1. GDPR in een notendop

Wat is GDPR en waarom bestaat dit?

Op 24 mei 2016 traden de nieuwe Europese regels over de bescherming van de persoonsgegevens in werking. Ze zijn beter bekend onder de naam GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming). 

Ook muziekverenigingen verzamelen data en bewaren persoonlijke gegevens. De procedures die deze wetgeving oplegt zijn dus eveneens op hen van toepassing. In principe zou elke vereniging intussen de nodige stappen genomen moeten hebben om hiermee in orde te zijn. Het blijft evenwel een werk van alle dag om de GDPR-regels te blijven toepassen.

Door het belang van de wetgeving en vooral van haar gevolgen, herhalen we hieronder nog eens kort de algemene spelregels en het stappenplan dat je moet volgen wanneer je van start gaat.  We verduidelijken daarna een aantal begrippen en geven nog wat concrete vuistregels mee.   

Basisregels 

  • Om persoonlijke data te verwerken, moet er steeds een juridische basis zijn. Wees daarom transparant waarom je de gegevens vastlegt en wat je ermee gaat doen. Leden geven immers hun toestemming voor het specifieke gebruik dat je van hun gegevens maakt.
    Opgepast: voor kinderen zal de toestemming van de ouders nodig zijn. 
  • Informeren is dus heel belangrijk! Je bent verplicht om de mensen van wie je de gegevens gebruikt proactief te informeren over het gebruik en over de rechten die ze hebben.  
  • De gegevens die je verzamelt moeten relevant zijn voor het doel dat je als vereniging voor ogen hebt. Hou ze ook niet langer bij dan nodig! 
  • Het bijhouden van een register over je gegevensverwerking is verplicht, zie onder. 
  • Hou de gegevens up-to-date en gebruik steeds de laatste.
  • Leden hebben steeds het recht om hun persoonlijke gegevens in te kijken, te laten corrigeren en om hun toestemming om deze gegevens te gebruiken voor bepaalde toepassingen, in te trekken. 
  • Beveilig de persoonlijke data die je bijhoudt; hou daarbij rekening met de gevoeligheid van de gegevens die je bewaart.  
  • Vermijd elk datalek. Gebeurt het toch, verwittig dan onmiddellijk de bevoegde autoriteit en eventueel ook de betrokken perso(o)n(en).  

Begrippen

Privacyverklaring

Een van de basisregels is dat de mensen duidelijk moeten geïnformeerd worden. 

Dit doe je aan de hand van de privacyverklaring. Die maak je het best raadpleegbaar door publicatie op je website. Je kan er dan steeds naar verwijzen. Op die manier nemen de leden kennis; dit is in principe voldoende. Instemming is enkel vereist voor heel specifiek gebruik van de gegevens.  

Hoe je hiervoor concreet te werk gaat, wordt hier uitgewerkt.  

Inspiratie voor een dergelijke verklaring vind je zeker op de website van andere muziekverenigingen. 

Register 

Het is een verplichting om een register bij te houden; dit is een actief, levend document waarin de GDPR-verantwoordelijke en de gegevensverwerker al hun activiteiten bijhouden. 

Hoe je daarbij te werk gaat, vind je hier.   

Datalek

Je doet er natuurlijk alles aan om het te vermijden, maar soms gebeurt het dat je  geconfronteerd wordt met verlies van persoonsgegevens.  Dan moet onmiddellijk actie ondernomen worden. Start met de aangifte bij de privacycommissie. Hier vind je een voorbeeld van een aangifteformulier.  

Tot slot, nog enkele vuistregels:

  • Informeer duidelijk! 
  • Hoe minder je bijhoudt, hoe minder risico’s en hoe eenvoudiger om alles up-to-date te houden. 
  • Vermijd gevoelige gegevens (zoals medische gegevens, geloof, …). 
  • Hou enkel gegevens bij die noodzakelijk zijn voor de werking van je vereniging.
  • Maak regelmatig back-ups van je computer. 
  • Wijzig vaak je wachtwoorden. 
  • Verwijs zo vaak mogelijk naar de privacyverklaring op je website. 

