Hou je veel gegevens bij?

Misschien houdt jouw afdeling veel meer persoonsgegevens bij. We denken aan lijsten met contactpersonen, adressen van medewerkers van bevriende organisaties, journalisten, deelnemerslijsten van afdelingsreizen,...

Als dat het geval is, pak je alles best iets grondiger aan. Gebruik de stappen hieronder om jouw kwb-afdeling in orde te brengen.

Vooraf - Bewustmaking

Iedereen die in jouw afdeling met persoonsgegevens werkt, zou op de hoogte moeten zijn van de GDPR: wat mag, wat mag niet, waar moet je op letten, wat is belangrijk, wat is minder belangrijk... In deze infografiek (enlightened) vind je de belangrijkste punten van de GDPR. Deze kan je gebruiken als basis om je bestuursleden te informeren.

Stap 1 - Maak een inventaris

Om de rest van het werk eenvoudiger te maken, maak je best eerst een inventaris, een overzicht van alle persoonsgegevens die je nu bewaart. Deze inventaris is niet verplicht, maar helpt je wel om de volgende stappen vlotter uit te werken.

Wat komt in zo’n inventaris?

  • Welke persoonsgegevens gebruiken wij in onze afdeling (naam, adres, leeftijd...)?
  • Waar bewaren we deze gegevens?
  • Hoe lang bewaren we ze?
  • Wie heeft er toegang tot deze gegevens?
  • Hoe zijn ze beschermd?
  • Met wie deel je deze gegevens?
  • Waarvoor gebruiken jullie de gegevens (mailen van uitnodigingen, nieuwsbrieven, bezorgen van Raak...)

Je maakt best zo’n overzicht op van de verschillende groepen waarvan je gegevens bijhoudt (leden, deelnemers aan activiteiten, verantwoordelijken van andere organisaties, sympathisanten...).

Hier vind je een Pdf-document (enlightened) om dit overzicht voor jouw afdeling aan te maken.

Zodra je dit overzicht gemaakt hebt, kijk je waar je verbeteringen kan aanbrengen. Als er dingen zijn die niet mogen, dan pas je deze aan.

  • Heb je een reden, een doel om deze gegevens bij te houden?
  • Heb je wel alle gegevens nodig die je bijhoudt? Zijn er dingen die je kan schrappen?
  • Hou je de gegevens te lang bij?
  • Zijn de gegevens genoeg beveiligd?
  • Hoe kunnen de mensen aan hun eigen gegevens komen? Kunnen ze die (laten) verbeteren?
  • Hoe kunnen ze dit doen?
  • Informeer je de betrokkenen duidelijk? Heb je een privacyverklaring voor deze mensen? En waar is die te vinden?

Je bekijkt ook de beveiliging van je gegevens. Zowel technisch (zit er een paswoord op de bestanden, is je laptop beveiligd, staat er een virusscanner op je computer) als organisatorisch (deel geen paswoorden van Korpus, zorg dat enkel de mensen die toegang tot de gegevens moeten hebben, die ook hebben, laat geen lijsten rondslingeren). Met gezond verstand kom je hier al een heel eind.

Als je je gegevens deelt met een derde, bijvoorbeeld een drukker die voor jullie nieuwjaarkaartjes maakt, dan moet je er zeker van zijn dat deze ook de regels van de GDPR nakomt. Je vraagt hiervoor best een contract waarin dit duidelijk vermeld staat.

Stap 2 - Register van gegevensverwerking

Het gegevensregister is een verplicht document dat elke organisatie moet hebben. In dat register komt een overzicht van welke gegevensverwerking in jouw kwb-afdeling gebeurt. Voorbeelden hiervan:

  • Ledenadministratie
  • Nieuwsbrieven versturen
  • Communicatie met de deelnemers
  • Ledenverzekering
  • ...

