GDPR met medewerking van Wet op bescherming van de Privacygegevens van leden verenigingen Invoegen vanaf 25 mei 2018 GDPR met medewerking van Sportvisserij Vlaanderen, www.Dynamoproject.be Deze tools kwam tot stand in samenwerking met Scwitch en T&C Blue Horizon.
Deze cursus bestaat uit zes tools die door de clubs kunnen aangepast worden aan hun situatie Al deze tools kunnen gedownloud worden na regiestratie op website www.Dynamoproject.be
Stappenplan om GDPR compliant te worden: “ Ga planmatig te werk en hou alles goed bij “ bewustmaking: agendeer het thema binnen de clubbestuur Inventariseer: lijst op wie welke persoongegevens en waarom bewaart Toets: je gegevensverwerking aan de GDPR – principes, heb je alle gegevens nodig, beveilig je ze, op basis van welke wettelijke grond bewaar je de gegevens. Maak een register op voor elke catogorie van verwerking( bv. Ledenregistratie, activieteieten, enz..) Maak een goede pricacyverklaring op Werk procedures uit zodat je de rechten van betrokkenen kan respecteren Zorg voor contracten tussen de verwerkingverantwoordelijken en verwerker Werk een procedure uit zodat je kan reageren van een datalek
Overzicht tools GDPR: 1- Tool 1: INVENTARIS GDPR 2- Tool 2: TOETSING GDPR 3- Tool 3: REGISTER GDPR 4- Tool 4: VERKLARING GDPR 5- Tool 5: CONTRACT MET DERDE GDPR 6- Tool 6: AANGIFTEFORMELIER DATALEK GDPR
Stap 1 : bewustmaling Informeer het bestuur en de medewerkers van de organisatie die met persoongegevens werken over: Het belang van privacy van je leden, deelnemers…. De basisbeginselen van gegevensverwerking, ( proportionaliteit / legaliteit / transparantie ) Te nemen stappen om je organisatie in regel te brengen Noodzaak van beveiliging van persoonsgegevens Belangrijk om iedereen die persoonsgegevens verwerkt te informeren en te betrekken Agenderen en verslagen bijhouden ( documentatie)
Nu gaan we een beetje dieper in de zes tools: 1 - Inventaris: bestaat uit twee onderdelen: 1.1- gegevens club 1.2- context club 2 –Persoongegevens in club 3 – Betrokkenen in club 4 – Beschrijving verwerkingsactiviteiten club Naar voorbeeld blad :
Stap 2 : Opmaak inventaris Welke gegevens bewaart je organisatie ( naam, adres,…..) Waar bewaart je organisatie de gegevens? Hoe lang worden ze bewaart? Wie heeft er toegang toe? Worden de gegevens beschermt of beveiligd? Waarvoor gebruiken jullie de gegevens, ( bv. Uitnodigingen, nieuwsbrief, deelname organisatie van wedstrijden,….)
Tool 2 – Toetsing: Verwerking persoongegevens aan principes GDPR Tool 2 – Toetsing: Verwerking persoongegevens aan principes GDPR. 1- legitimiteit van verwerking: 2- Proportionaliteit 3- Beveiliging en vertrouwelijkheid 4- Transparantie Naar voorbeeld blad:
Op basis van de inventaris bekijk je of… Stap 3 : Analyse Op basis van de inventaris bekijk je of… Je de leden deelnemers, partners duidelijk informeert ( privacyverklaring ) Je een wettelijke grond hebt om gegevens te verwerken Je niet te veel gegevens opvraagt en deze niet te lang bewaart Leden/ deelnemers de mogelijkheid hebben om hun gegevens te corrigeren, te laten verwijderen… Lijst op hoe je gegevens in beveiligde omgeving bewaart ( paswoorden, beeldmateriaal Ga voor de je gegevens verwerkt na of er risoco is op verlies of ongeoorloofde toegang Bekijk welke verbeterstappen je kan zetten, lijst op wie welke maatregel je neemt Intersante site: www.safeonweb.be
Tool 3 – Opstellen van registers verwerking persoongegevens van clubleden: In het voorbeeld bestaat dit uit volgende bladen, indien nodig kan dit aangepast worden: 1- Handleiding, zeker lezen zodat je de invulbladen goed kunt bewerken 2- Catogorien, alle voorgestelde optie kan aanpassen of verwijderen 3- Ledenadminiestratie, Eerste blad van het registers, alle kolommen dienen ingevuld te worden via te klikken in cel en een keuze te maken uit het menu dat gehaald is uit blad catogorien. 4- Sportieve voorbereiding, hier dezelfde opbouw, welke gegevens je gebruikt, enz 5- Competietie en tornooien 6- Extra evenementen, barbecue´s, feesten, enz… 7- Promotie en communiecatei
