Vanaf 25 mei 2018 is de nieuwe Europese privacywetgeving, of de GDPR-wetgeving, van kracht. GDPR staat voor General Data Protection Regulation (in het Nederlands spreken we over de Algemene Verordening Gegevensbescherming - AVG).  Deze wetgeving werd opgesteld om de persoonlijke gegevens van de Europese burgers beter te beschermen. 

Het grote verschil met de vorige privacywetgeving is dat de verzamelaar van gegevens veel meer verantwoordelijkheid krijgt en zich veel meer moet verantwoorden hoe hij de gegevens van mensen beschermt. 

Ook het jeugdwerk moet werk maken van de nieuwe privacywetgeving

Verwerk je persoonsgegevens (naam, adres, foto's, ...) dan wordt ook van jouw organisatie verwacht dat je in regel bent met de nieuwe wetgeving. Geen uitzonderingen! De privacycommissie zal erop toezien dat iedereen die regels volgt en zal klachten behandelen. Komt er een klacht binnen tegen jouw organisatie of één van jouw lokale afdelingen, dan kan daar een boete aan vasthangen. 

Het is belangrijk dat je bij verwerking van persoonsgegevens kan aantonen WELKE gegevens je verzamelt, WAAROM je dat doet en HOE je ze verwerkt en beschermt. 

Hoe pak ik dat nu aan, die GDPR? 

Luk Tas neemt ons mee in de 7 stappen die je moet doorlopen om helemaal GDPR-proof te worden. 

Bewustmaking

Elke organisatie die persoonsgegevens verwerkt, moet zich in regel stellen. Een eerste belangrijke stap is de bewustmaking binnen jouw organisatie, zodat al jouw collega’s en vrijwilligers op de hoogte zijn van van de regels die je opstelt rond het verzamelen van data. Hou ook zeker in een logboek bij welke stappen je onderneemt, hoe je leidinggevenden, collega’s of vrijwilligers informeert en welke stappen je verder zet.

Maak je inventaris

Breng in kaart welke persoonsgegevens verwerkt worden binnen je organisatie en hoever die verwerking gaat (verzamelen, bewaren, verspreiden, kopiëren, bewerken,...). Zo krijg je een overzicht van wat getoetst moet worden aan de GDPR. Kijk ook na waar die gegevens vandaan komen, wie er toegang toe heeft, welke partners of onderaannemers (bv overheid, andere Vzw’s, sociaal secretariaat, online marketing organisatie, data hosting bedrijf) die gegevens in handen krijgen, ... om op die manier tot een inschatting van veiligheidsrisico's te komen.

Audit en stappenplan

Je hebt nu een duidelijk overzicht. Bekijk en omschrijf goed voor welke doeleinden je bijvoorbeeld leden-en gebruiksgegevens verzamelt en verwerkt. Ga na of het wel nodig is om al die gegevens zo lang te bewaren. Schrap de gegevens die je eigenlijk niet nodig hebt voor het uitvoeren van een activiteit. Laat daarnaast jouw leden, vrijwilligers, deelnemers, … weten op welke basis jouw organisatie persoonsgegevens verwerkt. Als laatste moet je ook nadenken over hoe je die persoonsgegevens zal beschermen. Dit gaat van organisatorische maatregelen tot technische en soms juridische maatregelen.

Maak je (gegevensverwerkings)register

Je bent verplicht een register bij te houden over de gegevens die je verwerkt. Daarin neem je volgende zaken zeker op: doeleinde, soort gegevens die je verwerkt, van wie je de gegevens bijhoudt, of je de gegevens krijgt of doorgeeft aan derden, hoe lang je ze bewaart en hoe je ze beveiligt.

Privacyverklaring

Belangrijk is dat je als organisatie op een open, proactieve manier communiceert over de verwerking van persoonsgegevens. Dit moet je doen zonder dat de betrokkenen hier naar vragen. Hoe ga je om met persoonsgegevens? Waarom verwerk je ze? Hoelang hou je ze bij? Bij wie kunnen ze terecht met vragen binnen jouw organisatie? Hoe kunnen ze gebruik maken van hun rechten? Het antwoord op al deze vragen moet je verzamelen in de privacyverklaring van je organisatie. Meestal vind je die op de homepagina van je website.

Kan je antwoorden op vragen?

Elke organisatie moet kunnen antwoorden of ingaan op de vragen die leden, deelnemers of vrijwilligers stellen rond het gebruik van persoonsgegevens. Zorg dat je weet welke rechten deze personen hebben als het gaat over persoonlijke gegevens. De belangrijkste rechten zijn: recht op informatie, inzage, aanpassing gegevens, laten verwijderen van gegevens, intrekken van toestemmingen.

Wat met datalekken?

De GDPR verplicht je als organisatie om binnen de 72 uur na een datalek een melding te maken bij de Privacycommissie. Maak hier duidelijke afspraken rond. Dit kan gaan van het verlies van een laptop tot hacking.

De grote aandachtspunten

• grotere verantwoordingsplicht. Meer transparantie van verwerking, beheer en bewaring van persoonsgegevens
• meer nadruk op de rechten van de betrokkenen
• bewijslast ligt vanaf heden bij de verwerkingsverantwoordelijke en de verwerker
• sterk toeizcht: de privacycommissie wordt naast informatieorgaan ook waakhond en kan boetes opleggen
• let op met gevoelige data: medische gegevens, politieke voorkeuren, etnische afkomst... dit kan slechts onder bepaalde voorwaarden en de juiste legitimatie, denk dus goed na wat nodig is voor de werking van je organisatie 

Meer info, tips en tricks nodig?

Er zijn heel wat tools en voorbeelden de je op weg kunnen helpen om je organisatie GDPR-proof te maken.
Scwitch biedt groepsessies, een logboek, tools en templates aan om je hierin te ondersteunen. Je kan er ook terecht bij experts die klaarstaan om je vragen te beantwoorden. Dit kan ook in één-op-één begeleiding. 
Interesse in het aanbod van Scwitch? Ga een kijkje nemen op hun website of neem contact op met Luk Tas. 

Het is zeker ook belangrijk dat jouw lokale afdelingen (als je die hebt) mee op de hoogte zijn van de nieuwe privacywetgeving en hun werking hieraan aanpassen. Ook daarvoor werkte Scwitch een apart aanbod van tools uit dit je in hun toolbox kan terugvinden. 
VDS (Vlaamse Dienst Speelpleinwerking) gaf al het goede voorbeeld en verzamelde heel wat info, tips en tricks om zo alle speelpleinwerkingen op de hoogte te brengen en aan te zetten tot actie. Breng de website van VDS zeker een bezoekje ter inspiratie. Ook onderstaand filmpje legt op een ludieke manier uit waar we ons aan mogen verwachten vanaf 25 mei 2018.