In jouw kwb-afdeling
Wat moet je zeker hebben?
De kans is groot dat jouw afdeling niet zo gek veel gegevens van personen bijhoudt. Je leden steken waarschijnlijk in Korpus en misschien houd je ook nog gegevens van deelnemers bij in een Excel-bestand. Als dit het geval is, dan volstaan de 3 stappen die je hieronder vindt.
Stap 1 - Een gegevensregister
Wat je zeker moet hebben, is een gegevensregister. Zo’n register is een document waarin staat waarvoor je allemaal gegevens bijhoudt, wat je ermee doet, hoe je ze bewaart, hoe ze beveiligd zijn...
Je kan hier twee voorbeelden downloaden die je kan gebruiken in je afdeling.
- Gegevens over leden -
- Gegevens over deelnemers activiteiten -
Let op: het gegevensregister is een verplicht document!
Stap 2 - Privacyverklaring
Zodra je dit gegevensregister gemaakt hebt, zorg je voor een privacyverklaring. Dit is eigenlijk gewoon een tekst, waarbij je aan de mensen zegt welke gegevens je hebt en wat je met deze gegevens doet. Je kan dit op je website plaatsen: zo kan je er altijd naar verwijzen zonder dat je iedere keer de hele verklaring moet opnemen.
Je kan hier twee voorbeelden downloaden die je kan gebruiken in je afdeling.
- Privacyverklaring leden -
- Privacyverklaring deelnemers activiteiten -
Stap 3 - Enkele afspraken
Ziezo, het grootste werk is achter de rug. Naast het gegevensregister en de privacyverklaringen, maak je ook nog een paar andere afspraken binnen je bestuur:
- Als mensen hun rechten willen laten gelden, zoals het inkijken en verbeteren van hun eigen gegevens, bij wie moeten ze dan zijn? De gegevens van deze persoon komen ook in je privacyverklaring.
- Als er een datalek is (zoals verlies van een laptop of een usb-stick met persoonsgegevens) waarbij mensen schade kunnen ondervinden, dan moet je dit melden aan de privacycommissie binnen de 72 uur. Je spreekt best af wie dit opvolgt. Je hier een standaardformulier () om dit door te geven.
- Als je je gegevens deelt met derden dan vraag je in het contract (op papier) ook of ze in orde zijn met de GDPR-wetgeving. Je ontvangt van kwb nationaal een dergelijke overeenkomst waarin staat dat de gegevens die in Korpus staan, volgens de GDPR-normen verwerkt worden.
- Spreek ook af dat de gegevens goed beveiligd worden.
Houdt jouw afdeling alleen gegevens bij van leden en deelnemers aan activiteiten, dan volstaan deze stappen. Als je echter veel meer gegevens bijhoudt, dan kunnen de stappen die je in het volgende deel van de brochure vindt, je helpen om alles in orde te krijgen.
Hou je veel gegevens bij?
Misschien houdt jouw afdeling veel meer persoonsgegevens bij. We denken aan lijsten met contactpersonen, adressen van medewerkers van bevriende organisaties, journalisten, deelnemerslijsten van afdelingsreizen,...
Als dat het geval is, pak je alles best iets grondiger aan. Gebruik de stappen hieronder om jouw kwb-afdeling in orde te brengen.
Vooraf - Bewustmaking
Iedereen die in jouw afdeling met persoonsgegevens werkt, zou op de hoogte moeten zijn van de GDPR: wat mag, wat mag niet, waar moet je op letten, wat is belangrijk, wat is minder belangrijk... In deze infografiek () vind je de belangrijkste punten van de GDPR. Deze kan je gebruiken als basis om je bestuursleden te informeren.
Stap 1 - Maak een inventaris
Om de rest van het werk eenvoudiger te maken, maak je best eerst een inventaris, een overzicht van alle persoonsgegevens die je nu bewaart. Deze inventaris is niet verplicht, maar helpt je wel om de volgende stappen vlotter uit te werken.
Wat komt in zo’n inventaris?
- Welke persoonsgegevens gebruiken wij in onze afdeling (naam, adres, leeftijd...)?
- Waar bewaren we deze gegevens?
- Hoe lang bewaren we ze?
- Wie heeft er toegang tot deze gegevens?
- Hoe zijn ze beschermd?
- Met wie deel je deze gegevens?
- Waarvoor gebruiken jullie de gegevens (mailen van uitnodigingen, nieuwsbrieven, bezorgen van Raak...)
Je maakt best zo’n overzicht op van de verschillende groepen waarvan je gegevens bijhoudt (leden, deelnemers aan activiteiten, verantwoordelijken van andere organisaties, sympathisanten...).
Hier vind je een Word-document () om dit overzicht voor jouw afdeling aan te maken.
Zodra je dit overzicht gemaakt hebt, kijk je waar je verbeteringen kan aanbrengen. Als er dingen zijn die niet mogen, dan pas je deze aan.
- Heb je een reden, een doel om deze gegevens bij te houden?
- Heb je wel alle gegevens nodig die je bijhoudt? Zijn er dingen die je kan schrappen?
- Hou je de gegevens te lang bij?
- Zijn de gegevens genoeg beveiligd?
- Hoe kunnen de mensen aan hun eigen gegevens komen? Kunnen ze die (laten) verbeteren?
