GDPR

From LOKO Kennisdatabank

De Algemene verordening gegevensbescherming of 'The General Data Protection Regulation' (GDPR) werd geïntroduceerd in mei 2018. Het doel is om mensen te beschermen op vlak van persoonlijke date. Omdat vzw's ook onder deze regeling vallen, moeten studentenverenigingen zich ook aanpassen hieraan. Hieronder vind je een korte voorstelling van de belangrijke principes van GDPR als ook de meest belangrijke verplichtingen waar een vereniging zich aan moet houden. De derde paragraaf geeft een overzicht van de nieuwe regels die van toepassing zijn specifiek voor studentenverenigingen.

Basisprincipes van GDPR

De belangrijkste principes voor het omgaan met persoonlijke data zijn:

  • Eerlijkheid en transparantie: er moet eerlijk en transparant omgegaan worden met persoonlijke data volgens de wet.
  • Doelbeperking: persoonlijke data mag enkel verzameld worden voor specifieke en legitieme doeleinden en mag niet gebruikt worden voor andere redenen.
  • Data verkleining: persoonlijke data moet relevant en gelimiteerd blijven tot het noodzakelijk voor het bereiken van het doel.
  • Accuraatheid: persoonlijke data moet correct en up to date blijven.
  • Houdbaarheid limiet: persoonlijke data mag slechts voor de tijd nodig voor het doel te bereiken bijgehouden worden.
  • Vertrouwelijkheid en integriteit: persoonlijke data moet opgeslagen worden op een manier die de veiligheid van de data garandeert (inclusief de bescherming tegen niet-geautoriseerde toegang, verlies of schade).

Verplichtingen

  • Het recht om je eigen persoonlijke date te kunnen raadplegen: iedereen heeft het recht om te weten welke persoonlijke data wordt bijgehouden door de organisatie. Iedereen mag vragen deze informatie aan te passen of te verwijderen.
  • Organisatorische maatregelen: elke organisatie moet kunnen aantonen dat de GDPR-regels gevolgd worden.
  • Veiligheidsmaatregelen: data moet beschermd worden. Wanneer data gelekt wordt, moet de organisatie dit binnen de 72 uur melden aan het veiligheidscomité

Het centrale principe is transparantie. Elke studentenvereniging moet een publiekelijk toegankelijk privacybeleid voorzien. Hier moet onderander instaan (i) hoe de data verwerkt wordt, (ii) wat het doel is, (iii) de legale basis en (iv) welke periode de data opgeslagen wordt. Daarbij heeft elke organisatie een verantwoordelijkheidsverplichting: ze moeten kunnen aantonen dat ze zich op elk moment aan de GDPR-regels houden. Wanneer een organisatie afstand doet van deze verplichtingen, kan een boete aangerekend worden.

Toepassing op studentenverenigingen

Registratie van leden

Het doel van de verzameling van data moet altijd duidelijk en expliciet vermeld worden. Het is dan ook illegaal om data op te slaan voor een onbepaald doel. De leden moeten hun expliciete toestemming geven voor het gebruik van hun gegevens. Deze toestemming kan op elk moment ingetrokken worden.

Belangrijk: marketing doeleinden kunnen legale basis zijn voor het opslaan en verwerken van persoonlijke gegevens.

Enkel data met een directe relevantie om het doel te behalen mag verwerkt worden. De volgende data zijn bijvoorbeeld voldoende voor de meeste doeleinden: voor- en familienaam, e-mailadres, opleiding. De duur voor het opslaan van deze gegevens dient beperkt te zijn. Bijvoorbeeld, data mag maar bewaard worden tot het einde van het academiejaar en moet dan verwijderd worden.

De studenten moeten hun gegevens kunnen raadplegen. Ze mogen altijd vragen om de informatie aan te passen of te verwijderen. In het tweede geval moet de data onmiddellijk verwijderd worden, ook derde partijen die de gegevens ontvangen hebben moeten gevraagd worden deze te verwijderen.

  • Samenwerking met derde partijen

Studentenorganisaties moeten duidelijke afspraken maken met derde partijen (bijvoorbeeld Guido, Joyn, printshops...) wanneer er gegevens worden doorgegeven. Er moet onder andere overeengekomen worden waarvoor de data gebruikt mag worden, hoe die beschermd wordt en wanneer die verwijderd wordt.

Het verzamelen van gegevens van deelnemers voor een activiteit (bv. skireis) wanneer deze informatie nodig is voor het uitvoeren van een contract is een geldig doel voor dataverzameling. De deelnemers moeten in dit geval geen expliciete toestemming geven.

Belangrijk: De deelnemers kunnen altijd in tegenspraak gaan voor het gebruik van hun gegevens voor directe marketing (waaronder adverteren). Wanneer derden de gegevens van studenten willen gebruiken, moet dit expliciet gevraagd worden en moeten de studenten hun toestemming geven.

Wat als een studentenvereniging werkt met een lidmaatschap dat automatisch toestemming geeft dat de data gebruikt wordt voor marketing doeleinden? De toestemming van de student moet altijd vrijwillig gegeven worden. Dit betekent ondermeer dat er geen risico is op negatieve consequenties. Geen korting krijgen op producten is geen negatieve consequentie. Het is toegestaan om studenten korting te geven via hun lidmaatschap in ruil voor de toestemming dat hun data gebruikt mag worden. Dit moet dan steeds duidelijk vermeld worden en het is belangrijk dat er aangegeven wordt aan wie de data gegeven kan worden.