Video player inladen ...

Wat moet mijn jeugdbeweging of voetbalclub doen om mijn privacy te garanderen?

Nu vrijdag, 25 mei, krijgen de regels die bepalen hoe u moet omgaan met data en privacy van anderen, een belangrijke update. De langverwachte Europese privacyregelgeving wordt van kracht. Wat verandert er allemaal? Hoe moeten bedrijven zich aanpassen? En wat als u de nieuwe regels niet naleeft? VRT NWS gaat een week lang op zoek naar antwoorden. Vandaag trekken we naar Scouts en Gidsen Vlaanderen in Antwerpen. Wat moeten (kleine) verenigingen doen om privacyproof te zijn?

De Algemene Verordening Gegevensbescherming (AVG, in het Engels GDPR) is duidelijk: iedereen die informatie van anderen bijhoudt, moet de (nieuwe) privacyregels respecteren. Dus niet alleen overheden, verzekeringsmaatschappijen en grote bedrijven zoals Facebook, Zalando en YouTube, maar ook sportclubs, kaartersverenigingen en buurtcomités. En dus ook jeugdbewegingen.

Daarom organiseerde Scouts en Gidsen Vlaanderen een grote vergadering over de nieuwe privacyregels in Antwerpen en VRT NWS was er bij. De boodschap was duidelijk: “houd alleen de data bij die je echt nog nodig hebt en spring heel zorgvuldig om met de gegevens die je toch nog verzamelt.”

Iedereen moet de nieuwe privacyregels respecteren. Dus ook sportclubs, kaartersverenigingen en buurtcomités. 

Over welke gegevens spreken we?

Een scoutsgroep beschikt, net zoals veel andere verenigingen, over ontzettend veel gegevens van anderen. Denk maar aan adressen van leden, telefoonnummers van ouders, foto’s van activiteiten, gegevens van eigenaars van kampverblijven, contactgegevens van ex-leiding,… Bovendien hebben ze ook veel “gevoelige gegevens” zoals medische informatie, gegevens over de (financiële) thuissituatie of de religieuze achtergrond van leden. Michiel Neefs van Scouts en Gidsen Vlaanderen heeft het over een "jackpot van speciallekes". Hij legt aan de leiding uit welke gegevens allemaal beschermd moeten worden.  

Video player inladen ...

Wat moet er nu gebeuren?

Veel verenigingen zullen misschien uit de lucht vallen, maar er bestaan al sinds 1992 regels over hoe deze gegevens beschermd moeten worden. Maar die regels waren op bepaalde vlakken nogal vaag en vooral: er waren geen duidelijke sancties voor wie de regels niet naleefde. De nieuwe privacyregels, die van toepassing zullen zijn in heel Europa, leggen duidelijke verplichtingen op én voorzien in (zware) sancties. Maar wat moet er nu precies gebeuren? Hier vier belangrijke stappen.

1. Iedere vereniging moet goed nadenken hoe er nu al wordt omgegaan met gegevens. Welke gegevens worden verzameld, waar worden die bewaard en hoe lang, wie heeft er toegang tot, hoe worden de gegevens beschermd, hoe worden ze uitgewisseld en waarvoor worden ze gebruikt? De basisregel is hoe dan ook: hou enkel gegevens bij die écht nodig zijn en verwijder gegevens zodra u die niet meer nodig hebt. De scoutsgroep mag gegevens van ex-leden dus niet jarenlang bijhouden.

Hou enkel gegevens bij die écht nodig zijn en verwijder gegevens van zodra u die niet meer nodig hebt. 

Video player inladen ...

2. Alle verenigingen moeten een dataregister opstellen: een elektronisch document waar alle gegevens worden opgelijst die verzameld worden. Dit document moet telkens worden aangevuld zodra er nieuwe gegevens worden verzameld: iedere verwerking van gegevens (gegevens opslaan, doorsturen, verwijderen,…) moet dus geregistreerd worden. In dat dataregister moet er bij iedere gegevensverwerking staan waarom die gegevens worden opgeslagen, wat er met de gegevens gebeurt, hoe ze beveiligd worden en hoelang ze bewaard worden.

De AVG zegt dat u niet zo maar gegevens mag opslaan, dat u dat enkel mag doen voor welbepaalde redenen. Bijvoorbeeld omdat het nodig is om een contract te kunnen uitvoeren of omdat u anders een taak die heel belangrijk is voor uw organisatie niet meer kan uitvoeren. Die reden moet u in het dataregister bij iedere gegevensverwerking noteren. Hier vindt u een voorbeeld van zo’n dataregister.

U mag niet zo maar gegevens opslaan. Dat mag enkel als de wet het voorziet of u hier uitdrukkelijk toestemming voor kreeg. 

Een vereniging mag ook altijd gegevens van anderen verzamelen als ze daar uitdrukkelijk toestemming voor heeft gekregen. Maar wie toestemming gaf, kan die toestemming ook altijd intrekken, en dan moeten alle gegevens meteen worden vernietigd.

Video player inladen ...

3. Een vereniging moet iedereen van wie ze gegevens verzamelt ook duidelijk informeren via een privacyverklaring. Dit mag geen onbegrijpbare tekst zijn van dertig pagina’s in een klein lettertype, maar moet duidelijk, toegankelijk en eenvoudig zijn. In zo’n privacyverklaring moet er onder meer staan waarom u de gegevens verzamelt, hoelang u dat doet en met wie u de gegevens uitdeelt. Hier kan u een checklist vinden van wat er in zo'n privacyverklaring moet staan.

De privacyverklaring moet duidelijk, toegankelijk en eenvoudig zijn. 

Video player inladen ...

4. Iedere vereniging moet ook beseffen dat diegenen van wie ze gegevens verzamelen ook veel rechten hebben. Zo kan iedereen altijd vragen welke gegevens er worden bijgehouden en verzoeken om die gegevens aan te passen of zelfs te verwijderen. Iedereen kan ook altijd de toestemming om de gegevens te verzamelen intrekken en dan moet dat onmiddellijk gebeuren. Verenigingen moeten zich dus zo organiseren dat iedereen bij hen terecht kan met dergelijke vragen en dat er snel kan gereageerd worden.

Iedere vereniging moet beseffen dat diegenen van wie ze gegevens verzamelen ook veel rechten hebben. 

Conclusie?

De AVG doet iedere vereniging, klein of groot, grondig nadenken over hoe het omgaat met de gegevens van anderen. Kunnen we dat wel vragen en waarom? Hoe gebruiken we die gegevens? En mogen we dat wel zo lang bewaren? De eerste stap is dus een denkoefening. Maar er moeten natuurlijk ook belangrijke documenten worden opgesteld, zoals een dataregister en een privacyverklaring.

Vele regels zijn niet nieuw en dateren eigenlijk al van 1992, maar het grote verschil is dat er vanaf 25 mei sancties kunnen volgen als de regels niet gerespecteerd worden. Maar de Privacycommissie liet in ieder geval al weten dat verenigingen niet meteen zware boetes moeten vrezen. Over die sancties en de maatregelen die u kan nemen als gegevens niet correct worden verwerkt, hebben we het later deze week nog. 

Morgen trekken we naar GO! basisschool Groei! in Vlamertinge. Wat moeten scholen doen om privacyproof te zijn?