- Hoe kunnen ze dit doen?
- Informeer je de betrokkenen duidelijk? Heb je een privacyverklaring voor deze mensen? En waar is die te vinden?
Je bekijkt ook de beveiliging van je gegevens. Zowel technisch (zit er een paswoord op de bestanden, is je laptop beveiligd, staat er een virusscanner op je computer) als organisatorisch (deel geen paswoorden van Korpus, zorg dat enkel de mensen die toegang tot de gegevens moeten hebben, die ook hebben, laat geen lijsten rondslingeren). Met gezond verstand kom je hier al een heel eind.
Als je je gegevens deelt met een derde, bijvoorbeeld een drukker die voor jullie nieuwjaarkaartjes maakt, dan moet je er zeker van zijn dat deze ook de regels van de GDPR nakomt. Je vraagt hiervoor best een contract waarin dit duidelijk vermeld staat.
Stap 2 - Register van gegevensverwerking
Het gegevensregister is een verplicht document dat elke organisatie moet hebben. In dat register komt een overzicht van welke gegevensverwerking in jouw kwb-afdeling gebeurt. Voorbeelden hiervan:
- Ledenadministratie
- Nieuwsbrieven versturen
- Communicatie met de deelnemers
- Ledenverzekering
- ...
Bij elk van deze verwerkingen noteer je volgende zaken:
- Wat is de reden, de wettelijke basis van deze verwerking (zie ook deel 1 van deze brochure)?
- Over welke gegevens gaat het?
- Wat doe je met de gegevens (verzamelen, raadplegen, delen...)
- Hoe lang bewaar je deze gegevens?
- Hoe zijn de gegevens beveiligd?
Let op: dit is een verplicht document! Als er een klacht zou komen, is dit document het eerste wat gevraagd zal worden.
Dit is ook een ‘levend’ document: bekijk dit bijvoorbeeld elk jaar eens opnieuw om te zien of er aanpassingen nodig zijn.
Enkele voorbeelden van zo’n register vind je hieronder:
- Gegevens over leden -
- Gegevens over deelnemers activiteiten -
- Blanco formulier -
Stap 3 - Privacyverklaringen
Voor elk van de groepen van wie je gegevens verwerkt, maak je een privacyverklaring op. Deze dient om de mensen te informeren wat je met hun gegevens doet. Zorg dat volgende zaken zeker in die privacyverklaring staan:
- Welke gegevens worden verwerkt? Waarom bewaar je deze gegevens?
- Waar krijgt of verzamelt jouw kwb-afdeling de gegevens?
- Wie verwerkt in je afdeling de gegevens?
- Wie krijgt de gegevens?
- Wat wordt precies hoe, waar en hoelang bewaard?
- Hoe beveilig je de gegevens?
- Hoe zorg je voor je de uitoefening van de rechten van betrokkenen?
Je kan hier twee voorbeelden downloaden die je kan gebruiken in je afdeling.
- Privacyverklaring leden -
- Privacyverklaring deelnemers activiteiten -
Zodra je de privacyverklaring hebt, zorg je dat mensen deze kunnen lezen. Het is handig als je deze bijvoorbeeld op je website plaatst. Zo kan je ook in je geschreven informatie naar deze website verwijzen (“Op onze website vind je meer informatie over wat we met jouw gegevens doen.”).
De privacyverklaring (of een verwijzing naar die privacyverklaring) moet terug te vinden zijn op alle documenten waarmee je gegevens verzamelt. De mensen moeten deze verklaring niet goedkeuren. Het is een eenzijdige mededeling van jouw afdeling aan hen: ‘dit gaan wij met jouw gegevens doen’.
Stap 4 - Afspraken maken
Als laatste stap maak je een aantal afspraken over de volgende punten:
Vragen van leden of deelnemers
Je leden en deelnemers hebben rechten. Zorg dat je als organisatie kan reageren bij vragen van leden. De belangrijkste rechten van leden of deelnemers voor jouw werking zijn:
- Het recht op inzage en kopie
- Het recht op aanpassing van gegevens
- Het recht op vergetelheid (verwijderen van gegevens)
- Het recht op intrekken van de toestemming (als die gegeven werd)
Aanpak datalek
Verlies van persoonsgegevens die de betrokkene schade kunnen berokkenen, moet je binnen de 72 uur aangeven bij de privacycommissie. Onder ‘schade’ valt bijvoorbeeld financieel verlies, identiteitsdiefstal, enz... Zorg dat je klaar bent bij een mogelijk datalek, bij verlies van persoonsgegevens dus. Duid een persoon aan die deze taak op zich neemt. Zorg dat iedereen in je organisatie weet tot wie hij zich moet richten.
Wat is een datalek? Het verlies of diefstal van een laptop met daarop persoonsgegevens is een datalek, net als het verlies van een usb-stick met gegevens of een database die gehackt wordt...
Gebruik hiervoor het document dat je hier vindt.
Contracten
Deel je gegevens met derden (bijvoorbeeld met de plaatselijke drukker) dan vraag je een geschreven contract waarin staat dat zij in orde zijn met de GDPR-wetgeving.
Beveiliging
Spreek ook af dat de gegevens goed beveiligd worden.