Omgaan met persoonsgegevens en privacy

GDPR, de privacywetgeving

De bescherming van onze privacy is een centrale bekommernis geworden. Een nieuwe Europese verordening stelt daarom strengere eisen aan elke organisatie die persoonsgegevens verwerkt.

De General Data Protection Regulation (Algemene Verordening Gegevensbescherming) is een geheel van Europese regels om de burger te beschermen rond het gebruik van persoonsgegevens. Afgekort spreken we van de ‘GDPR’ of ‘AVG’. De wet is een herziening van oudere Europese wetgeving uit 1995 die in België is omgezet in de Privacywet.

De nieuwe wetgeving hamert vooral op:

  • Een grotere verantwoordingsplicht, dus meer transparantie over de verwerking, het beheer en de bewaring van persoonsgegevens
  • Nadruk op de rechten van de betrokkene
  • Bewijslast bij degene die de persoonsgegevens verwerkt of daartoe opdracht geeft
  • Een sterker toezicht. De Privacycommissie wordt naast informatieorgaan ook waakhond en kan boetes opleggen.

Vaak gestelde vragen over de GDPR

Wat zijn persoonsgegevens?

Het begrip ‘persoonsgegevens’ wordt ruim geïnterpreteerd. Persoonsgegevens zijn bv. de naam van een persoon, een foto, een telefoonnummer, een bankrekeningnummer, een e-mailadres …

Wat is 'gegevensverwerking'?

Hiermee wordt elke bewerking bedoeld die op deze persoonsgegevens wordt uitgevoerd, zoals verzamelen, gebruiken, beheren of meedelen. Een lijst aanleggen wordt dus ook gezien als een verwerking.

Vanaf wanneer is GDPR van kracht?

De GDPR is van toepassing vanaf 25 mei 2018. Vanaf dan moeten we bij een controle of betwisting actief kunnen aantonen dat we er alles aan doen om ons in regel te stellen en dat we volgens de nieuwe wetgeving handelen.

Voor wie gelden de nieuwe regels?

Elke organisatie, ook vzw’s en feitelijke verenigingen die persoonsgegevens gebruiken, opslaan of verwerken, vallen onder de regelgeving en moeten zich in orde stellen. Voor Natuurpunt is de nieuwe regelgeving een opportuniteit om onze zorg voor de privacy van onze leden, donateurs, vrijwilligers, cursisten, klanten, enz. extra aandacht te geven.

Wie controleert de naleving?

De Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), beter gekend als de Privacycommissie, ziet erop toe dat de privacy wordt beschermd bij de verwerking van persoonsgegevens. De Privacycommissie is een onafhankelijk orgaan dat met het oog op de inwerkingtreding van de GDPR meer bevoegdheden zal krijgen en omgevormd zal worden tot de “Gegevensbeschermingsautoriteit”.

Wat houdt dit in voor lokale Natuurpuntwerkingen?

Worden wij als lokale afdeling, kern of werkgroep ook gevat?

Ja. Natuurpunt is onderworpen aan de nieuwe regels en dat betekent dat ook de lokale afdelingen, werkgroepen en kernen in orde moeten zijn.
Indien je enkel gebruik maakt van ledenlijsten en donateursgegevens die je opvraagt bij het secretariaat die daar centraal beheerd worden, dan volstaan volgende vuistregels:

  • Gebruik steeds de meest recente lijst van de Natuurpunt-database
  • Geef deze nooit door aan derden
  • Verwijder hem onmiddellijk na gebruik

Indien je daarnaast toch nog extra contactenlijsten wenst bij te houden van niet-leden zoals sympathisanten, bezoekers, deelnemers aan activiteiten e.d. en je wil hen contacteren (bv. voor het uitnodigen van een zeer ruime lijst van deelnemers aan het jaarlijkse eetfestijn maar waarmee je verder geen contact onderhoudt):

  • Geef hen de kans zich uit te schrijven zodat ze niet langer in je gegevensbestand zitten of niet meer voor dit soort activiteiten wordt uitgenodigd (sjabloon).
  • Je mag iemand die geen bevestiging geeft niet langer contacteren.
  • Leg een register van de verwerkingsactiviteiten aan. Onderaan de pagina vind je daarvan een sjabloon om te downloaden.

Wat doet het Natuurpuntsecretariaat al om in orde te zijn?

Op het secretariaat zijn we eind 2017 reeds gestart met een heel traject om de nieuwe regelgeving te implementeren.

Als eerste begonnen we met het inventariseren van alle gegevens die Natuurpunt verwerkt. En dat zijn er heel wat, denk maar aan de gegevens over onze leden en donateurs, maar ook aan vrijwilligers, cursisten, personeelsleden, bezoekers van onze website, deelnemers aan campagnes, enz. Bovendien hielden we hierbij reeds rekening met de afdelingen die uiteraard ook de leden- en deelnemerslijsten gebruiken.

