1. GDPR in een notendop
Wat is GDPR en waarom bestaat dit?
Op 24 mei 2016 traden de nieuwe Europese regels over de bescherming van de persoonsgegevens in werking. Ze zijn beter bekend onder de naam GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming).
Ook muziekverenigingen verzamelen data en bewaren persoonlijke gegevens. De procedures die deze wetgeving oplegt zijn dus eveneens op hen van toepassing. In principe zou elke vereniging intussen de nodige stappen genomen moeten hebben om hiermee in orde te zijn. Het blijft evenwel een werk van alle dag om de GDPR-regels te blijven toepassen.
Door het belang van de wetgeving en vooral van haar gevolgen, herhalen we hieronder nog eens kort de algemene spelregels en het stappenplan dat je moet volgen wanneer je van start gaat. We verduidelijken daarna een aantal begrippen en geven nog wat concrete vuistregels mee.
Basisregels
- Om persoonlijke data te verwerken, moet er steeds een juridische basis zijn. Wees daarom transparant waarom je de gegevens vastlegt en wat je ermee gaat doen. Leden geven immers hun toestemming voor het specifieke gebruik dat je van hun gegevens maakt.
Opgepast: voor kinderen zal de toestemming van de ouders nodig zijn. - Informeren is dus heel belangrijk! Je bent verplicht om de mensen van wie je de gegevens gebruikt proactief te informeren over het gebruik en over de rechten die ze hebben.
- De gegevens die je verzamelt moeten relevant zijn voor het doel dat je als vereniging voor ogen hebt. Hou ze ook niet langer bij dan nodig!
- Het bijhouden van een register over je gegevensverwerking is verplicht, zie onder.
- Hou de gegevens up-to-date en gebruik steeds de laatste.
- Leden hebben steeds het recht om hun persoonlijke gegevens in te kijken, te laten corrigeren en om hun toestemming om deze gegevens te gebruiken voor bepaalde toepassingen, in te trekken.
- Beveilig de persoonlijke data die je bijhoudt; hou daarbij rekening met de gevoeligheid van de gegevens die je bewaart.
- Vermijd elk datalek. Gebeurt het toch, verwittig dan onmiddellijk de bevoegde autoriteit en eventueel ook de betrokken perso(o)n(en).
Begrippen
Privacyverklaring
Een van de basisregels is dat de mensen duidelijk moeten geïnformeerd worden.
Dit doe je aan de hand van de privacyverklaring. Die maak je het best raadpleegbaar door publicatie op je website. Je kan er dan steeds naar verwijzen. Op die manier nemen de leden kennis; dit is in principe voldoende. Instemming is enkel vereist voor heel specifiek gebruik van de gegevens.
Hoe je hiervoor concreet te werk gaat, wordt hier uitgewerkt.
Inspiratie voor een dergelijke verklaring vind je zeker op de website van andere muziekverenigingen.
Register
Het is een verplichting om een register bij te houden; dit is een actief, levend document waarin de GDPR-verantwoordelijke en de gegevensverwerker al hun activiteiten bijhouden.
Hoe je daarbij te werk gaat, vind je hier.
Datalek
Je doet er natuurlijk alles aan om het te vermijden, maar soms gebeurt het dat je geconfronteerd wordt met verlies van persoonsgegevens. Dan moet onmiddellijk actie ondernomen worden. Start met de aangifte bij de privacycommissie. Hier vind je een voorbeeld van een aangifteformulier.
Tot slot, nog enkele vuistregels:
- Informeer duidelijk!
- Hoe minder je bijhoudt, hoe minder risico’s en hoe eenvoudiger om alles up-to-date te houden.
- Vermijd gevoelige gegevens (zoals medische gegevens, geloof, …).
- Hou enkel gegevens bij die noodzakelijk zijn voor de werking van je vereniging.
- Maak regelmatig back-ups van je computer.
- Wijzig vaak je wachtwoorden.
- Verwijs zo vaak mogelijk naar de privacyverklaring op je website.
3. Wat met e-mails en nieuwsbrieven?
Het gebruik van e-mails en digitale nieuwsbrieven om leden te contacteren en op de hoogte te houden van wat er reilt en zeilt in de vereniging, is niet meer weg te denken. Via deze media kun je bovendien snel een groot publiek bereiken, maar mag dit zomaar?
E-mailadressen die de naam van een persoon vermelden zijn persoonsgegevens. Het bijhouden en verwerken van deze adressen valt dan ook onder de GDPR-regels. Of je toestemming moet vragen of niet, hangt af van het doel.
Geen toestemming nodig:
- Via e-mail communiceren met een lid, individuele vragen stellen en/of beantwoorden.
- Leden in groep via e-mail of een nieuwsbrief op de hoogte houden van de dagelijkse werking van je vereniging en verenigingsactiviteiten (data, organisatie ... ), zolang er geen commerciële boodschappen worden meegegeven (bv. publiciteit van sponsors).
Toestemming nodig:
- Om promotionele nieuwsbrieven te versturen heb je steeds de toestemming nodig van de ontvanger.
Wil je niet-leden op de hoogte houden over komende concerten? Of promotionele nieuwsbrieven van sponsors naar je leden versturen? Zorg er dan voor dat je personen op een correcte manier naar hun toestemming vraagt. Mensen moeten hun toestemming actief, duidelijk en uit vrije wil geven. Je kiest daarom het best voor een aanvinkvakje.
Leden | Niet-leden | |
---|---|---|
Individuele correspondentie (e-mail) | Geen toestemming nodig | Geen toestemming nodig |
Informatieve nieuwsbrieven | Geen toestemming nodig | Toestemming nodig |
Promotionele nieuwsbrieven | Toestemming nodig | Toestemming nodig |