Bij elk van deze verwerkingen noteer je volgende zaken:

  • Wat is de reden, de wettelijke basis van deze verwerking (zie ook deel 1 van deze brochure)?
  • Over welke gegevens gaat het?
  • Wat doe je met de gegevens (verzamelen, raadplegen, delen...)
  • Hoe lang bewaar je deze gegevens?
  • Hoe zijn de gegevens beveiligd?

Let op: dit is een verplicht document! Als er een klacht zou komen, is dit document het eerste wat gevraagd zal worden.

Dit is ook een ‘levend’ document: bekijk dit bijvoorbeeld elk jaar eens opnieuw om te zien of er aanpassingen nodig zijn.

Enkele voorbeelden van zo’n register vind je hieronder:

  • Gegevens over leden -
  • Gegevens over deelnemers activiteiten -
  • Blanco formulier -

Stap 3 - Privacyverklaringen

Voor elk van de groepen van wie je gegevens verwerkt, maak je een privacyverklaring op. Deze dient om de mensen te informeren wat je met hun gegevens doet. Zorg dat volgende zaken zeker in die privacyverklaring staan:

  • Welke gegevens worden verwerkt? Waarom bewaar je deze gegevens?
  • Waar krijgt of verzamelt jouw kwb-afdeling de gegevens?
  • Wie verwerkt in je afdeling de gegevens?
  • Wie krijgt de gegevens?
  • Wat wordt precies hoe, waar en hoelang bewaard?
  • Hoe beveilig je de gegevens?
  • Hoe zorg je voor je de uitoefening van de rechten van betrokkenen?

Je kan hier twee voorbeelden downloaden die je kan gebruiken in je afdeling.

  • Privacyverklaring leden -
  • Privacyverklaring deelnemers activiteiten -

Zodra je de privacyverklaring hebt, zorg je dat mensen deze kunnen lezen. Het is handig als je deze bijvoorbeeld op je website plaatst. Zo kan je ook in je geschreven informatie naar deze website verwijzen (“Op onze website vind je meer informatie over wat we met jouw gegevens doen.”).

De privacyverklaring (of een verwijzing naar die privacyverklaring) moet terug te vinden zijn op alle documenten waarmee je gegevens verzamelt. De mensen moeten deze verklaring niet goedkeuren. Het is een eenzijdige mededeling van jouw afdeling aan hen: ‘dit gaan wij met jouw gegevens doen’.

Stap 4 - Afspraken maken

Als laatste stap maak je een aantal afspraken over de volgende punten:

Vragen van leden of deelnemers

Je leden en deelnemers hebben rechten. Zorg dat je als organisatie kan reageren bij vragen van leden. De belangrijkste rechten van leden of deelnemers voor jouw werking zijn:

  • Het recht op inzage en kopie
  • Het recht op aanpassing van gegevens
  • Het recht op vergetelheid (verwijderen van gegevens)
  • Het recht op intrekken van de toestemming (als die gegeven werd)

Aanpak datalek

Verlies van persoonsgegevens die de betrokkene schade kunnen berokkenen, moet je binnen de 72 uur aangeven bij de privacycommissie. Onder ‘schade’ valt bijvoorbeeld financieel verlies, identiteitsdiefstal, enz... Zorg dat je klaar bent bij een mogelijk datalek, bij verlies van persoonsgegevens dus. Duid een persoon aan die deze taak op zich neemt. Zorg dat iedereen in je organisatie weet tot wie hij zich moet richten.

Wat is een datalek? Het verlies of diefstal van een laptop met daarop persoonsgegevens is een datalek, net als het verlies van een usb-stick met gegevens of een database die gehackt wordt...

Gebruik hiervoor het document dat je hier vindt.

Contracten

Deel je gegevens met derden (bijvoorbeeld met de plaatselijke drukker) dan vraag je een geschreven contract waarin staat dat zij in orde zijn met de GDPR-wetgeving.

Beveiliging

Spreek ook af dat de gegevens goed beveiligd worden.