Rechten & plichten

De GDPR behandelt de rechten van iedere persoon én de plichten van alle organisaties die persoonsgegevens bijhouden en gebruiken. Persoonsgegevens zijn alle gegevens die naar een natuurlijke persoon kunnen leiden. Dit gaat heel breed: naam, adres, foto’s, mailadressen, bankrekening, posts op sociale media, een IP-adres...

Iedereen van wie jouw kwb-afdeling persoonsgegevens bijhoudt, heeft deze rechten. Jouw afdeling moet zorgen dat deze rechten in orde zijn.

We zetten de belangrijkste punten op een rijtje.

Je mag niet zomaar gegevens van mensen bijhouden. Er moet een reden voor zijn, een 'rechtsgrond'.

Als je persoonsgegevens bijhoudt, dan moet daar een goede reden voor zijn, een ‘rechtsgrond’. Als die er niet is, mag je geen gegevens over personen bijhouden. Gelukkig is die rechtsgrond er voor kwb-afdelingen en hebben wij gerechtvaardigde redenen om gegevens bij te houden van leden en deelnemers aan onze activiteiten.

  • Je kan de toestemming hebben van de persoon in kwestie. Vult iemand bijvoorbeeld een testkaart in om 3 maanden gratis Raak en uitnodigingen te ontvangen, dan heb je de schriftelijke toestemming van die persoon om gedurende deze drie maanden zijn of haar gegevens te gebruiken om Raak en de uitnodigingen te bezorgen.
  • Lid worden van een vereniging kan gezien worden als een contract tussen het lid en de vereniging. De verwerking van de gegevens gebeurt dan op contractuele basis.
  • Als het over de gegevens van kwb-leden gaat, dan kunnen we deze reden ook omschrijven als ‘gerechtvaardigd belang’: als we geen adres en/of mailadres hebben van onze leden, dan kunnen we hen ook niet uitnodigen voor de activiteiten, kunnen we hen geen Raak bezorgen, kunnen we hen het afdelingsblaadje met de info over afdeling niet toesturen...

Je zorgt er ook voor dat de personen over wie je gegevens bijhoudt, kan zien wat deze reden is en wat je met de gegevens doet die je verzamelt. Dit doe je in een duidelijke, heldere privacyverklaring. Deze kan je op je website plaatsen of in je afdelingsboekje. In het tweede deel van deze brochure vind je enkele voorbeelden van zo’n privacyverklaring.

Als je toestemming hebt om de gegevens te gebruiken voor één iets, dan mag je deze niet gebruiken voor iets anders. En je mag ook enkel gegevens verzamelen die je gebruikt.

Een voorbeeld: je houdt de mailadressen van je leden bij om hen elke maand je digitale nieuwsbrief door te mailen. Je mag deze gegevens niet gaan gebruiken om hen te mailen met info over activiteiten van andere organisaties. Of doorgeven aan een politieke partij voor de gemeenteraadsverkiezingen.

De GDPR spreekt ook over ‘minimale gegevensverwerking’. Dit betekent dat je enkel die persoonsgegevens mag bijhouden die je nodig hebt om je doel te verwezenlijken.Je mag persoonsgegevens maar bijhouden zolang je ze nodig hebt voor het doel dat je in je privacyverklaring schreef. Als je ze hiervoor niet meer nodig hebt, dan moet je ze verwijderen.

Enkele voorbeelden:

  • Je mag de gegevens van ex-leden niet eindeloos bijhouden. We weten dat het handig is om bijvoorbeeld ex-leden uit te nodigen voor een jubileumviering, maar het mag niet.
  • Als iemand een testkaart invulde om 3 maanden gratis Raak en uitnodigingen van jouw afdeling te krijgen, maar na die 3 maanden geen kwb-lid wordt, dan moet je de gegevens van die persoon ook verwijderen. Je mag ze niet langer gebruiken én je mag ze ook niet langer bewaren.

Iedereen heeft recht om zijn eigen gegevens in te kijken en te vragen om die te corrigeren als er fouten in staan.

De gegevens die je bijhoudt, moeten correct zijn. En iedereen moet de eigen gegevens kunnen inkijken. Dat betekent echter niet dat iedereen rechtstreeks toegang moet hebben tot bijvoorbeeld je Excel-bestand waarin je alle gegevens bewaart. Je kan er bijvoorbeeld ook voor zorgen dat er een contactpersoon is waarbij men de gegevens kan opvragen en die deze gegevens verbetert als er fouten in staan.

De gegevens die je bijhoudt moeten goed beveiligd zijn.

Je moet zorgen voor een goede beveiliging van de gegevens die je bijhoudt. Dit gaat over technische beveiliging, zoals paswoorden op je bestanden zetten, en over organisatorische beveiliging: de toegang tot de gegevens beperken tot wie deze echt nodig heeft, geen lijsten laten slingeren, geen gegevens zomaar naar gelijk wie doormailen.Een belangrijk element van de GDPR is de omkering van de bewijslast. Als iemand schade heeft geleden omdat kwb niet zorgvuldig met zijn of haar persoonsgegevens omging, dan is het aan kwb om aan te tonen dat kwb de GDPR correct heeft nageleefd en dus niet verantwoordelijk is voor de schade. Als dit niet mogelijk is, dan heeft de betrokkene recht op een schadevergoeding.Tot nu toe moest de persoon die schade ondervond, het bewijs leveren dat kwb een fout had gemaakt. Onder de GDPR wordt dit dus omgekeerd en moet kwb het tegendeel bewijzen.

Je bent verplicht om ervoor te zorgen dat al deze rechten in orde zijn. Hoe je deze zaken concreet aanpakt in je afdeling, vind je in de volgende bladzijde.