GDPR

De General Data Protection Regulation of kortweg GDPR bestaat om de privacy van Europese burgers te beschermen. Concreet gaat ze over hoe je persoonsgegevens:

  1. verzamelt
  2. gebruikt
  3. verwerkt
  4. beveiligt

Ook als organisator moet je kunnen aantonen welke persoonsgegevens je verzamelt, hoe je ze gebruikt en hoe je ze beveiligt.

Belangrijkste principes van de GDPR

In een notendop:

  • Je mag persoonsgegevens alleen bijhouden en gebruiken met wettelijke gronden (zie lager).
  • Je mag ze enkel gebruiken en bewaren zolang dat nodig is.
  • Je moet proactief, duidelijk en eenvoudig uitleggen waarom je welke gegevens van je deelnemers, publiek, leden of andere mensen gebruikt. Dat doe je in je privacyverklaring en, bijvoorbeeld, met een korte toelichting en verwijzing naar die privacyverklaring op je ticket.
  • Je organisatie moet de rechten van de persoons hun gegevens kunnen uitvoeren.
  • Je organisatie moet weten hoe te reageren bij het verlies van gegevens, een datalek dus.

Wat zijn de ‘wettelijke gronden’ om persoonsgegevens te verwerken?

Je mag enkel gegevens opvragen en gebruiken die noodzakelijk zijn voor je evenement op basis van:

  1. een wettelijke verplichting
  2. een contractuele verplichting
  3. een gerechtvaardigd belang
  4. toestemming.

Toestemming is niet verplicht als je één van de bovenste drie kan inroepen. Ga dus goed na op basis van welke wettelijke grond je gegevens mag gebruiken.

Wat deze vier juist betekenen, zie je hieronder

  • Wettelijke verplichtingen

    Als de wet je verplicht om bepaalde gegevens te verwerken, hoef je daar geen toestemming voor te vragen aan de betrokkenen.

    Voorbeelden:

    • De griffie heeft gegevens nodig van de leden van de raad van bestuur van je vzw.
    • Om je muzikanten en dj’s te betalen heb je hun gegevens nodig.
    • Om je medewerkers een vrijwilligersvergoeding te bieden, heb je hun gegevens nodig.
    • De bewakingswet verplicht om bepaalde gegevens neer te leggen. 
  • Contractuele verplichtingen

    • Als je een contract afsluit, heb je bepaalde gegevens nodig om het te kunnen uitvoeren.

    Een typisch voorbeeld is een ticket, dat je niet kan bezorgen zonder bepaalde informatie over de koper. Daar hoef je dus geen toestemming voor te vragen. Je mag die gegevens enkel gebruiken voor de uitvoering van het ‘contract’ en niet voor bijvoorbeeld het aanvullen van je algemene mailinglijst of het doorgeven aan sponsors.

  • ‘Gerechtvaardigd belang’

    Als je evenement niet uitvoerbaar is zonder bepaalde gegevens, kan je overwegen om het gerechtvaardigd belang in te roepen. We stellen voor dat je het gerechtvaardigd belang vooral gebruikt om mensen die zich inschreven, een ticket kochten… te informeren over inhoudelijke of praktische zaken, bijvoorbeeld bereikbaarheid, het aanvangsuur dat wijzigt…

    Je mag deze reden niet zomaar gebruiken en moet goed nagaan of je de persoons achter de gegevens niet in de problemen brengt of lastigvalt als je de gegevens gebruikt.

      

  • Toestemming

    Toestemming is de meest duidelijke basis waarop je gegevens kan gebruiken. Let op:  iedereen mag en kan zijn toestemming intrekken. Als organisator moet je er voor zorgen dat iemand even makkelijk zijn toestemming kan geven als intrekken.

    De toestemming moet vrij, actief, controleerbaar en specifiek zijn;

    • Vrij: de persoon mag niet onder druk staan om toestemming te geven en moet zonder toestemming ook kunnen deelnemen aan het evenement.
    • Actief: de persoon moet zelf een actie doen: iets aanvinken, iets handtekenen, een mail sturen …
    • Controleerbaar: je moet de toestemming kunnen bewijzen.
    • Specifiek: het moet heel duidelijk zijn waarvoor iemand zijn toestemming geeft, bijvoorbeeld om een nieuwsbrief te ontvangen (en niets anders).

Verplichte documenten

Als organisator ben je verplicht om twee documenten op te stellen:

  • Register

    Het eerste is een register, dat in kaart brengt welke gegevens je om welke reden verwerkt.

    Dit zijn onder meer de gegevens van je vrijwilligers, medewerkers en deelnemers. Het register is een intern document dat je niet publiek hoeft te maken. Het kan wel opgevraagd worden als je controle krijgt van de Autoriteit Gegevensbescherming.

  • Privacyverklaring

    Het tweede document is een privacyverklaring, een tekst waarin je duidelijk schrijft welke gegevens je waarom en hoelang zal gebruiken.

