GDPR
in
De General Data Protection Regulation of kortweg GDPR bestaat om de privacy van Europese burgers te beschermen. Concreet gaat ze over hoe je persoonsgegevens:
- verzamelt
- gebruikt
- verwerkt
- beveiligt
Ook als organisator moet je kunnen aantonen welke persoonsgegevens je verzamelt, hoe je ze gebruikt en hoe je ze beveiligt.
Belangrijkste principes van de GDPR
In een notendop:
- Je mag persoonsgegevens alleen bijhouden en gebruiken met wettelijke gronden (zie lager).
- Je mag ze enkel gebruiken en bewaren zolang dat nodig is.
- Je moet proactief, duidelijk en eenvoudig uitleggen waarom je welke gegevens van je deelnemers, publiek, leden of andere mensen gebruikt. Dat doe je in je privacyverklaring en, bijvoorbeeld, met een korte toelichting en verwijzing naar die privacyverklaring op je ticket.
- Je organisatie moet de rechten van de persoons hun gegevens kunnen uitvoeren.
- Je organisatie moet weten hoe te reageren bij het verlies van gegevens, een datalek dus.
Wat zijn de ‘wettelijke gronden’ om persoonsgegevens te verwerken?
Je mag enkel gegevens opvragen en gebruiken die noodzakelijk zijn voor je evenement op basis van:
- een wettelijke verplichting
- een contractuele verplichting
- een gerechtvaardigd belang
- toestemming.
Toestemming is niet verplicht als je één van de bovenste drie kan inroepen. Ga dus goed na op basis van welke wettelijke grond je gegevens mag gebruiken.
Wat deze vier juist betekenen, zie je hieronder
Verplichte documenten
Als organisator ben je verplicht om twee documenten op te stellen:
Persoonlijke gegevens inzien, corrigeren of verwijderen
Iedereen moet de mogelijkheid hebben om hun persoonlijke gegevens in te kijken, te laten corrigeren of te laten verwijderen. Zorg dat het duidelijk is, zowel voor iedereen in je organisatie als voor de bezoekers, wie van de organisatie ze daarvoor kunnen aanspreken.
Die personen moeten goed weten hoe ze op vragen rond inkijken, correctie of verwijdering binnen de dertig dagen kunnen reageren.
Verzamel en bewaar enkel relevante gegevens, zoals persoonlijke identificatiegegevens (naam, adres, telefoonnummer, e-mailadres). Verzamel je toch andere gegevens (bijvoorbeeld geboortedatum), geef dan aan waarom je dat doet.
Persoonsgegevens doorgeven aan derden
Geef persoonsgegevens nooit voor commerciële doelen door aan derden, ook niet als bevriende organisaties of sponsors dat vragen, tenzij je daarvoor expliciet de toestemming voor hebt.
Je mag persoonsgegevens wel doorgeven aan verwerkers, als dat noodzakelijk is voor het realiseren van je doel, bijvoorbeeld als je een mailingprogramma gebruikt om je nieuwsbrief te versturen of een ticketingbedrijf inschakelt om je tickets te verspreiden. Zorg er wel voor dat je dat duidelijk in je privacyverklaring schrijft en dat je een verwerkersovereenkomst hebt met de bedrijven waar je mee samenwerkt. In zo’n overeenkomst verklaren die bedrijven in regel te zijn met de GDPR, de gegevens niet door te geven aan anderen voor commerciële doeleinden en voldoende maatregelen nemen om de gegevens te beschermen.
Normaal hebben alle commerciële bedrijven zulke overeenkomsten. Vaak staan die documenten op hun website of zijn ze verwerkt in de verkoopovereenkomst die je misschien sluit. Het is dan nog steeds jouw verantwoordelijkheid als organisatie om na te gaan of jouw partners in orde zijn.
Mag je mensen zomaar via mail uitnodigen om je evenement te promoten?
Neen.
Naast GDPR geldt ook de telecommunicatiewet. Die wet zegt duidelijk dat je GEEN ongewenste of commerciële/promotionele mails mag versturen, tenzij naar klanten voor een gelijkaardig product of als je de toestemming hebt. Daarom raden we aan om toestemming te vragen aan bezoekers als je ze ook verder op de hoogte wil houden van andere evenementen of een nieuwsbrief wil sturen.
Je kan voor je promotionele mailings gebruik maken van het principe ‘klanten voor een gelijkaardig product’. Dat betekent dat je bezoekers die deelnamen aan een evenement, als ‘klant’ kan aanzien en hen voor het volgende gelijkaardige evenement kan uitnodigen.
Iemand die dit jaar naar je jaarlijks festival komt, mag je bijvoorbeeld uitnodigen voor volgend jaar via mail. Die persoon kan zich uitschrijven voor je mails.
Let op: je mag die bezoeker van het festival géén uitnodiging sturen van bijvoorbeeld je eetfestijn. Het eetfestijn is geen activiteit gelijkaardig aan het festival. Wil je deelnemers voor diverse activiteiten uitnodigen, vraag hen dan duidelijk de toestemming.
Bovenstaande regels gelden voor deelnemers of bezoekers aan je activiteit. Leden van je organisatie mag je vanuit het gerechtvaardigd belang wel informeren over je evenementen en werking.
Waarop moet je letten bij online ticketverkoop?
Diensten als Ticketmaster, Assist, Mollie … zijn in principe GDPR-proof. Het is aan jou om dat na te kijken. Vraag het ticketingbedrijf waarmee je samenwerkt daarom een verwerkersovereenkomst of zoek die even op hun website.
Als je beslist om zelf een online platform te openen waarop je tickets kan bestellen, moet je ervoor zorgen dat dat GDPR-proof is. Dat betekent dat je enkel noodzakelijke info vraagt en aan je kopers moet uitleggen hoe, waarom en hoelang je hun gegevens gebruikt en bewaart. De gegevens moet je beveiligen, zodat ongeoorloofd gebruik en toegang onmogelijk is. Elke persoon moet de keuze krijgen al dan niet meldingen te ontvangen.