waarom bewaar je deze gegevens?
  • Waar krijgt of verzamelt jouw kwb-afdeling de gegevens?
  • Wie verwerkt in je afdeling de gegevens?
  • Wie krijgt de gegevens?
  • Wat wordt precies hoe, waar en hoelang bewaard?
  • Hoe beveilig je de gegevens?
  • Hoe zorg je voor je de uitoefening van de rechten van betrokkenen?

Je kan hier twee voorbeelden downloaden die je kan gebruiken in je afdeling.

  • Privacyverklaring leden -
  • Privacyverklaring deelnemers activiteiten -

Zodra je de privacyverklaring hebt, zorg je dat mensen deze kunnen lezen. Het is handig als je deze bijvoorbeeld op je website plaatst. Zo kan je ook in je geschreven informatie naar deze website verwijzen (“Op onze website vind je meer informatie over wat we met jouw gegevens doen.”).

De privacyverklaring (of een verwijzing naar die privacyverklaring) moet terug te vinden zijn op alle documenten waarmee je gegevens verzamelt. De mensen moeten deze verklaring niet goedkeuren. Het is een eenzijdige mededeling van jouw afdeling aan hen: ‘dit gaan wij met jouw gegevens doen’.

Stap 4 - Afspraken maken

Als laatste stap maak je een aantal afspraken over de volgende punten:

Vragen van leden of deelnemers

Je leden en deelnemers hebben rechten. Zorg dat je als organisatie kan reageren bij vragen van leden. De belangrijkste rechten van leden of deelnemers voor jouw werking zijn:

  • Het recht op inzage en kopie
  • Het recht op aanpassing van gegevens
  • Het recht op vergetelheid (verwijderen van gegevens)
  • Het recht op intrekken van de toestemming (als die gegeven werd)

Aanpak datalek

Verlies van persoonsgegevens die de betrokkene schade kunnen berokkenen, moet je binnen de 72 uur aangeven bij de privacycommissie. Onder ‘schade’ valt bijvoorbeeld financieel verlies, identiteitsdiefstal, enz... Zorg dat je klaar bent bij een mogelijk datalek, bij verlies van persoonsgegevens dus. Duid een persoon aan die deze taak op zich neemt. Zorg dat iedereen in je organisatie weet tot wie hij zich moet richten.

Wat is een datalek? Het verlies of diefstal van een laptop met daarop persoonsgegevens is een datalek, net als het verlies van een usb-stick met gegevens of een database die gehackt wordt...

Gebruik hiervoor het document dat je hier vindt.

Contracten

Deel je gegevens met derden (bijvoorbeeld met de plaatselijke drukker) dan vraag je een geschreven contract waarin staat dat zij in orde zijn met de GDPR-wetgeving.

Beveiliging

Spreek ook af dat de gegevens goed beveiligd worden.

Twee extra's

Nieuwsbrieven

Je mag digitale nieuwsbrieven sturen naar je leden: het bezorgen van informatie over jullie werking en activiteiten is een onderdeel van het lidmaatschap. Als je echter nieuwsbrieven wil versturen naar sympathisanten of occasionele deelnemers, dan moet je hiervoor de uitdrukkelijke toestemming hebben!

Foto’s en beeldmateriaal

Foto’s nemen of filmpjes maken met mensen op, is een verwerking van persoonsgegevens. Ook hier moet je de mensen informeren, het beeldmateriaal beveiligen, niet langer bijhouden dan nodig én rekening houden met de rechten van de personen op de foto of video.

Je hebt toestemming nodig om de foto te maken

Als je ‘gerichte beelden’ maakt, heb je de toestemming nodig van de persoon in kwestie. Gerichte beelden zijn foto’s waarop de persoon gericht in beeld is genomen en goed herkenbaar is (een close-up, het beeld is gefocust op die ene persoon, een geposeerde foto...). Hiervoor heb je steeds toestemming nodig. Deze toestemming moet niet schriftelijk zijn, maar kan ook mondeling of stilzwijgend worden gegeven. Maar dit is dan weer moeilijk bewijsbaar...

Je hebt toestemming nodig om de foto te gebruiken

Het gebruik van foto’s in je nieuwsbrief of op je website of facebookpagina valt onder het portretrecht. Ook hier: voor gerichte beelden heb je toestemming nodig.

Overzichtsfoto’s die gemaakt zijn op het publieke domein of tijdens publieke manifestaties (zoals kwb-activiteiten, festivals, fuiven...) kunnen wel, tenzij ze duidelijk op één of enkele personen focussen. Maar zelfs dan kan iemand die zich herkent op de foto en daar niet mee akkoord is zich beroepen op zijn recht op privacy. Hij/zij kan eisen dat de foto in kwestie niet langer gebruikt wordt en vernietigd wordt.

