Dag allen,
ik ben actief in het bestuur van een sportclub. Zoals eender welke organisatie (zowel bedrijf, eenmanszaak, vzw, feitelijke vereniging, vriendenclub, ...) zijn wij onderhevig aan alle vormen van privacy-wetgeving.
Hot topic op vandaag is dus de GDPR (wie daar nog niet mee bezig is, begin er maar dringend aan).
Uitgangspunt is dat je van niemand gegevens mag bijhouden. Dat is blijkbaar al het geval sinds 1995. De GDPR is gewoon een update aangepast aan de moderne technologie, maar eigenlijk zijn de regels helemaal niet veranderd. Wat er wel bijgekomen is, dat is een documentatieplicht. Als bestuurder van bvb een vzw, of als lid van een feitelijke vereniging, bestuurder van een bedrijf,... wacht een zware boete indien daaraan niet voldaan is. Indien de organisatie die boete niet kan ophoesten, dan is er naar verluidt sprake van hoofdelijke aansprakelijkheid voor de bestuurders.
VRAAG 1: klopt dat alvast, die aansprakelijkheid?
De GDPR beschrijft dus alle uitzonderingen waarbinnen je WEL gegevens mag bijhouden of delen met anderen. Gegevens van klanten, van leden, juridische verplichtingen (accountants bvb mogen gegevens delen met de fiscus, want ze moeten),...
Verder moet er ook een zekere proportionaliteit zijn in de termijn waarbinnen je die gegevens bijhoudt. Dat moet gelieerd zijn aan de activiteit. Een auto gaat wel 5 jaar mee eer die vervangen wordt, dus 5 jaar lang emails over nieuwe modellen sturen is ok voor een garagist. Wie ooit een verjaardagstaart bestelde bij de bakker kan na 1 jaar nog eens een mailtje verwachten, want dat is een proportionele periode voor verjaardagstaarten, maar daarna is het over. Bovendien mag je enkel emails sturen over vergelijkbare producten of diensten, dus niet over pistolekes.
Tot dusver is er niet zo'n groot probleem, je moet alleen eens nadenken over ALLES wat je met data doet en dit documenteren.
Verder moet je ook eenvoudige mogelijkheden voorzien voor een aanvraag tot 'vergeten worden'. Iedereen heeft het recht om dat te vragen, maar daarom moet je er natuurlijk niet op in gaan. Wanneer je als accountant nog X aantal jaar de gegevens van iemand moet bijhouden om juridische redenen, dan mag je dat weigeren. Of iemand die na het niet betalen van een factuur vraagt om vergeten te worden, die kan je ook weigeren omdat je de gegevens nog nodig hebt voor eventuele vervolging, en delen met een deurwaarder is dan ook geen probleem.
Je moet grappig genoeg wel een lijst bijhouden van allen die gevraagd hebben om vergeten te worden, omdat je die nooit meer mag contacteren.
We zijn bezig met die oefening, en zo goed als alles wat we doen valt perfect onder 'contractuele verplichtingen' (bvb lidmaatschap) of 'klanten' (iemand die ooit deelnam aan een tornooi, een bbq, eender welk evenement en daarvoor inschreef of betaalde is te beschouwen als een 'klant'. Een ander deel past perfect onder de noemer 'gerechtvaardigd belang' waarbij we die data nodig hebben of delen om onze normale werking te kunnen verzekeren (gegevens delen met de federatie bvb, voor een verzekering en spelerslicentie, of met andere clubs wanneer we bij hen een tornooi gaan doen). Essentieel daarin is wel dat die organiserende club, federatie of verzekeringsmaatschappij dan ook GDPR compliant MOET zijn en dat ook schriftelijk bevestigen vooraleer je gegevens mag delen met hen. Al die documentatie moet je ook bewaren.
Indien de persoon niet valt binnen de uitzonderingsregels, dan is er maar één optie (of eigenlijk 2): toestemming vragen (of de gegevens verwijderen)
Verder is het gebruik van iets als Google Drive of OneDrive nog steeds mogelijk op voorwaarde dat die ook GDPR compliant zijn. De Googles en Microsofts van deze wereld zijn daar volop mee bezig (bvb datacenters in Europa bouwen) maar dat kost handenvol geld. De gratis versie van die producten wordt dus NIET gecertificeerd en die mag je dan ook niet meer gebruiken.
Daarnaast moet je ook de data beveiligen en lekken melden (als je al ooit zou weten dat er wat gelekt is). Het beveiligen van de gegevens is enerzijds een technisch verhaal (server, met antivirus, antimalware, .... en idem voor alle computers die bij de data kunnen, en anderzijds ook procedureel: wie mag wat doen met de data. Is het toegelaten om de excel met ledenlijst te downloaden op je PC? Wie mag emails versturen naar leden? Via welke weg, enz.
