GDPR voor gewesten
GDPR voor gewesten
Wat moeten gewestploegen doen om in orde te zijn met de Europese privacywetgeving, en hoe kunnen ze hun groepen ondersteunen om GDPR te implementeren?
Nog nooit gehoord van de General Data Protection Regulation of GDPR? Of in het Nederlands: van de Algemene Verordening Gegevensbescherming of AVG? Lees dan eerst de algemene uitleg.
In het kort: die privacyrichtlijn verplicht organisaties om mensen te informeren over wat ze met hun persoonsgegevens doen, én om op een goede manier met die gegevens om te gaan. Dat laatste wil zeggen: er zo weinig mogelijk opslaan, op zo weinig mogelijk plaatsen, en zorgen dat ze zo juist mogelijk zijn.
Hoe zorg je er als gewestploeg voor dat je in orde bent met die privacyregels?
- Zorg dat al je persoonsgegevens op één plaats staan, en werk ze daar ook altijd goed bij. Het GAP is daar een goede plaats voor - niet alleen voor je eigen vrijwilligers maar ook voor je contactpersonen bij lokale groepen. Heb je een Excel-lijst nodig? Dan kun je die daar downloaden. Verwijder achteraf dat bestand, dan heb je zeker nergens verouderde gegevens staan.
- Verspreid je contactgegevens? Zorg dan dat je daar toestemming voor hebt. Zomaar een boekje afdrukken met alle contactgegevens van alle leiding in je gewest, en dat uitdelen, is dus geen goed idee. Organiseer je een gewestelijke aspi-activiteit, nodig dan de aspileiding uit en laat hen zelf hun contactgegevens uitwisselen. Of maak een Facebookgroep aan en nodig hen uit om lid te worden.
- Verstuur je een nieuwsbrief via een website die daarvoor gemaakt is, zoals MailChimp? Dan heb je een verwerkersovereenkomst nodig met die website, die garandeert dat je gegevens veilig bewaard worden. MailChimp maakte een formulier om dat makkelijk te maken.
- Heb je een website?
- Publiceer je daar persoonsgegevens op? Dat gaat over namen en contactgegevens maar ook over foto's. Zo ja: weten alle betrokkenen dat, en heb je daar hun toestemming voor?
- Staat er een contactformulier op? Dan moet je de gebruikers op dat formulier zelf informeren over wat je met de ingevulde contactgegevens doet, waar ze opgeslagen worden en voor hoe lang.
- Gebruik je cookies, Google Analytics, deelknoppen van Facebook/Twitter/Google/enz.? Dan moet je de bezoekers van je site daarvan op de hoogte brengen en je moet in een privacystatement uitleggen wat dat allemaal betekent voor hen. Met Google Analytics heb je ook een verwerkersovereenkomst nodig - je vindt daar onderaan in je accountinstellingen een knop voor.
- Al je verwerkingen (registreren, raadplegen, gebruiken, verspreiden en verwijderen) moeten beschreven zijn in een verwerkingsregister. Daar zullen we een basisversie van aanbieden, die je kunt aanvullen naargelang jullie specifieke situatie.
Hoe kun je je groepen helpen om zich in orde te stellen?
- De websites van lokale groepen moeten aan dezelfde voorwaarden voldoen als hierboven. Overloop eens alle sites van je gewest. Waar is er nog werk aan? Laat dat weten aan die groep en verwijs hen eventueel door.
- Organiseer een gewestavond over privacy. Hoe gaan groepen om met hun website, met de medische fiches, met GAP (wie krijgt toegang, en wie doet wat?), met foto's? Hoe communiceren ze met ouders, en hoe beschermen ze hun privacy?