Vervolgens brachten we de doeleinden (waarom verwerken we de gegevens, bv. voor het verzenden van ledenblad en afdelingstijdschrift) en de wettelijke basis voor elke gegevensverwerking (bv. de uitvoering van de lidmaatschapsovereenkomst) in kaart.  Ook voerden we we een proportionaliteitstoets uit. Dit wil onder andere zeggen dat we voor het bezorgen van een nieuwsbrief wel het mailadres mogen verzamelen, maar niet hoeveel kinderen of huisdieren iemand heeft.

Verder gingen we na of onze gegevens wel voldoende beschermd zijn (wie heeft toegang tot de gegevens, worden ze voldoende vertrouwelijk behandeld?) en we voldoen aan de rechten van de personen waarvan we gegevens bijhouden om bv. deze gegevens in te kijken, te corrigeren of te laten verwijderen.

Uit deze oefening komen een aantal zaken naar voor die we nu zullen aanpassen in ons datasysteem en in onze processen.

Op de website www.natuurpunt.be/privacy vind je een privacyverklaring die geldt voor alles wat er binnen Natuurpunt en onder de naam Natuurpunt gebeurt.  Je kan in je eigen communicatie telkens verwijzen naar deze privacyverklaring.We zullen de nodige procedures opzetten in geval diefstal of verlies van persoonsgegevens (zogenaamde “datalek”).

Tenslotte houden we op het hoofdsecretariaat ook het verplichte data-register bij. Dit is een register waarin alle verwerkingsactiviteiten worden beschreven. Het spreekt voor zich dat we dat alleen kunnen doen voor de persoonsgegevens waarover wij zelf beschikken. Dat zijn bv de gegevens van onze leden, onze donateurs,… . Maar voor niet-leden/sympathisanten die bv aan een lokale activiteit hebben deelgenomen, zullen jullie zelf een register moeten bijhouden. Onderaan de pagina vind je een sjabloon daarvoor.

Mogen we nog ledenlijsten gebruiken?

Je kan de ledenlijsten blijven gebruiken maar uiteraard enkel voor welomschreven doeleinden binnen de vereniging zoals het verzenden van een afdelingsnieuwsbrief, het verzenden van uitnodigingen voor activiteiten, cursussen en dergelijke.

Zorg er wel voor dat je daarbij steeds een actuele versie van de ledenlijst gebruikt die je kan downloaden via de vrijwilligerssite. Alleen zo kunnen wij garanderen dat je over de juiste contactgegevens beschikt en alleen zo kunnen we voldoen aan het recht van iemand om zich te laten schrappen.

Mag ik de ledenlijst verder verspreiden?

Nee. Je moet steeds zorgzaam omgaan met de leden- of deelnemerslijsten om de veiligheid van de gegevens te garanderen. Zo vermijd je dat anderen inzage in onze ledenlijst krijgen en de gegevens kunnen misbruiken.
Verspreid de ledenlijst en deelnemerslijsten dus nooit verder. Enkel wie binnen de afdeling belast is met de verzending van tijdschriften, de ledenwerving, enz. moet over de ledenlijst kunnen beschikken.
Wissel de ledenlijst ook nooit uit met derden buiten je eigen afdeling of werkgroep. Elke externe uitwisseling moet contractueel vastgelegd worden met NP vzw. Dit contract moet voldoen aan de regelgeving.

Wat bij een datalek?

Eerste hulp bij een “datalek” van ledengegevens

Als lokale afdeling heb je uiteraard toegang tot de ledenlijst van jullie afdeling. Dat is nodig voor verzending van nieuwsbrieven, ledenbladen en alle andere communicatie met de leden.

Al deze gegevens zoals namen, adressen en emailadressen zijn volgens de Algemene Verordening Gegevensbescherming (AVG/GDPR) persoonsgegevens die vertrouwelijk moeten behandeld worden.

Wanneer je merkt dat deze gegevens onrechtmatig verspreid zijn, dan is er sprake van een datalek. Dit kan bv. het geval zijn wanneer je per vergissing de gegevens naar de verkeerde personen doorzendt, wanneer je de ledenlijst ergens achterlaat waar onbevoegden toegang toe kunnen hebben of wanneer je een mail zend met alle geadresseerde leden zomaar voor iedereen zichtbaar.

Omdat Natuurpunt telkens de nodige documentatie moet bijhouden, vragen we om ons altijd te verwittigen wanneer je denkt dat er sprake is van een datalek. Dat doe je via [email protected].  Afhankelijk van het risico voor betrokkenen moeten we het datalek ook melden aan de Gegevensbeschermingsautoriteit en eventueel ook aan de betrokkenen zelf. De niet naleving van de meldplicht kan resulteren in een geldboete, bovenop de boete voor het gegevenslek zelf.

