In 3 stappen naar een veilige, GDPR-proof organisatie

In 3 stappen naar een veilige, GDPR-proof organisatie

Dat je als kleine lokale jeugdwerking niet wakker ligt van de nieuwe privacywetgeving, dat begrijpen we. Over het algemeen zullen er zich weinig problemen voordoen en ook de privacycommissie zal je wellicht met rust laten.

Toch is het belangrijk om met enkele belangrijke zaken in orde te zijn. Wanneer één lid of ouder van een lid je gegevensverwerking in vraag stelt of een klacht indient over ongewenste foto’s, kan dit grote gevolgen hebben voor je werking.

Wij raden bijvoorbeeld aan om met een kleine kern samen te zitten over volgende issues:

1.    Welke gegevens heb je en wat doe je ermee?

Het is verplicht om alle gegevens die je hebt en bijhoudt te registreren. Overloop dus eens welke persoonsgegevens je hebt. Dit is wat je moet doen om helemaal in orde te zijn met de nieuwe privacywetgeving.

Communiceer duidelijk hoe lang je welke gegevens bijhoudt. Heb je nog medische fiches van afgelopen kampen? Die moet je sowieso weggooien. Medische en financiële gegevens vallen immers onder 'gevoelige informatie' en die mag je niet bewaren.  Heb je een archief met foto’s? Of een ledenlijst van vroeger? Ook die mag je niet oneindig lang bijhouden zonder dat je de leden of ouders informeert.

Archief

Vermeld telkens ook duidelijk en uitgebreid waarvoor je die gegevens wil bijhouden. Stuur je bijvoorbeeld naar alle ex-leden uitnodigingen voor spaghetti-avonden of nieuwsbrieven? Dan moet je hen voor 26 mei 2017 een mail sturen met de expliciete vraag of zij deze mails willen ontvangen. Alle personen die niet antwoorden of de toestemming niet geven, mogen in principe geen mails meer ontvangen van je organisatie.

2.    Welke gegevens vragen je aan leden?

Tijd om eens de schoonmaak te houden in je archief? Dan is het tijd om je huidige administratie GDPR-proof te maken.

1.      Herbekijk de inschrijvingsformulieren en medische fiches. Welke vragen stellen je en waarom? Maak een lijst met welke gegevens je bijhoudt en schrijf er de reden bij.

2.      Let wel: je mag enkel de gegevens bijhouden die je nodig hebt om je werking draaiende te houden. Leden vragen naar welke school ze gaan is in dat opzicht irrelevant.. De geboortedatum is wel een gegeven dat je nodig hebt voor de verzekering.

3.      Voeg een privacyverklaring toe. De privacyverklaring verkrijg je wellicht via de koepel van je jeugdbeweging. Zoniet helpt Scwitch je verder. Hierin staat vooral welke gegevens je opvraagt en waarom. Er staat bijvoorbeeld ook in of je de gegevens doorgeeft aan derden: de verzekering, de koepel, de overheid, de gemeente … Gegevens doorgeven mag uiteraard ook niet zomaar. Alle e-mailadressen doorgeven aan de jeugdraad zodat zij kunnen reclame maken is niet toegestaan.

4.      Voeg de juiste toelatingsvakjes toe.

  • Eentje verwijst naar de privacyverklaring (Ik ga akkoord met de privacyverklaring). Vergeet de privacyverklaring niet toegankelijk te maken.
  • Een tweede die vraagt naar het portretrecht (Ik geef toestemming om foto’s te maken van mij/mijn kind en deze te bewaren op een harde schijf).
  • Een derde over de distributie (Ik geef toestemming om de gemaakte foto’s te delen in de Facebookgroep waar elk lid en zijn ouders de foto’s kan zien).
  • Ook op de medische fiche verhelder je jezelf. Voeg eraan toe dat enkel leiding of medische hulpdiensten deze fiches te zien krijgen en dat de kookploeg op de hoogte wordt gesteld van zaken waar ze rekening mee moeten houden.

Maak de vakjes dus transparant en duidelijk. Tientallen foto’s delen op je openbare pagina is binnenkort helaas niet meer van deze tijd… Gebruik je foto’s op je algemene pagina waar iedereen ze kan zien? Vraag dan per getoond lid aparte toestemming.

3.    Beveiliging  van de gegevens

paswoord

Tot slot kan je nog even nadenken over de beveiliging van gegevens. Volgens de wetgeving moet je elk lek van gegevens aangeven. Ben je een usb-stick kwijt met ledenlijsten? Dan moet je in theorie een mail sturen naar de privacycommissie. Een eerste goede stap is dus om een wachtwoord toe te voegen aan alle documenten die persoonsgegevens bevatten.

Bewaar je de gegevens op drive? Zorg dan zeker dat ex-leden en -leiding geen toegang meer hebben.

Zo, dit is alvast een heel goed begin om GDPR in je organisatie te integreren. Met vragen kan je ongetwijfeld bij je koepel terecht of bij Scwitch, die ons de geheimen van de GDPR bijbracht. Op hun website vind je alles wat je nodig hebt.