Wat kan je hieraan doen? Als je van plan bent om een foto van een persoon te gebruiken op je affiche, site, flyer of uitnodiging, is het best om gewoon (schriftelijk) toestemming te vragen. Als je foto’s van kinderen gebruikt, vraag je schriftelijke toestemming van de ouders.

Wat met Korpus?

Kwb heeft een aantal wijzigingen moeten aanbrengen in Korpus. We zetten ze even op een rijtje.

  • Minder gegevens - Gegevens die we niet gebruiken of nodig hebben, mogen we niet meer bijhouden. De ledenfiche in Korpus is eenvoudiger geworden is. We vragen enkel nog de gegevens op die we echt nodig hebben.
  • Beveiligde verbinding - Korpus verloopt reeds enkele weken via een beveiligde internetverbinding.
  • Eigen gegevens bekijken - Kwb-leden kunnen sedert vrijdag 25 mei ook de eigen gegevens in Korpus inkijken en laten aanpassen. Dit kan via www.kwb.be/mijngegevens. Hoe werkt het?
    • Het kwb-lid geeft lidnummer en mailadres op. Als deze in Korpus steken, ontvangt het lid de inloggegevens in de mailbox. Met die gegevens kan hij inloggen in Korpus en de eigen gegevens bekijken. Ze kunnen echter niks wijzigen. Wie toch iets wil wijzigen, wordt gevraagd een mail te sturen naar de Korpusverantwoordelijke van jouw afdeling.
    • Wie zijn of haar lidnummer of mailadres niet kent, wordt op de inlogpagina doorverwezen naar kwb-nationaal, die de gegevens dan aan het lid bezorgt.
  • Een attest van kwb nationaal - Via de digitale nieuwsbrief ontvangt elke afdeling een attest van kwb nationaal. Elke kwb-afdeling is namelijk verwerkingsverantwoordelijke voor de gegevens van de eigen leden en vertrouwt deze toe aan kwb nationaal, de verwerker. De wet vraagt dat kwb u hiervan een attest bezorgt, zodat u weet dat de gegevens van jullie leden bij kwb nationaal in goede handen zijn.
  • Verwijderen ex-leden - Kwb mag ook geen gegevens meer bijhouden van ex-leden. Dit moeten we na een ‘redelijke termijn’ uit Korpus verwijderen. Kwb houdt de gegevens van ex-leden nog 2 jaar bij na het stoppen van het lidmaatschap.
  • Korpusmedewerker kan ook aan leden werken - Tot voor kort kon een Korpusmedewerker in je afdeling enkel aan de activiteiten werken en kon alleen de Korpusverantwoordelijke aan de leden. Het gevolg was dat veel Korpusverantwoordelijken hun paswoord doorgaven om het werk te verlichten. Vanaf nu kunnen ook Korpusmewerkers aan de leden. Geef als Korpusverantwoordelijke dus zeker je paswoord nooit aan iemand anders, maar vraag via info@kwb.be een extra Korpusmedewerker aan.

Downloads

De brochure

Gebruik de brochure 'GDPR in je afdeling' en zorg dat ook jouw kwb-afdeling in orde is met de GDPR. Download () of klik op de afbeelding.

Doorheen deze pagina staan verschillende downloadlinks. Hieronder verzamelen we ze nogmaals allemaal voor jou, per sectie van deze pagina.

Informatie

  • Infografiek GDPR -
  • Brochure 'GDPR in je kwb-afdeling' -

Wat moet je afdeling zeker hebben

  • Voorbeeld gegevensregister leden -
  • Voorbeeld gegevensregister deelnemers activiteiten -
  • Voorbeeld privacyverklaring leden -
  • Voorbeeld privacyverklaring deelnemers activiteiten -
  • Formulier aangifte datalek -

Heeft jouw afdeling veel gegevens?

  • Formulier inventarisatie -
  • Voorbeeld gegevensregister leden -
  • Voorbeeld gegevensregister deelnemers activiteiten -
  • Voorbeeld privacyverklaring leden -
  • Voorbeeld privacyverklaring deelnemers activiteiten -
  • Formulier aangifte datalek -

Vragen & antwoorden

Heb je nog vragen over de GDPR? Stuur ze door: we verzamelen alle vragen met antwoorden hieronder.

Jouw gegevens

Jullie vragen

Korpus

De vragen en antwoorden die hier stonden, vind je nu terug in het luikje 'Wat met Korpus?'.

Gegevens bewaren

Vraag: Mogen we de gegevens van leden ook langer dan enkele jaren bewaren? Mogen we ze bijvoorbeeld 25 jaar bewaren in het kader van jubileumactiviteiten?