Meer info [email protected]

Moeten we de leden van onze afdeling of werkgroep informeren?

Wanneer je persoonsgegevens gebruikt, bv. een ledenlijst, moet je duidelijk aangeven waarvoor je die gebruikt. Dat moet je dus aan je leden laten weten. Daarom kan je in al je lokale communicatie (bv. in de nieuwsbrief van je afdeling of werkgroep) onder de titel "Privacy" hen hierover informeren en bijkomend steeds verwijzen naar de privacyverklaring. Je kan verwijzen naar www.natuurpunt.be/privacy waar de privacyverklaring van Natuurpunt staat.

Mogen we nog nieuwsbrieven verzenden?

Het hele opzet van de GDPR is ervoor zorgen dat persoonsgegevens niet gebruikt worden voor zaken die men niet gevraagd heeft of die men niet wilt.

Wanneer jullie de leden en sympathisanten van jullie afdeling of werkgroep een nieuwsbrief of iets anders toesturen, geef hen dan de mogelijkheid om zich eenvoudig uit te schrijven met onderstaand zinnetje:
“Wens je deze nieuwsbrief niet langer te ontvangen, geef dan een seintje aan ..."

Moet ik de ontvangers van onze nieuwsbrief een vraag sturen om hun inschrijving te bevestigen? Veel bedrijven doen dat. Maar moeten wij dat ook doen?

Algemeen advies: het is niet nodig zo'n bevraging te sturen.

Als die mensen op jullie lijst hebben aangegeven dat ze jullie nieuwsbrief willen ontvangen, dan hoef je niets te doen. Dan hebben ze actief 'toestemming' gegeven om op de lijst te staan. Dat is meer dan voldoende. Ook adressen van mensen die ooit aan een activiteit hebben deelgenomen en die je nadien op de hoogte houdt van nieuwe activiteiten, mag je behouden. Dan gaat het over het zogeheten 'gerechtvaardigd belang'.

Staan er op je lijst veel mensen die je ongevraagd de mail stuurt, en die ook nooit activiteiten hebben bijgewoond, dan ben je best van wel opnieuw toestemming te vragen. In dat laatste geval gaat het bijvoorbeeld om aangekochte adressen. Voor afdelingen en werkgroepen van Natuurpunt komt dat weinig voor.

Nog veel belangrijker is dat je in elke mail de mensen de kans geeft om zich uit te schrijven. En dat je je daar ook aan houdt. 

Mogen we nog adressen gebruiken van niet-leden?

Wanneer je ooit adressen verzameld hebt van niet-leden en hen later wil contacteren (bv. voor het uitnodigen van een zeer ruime lijst van deelnemers aan het jaarlijkse eetfestijn maar waarmee je verder geen contact onderhoudt), dan dien je hen de kans te geven zich expliciet uit te schrijven zodat ze niet langer in je gegevensbestand zitten of niet meer voor dit soort activiteiten wordt uitgenodigd. Je mag iemand die geen bevestiging geeft niet langer contacteren. Bovendien moet je een register van de verwerkingsactiviteiten aanleggen. Onderaan deze pagina vind je daarvan een sjabloon om te downloaden.

Hoe lang mogen we persoonsgegevens bijhouden?

Voor het bewaren van persoonsgegevens zijn we verplicht een redelijke bewaartermijn na te leven. Deze bewaartermijn bedraagt voor Natuurpunt 5 jaar. Dat staat zo ook in de privacyverklaring zodat mensen dat weten. Die 5 jaar is een maximum. In een aantal gevallen zal je de gegevens al sneller weggooien omwille van niet meer bruikbaar. Let op, die periode van 5 jaar vangt telkens aan na het laatste contact dat je met iemand hebt gehad (aanwezigheid op een activiteit, vraag om geïnformeerd te blijven, ...).
Oude ledenlijsten echter bewaar je beter nooit. Zo vermijd je verouderde gegevens én het risico op verlies enz. Wil je een inschrijvingslijst van een activiteit nog eens gebruiken om de deelnemers uit te nodigen voor een nieuwe activiteit, dan bewaar je deze gegevens nooit langer dan 5 jaar. Zorg er in alle geval ook hier voor dat mensen zich even eenvoudig kunnen in- en uitschrijven.

Hoe kunnen we de juistheid van de persoonsgegevens garanderen?