Er moet ook een kort en een uitgebreid privacystatement komen waarbij je in het korte verwijst naar het lange op je website en in het lange alles oplijst van gegevens wat je bijhoudt, waarom en hoe lang. Dit moet gebeuren in een heldere taal (dus geen juridisch jargon - als je jeugdwerking hebt dan moet een kind vanaf 12j dit kunnen lezen en begrijpen, want die moet samen met zijn ouders voor akkoord tekenen!!) Dit valt onder de noemer 'transparantie'. Het mag ook niet verstopt zitten in kleine lettertjes in artikel elvendertig op de 10e pagina van een contract of lidmaatschapsovereenkomst.
VRAAG 2: het is allemaal een beetje kort door de bocht en verre van compleet, maar zijn de grote lijnen van bovenstaande correct?
Tot dusver kunnen we onze werking wel conform maken.
MAAR...
Wanneer we een tornooi organiseren, dan gaan we natuurlijk 'uitnodigingen' rondsturen naar clubs over heel europa.
De emailadressen plukken we van websites van federaties, van websites van clubs,....
Volgens GDPR kan dat dus niet zonder toestemming.
Daarnaast is er ook de telecomwet die zegt dat je niemand ongevraagd een email mag sturen (behalve alles wat binnen GDPR valt: klanten, leden, ...)
VRAAG 3: is het versturen van een 'uitnodiging' een vorm van direct marketing en dus ronduit verboden zonder voorafgaande toestemming?
Want dan mogen we min of meer stoppen met tornooien organiseren als we enkel maar kunnen voortdoen met deze die al eens gekomen zijn, want na 2 jaar vallen ze uit die leeftijdscategorie en kunnen ze zelfs niet meer meedoen. En zonder die inkomsten mogen we ook de club opdoeken.
(we sturen de uitnodiging eigenlijk naar de club, dus die hebben elk jaar wel vers bloed in de leeftijdscategorie, maar niet altijd van een niveau dat op ons tornooi past, dus soms slaan ze eens een paar jaar over.
Het zijn vooral de buitenlandse clubs die we niet kunnen bereiken via de promotiekanalen van onze federatie, en net die maken het hoge niveau van ons evenement uit.
VRAAG 4: vallen buitenlandse emailadressen ook onder de belgische telecomwet? of is dat europeees geregeld?
VRAAG 4b: is 'info@' ook een gegeven van persoon, of eerder van een organisatie, en valt dit dan wel of niet onder deze wetgeving
Het laatste punt handelt over beeltenisrechten.
Wanneer je beelden schiet van een persoon dan moet je daarvoor al toestemming hebben (die kan impliciet zijn, bvb doordat ze de camera zien vlak voor hen en niet afwijzend reageren - maar met een telelens telt dan weer niet) maar om die te publiceren moet je ook toestemming hebben.
Als de foto eerder een sfeerbeeld is, dan mag die zonder toestemming genomen worden en ook gepubliceerd worden. Maar iemand kan wel eisen om onherkenbaar gemaakt te worden.
VRAAG 5: zijn bovenstaande beweringen correct?
Wij nemen uiteraard foto's van het podium met de winnaars van het tornooi en die plaatsen we ook op de tornooi-website en op facebook.
Is een podium-foto een sfeerbeeld, of hebben we van iedereen die er op staat de toelating nodig om te publiceren?
Kunnen we die toelating in het wedstrijdreglement opnemen en is deelname gelijk aan akkoord, of moet er expliciet een document ondertekend worden?
Idem voor video (bvb live-streaming). Kan dat nog? De wedstrijdzone filmen en uitzenden of moet elk individu zijn toelating verlenen? Dus bvb ook de scheidsrechters.
VRAAG 6: hoe kunnen we dit aanpakken zodat we hiermee wegkomen? Of is dat echt onmogelijk zonder handtekeningen?
De eerste emails met vraag om toestemming heb ik intussen al in de mailbox gekregen. Dat wordt dus een stroom aan emails de komende maanden. Eind mei moet iedereen conform zijn. Vreemd genoeg is een vraag om toelating de enige mail die je nog mag sturen, weliswaar eenmalig en zonder dat er reclame bij zit.
Nog niet aan begonnen? WACHT NIET LANGER!!
Hopelijk organiseert uw federatie een opleiding, met templatedocumenten en grondige uitleg.
En hopelijk is uw federatie ook al bezig met GDPR voor henzelf.