Antwoord: Neen. Gegevens mogen maar bijgehouden worden zolang je deze nodig hebt voor je doelen. De gegevens van iemand die geen kwb-lid meer is, 25 jaar bijhouden, valt hier niet onder. Dat betekent dat het dus niet mag. Zoals ook in de brochure staat: we weten dat het handig is, maar het mag niet.

Vraag: Mogen we nog gegevens van ex-leden bijhouden, om ze bijvoorbeeld uit te nodigen voor jubileumactiviteiten?

Antwoord: Neen. Als deze mensen daar geen toestemming voor gegeven hebben, mag dit niet. Wil je deze gegevens wel nog bijhouden en gebruiken, dan heb je daar de uitdrukkelijke toestemming van deze mensen voor nodig. Deze kan je steeds vragen: contacteer je ex-leden en vraag of je hun gegevens nog mag gebruiken om hen uit te nodigen voor jubileumactiviteiten en dergelijke. Als iemand niet reageert, of negatief reageert, dan moet je deze gegevens wissen en mag je ze niet langer bijhouden en gebruiken.

Net zoals met de rest van de gegevens die je bijhoudt, moet je ook voor die gegevens een gegevensregister en privacyverklaring opstellen, waar je naar verwijst als je hun toestemming vraagt.

Ex-leden worden in Korpus 2 jaar na hun ontslag bijgehouden. Daarna worden ze verwijderd.

Vraag: "In hoeverre is dit toepassing op een particulier. Dus kan/mag ik als gewone burger dergelijke gegevens bijhouden of moet ik als individueel ook voldoen aan die GDPR-regelgeving?"

Antwoord: Neen, als die gegevens enkel dienen voor persoonlijk gebruik. Uit de GDPR: "Deze verordening is niet van toepassing op de verwerking van persoonsgegevens (...) door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit".

Gegevens doorgeven

Vraag: Onze gemeente vraagt jaarlijks/tweejaarlijks de namen en adressen van de kwb-leden op, in het kader van een erkennings- of subsidieaanvraag. Mogen we deze gegevens nog geven?

Antwoord: Ja. Maar zowel jouw kwb-afdeling als de gemeente dienen zich aan een aantal regels te houden.
Uit het antwoord van de Privacycommissie:

  • De gemeente:
    • Indien het al dan niet toekennen van subsidies afhangt van het aantal leden van uw vereniging, die ook inwoner zijn van uw gemeente, bestaat er een gerechtvaardigd belang van de gemeente om na te gaan of uw vereniging al dan niet recht heeft op subsidies. Hiervoor mag je gemeente dus ledenlijsten opvragen.
    • De ledenlijsten die opgevraagd worden, mogen maar voor “welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden" dienen. In combinatie met de eis van een eerlijke en transparante verwerking, houdt dit in dat het opvragen van een ledenlijst best in een (gemeentelijk) reglement wordt voorzien, waar ook de andere stappen staan mbt de te ontvangen subsidies.
    • Hieruit volgt dat de inzage van ledenlijsten door de gemeente enkel terecht is als de te ontvangen subsidies ook daadwerkelijk afhangen van het aantal leden/inwoners. Ook dit staat best duidelijk in het reglement.
    • De opgevraagde gegevens mogen ook niet “overmatig” zijn: de gemeente mag enkel opvragen wat ze nodig heeft om te controleren: meestal zullen naam en adres hier voldoende zijn.
    • Ook de gemeente mag deze gegevens niet langer bijhouden dan “voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen”. Na controle mag de gemeente deze gegevens niet langer bijhouden (of slechts een beperkte termijn, voor het geval er betwisting of zo zou zijn).
  • Jouw kwb-afdeling:
    • Als je ledengegevens doorgeeft aan de gemeente, heb je hierover een informatieplicht ten opzichte van je leden: je zet dus best in je privacyverklaring (op je site, in je ledenblad, of als je nieuwe mensen inschrijft) dat de persoonsgegevens van de mensen zullen overgemaakt worden aan de gemeente in het kader van het verkrijgen van subsidies.

Vraag: Mogen we ons archief, met daarin o.a. ledenlijsten, nog doorgeven aan de heemkundige kring?

Antwoord: Ja. Momenteel is hierover echter nog geen definitieve uitspraak. Na contact met Heemkunde Vlaanderen, werd ons gezegd dat dit in principe geen probleem vormt. In de GDPR staat een artikel (art. 89 ) dat lidstaten de kans geeft tot afwijkingen rond archivering en historisch onderzoek. De definitieve wettekst hierover is er echter nog niet. Meer info op de site van Heemkunde Vlaanderen.