Naar voorbeeld Tool 3:
Stap 4 : opmaak register Overzicht van de soorten verwerking gekoppeld aan de doeleinden ( bv. Ledenregistratie, en deelnemers aktiviteiten,…) Verplicht instrument om bij controle te voldoen aan je verantwoordingsplicht als verwerkingsverantwoordelijke Wordt contonu geactualiseerd en aangevuld ( in tegenstelling tot de inventaris en analyse ) De informatie uit de inventaris en analyse zijn een goede basis voor een verdere uitwerking in een register Verplichte verwerkingsactiviteit: Naam en contactgegevens, verwerker en verwerverantwoordelijke verwerkingsdoeleinden Catogorieen van betrokkenen Catogorieen persoongegevens Catogorieen van ontvangers en derde landen of organisatie Bewaartrmij gegevens Technische en organisatorische maatregel beveiligin Waarborgen bij doorgifte gegevns aan derde landen
Tool 4 – Privacyverklaring: Is een document waar instaat welke gegevens en waarom deze worden verwerkt binnen de club, de aangesteld persoon moet dit altijd kunnen voorleggen bij controle. Naar voorbeeld V.L.L.:
Stap 5 : duidelijk informeren: de privacyverklaring De betrokken moeten duidelijk geinformeerd worden over wat er met hun gegevens gebeurt, dat moet proactiefv gebeuren, de verantwoordelijke mag dus niet wachten met het geven van de informatie totdat de betrokkene ernaar vraagt Je organisatie moet duidelijk informeren over de rechten van de betrokkenen en hoe die kunnen uitgeoefent worden. Dit moet beknop in een duidelijke taal en in gemakkelijke toeganklijke vorm. De meest aangeweze manier is de privacyverklaring op de website van de vereniging plaatsen en in inschrijvingdocumenten naar verwijzen Opgelet : het is een verklaring, een mededeling van de vereniging naar lid/ deelnemer. De betrokkene moet de verklaring niet goedkeuren
Tool 5 – contrakt verwerking persoongegevens Dit is een document dat op gesteld wordt als je de gegevens van personen binnen de club doorgeeft aan een andere club, federatie, enz… Dit document diend ook steeds bij de aangestelde binnen de club aanwezig te zijn als er controle komt Naar voorbeeld contrakt V.L.L. met Sportvisserij Vlaanderen:
Stap 6 : procedures rechten betrokkenen De voornaamste rechten van de betrokkenen voor lokale organisaties: Recht op inzage en kopie: de persoon van wie je gegvens bijhoudt heeft het recht om bepaalde gegevens in te zien, een gratis kopie van de verwerkte gegevens binnen de maand ( verlenbaar met 2 maanden ) Recht op aanpassing (rectification ): de persoon van de gegevens die je bijhoudt heeft het recht om onjuiste of onvolledige gegevens te verbeteren Recht op vergetelheid ( verwijderen van gegevens ): in een aantal specifieke gevallen kan de persoon van de gegevens vragen om “vergeten te worden” en te worden verwijderd uit uw database. Je kan de vraag tot verwijderen ook weigeren in een aantal gevallen Recht op intrekken toestemming
Tool 6 – Aangifteformelier bij datalek Dit is een formelier om een datalek te melden bij uw club als er gegevens misbruikt worden door onbevoegde personen ( bv. Hackers, enz..) De club diend dan zo vlug mogelijk de gegevens de beschermen en verder inbreuken proberen te verkomen. Men diend dit eerst bij betrokken club te melden daarna bij verantwoordelijke instantie: https://www.gegevensbeschermingsautoriteit.be Naar voorbeeld V.L.L.
Nuttige linken op het internet: www. dynamoproject. be https://www https://www.dnsbelgium.be/nl/nieuws/heerlijk-helder-9-wat-gdpr https://www.lexx-it.nl/gdpr-boetes-laat-bang-maken
Vervolgstappen voor de sportclub: Alle bestaande activiteiten en verwerking toetsen aan de GDPR wetgeving Register gegevensverkingen aanvullen, vervolledigen en bewaren ( documenteren ) Privacyverklaring uitwerken, aanpassen en op website plaatsen of met leden doornemen en bewaren Overeenkomsten sluiten met de verwerkers van de gegevens Beveiliging van de gebruikte IT programmas, nakijken en eventueel aanvullen Boetes bij misbruik of niet in bezit zijn van de privacyverklaring begint bij 25 € tot 100.000 € naargelang de inbreuken
Einde voorstelling GDPR