GDPR in je vereniging Wat u moet weten … 1
GDPR Welkom op vorming rond GDPR Door wie ? Jeroen Léaerts Wat u moet weten Welkom op vorming rond GDPR Door wie ? Jeroen Léaerts Jurist – coördinator Vzw PROCURA Laatste maanden bezig met GDPR binnen groep Beweging – Privacyraad Groep Beweging 2
GDPR Doelstelling : Jullie helpen in orde te zijn met GDPR : Wat u moet weten Doelstelling : Jullie helpen in orde te zijn met GDPR : Brochure op website www.procura.be/GDPR of via regio’s van Beweging.net / OKRA Deze avond : meer info en mogelijke vragen 3
GDPR Bedenking bij vragen : nog niet alles is 100 % Wat u moet weten Bedenking bij vragen : nog niet alles is 100 % duidelijk en er zal nog veel verduidelijking dienen te komen in de toekomst. Bedoeling is GDPR wetgeving realistisch en praktisch te benaderen. 4
GDPR Invulling vorming : DEEL 1 : WAT IS GDPR ? Wat u moet weten Invulling vorming : DEEL 1 : WAT IS GDPR ? Wat is de inhoud van de Europese verordening ? Welke rechten en plichten staan in de GDPR wetgeving ? Wat wordt van u verwacht ? DEEL 2: WAT MOET U DOEN OM IN ORDE TE ZIJN ? Stap voor stap Vraagstelling 5
GDPR DEEL 1 : WAT IS GDPR ? Geschiedenis Wat u moet weten DEEL 1 : WAT IS GDPR ? Geschiedenis Privacywet in België gedateerd 1992 (meer dan 25 jaar oud !) 6
GDPR Wat u moet weten 1992 : * Geen Google die gegevens verzamelt en gebruikt (pas 1997) * Geen Facebook die gegevens verzamelt en gebruikt (pas 2004) * Geen smartphones die gegevens verzamelt en gebruiken (pas Iphone 2007 – Android 2008) * Geen websites en apps die gegevens gebruiken en bijhouden 7
GDPR Evolutie laatste 26 jaar … Wat u moet weten Evolutie laatste 26 jaar … Manier waarop gegevens worden verzameld en bijgehouden Het verzamelen van gegevens is enorm gegroeid Ook meer en meer bedrijven verzamelen en gebruiken gegevens (niet enkel nog Facebook en Google) Enorme groei van het online gebeuren Ontstaan van Europese Privacywetgeving : GDPR 8
OVERGANGSPERIODE SEDERT 2016 GDPR Wat u moet weten GDPR WETGEVING OVERGANGSPERIODE SEDERT 2016 IN VOEGE VANAF 25 MEI 2018 9
GDPR WAT IS GDPR ? GDPR : GENERAL DATA PROTECTION REGULATION AVG : Wat u moet weten WAT IS GDPR ? GDPR : GENERAL DATA PROTECTION REGULATION AVG : ALGEMENE VERORDENING GEGEVENSBESCHERMING 10
GDPR Wat u moet weten Europese verordening die ervoor zorgt dat de persoonsgegevens die bedrijven en organisaties verzamelen beter beschermd zijn. Deze Europese verordening zorgt er ook voor dat je meer controle hebt over je gegevens. 11
GDPR 4 BEDENKINGEN : Wat u moet weten Is een Europese verordening : dus bindende wetgeving voor alle Europese lidstaten (in tegenstelling tot Europese richtlijn, die staten zelf in wetgeving moeten omzetten). GDPR geldt voor alle bedrijven en organisaties die persoonsgegevens verzamelen, bewaren en verwerken. Dus ook voor jouw vereniging. Wetgeving van toepassing vanaf 25 mei 2018. Er staan hoge boetes op bij niet naleving van de GDPR wetgeving. 12
GDPR NADRUK VAN DE GDPR WETGEVING : De rechten van het individu en Wat u moet weten NADRUK VAN DE GDPR WETGEVING : De rechten van het individu en de plichten van diegene die de persoonsgegevens verzamelt en gebruikt. 13
GDPR Wat zijn persoonsgegevens ? Ruim begrip … Wat u moet weten Identificatiegegevens : naam, adres, werkadres, vroegere adressen, telefoonnummer , mailadres,… Persoonlijke gegevens : geboortedatum, geboorteplaats, burgerlijke staat, nationaliteit, Rijksregisternummer Foto’s en video’s Bankrekeningnummer(s) Fysieke beschrijving van een persoon ; grootte, gewicht, opvallende kenmerken 14
