De General Data Protection Regulation of kortweg GDPR is een nieuwe wetgeving die sinds 2018 van kracht is om de privacy van Europese burgers beter te beschermen. Concreet gaat ze over hoe je persoonsgegevens verzamelt, gebruikt, verwerkt en beveiligd. Ook als organisator van evenementen moet je kunnen aantonen welke persoonsgegevens je verzamelt, hoe je ze gebruikt en hoe je ze beveiligt.
Je mag enkel gegevens gebruiken die echt noodzakelijk zijn voor je evenement op basis van een wettelijke verplichting, een contractuele verplichting, een 'gerechtvaardigd belang' of toestemming. Toestemming is dus niet verplicht als je één van de drie andere mogelijkheden kan inroepen. Ga dus goed na op basis van welke wettelijke grond je gegevens mag gebruiken.
-
Wettelijke verplichtingen
Als de wet je verplicht om bepaalde gegevens te verwerken, hoef je daar geen toestemming voor te vragen aan de betrokkenen.
Voorbeelden:- Om je muzikanten en dj's te betalen heb je hun gegevens nodig.
- Om je medewerkers een vrijwilligersvergoeding uit te keren, heb je hun gegevens nodig.
- Als je met vrijwilligers als security werkt ben je verplicht om bepaalde gegevens neer te leggen (bewakingswet).
- Contractuele verplichtingen
Als je een contract afsluit, is het logisch dat je bepaalde gegevens nodig hebt om dat te kunnen uitvoeren. Een typisch voorbeeld is een ticket, dat je niet kan bezorgen zonder bepaalde informartie over de koper. Daar hoe je dus geen toestemming voor te vragen. Je mag die gegevens wel enkel gebruiken voor de uitvoering van het 'contract' en die bijvoorbeeld niet zomaar opnemen in een algemene mailinglijst of doorgeven aan sponsors.
- Gerechtvaardigd belang
Als je evenement anders echt niet uitvoerbaar is, kan je overwegen om het gerechtvaardigd belang in te roepen als rechtsgrond. Je mag dat niet lichtzinnig gebruiken en moet goed nagaan of je de persoon wiens gegevens je gebruikt geen kwaad berokkent en hem/haar niet in de problemen brengt of lastigvalt als je zijn/haar gegevens gebruikt. We stellen voor dat je het gerechtvaardigd belang vooral gebruikt om mensen die zich inschreven, een ticket kochten ... te informeren over inhoudelijke of praktische zaken, bijvoorbeeld bereikbaarheid, het aanvangsuur dat wijzigt, ...
- Toestemming
Toestemming is natuurlijjk de meest duidelijke basis waarop je gegevens kan gebruiken. Let wel op: iedereen mag en kan zijn toestemming steeds intrekken. als organisator moet je er voor zorgen dat iemand even makkelijk zijn toestemming kan geven als intrekken.
De toestemming moet vrij, actief, controleerbaar en specifiek zijn:- Vrij: de persoon mag niet onder druk staan om toestemming te geven en moet zonder toestemming ook kunnen deelnemen aan het evenement.
- Actief: de persoon moet zelf een actie doen: iets aanvinken, iets handtekenen, een mail sturen, ...
- Controleerbaar: je moet de toestemming kunnen bewijzen
- Specifiek: het moet heel duidelijk zijn waarvoor iemand zijn toestemming geeft, bijvoorbeeld om een nieuwsbrief te ontvangen (en niets anders).
Als organisator ben je verplicht om twee documenten op te stellen:
- Het eerste is een register, dat in kaart brengt welke gegevens je om welke reden verwerkt. Voor een doorsnee organisator van evenementen zijn dit onder meer de gegevens van je vrijwilligers, medewerkers en deelnemers. Het is een intern document dat je niet publiek hoeft te maken. Het kan wel opgevraagd worden als je controle krijgt van de Autoriteit Gegevensbescherming.
- Het tweede document is een privacyverklaring, een tekst waarin je duidelijk neerschrijft welke gegevens je waarom en hoelang zal gebruiken. In feite is een privacyverklaring de omzetting van je register naar het brede publiek, de deelnemers of bezoekers dus. Die verklaring is dus een openbaar raadpleegbaar document. Je plaatst ze best op je website. In je privacyverklaring licht je volgende zaken toe:
- Welke persoonsgegevens je gebruikt
- Waarom je die gegevens gebruikt
- Op welke manier je aan die gegevens komt
- Wie die gegevens gebruikt en verwerkt
- Welke gegevens hoelang worden bewaard
- Hoe je de gegevens beveiligt (niet verplicht)
- Hoe je de rechten van de persoons wiens gegevens je gebruikt verzekert.
Iedereen moet de mogelijkheid hebben om zijn persoonlijke gegevens in te kijken, te laten corrigeren of te laten verwijderen.
Geef persoonsgegevens nooit voor commerciële doelen door aan derden, dus ook niet als bevriende organisaties of sponsors dat vragen, tenzij je daarvoor expliciet de toestemming voor hebt.
Je mag persoongegevens wel doorgeven aan verwerkers, als dat noodzakelijk is voor het realiseren van je doelstellingen, bijvoorbeeld als je een mailingprogramma gebruikt om je nieuwsbrief te versturen of een ticketingbedrijf inschakelt om je tickets te verspreiden. Zorg er dan wel voor dat je dat duidelijk in je privacyverklaring schrijft en dat je een verwerkersovereenkomst hebt met de bedrijven waar je mee samenwerkt.
Als je beslist om zelf een online platform te openen waarop je tickets kan bestellen, moet je ervoor zorgen dat dat GDPR-proof is. Dat betekent dus dat je enkel noodzakelijke info vraagt en aan je kopers moet uitleggen hoe, waarom en hoelang je hun gegevens gebruikt en bewaart. De gegevens die je zo bekomt, moet je beveiligen, zodat ongeoorloofd gebruik en toegang onmogelijk is. Elke persoon moet de keuze krijgen al dan niet meldingen te ontvangen.