Lokale groepen en gewesten zijn feitelijke verenigingen die min of meer aan onze controle ontsnappen. Ze krijgen wel aansturing vanuit Chirojeugd Vlaanderen, maar ze werken toch min of meer autonoom. Zij moeten dus zelf zorgen dat ze als gegevensverantwoordelijke in orde zijn. Bij verbonden is dat een beetje anders: zij worden opgevolgd door een beroepskracht van Chirojeugd-Vlaanderen vzw, en vallen dus onder wat er op nationaal niveau geregeld wordt op het vlak van de GDPR.

Hoe zorg je er als verbondsploeg voor dat je in orde bent met die privacyregels?

• Zorg dat al je persoonsgegevens op één plaats staan, en werk ze daar ook altijd goed bij. Het GAP is daar een goede plaats voor - niet alleen voor je eigen vrijwilligers maar ook voor je contactpersonen bij gewesten en lokale groepen. Heb je een Excel-lijst nodig? Dan kun je die daar downloaden. Verwijder achteraf dat bestand, dan heb je zeker nergens verouderde gegevens staan.
• Verspreid je contactgegevens? Zorg dan dat je daar toestemming voor hebt. Zomaar een boekje afdrukken met alle contactgegevens van alle gewesters in je verbond, en dat uitdelen, is dus geen goed idee. Organiseer je een activiteit samen met gewesters of plaatselijke leiding? Nodig dan die mensen uit en laat hen zelf hun contactgegevens uitwisselen. Of maak een Facebookgroep aan en nodig hen uit om lid te worden.  
• Verstuur je een nieuwsbrief via een website die daarvoor gemaakt is, zoals MailChimp? Dan heb je een verwerkersovereenkomst nodig met die website, die garandeert dat je gegevens veilig bewaard worden. We verzamelen daarvoor de nodige info, zodat we die overeenkomsten zoveel mogelijk gebundeld kunnen afsluiten.
• Heb je een website?
  • Publiceer je daar persoonsgegevens op? Dat gaat over namen en contactgegevens maar ook over foto's. Zo ja: weten alle betrokkenen dat, en heb je daar hun toestemming voor?
  • Staat er een contactformulier op? Dan moet je de gebruikers op dat formulier zelf informeren over wat je met de ingevulde contactgegevens doet, waar ze opgeslagen worden en voor hoe lang. 
  • Gebruik je cookies, Google Analytics, deelknoppen van Facebook/Twitter/Google/enz.? Dan moet je de bezoekers van je site daarvan op de hoogte brengen en je moet in een privacystatement uitleggen wat dat allemaal betekent voor hen. Met Google Analytics heb je ook een verwerkersovereenkomst nodig - je vindt daar onderaan in je accountinstellingen een knop voor.
• Al je verwerkingen (registreren, raadplegen, gebruiken, verspreiden en verwijderen) moeten beschreven zijn in een verwerkingsregister. We maken op nationaal niveau een globaal register op waar de verwerkingen van verbonden in staan. Dat wordt nog ter bespreking voorgelegd zodat het zeker volledig is.

Hoe kun je je gewesten en groepen helpen om zich in orde te stellen?

• De websites van gewesten en lokale groepen moeten aan dezelfde voorwaarden voldoen als hierboven. Overloop eens alle gewestsites in je verbond. Waar is er nog werk aan? Laat dat weten aan die groep en verwijs hen eventueel door.
• Op jullie Animatorcursus gaat het onder andere over administratie en verzekeringen. Zorg dat de GDPR-regels aan bod komen in die uitleg, en bereid je voor zodat je kunt antwoorden op vragen van groepen. Opgelet: GDPR gaat niet alleen over leden aansluiten, maar ook over gegevens bijhouden van je vrijwilligers (oudercomité, bouwploeg, kookouders, enz.).
• Ondersteun jullie gewesten zodat zij hun groepen kunnen helpen. Zie 'GDPR voor gewesten' voor meer info.