GDPR Wie deze zaken bijhoudt valt onder de GDPR wetgeving !!! Wat u moet weten Psychische beschrijvingen : meningen over persoonlijkheid of karakter Medische gegevens Seksuele geaardheid : ras, lidmaatschap politieke partij, politieke functies, l lidmaatschap vakbond,.. Hobby, Sport, IP adressen … Wie deze zaken bijhoudt valt onder de GDPR wetgeving !!! 15
GDPR Wat u moet weten Rechtsgrond Principe : je mag geen gegevens bijhouden, tenzij je hiervoor een rechtsgrond hebt, maw. een reden. Geen rechtsgrond (geen reden), mag je geen gegevens bijhouden. 16
GDPR Welke rechtsgronden zijn er ? UITDRUKKELIJKE TOESTEMMING Wat u moet weten Welke rechtsgronden zijn er ? UITDRUKKELIJKE TOESTEMMING Opt – in voor een nieuwsbrief Invullen van een kaart om x maanden een uitnodiging te ontvangen Fiche invullen om lid te worden Invullen formulier met emailadres om uitnodigingen te ontvangen voor activiteiten 17
GDPR Wat u moet weten 2. LIDMAATSCHAP Het feit dat men een lidgeld betaald, krijgt men daarvoor iets in ruil, bv. deelname aan activiteiten, ontvangen van een clubblad, ledenvoordelen,…). Dit kan aanzien worden als een contract tussen jouw lid en je vereniging : contractuele basis. (interpretatie) 3. GERECHTVAARDIGD BELANG Dit komt neer op het feit dat je persoonsgegevens moet bijhouden, zoniet kan je ‘taak/werk’ niet doen. Bv. je houdt als vereniging de contactgegevens van je leden bij, zoniet kan je hen niet uitnodigen of hen je clubblad niet toezenden.(interpretatie) 18
GDPR Wat u moet weten Rechten en plichten van het individu Jouw vereniging heeft de plicht ervoor te zorgen dat de rechten van de personen gevrijwaard zijn. Eerste groep rechten en plichten : de gegevens die je gebruikt en waarvoor je ze kan gebruiken. Je vereniging mag alleen de gegevens gebruiken die ze nodig heeft voor het doel dat ze wil bereiken Indien je vereniging deze gegevens niet meer nodig heeft, dient je vereniging deze te verwijderen Je vereniging mag geen andere gegevens bijhouden 19
GDPR Wat u moet weten Tweede groep rechten en plichten : de gegevens zelf en wat ik als individu met mijn eigen gegevens kan doen Mijn gegevens dienen correct te zijn Ik moet inzage kunnen krijgen in mijn gegevens en die (kunnen) laten verbeteren Als ik wil, moet ik mijn gegevens kunnen laten verwijderen 20
GDPR Wat u moet weten Derde groep rechten en plichten : beveiliging Gegevens dienen technisch en organisatorisch goed beveiligd te zijn Indien je vereniging gegevens ‘doorgeeft’, dient deze verwerker ook in orde te zijn met de GDPR wetgeving Indien er iets fout loopt, moet je vereniging de juiste stappen te zetten :Ingeval van een datalek (bv. diefstal laptop) moet men dit melden bij de GBA. Eventueel dient ‘betrokkene’ in kennis gesteld te worden van het datalek (indien datalek een risico inhoudt voor betrokkene) 21
GDPR Wat u moet weten Vierde groep rechten en plichten : informeren van de personen over wie je gegevens bijhoudt Je dient een tekst (Privacyverklaring) te hebben, die iedere persoon kan raadplegen. 22
GDPR Wat u moet weten Deze Privacyverklaring omvat : Waarom verzamel je gegevens (rechtsgrond) ? Wat doe je met deze gegevens ? Hoe zijn deze gegevens beveiligd ? Hoe kunnen personen deze gegevens inkijken en verbeteren (hun rechten uitoefenen) Wie is er verantwoordelijk ? … 23