Als het gaat over leden dan is het eenvoudig. Afdelingen en kernen kunnen steeds de meest actuele ledenlijst downloaden. Natuurpunt doet er alles aan om ervoor te zorgen dat deze lijst juiste adressen enz. bevat en ook de wensen van personen om bv sommige informatie niet meer te krijgen. Is er iemand die lokaal signalen geeft over bv een adreswijziging, vragen om niet meer gecontacteerd te worden, enz. dan vragen we die info steeds direct door te geven aan de ledenadministratie.
Voor niet-leden/sympathisanten is het de afdeling, kern of werkgroep zelf die zal moeten instaan voor de juistheid van de gegevens. Het is in die zin van belang dat je iemand aanduidt die daarvoor instaat en die dan alle aanpassingen, die gevraagd worden door personen naar aanleiding van de nieuwe privacy-wetgeving, kan doorvoeren.

Wat met foto's van personen?

Ook voor het nemen en publiceren van foto's zijn er specifieke regels en is in principe de toestemming van betrokkene vereist. Dit is absoluut het geval voor gerichte beelden zoals portretfoto's. Beperk je dus tot niet-gerichte beelden zoals groepsfoto's of sfeerbeelden tijdens activiteiten en zorg ervoor dat de beelden voldoende geanonimiseerd (= verkleind) weergegeven worden. Neem nooit foto's van deelnemers aan activiteiten wanneer zij dit niet wensen en al zeker geen foto's die als ongemakkelijk kunnen ervaren worden.
Voor beeldmateriaal van kinderen gelden nog strengere regels. Hier is zelfs de toestemming van de ouders vereist. Hou hier rekening mee en verwijder foto's onmiddellijk wanneer kinderen of hun ouders daarom vragen. 

Onderaan deze pagina kan je een document downloaden met concrete richtlijnen en een toestemmingsformulier.

Moeten we nog aanwezigheidslijsten laten invullen?

Nee, het bijhouden van de deelnemersaantallen vervangt het verzamelen van handtekenlijsten. Hiervoor is een nieuwe tool beschikbaar in de activiteitendatabank. Hoe je deze aantallen kan bijhouden lees je hier.

Alleen bij cursussen kan het bijhouden van een aanwezigheidslijst nodig zijn voor het leerbewijs nadien. Dan moet namelijk aangetoond kunnen worden dat cursisten 70% van de lessen aanwezig zijn geweest. Gebruik hiervoor steeds het conform de nieuwe regelgeving aangepaste sjabloon dat we ter beschikking zullen stellen. Geef de originele handtekenlijsten door en hou zelf geen kopieën bij. Meer info hierover bij Tineke Thijs

Wat bij problemen?

Wat als (mijn computer met) de ledenlijst gestolen wordt?

Bij verlies of diefstal van persoonsgegevens moet een geëigende procedure gevolgd worden en zal dit gemeld moeten worden aan de gegevensbeschermingsautoriteit. In dergelijk geval verwittig je direct de gegevensverwerkingsverantwoordelijke binnen NP, [email protected], tel. 015-29.72.56 .

Wat bij klachten?

Onze leden, sympathisanten, vrijwilligers enz. hebben uitgebreide rechten gekregen tot inzage en correctie van de gegevens, maar ook de vraag om niet meer gecontacteerd te worden en om de persoonsgegevens te verwijderen. Wanneer je dergelijke vraag krijgt, moet je daaraan dus voldoen. Weet je niet goed hoe hieraan te voldoen, neem steeds contact op met Tom Debeelde….
Indien mensen het gevoel hebben dat er ongewenst toch nog gebruik gemaakt wordt van hun persoonsgegevens, dan kunnen ze bovendien klacht indienen bij de Gegevensbeschermingsautoriteit. Die zal dan onderzoeken of we het nodige doen om te voldoen aan de rechten van betrokkenen en aan de GDPR in het algemeen. Hoewel het eerst wellicht bij een waarschuwing blijft, zijn (hoge) boetes mogelijk indien de regels niet nageleefd worden!

Wat te doen met contactgegevens voor zalen, scholen, organisaties?

Wat te doen met contactgegevens voor zalen, scholen, organisaties?

Het postadres, het algemeen telefoonnummer of een algemeen email van een school, organisatie, bedrijf, ... zijn geen persoonsgegevens en hiervoor hoef je dus niets te ondernemen.
Persoonlijke mailadressen, namen, e.d. zijn echter wel persoonsgegevens. Het is niet nodig om hen vooraf aan te schrijven of toestemming te vragen. Uiteraard mag je die adressen niet voor andere doeleinden gaan gebruiken en mag je de betrokkenen niet voor om het even wat zomaar contacteren. Zorg er ook voor dat je die contactgegevens actueel houdt zodat je niet de verkeerde personen contacteert, want die kunnen dat wel als lastig ervaren.
Wanneer je een register bijhoudt, dan vermeld je daarin dat je deze gegevens bijhoudt om hen te kunnen contacteren voor de organisatie van evenementen, vergaderingen en andere vormen van samenwerking.

Icon
Icoon - Wist je dat

Vragen?

Neem contact op met je Verenigingscoach.