Stappenplan GDPR

GDPR

GDPR?

GDPR, de General Data Protection Regulation – of ook AVG (Algemene Verordening Gegevensbescherming) genoemd – is de nieuwe Europese regelgeving om de privacy van burgers beter te beschermen. Je kan de regels zien als een fikse aanvulling op onze Belgische privacywet. Alle bedrijven, vzw’s, feitelijke verenigingen die persoonsgegevens verwerken, moeten de nieuwe spelregels volgen. Vanaf 25 mei 2018 kan je controle krijgen op het juist toepassen van deze regels. De Privacycommissie zal hiervoor instaan. 


Privacy bij verenigingen?

Heel wat verenigingen houden gegevens bij van hun vrijwilligers, bestuurders, leden, deelnemers,...:

  • om de werking in goede banen te leiden,
  • om vrijwilligers, bestuurders, leden, deelnemers,... op de hoogte te kunnen houden,
  • om hen te bedanken, een gelukkige verjaardag te wensen,
  • om vergoedingen of verzekeringen voor vrijwilligers te beheren,
  • en misschien ook wel om jaarlijkse cijfers te trekken van de werking.

Al deze handelingen vallen onder de regelgeving van GDPR, want van zodra je persoonsgegevens bijhoudt en verwerkt, heb je impact op de privacy van deze personen.


Dit filmpje loodst je al door de belangrijkste aspecten van de AVG.

Het volgende stappenplan werd door scwitch ontwikkeld voor lokale verenigingen, samen met twee handige vragenlijsten en een ontwerp register voor (kleine) ledenorganisaties of verenigingen die activiteiten organiseren. 

Wanneer je de stappen doorloopt en de nodige maatregelen neemt is je vereniging in orde met de nieuwe Europese privacy verordening van 25 mei 2018.
 

Stap 1: Bewustmaking

Bespreek met je bestuur en informeer de medewerkers in je organisatie die met gegevens werken over:

  • het belang van privacy van je vrijwilligers, leden, deelnemers,…
  • de stappen om je organisatie in regel te brengen
  • de beveiliging van persoonsgegevens

Het is belangrijk om iedereen die persoonsgegevens verwerkt te informeren en te betrekken.

Tip: GDPR agenderen en verslagen bijhouden

 

Stap 2: Inventaris

Lijst op welke gegevens jullie waarom gebruiken. De inventaris is geen verplicht document maar helpt wel om een goed zicht te krijgen over de gegevens verwerking in je organisatie. Het is ook een goede basis voor de opmaak van je register.

  • Welke gegevens bewaar je als vereniging (naam, adres, leeftijd,…)?
  • Waar bewaar je de gegevens?
  • Hoe lang worden ze bewaard?
  • Wie heeft er toegang toe?
  • Worden de gegevens beschermd of beveiligd?
  • Waarvoor gebruiken jullie de gegevens? (post, nieuwsbrief, …)

Je kan dit doen aan de hand van de scwitch vragenlijst ‘lokaal GDPR vragenlijst voorbereiding register

 

Stap 3: Analyse en maatregelen

Ga na hoe ver je staat en welke stappen je best neemt om de privacy van de gegevens van je leden en deelnemers te beschermen.

Op basis van de inventaris bekijk je of 

  • je de leden, deelnemers, partners duidelijk informeert (privacyverklaring)
  • je een wettelijke grond hebt om gegevens te verwerken
  • je niet te veel gegevens opvraagt en deze niet te lang bewaart
  • de gegevens voldoende worden beveiligd
  • leden, deelnemers, de mogelijkheid hebben om hun gegevens in te zien, te corrigeren, te laten verwijderen,…

Je kan dit nagaan aan de hand van de scwitch vragenlijst: ‘Toetsing verwerking persoonsgegevens aan de GDPR principes

Tip: Interessante site: www.safeonweb.be

 

Stap 4: Register (verplicht document)

Maak een register op over je gegevensverwerking. Gebruik hiervoor het ontwerp register van scwitch. Kies uit de lijstjes de vakken die voor jouw vereniging van toepassing zijn.

  • overzicht van de soorten verwerking van gegevens, gekoppeld aan de doeleinden (vb ledenregistratie, registratie van activiteiten en deelnemers,…) 
  • verplicht instrument om bij controle te voldoen aan je verantwoordingsplicht als verwerkingsverantwoordelijke
  • wordt continu geactualiseerd en aangevuld (in tegenstelling tot de inventaris en analyse) 
  • de informatie uit de inventaris en analyse zijn goede basis voor een verdere uitwerking in een register

Online template als basis

Stap 5: Privacyverklaring (verplicht document)

Maak een privacyverklaring op. Neem hier volgende zaken zeker in op:

  • WELKE gegevens worden verwerkt?
  • WAAR krijgt of verzamelt je organisatie de gegevens?
  • WAAROM worden de gegevens bewaard?
  • WIE verwerkt in je organisatie gegevens?
  • WIE krijgt de gegevens?
  • WAT wordt precies HOE, WAAR en HOELANG bewaard?
  • HOE worden gegevens beveiligd?
  • HOE zorg je voor je de uitoefening van de rechten van betrokkenen?

Gebruik hiervoor het document ‘ontwerp privacyverklaring’ (aangepast document) van scwitch. 

Plaats je privacyverklaring duidelijk op al je kanalen waar je gegevens verzamelt. Je kan dit ook doen door je privacyverklaring op je website te plaatsen en hier steeds naar door te linken/verwijzen.

TipLees zeker deze FAQ's over e-mail en nieuwsbrieven
 

Stap 6: Vragen van leden of deelnemers

Je leden en deelnemers hebben rechten. Zorg dat je als organisatie kan reageren bij vragen van leden. De belangrijkste rechten van leden of deelnemers voor jouw werking zijn:

  • recht op inzage en kopie
  • recht op aanpassing van de gegevens (rectification)
  • recht op vergetelheid (verwijderen van gegevens), behalve wanneer deze nog nodig zijn voor bijvoorbeeld uitvoering contract,…
  • recht op intrekken toestemming (bij toestemming als rechtsgrond)

 

Stap 7: Aanpak datalek

Verlies van persoonsgegevens moet je aangeven bij de privacycommissie. Zorg dat je klaar bent bij mogelijk datalek (verlies van persoonsgegevens). Duidt een persoon aan die deze taak op zich neemt. Zorg dat iedereen in je organisatie weet tot wie hij zich moet richten.



Zit je verder nog met aanvullingen, voorbeelden of vragen in verband met de GDPR? Contacteer ons op [email protected].

 

 

Meer informatie:

Extra documentatie door scwitch:

 

Handige websites:



Tip: Neem even de tijd om deze video te bekijken waar de verschillende stappen van het scwitch-stappenplan worden besproken.