GDPR Wat u moet weten 24 Privacy policy BEWEGING ° hecht veel waarde aan de bescherming van uw persoonsgegevens en aan het respecteren van uw privacy. In deze privacyverklaring willen we heldere en transparante informatie geven over welke gegevens we verzamelen en hoe we omgaan met persoonsgegevens. Wij doen er alles aan om uw privacy te waarborgen en gaan daarom zorgvuldig om met persoonsgegevens. Wij houden ons in alle gevallen aan de toepasselijke wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming. Persoonsgegevens Onder persoonsgegevens wordt alle specifieke informatie verstaan die betrekking heeft op een natuurlijke persoon die geïdentificeerd kan worden. Het gaat onder meer om uw naam, adres, telefoonnummer, e-mailadres, geboortedatum, lidmaatschap en informatie die u verstrekt via onze website of andere contactkanalen. Verzamelen van persoonsgegevens Contactformulieren, enquêtes, wedstrijden Beweging° verzamelt, registreert en verwerkt persoonsgegevens wanneer die uitdrukkelijk worden meegedeeld zoals voor het gebruik van sommige onderdelen van de website, zoals de deelname aan een wedstrijd, enquête of activiteit van de Beweging°, het inschrijven op een nieuwsbrief en de contactname via een contactformulier of e-mail. U garandeert dat de gegevens die u meedeelt juist en volledig zijn. Wij kunnen uw gegevens gebruiken om u rechtstreeks te contacteren, per post, telefoon of op elektronische wijze, zoals via e-mail of SMS. Bij communicatie via elektronische wijze heeft u de mogelijkheid om u uit te schrijven voor toekomstige elektronische communicatie. Websites Andere gegevens worden op geautomatiseerde wijze verzameld door ‘cookies’ en andere systemen/applicaties die informatie (zoals IP-adres, gebruik van de site, taal en type van de browser, …) verzamelen. Voor het gebruik van cookies verwijzen we naar ons “Cookiesbeleid” VISIE wedstrijd Uw persoonsgegevens kunnen worden verzameld in functie van de VISIE Wedstrijd. Deze gegevens worden gebruikt enkel en alleen in functie van de VISIE wedstrijd via de website www.visiewedstrijd.be. Uw gegevens zullen in het kader van de VISIE Wedstrijd niet langer dan 12 maanden worden bewaard. 24
GDPR Wat u moet weten 25 Inzage en correctie van gegevens Beweging° zal uw gegevens niet langer bewaren dan wettelijk is toegelaten en in ieder geval niet langer dan noodzakelijk voor de doeleinden die hierin zijn vermeld. U heeft daarnaast ook steeds recht op inzage, verbetering, schrapping en kosteloos verzet tegen de verwerking en doorgifte van uw gegevens. U kunt een gedateerd en ondertekend verzoek, vergezeld van een kopie van uw identiteitsbewijs, te sturen naar het volgende adres: BEWEGING° Haachtsesteenweg 579 1030 Brussel e-mail : privacy@beweging.net We bezorgen u binnen 30 dagen een antwoord. Mocht u niet het verwachte antwoord op uw verzoek ontvangen, dan kunt u een klacht indienen bij de bevoegde autoriteit in België: https://www.privacycommission.be Doorgeven van persoonsgegevens Beweging° gaat niet over tot het meedelen, verkopen, doorgeven of anderszins verspreiden van uw persoonsgegevens aan derde partijen buiten de Beweging°, tenzij met betrekking tot de uitvoering van de overeenkomst (bv. aflevering van prijs voor een wedstrijd enz.), tenzij dat wettelijk vereist wordt of tenzij u uw uitdrukkelijke toestemming hebt gegeven om dat te doen. Wij verstrekken geen persoonsgegevens aan partijen welke gevestigd zijn buiten de EU. Gegevensbeveiliging Beweging° neemt technische en organisatorische beveiligingsmaatregelen om uw persoonsgegevens te beschermen tegen vernietiging, verlies, wijziging, inzage of misbruik. Beweging° verbindt zich er ook toe de toegang tot de persoonsgegevens zo veel mogelijk te beperken en toegang dus enkel te verlenen wanneer noodzakelijk. Medewerkers die toegang tot de gegevens hebben, zijn op de hoogte gebracht van hun verplichtingen met betrekking tot gegevensbeveiliging en geheimhouding. 25