Datalek

Vraag: Als een bestuurslid van onze kwb-afdeling zijn laptop verliest met persoonsgegevens op én iemand lijdt hierdoor schade, kan hij dan persoonlijk aansprakelijk gesteld worden?

Antwoord: Bij gebrek aan een antwoord van de Privacycommissie hebben de deze vraag voorgelegd aan Scwitch en volgend antwoord gekregen:

Het principe is: de organisatie is verantwoordelijk. Bij vzw’s is dit de raad van bestuur. Bij feitelijke verenigingen ligt dat weer wat moeilijker, want daar kunnen alle leden hoofdelijk aansprakelijk gesteld worden. De organisatie kan de verantwoordelijkheid niet van zich afschuiven of doorgeven.

Daarom is het belangrijk dat je alles goed documenteert, en je team, bestuur heel goed informeert en duidelijke richtlijnen geeft. Stel dat bij een probleem en controle blijkt dat er nergens documentatie is van afspraken, bewustmaking, procedures,... dan zal het bestuur zeker aansprakelijk gesteld worden als er geen stappen zijn ondernomen.

Om het voorbeeld van de verloren laptop te nemen. Als de secretaris dit direct meldt aan de verantwoordelijke of aanspreekpunt rond gdpr in de organisatie en deze direct een aangifte van datalek doet bij de privacycommissie (en als er gevoelige of financiële gegevens op de laptop staan ook de betrokkenen informeert), dan voer je een goede procedure en neem je je verantwoordelijkheid. Stel dat de secretaris dit niet meldt aan de persoon die binnen de organisatie verantwoordelijk is gesteld om GDPR op te volgen, dan gaat de secretaris persoonlijk in de fout. Op voorwaarde dat jullie als organisatie duidelijk hebben geïnformeerd wat er moet gebeuren bij een datalek. Heeft de organisatie dit niet gedaan, dan heeft de organisatie zijn verantwoordelijkheid niet genomen.

Het verliezen van een laptop is geen moedwillige fout. Daar kan je niet iemand voor laten opdraaien. Het niet volgen van een procedure om de gevolgen te beperken, als er een duidelijke procedure is en iedereen goed geïnformeerd is, kan wel een persoonlijke fout zijn van de secretaris. Het is wel belangrijk dat de secretaris alle 'normale' maatregelen moet genomen hebben om die laptop niet te verliezen (niet zomaar onbewaakt achterlaten, geen paswoord of bescherming, ...), en de normale veiligheidsmaatregelen heeft genomen. Anders is hij (zeer) onzorgvuldig omgegaan met persoonsgegevens.

Vraag: Moeten we elk datalek melden aan de privacycommissie?

Antwoord: Neen. De GDPR zegt dat een datalek gemeld moet worden, "tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen".

Foto's

Vraag: Kunnen we op onze lokale kwb-website een disclaimer zetten om zo de (stilzwijgende) toestemming te krijgen om foto's te nemen en te gebruiken voor promotionele doelstellingen?

Antwoord: Neen. Het antwoord dat we ontvingen van de privacycommissie is duidelijk: "een disclaimer is op zich een informatie-element en geen toestemming".

We legde deze vraag ook voor aan Scwitch en kregen volgend antwoord: "Je kan volgens ons gerust op je site, lidmaatschapsformulier... een melding zetten dat je tijdens activiteiten sfeerbeelden neemt, hier verstandig mee omgaat en deze kunnen gebruikt worden voor rapportage, interne beeldverslagen, met de vermelding als mensen hier problemen mee hebben dat ze dit laten weten. Het gaat dan over de niet gerichte beelden (sfeerbeelden van een groep op daguitstap, tijdens een activiteit...) die je gebruikt in de interne communicatie van de vereniging (een eigen gesloten facebookpagina, het verenigingsblad verspreid enkel aan de leden en wat sympathisanten...). Mensen verwachten dit ook, vinden het ook fijn, en het blijft in een beschermde omgeving. Als vereniging denk je ook sowieso na dat je geen compromitterende beelden van je leden gaat publiceren. Als mensen toch een probleem hebben met een bepaalde foto, kunnen ze dit melden en hou je daar rekening mee (uiteindelijk gaat het om hun rechten).

Voor gerichte foto’s, en foto’s waar mensen echt heel duidelijk in beeld komen, die je dan gaat gebruiken voor promomateriaal (affiche, promofolder die je in de gemeente verspreid, publieke website en facebook) van je vereniging, raad ik aan om toch steeds op voorhand de toestemming te vragen. Niemand staat graag voluit op een affiche of in een folder, zonder dit op voorhand te zien of goedgekeurd te hebben."