2. Foto’s, filmpjes en sociale media

Met de komst van de smartphones, zijn foto's en filmpjes niet meer weg te denken! Bovendien delen mensen ze gretig op sociale media (Facebook, Instagram, TikTok ... ). 

Kan dit zomaar? 

We gaven het eerder al aan: van zodra het gaat om de verwerking van persoonsgegevens is GDPR van toepassing. Dit betekent dat je voor het maken en gebruiken van foto's en filmpjes de toestemming moet vragen van de afgebeelde persoon of personen. 

Gerichte versus niet-gerichte beelden

Wat betekent dit in de praktijk? Moet je voor elke foto die je op de Facebookpagina van je vereniging plaatst de toestemming vragen van je leden? Nee, er is namelijk een onderscheid tussen gerichte en niet-gerichte beelden. 

Gerichte beelden: 

  • Beelden waarop één of enkele personen uitgelicht worden of poseren voor de foto, waardoor ze duidelijk herkenbaar zijn (bv. close-up tijdens een concert, "geposeerde" groepsfoto)
  • Toestemming van de betrokken personen is steeds vereist!

Niet-gerichte beelden:

  • Dit zijn sfeerbeelden die niet de bedoeling hebben om bepaalde personen duidelijk in beeld te brengen (bv. algemeen sfeerbeeld van het orkest tijdens een concert). 
  • Toestemming van de betrokken personen is niet vereist. 

Toestemming vragen

Is de toestemming van de betrokken personen vereist? Vraag dan om een schriftelijke toestemming via een toestemmingsformulier. Een mondelinge of stilzwijgende toestemming kan immers zorgen voor discussies achteraf.

Enkele gouden tips:  

  • Ook al heb je geen toestemming nodig om niet-gerichte beelden te gebruiken, toch is het goed om  je aanwezigen te melden dat er algemene sfeerbeelden gemaakt en gedeeld kunnen worden. Weigeren er toch mensen op de foto te staan? Neem dan gewoon geen foto.
  • Vraagt een persoon je om een foto weg te halen, doe dit dan onmiddellijk.  
  • Gebruik je gezond verstand en probeer je in te leven in de persoon wiens beelden je gebruikt. 
  • Wees voorzichtig wanneer je beelden publiceert op het internet. Beveilig het beeldmateriaal, anders verlies je elke controle: bv. maak foto's enkel zichtbaar voor leden, maak openbare foto's voldoende anoniem ... 
  • Vraag altijd de toestemming aan de ouders voor je beelden maakt/deelt van kinderen.

Bekijk ook deze tips:  

3. Wat met e-mails en nieuwsbrieven?

Het gebruik van e-mails en digitale nieuwsbrieven om leden te contacteren en op de hoogte te houden van wat er reilt en zeilt in de vereniging, is niet meer weg te denken. Via deze media kun je bovendien snel een groot publiek bereiken, maar mag dit zomaar?  

E-mailadressen die de naam van een persoon vermelden zijn persoonsgegevens. Het bijhouden en verwerken van deze adressen valt dan ook onder de GDPR-regels. Of je toestemming moet vragen of niet, hangt af van het doel.  

Geen toestemming nodig:

  • Via e-mail communiceren met een lid, individuele vragen stellen en/of beantwoorden.
  • Leden in groep via e-mail of een nieuwsbrief op de hoogte houden van de dagelijkse werking van je vereniging en verenigingsactiviteiten (data, organisatie ... ), zolang er geen commerciële boodschappen worden meegegeven (bv. publiciteit van sponsors).

Toestemming nodig:

  • Om promotionele nieuwsbrieven te versturen heb je steeds de toestemming nodig van de ontvanger. 

Wil je niet-leden op de hoogte houden over komende concerten? Of promotionele nieuwsbrieven van sponsors naar je leden versturen? Zorg er dan voor dat je personen op een correcte manier naar hun toestemming vraagt. Mensen moeten hun toestemming actief, duidelijk en uit vrije wil geven. Je kiest daarom het best voor een aanvinkvakje. 

Leden Niet-leden
Individuele correspondentie (e-mail) Geen toestemming nodig Geen toestemming nodig
Informatieve nieuwsbrieven Geen toestemming nodig Toestemming nodig
Promotionele nieuwsbrieven Toestemming nodig Toestemming nodig