GDPR Wat u moet weten 26 Minderjarigen Beweging° let er op dat de privacy van minderjarigen wordt beschermd en moedigt ouders aan om actief betrokken te zijn bij de online activiteiten van hun kinderen. Beweging° zal niet doelbewust of opzettelijk persoonlijke gegevens van minderjarigen verzamelen. Beweging° moedigt minderjarigen aan, indien zij een van onze websites bezoeken, hun ouders in te lichten over hun online-activiteit en hun mening te vragen vooraleer persoonlijke gegevens aan ons door te sturen. Contact Met vragen over de verwerking van uw persoonsgegevens kunt u terecht bij privacy@beweging.net ° Beweging omvat de navolgende rechtspersonen en verenigingen: Beweging VZW Sociaal Engagement cvba-so Beweging.academie VZW Procura VZW Pronet Verzekeringen CVBA Visie 26
GDPR Wat u moet weten Je plaatst je Privacyverklaring op een altijd bereikbare plaats, bv. op je website en je verwijst er telkens naar indien je gegevens over die groep verzamelt. Je verwijst naar je Privacyverklaring op alle documenten en formulieren waarmee je gegevens verzamelt. Een privacyverklaring deelt mede dat je doet met de persoonsgegevens, hiervoor is geen toestemming vereist. 27
GDPR Verantwoordingsplicht Wat u moet weten Verantwoordingsplicht Je moet kunnen bewijzen dat je vereniging er alles aan heeft gedaan om met gegevens op een goede manier om te gaan en dat men schade kan lijden. OMKERING VAN DE BEWIJSLAST !! Als een persoon vindt dat hij/zij schade heeft ondervonden, doordat jouw vereniging niet op een goede manier met zijn of haar gegevens is omgegaan, moet jouw vereniging kunnen aantonen dat ze dit wel correct heeft aangepakt. 28
GDPR DEEL 2 : HOE BRENG JE JE VERENIGING IN ORDE ? Wat u moet weten DEEL 2 : HOE BRENG JE JE VERENIGING IN ORDE ? Wat heb je zeker nodig ? Gegevensregister van iedere groep waar je gegevens van bijhoudt Privacyverklaring Afspraak : hoe kunnen personen hun rechten laten gelden ? Afspraak : hoe beveiligen we onze gegevens 29
GDPR Afspraak : wat te ondernemen bij een datalek ? Wat u moet weten Afspraak : wat te ondernemen bij een datalek ? Contract (lid) of verklaring van derden 2 SCENARIO’S : Je vereniging houdt geen/weinig gegevens bij Je vereniging houdt veel gegevens bij 30
GDPR Wat u moet weten SCENARIO 1 Wat nodig ? a. Gegevensregister 31
GDPR a. Gegevensregister van je leden : dit omvat : Wat u moet weten a. Gegevensregister van je leden : dit omvat : Waarvoor je gegevens bijhoudt Wat je rechtsgrond is Welke gegevens je bijhoudt Waar je die gegevens bijhoudt Wat je met deze gegevens doet Hoelang je deze gegevens wenst te bewaren Hoe deze gegevens beveiligd zijn 32
GDPR b. Gegevensregister van deelnemers aan activiteiten : Wat u moet weten b. Gegevensregister van deelnemers aan activiteiten : Ongeveer identiek als je gegevensregister voor je leden. c. Afspraken binnen je vereniging : inzage / verbetering / verwijdering Bij wie en hoe kan men terecht om gegevens in te kijken / te laten verbeteren / te laten verwijderen 33
GDPR c. Afspraak binnen je vereniging : hoe beveiligen we de gegevens Wat u moet weten c. Afspraak binnen je vereniging : hoe beveiligen we de gegevens Opsomming van technische en organisatorische beveiliging van de persoonsgegevens. d. Afspraken binnen je vereniging : wat bij een datalek Wie is verantwoordelijk voor het doorgeven van een datalek aan de GBA ? Hoe wordt een datalek doorgegevens aan de persoon. 34
