ikorganiseer.beOrganiserenGDPR

GDPR

in

Bezoekers Verplichtingen Communicatie

De General Data Protection Regulation of kortweg GDPR is een nieuwe Europese wetgeving die sinds 2018 van kracht is om de privacy van Europese burgers beter te beschermen. Concreet gaat ze over hoe je persoonsgegevens verzamelt, gebruikt, verwerkt en beveiligt. Ook als organisator van evenementen moet je kunnen aantonen welke persoonsgegevens je verzamelt, hoe je ze gebruikt en hoe je ze beveiligt.

Gerelateerd:

Belangrijkste principes van de GDPR

In een notendop:

  • Je mag persoonsgegevens enkel verwerken op wettelijke gronden (zie lager).
  • Je mag ze enkel gebruiken en bewaren zolang dat nodig is.
  • Je moet proactief, duidelijk en eenvoudig toelichten waarom je welke gegevens van je deelnemers, publiek, leden of andere mensen gebruikt. Dat doe je in je privacyverklaring en, bijvoorbeeld, met een korte toelichting en verwijzing naar die privacyverklaring op je ticket.
  • Je organisatie moet de rechten van de personen wiens gegevens je gebruikt kunnen uitvoeren.
  • Je organisatie moet weten hoe te reageren bij het verlies van gegevens, een datalek dus.

Wat zijn de ‘wettelijke gronden’ die je kan inroepen bij het vragen en gebruiken van persoonsgegevens?

Je mag enkel gegevens gebruiken die echt noodzakelijk zijn voor je evenement op basis van een wettelijke verplichting, een contractuele verplichting, een ‘gerechtvaardigd belang’ of toestemming. Toestemming is dus niet verplicht als je één van de drie andere mogelijkheden kan inroepen. Ga dus goed na op basis van welke wettelijke grond je gegevens mag gebruiken.

  • Wettelijke verplichtingen

    Als de wet je verplicht om bepaalde gegevens te verwerken, hoef je daar geen toestemming voor te vragen aan de betrokkenen.

    Voorbeelden:

    • De griffie heeft de gegevens nodig van de leden van de raad van bestuur van je vzw.
    • Om je muzikanten en dj’s te betalen heb je hun gegevens nodig.
    • Om je medewerkers een vrijwilligersvergoeding uit te keren, heb je hun gegevens nodig.
    • De bewakingswet verplicht je om bepaalde gegevens neer te leggen. 

  • Contractuele verplichtingen

    Als je een contract afsluit, is het logisch dat je bepaalde gegevens nodig hebt om dat te kunnen uitvoeren. Een typisch voorbeeld is een ticket, dat je niet kan bezorgen zonder bepaalde informatie over de koper. Daar hoef je dus geen toestemming voor te vragen. Je mag die gegevens wel enkel gebruiken voor de uitvoering van het ‘contract’ en die bijvoorbeeld niet zomaar opnemen in een algemene mailinglijst of doorgeven aan sponsors.

  • ‘Gerechtvaardigd belang’

    Als je evenement anders echt niet uitvoerbaar is, kan je overwegen om het gerechtvaardigd belang in te roepen als rechtsgrond. Je mag dat niet lichtzinnig gebruiken en moet goed nagaan of je de persoons wiens gegevens je gebruikt geen kwaad berokkent en hem/haar niet in de problemen brengt of lastigvalt als je zijn/haar gegevens gebruikt. We stellen voor dat je het gerechtvaardigd belang vooral gebruikt om mensen die zich inschreven, een ticket kochten … te informeren over inhoudelijke of praktische zaken, bijvoorbeeld bereikbaarheid, het aanvangsuur dat wijzigt…  

  • Toestemming

    Toestemming is natuurlijk de meest duidelijke basis waarop je gegevens kan gebruiken. Let wel op:  iedereen mag en kan zijn toestemming steeds intrekken. Als organisator moet je er voor zorgen dat iemand even makkelijk zijn toestemming kan geven als intrekken.

    De toestemming moet vrij, actief, controleerbaar en specifiek zijn;

    • Vrij: de persoon mag niet onder druk staan om toestemming te geven en moet zonder toestemming ook kunnen deelnemen aan het evenement.
    • Actief: de persoon moet zelf een actie doen: iets aanvinken, iets handtekenen, een mail sturen …
    • Controleerbaar: je moet de toestemming kunnen bewijzen.
    • Specifiek: het moet heel duidelijk zijn waarvoor iemand zijn toestemming geeft, bijvoorbeeld om een nieuwsbrief te ontvangen (en niets anders).

Verplichte documenten

Als organisator ben je verplicht om twee documenten op te stellen:

  • Register

    Het eerste is een register, dat in kaart brengt welke gegevens je om welke reden verwerkt. Voor een doorsnee organisator van evenementen zijn dit onder meer de gegevens van je vrijwilligers, medewerkers en deelnemers. Het register is een intern document dat je niet publiek hoeft te maken. Het kan wel opgevraagd worden als je controle krijgt van de Autoriteit Gegevensbescherming.

    Gebruik dit sjabloon op maat van organisatoren dat scwitch ontwikkelde voor ikorganiseer.be

  • Privacyverklaring

    Het tweede document is een privacyverklaring, een tekst waarin je duidelijk neerschrijft welke gegevens je waarom en hoelang zal gebruiken. In feite is een privacyverklaring de omzetting van je register naar het brede publiek, de deelnemers of bezoekers dus. Die verklaring is dus een openbaar raadpleegbaar document. Je plaatst ze best op je website. In je privacyverklaring licht je volgende zaken toe:

    • welke persoonsgegevens je gebruikt.
    • waarom je die gegevens gebruikt.
    • op welke manier je aan die gegevens komt.
    • wie die gegevens gebruikt en verwerkt.
    • welke gegevens hoelang worden bewaard.
    • hoe je de gegevens beveiligt (niet verplicht)
    • hoe je de rechten van de personen wiens gegevens je gebruikt verzekert.