    Een privacyverklaring is de omzetting van je register naar het brede publiek, de deelnemers of bezoekers. Die verklaring is een openbaar raadpleegbaar document. Je plaatst ze best op je website. In je privacyverklaring licht je volgende zaken toe:

    • welke persoonsgegevens je gebruikt;
    • waarom je die gegevens gebruikt;
    • op welke manier je aan die gegevens komt;
    • wie die gegevens gebruikt en verwerkt;
    • welke gegevens hoelang worden bewaard;
    • hoe je de gegevens beveiligt (niet verplicht);
    • hoe je de rechten van de personen wiens gegevens je gebruikt verzekert.

Persoonlijke gegevens inzien, corrigeren of verwijderen

Iedereen moet de mogelijkheid hebben om hun persoonlijke gegevens in te kijken, te laten corrigeren of te laten verwijderen. Zorg dat het duidelijk is, zowel voor iedereen in je organisatie als voor de bezoekers, wie van de organisatie ze daarvoor kunnen aanspreken.

Die personen moeten goed weten hoe ze op vragen rond inkijken, correctie of verwijdering binnen de dertig dagen kunnen reageren.

Verzamel en bewaar enkel relevante gegevens, zoals persoonlijke identificatiegegevens (naam, adres, telefoonnummer, e-mailadres). Verzamel je toch andere gegevens (bijvoorbeeld geboortedatum), geef dan aan waarom je dat doet.

Persoonsgegevens doorgeven aan derden

Geef persoonsgegevens nooit voor commerciële doelen door aan derden, ook niet als bevriende organisaties of sponsors dat vragen, tenzij je daarvoor expliciet de toestemming voor hebt.

Je mag persoonsgegevens wel doorgeven aan verwerkers, als dat noodzakelijk is voor het realiseren van je doel, bijvoorbeeld als je een mailingprogramma gebruikt om je nieuwsbrief te versturen of een ticketingbedrijf inschakelt om je tickets te verspreiden.  Zorg er wel voor dat je dat duidelijk in je privacyverklaring schrijft en dat je een verwerkersovereenkomst hebt met de bedrijven waar je mee samenwerkt. In zo’n overeenkomst verklaren die bedrijven in regel te zijn met de GDPR, de gegevens niet door te geven aan anderen voor commerciële doeleinden en voldoende maatregelen nemen om de gegevens te beschermen.

Normaal hebben alle commerciële bedrijven zulke overeenkomsten. Vaak staan die documenten op hun website of zijn ze verwerkt in de verkoopovereenkomst die je misschien sluit. Het is dan nog steeds jouw verantwoordelijkheid als organisatie om na te gaan of jouw partners in orde zijn.

Mag je mensen zomaar via mail uitnodigen om je evenement te promoten?

Neen.

Naast GDPR geldt ook de telecommunicatiewet. Die wet zegt duidelijk dat je GEEN ongewenste of commerciële/promotionele mails mag versturen, tenzij naar klanten voor een gelijkaardig product of als je de toestemming hebt. Daarom raden we aan om toestemming te vragen aan bezoekers als je ze ook verder op de hoogte wil houden van andere evenementen of een nieuwsbrief wil sturen.

Je kan voor je promotionele mailings gebruik maken van het principe ‘klanten voor een gelijkaardig product’. Dat betekent dat je bezoekers die deelnamen aan een evenement, als ‘klant’ kan aanzien en hen voor het volgende gelijkaardige evenement kan uitnodigen.

Iemand die dit jaar naar je jaarlijks festival komt, mag je bijvoorbeeld uitnodigen voor volgend jaar via mail. Die persoon kan zich uitschrijven voor je mails.

Let op: je mag die bezoeker van het festival géén uitnodiging sturen van bijvoorbeeld je eetfestijn. Het eetfestijn is geen activiteit gelijkaardig aan het festival. Wil je deelnemers voor diverse activiteiten uitnodigen, vraag hen dan duidelijk de toestemming.

Bovenstaande regels gelden voor deelnemers of bezoekers aan je activiteit. Leden van je organisatie mag je vanuit het gerechtvaardigd belang wel informeren over je evenementen en werking.

Waarop moet je letten bij online ticketverkoop?

Diensten als Ticketmaster, Assist, Mollie … zijn in principe GDPR-proof. Het is aan jou om dat na te kijken. Vraag het ticketingbedrijf waarmee je samenwerkt daarom een verwerkersovereenkomst of zoek die even op hun website.  

Als je beslist om zelf een online platform te openen waarop je tickets kan bestellen, moet je ervoor zorgen dat dat GDPR-proof is. Dat betekent dat je enkel noodzakelijke info vraagt en aan je kopers moet uitleggen hoe, waarom en hoelang je hun gegevens gebruikt en bewaart. De gegevens moet je beveiligen, zodat ongeoorloofd gebruik en toegang onmogelijk is. Elke persoon moet de keuze krijgen al dan niet meldingen te ontvangen.

  • Beeld Nikki Lucy