GDPR c. Afspraak binnen je vereniging : hoe beveiligen we de gegevens Wat u moet weten c. Afspraak binnen je vereniging : hoe beveiligen we de gegevens Opsomming van technische en organisatorische beveiliging van de persoonsgegevens. d. Afspraken binnen je vereniging : wat bij een datalek Wie is verantwoordelijk voor het doorgeven van een datalek aan de GBA ? Hoe wordt een datalek doorgegevens aan de persoon. 35
GDPR e. Indien je gegevens deelt met anderen Wat u moet weten e. Indien je gegevens deelt met anderen Je vereniging dient een contract of verklaring te hebben dat die organisatie in orde is met de GDPR - wetgeving. f. Privacyverklaringen Je zet alle info duidelijk en verstaanbaar in een privacyverklaring en je publiceert deze verklaring op een plaats waar ze kan geraadpleegd worden. Je verwijst naar je verklaring indien je gegevens verzamelt. 36
GDPR Wat u moet weten HET IS AANBEVOLEN DEZE STAPPEN SCHRIFTELIJK BIJ TE HOUDEN. BIJ CONTROLE VAN DE GBA ZAL MEN DEZE STAPPEN WILLEN NAZIEN EN CONTROLEREN. 37
GDPR SCENARIO 2 Wat nodig ? Idem scenario 1 : MAAR… Wat u moet weten 38
GDPR Wat u moet weten a. Bewustmaking : Zorg dat iedereen binnen je vereniging op de hoogte is van de GDPR – wetgeving en wat van hen wordt verwacht. Wat mag en wat mag niet ? 39
GDPR b. Opstellen inventaris : Van wie houd je gegevens bij ? Wat u moet weten b. Opstellen inventaris : Van wie houd je gegevens bij ? Welke gegevens hou je bij ? Waar staan deze gegevens ? Hoe zijn deze gegevens beveiligd ? 40
GDPR c. Regelmatig je inventaris bijsturen / actualiseren (jaarlijks) Wat u moet weten c. Regelmatig je inventaris bijsturen / actualiseren (jaarlijks) Houden we niet teveel gegevens bij ? Welke gegevens mogen we verwijderen ? Houden we gegevens niet te lang bij ? Is de beveiliging nog afdoende ? … 41
GDPR EXTRA’S NIEUWSBRIEVEN Wat u moet weten EXTRA’S NIEUWSBRIEVEN Digitale nieuwsbrieven naar leden : geen probleem (deel van lidmaatschap) Digitale nieuwsbrieven naar sympathisanten of occasionele deelnemers : uitdrukkelijk toestemming nodig ! 42
GDPR EXTRA’S FOTO’S EN BEELDMATERIAAL Wat u moet weten EXTRA’S FOTO’S EN BEELDMATERIAAL Gerichte beelden (goed herkenbaar en gericht genomen) : toestemming nodig Overzichtfoto’s publiek domein : geen toestemming nodig, tenzij ze gericht zijn op één of enkele personen Tip best steeds (schriftelijk) toestemming vragen ! 43
GDPR Wat u moet weten Enkele vragen : Mag ik nog lijsten van vrijwilligers of andere contacten doorgegeven aan een politieke partij zodat ze deze kunnen mailen ? Mag ik gegevens van ex (bestuurs)leden of deelnemers van bepaalde activiteiten eindeloos bijhouden ? (bv. om hen later uit te nodigen naar een jubileum) Moet ik mijn laptop/gsm beveiligen met een wachtwoord ? Moeten op digitale uitnodigingen of nieuwsbrieven een verwijzing staan naar de GDPR wetgeving ? 44
GDPR Wat u moet weten Wat dien ik te ondernemen als ik gegevens deel met bv. een plaatselijke drukker ? Kan ik nog nieuwsbrieven sturen naar sympathisanten of occasionele deelnemers aan onze activiteiten? Kan ik foto’s (waarop de persoon gericht in beeld is genomen en goed herkenbaar is) gebruiken voor een nieuwsbrief, folder,… ? Kan ik overzichtsfoto’s van manifestaties (zonder dat ze focussen op één persoon of meerdere personen) gebruiken ? 45
GDPR Wat u moet weten VRAGEN ? DANK VOOR UW AANDACHT !! 46