Persoonlijke gegevens inzien, corrigeren of verwijderen

Iedereen moet de mogelijkheid hebben om zijn persoonlijke gegevens in te kijken, te laten corrigeren of te laten verwijderen. Zorg dat het duidelijk is, zowel voor iedereen in je organisatie als voor de bezoekers of deelnemers, wie van de organisatie ze daarvoor kunnen aanspreken. Die perso(o)n(en) moeten goed weten hoe ze op vragen rond inzage, correctie of verwijdering binnen de dertig dagen kunnen reageren.

Verzamel en bewaar enkel relevante data, zoals persoonlijke identificatiegegevens (naam, adres, telefoonnummer, e-mailadres). Verzamel je toch andere gegevens (bijvoorbeeld geboortedatum), geef dan aan waarom je dat doet.

Persoonsgegevens doorgeven aan derden

Geef persoonsgegevens nooit voor commerciële doelen door aan derden, dus ook niet als bevriende organisaties of sponsors dat vragen, tenzij je daarvoor expliciet de toestemming voor hebt.

Je mag persoonsgegevens wel doorgeven aan verwerkers, als dat noodzakelijk is voor het realiseren van je doelstelling, bijvoorbeeld als je een mailingprogramma gebruikt om je nieuwsbrief te versturen of een ticketingbedrijf inschakelt om je tickets te verspreiden.  Zorg er dan wel voor dat je dat duidelijk in je privacyverklaring schrijft en dat je een verwerkersovereenkomst hebt met de bedrijven waar je mee samenwerkt. In zo’n overeenkomst verklaren die bedrijven in regel te zijn met de GDPR, de gegevens niet door te geven aan anderen voor commerciële doeleinden en voldoende maatregelen nemen om de gegevens te beschermen.

Normaal hebben alle commerciële bedrijven zulke overeenkomsten, aangezien ze ook in regel moeten zijn met de GDPR. Vaak staan die documenten op hun website of zijn ze verwerkt in de verkoopovereenkomst die je misschien sluit. Het is wel nog steeds jouw verantwoordelijkheid als organisatie om na te gaan of jouw partners in orde zijn wat betreft de GDPR zijn.

Mag je mensen zomaar via mail uitnodigen om je evenement te promoten?

Neen. Je zou vanuit ‘gerechtvaardigd belang’ kunnen overwegen dat het noodzakelijk is om iedereen in je netwerk, gemeente … uit te nodigen en informatie te verzenden over je werking en activiteiten. De vraag is of dat proportioneel is.

Daarnaast moet je er rekening mee houden dat naast de GDPR ook de telecommunicatiewet geldt. Die wet zegt duidelijk dat je GEEN ongewenste of commerciële/promotionele mails mag versturen, tenzij naar klanten voor een gelijkaardig product of als je de toestemming hebt. Daarom raden we je aan om toestemming te vragen aan bezoekers als je ze ook verder op de hoogte wil houden van andere evenementen of een nieuwsbrief wil sturen.

Je kan wel overwegen om voor je promotionele mailings gebruik te maken van het principe van ‘klanten voor een gelijkaardig product’. Dat betekent dat je bezoekers die deelnamen aan een evenement, als ‘klant’ kan aanzien en hen voor het volgende gelijkaardige evenement kan uitnodigen.

Iemand die dit jaar naar je jaarlijks festival komt, mag je bijvoorbeeld uitnodigen voor volgend jaar via mail. Die persoon kan zich uiteraard uitschrijven voor je mails.

Maar let op: je mag die bezoeker van het festival géén uitnodiging sturen van bijvoorbeeld je eetfestijn. Het eetfestijn is namelijk geen activiteit gelijkaardig aan het festival.. Wil je deelnemers dus voor diverse activiteiten uitnodigen of informeren, vraag hen dan duidelijk de toestemming.

Bovenstaande regels gelden voor deelnemers of bezoekers aan je activiteit. Leden van je organisatie mag je vanuit het gerechtvaardigd belang wel informeren over je evenementen en werking, omdat er een inhoudelijke relatie is tussen beiden en het logisch is dat leden op de hoogte willen blijven van het reilen en zeilen in je vereniging.

Waarop moet je letten bij online ticketverkoop?

Diensten als Ticketmaster, Assist, Mollie … zijn in principe GDPR-proof. Het is wel aan jou om dat na te kijken. Vraag het ticketingbedrijf waarmee je samenwerkt daarom een verwerkersovereenkomst of zoek die even op hun website op.  Als je beslist om zelf een online platform te openen waarop je tickets kan bestellen, moet je ervoor zorgen dat dat GDPR-proof is. Dat betekent dus dat je enkel noodzakelijke info vraagt en aan je kopers moet uitleggen hoe, waarom en hoelang je hun gegevens gebruikt en bewaart. De gegevens die je zo bekomt, moet je beveiligen, zodat ongeoorloofd gebruik en toegang onmogelijk is. Elke persoon moet de keuze krijgen al dan niet meldingen te ontvangen.

Meer weten over GDPR en wat je kan doen?

Raadpleeg de website van Scwitch

Zie GDPR Lokale verenigingen

Scwitch toolkit
  • Beeld Nikki Lucy