Naar de hoofdinhoud
Alle collectiesStart to Ledenbeheer
GDPR-wetgeving en Ledenbeheer
GDPR-wetgeving en Ledenbeheer
Meer dan 2 maanden geleden bijgewerkt

GDPR-wetgeving

Is Ledenbeheer GDPR-proof?

Ja.

Ledenbeheer is een verwerkingsverantwoordelijke en verwerker. De persoonsgegevens worden steeds verwerkt met inachtneming van de uitgangspunten van de privacywetgeving en de Algemene Verordening Gegevensbescherming, zijnde de Europese Verordening 2016/679 van 27 april 2016 betreffende de bescherming van persoonsgegevens.

Ledenbeheer verzamelt, registreert en verwerkt persoonsgegevens van klanten en gebruikers van onze diensten. Gegevens worden bijvoorbeeld meegedeeld door personen zelf bij een contactopname, bij de registratie op ons platform of wanneer door Ledenbeheer diensten worden verleend.

De persoonsgegevens worden verwerkt op een rechtmatige, behoorlijke en transparante manier en dit voor een welbepaald en uitdrukkelijk doel. De gegevensverwerking wordt beperkt tot wat noodzakelijk is en de bewaartermijn van de persoonsgegevens is beperkt tot zolang als nodig met betrekking tot het realiseren van de doeleinden van de verwerking.

Naast onze privacy-verklaring, algemene voorwaarden en cookies verklaringen hebben we ook heel wat maatregelen getroffen naar beveiliging van alle gegevens.

Ben ik automatisch in orde met de GDPR-wetgeving als ik met Ledenbeheer werk?

Neen, maar het is een stap in de goede richting.

Ledenbeheer staat in voor de verwerking van gegevens, maar als club ben je nog steeds gegevensverantwoordelijke.

Dit houdt in dat je verantwoordelijk bent voor de gegevens die je vraagt van je leden, met wie je deze deelt en hoe je er mee omgaat.

Door met Ledenbeheer te werken ben je automatisch in orde met een paar zaken (wanneer correct gebruikt):

  1. Leden kunnen hun eigen informatie inkijken en aanpassen.

  2. Leden hebben het recht om vergeten te worden op Ledenbeheer.

  3. Alle gegevens staan op een beveiligd platform.

  4. Je hebt toestemming gevraagd om de gegevens bij te houden en mensen zijn akkoord gegaan met je GPDR-verklaring en algemene voorwaarden tijdens het inschrijven.

  5. E-mails en nieuwsbrieven zijn strikt gescheiden. Leden ontvangen geen nieuwsbrieven als ze geen toestemming hebben gegeven. Wat is het verschil?

  6. Een uitgebreid rechtensysteem zorgt er voor dat je gevoelige informatie alleen maar deelt met bestuurders.

Maar er zijn een aantal basis regels over het bijhouden van gegevens:

  1. Hou alleen bij wat nodig is

  2. Bepaal de wettelijke grond waarom je de gegevens bijhoud.

  3. Informeer ik iedereen goed wiens gegevens ik gebruik (via de privacyverklaring)

  4. Zorg dat de gegevens goed beveiligd zijn! Kies voor een partner zoals Ledenbeheer die GDPR-proof is.

  5. Maak komaf van die Excel lijsten die op Dropbox, Onedrive en op 10 computers staan. Hoe meer mensen aan die file kunnen hoe groter het risico op een beveilingslek.

  6. Laat de informatie op Ledenbeheer staan en geef enkel toegang aan bestuurders die de informatie nodig hebben.


Verplichte documenten

Elke organisatie die systematisch persoonsgegevens verwerkt is verplicht om volgende documenten op te maken.

Register

Een register met overzicht van je verwerkingsactiviteiten en antwoord op enkele verplichte vragen over de bron, het gebruik en de bescherming van je persoonsgegevens.

Privacyverklaring

Mensen hebben het recht om van op het moment dat ze je hun gegevens bezorgen te weten wat er mee gebeurt. Als organisatie moet je dit duidelijk weergeven in een privacyverklaring. Bij elke eerste moment dat je gegevens opvraagt (registratie van een lidmaatschap, verkoop ticket voorstelling, inschrijving fietstocht, tombolaformulier met emailvak, …) moeten mensen op de hoogte zijn waarvoor ze hun gegevens geven en wat je er mee doet. Als je een privacyverklaring hebt, kun je op al deze documenten beknopt meegeven waar de gegevens voor dienen, met een verwijzing naar de privacyverklaring op je site.

Overeenkomsten

Elke organisatie geeft gegevens door aan verwerkers aan wie je de opdracht geeft om iets met die gegevens te doen. (denk maar aan de cloud waar je gegevens op bewaart, het mailprogramma waarmee je nieuwsbrieven stuurt, de lokale drukker aan wie je adressenlijsten bezorgt voor een gepersonaliseerde zending, …) Je mag alleen nog met bedrijven werken die in regel zijn met GDPR. De grote bedrijven zenden je waarschijnlijk zelf dergelijke overeenkomsten. (hoe deze ergens goed bij). Bij andere zal je er zelf moeten achter vragen of overeenkomsten sluiten.

Belangrijk in die overeenkomsten is vooral dat wordt aangetoond dat de gegevens goed beveiligd zijn, niet voor commerciële doeleinden worden doorgegeven, ze op veilige servers worden geplaatst (in Europa of landen waar Europa duidelijke afspraken heeft rond gemaakt), je op de hoogte wordt gebracht als er problemen bij de verwerker zijn, en hij je helpt bij datalekken.

Privacyverklaring

GDPR vereist een bewuste toestemming. Dat betekent dat je alle contactformulieren moet aanpassen en een check box moet toevoegen met de tekst “Ik accepteer de privacy policy”. Zo zijn de gebruikers zich meer bewust van het feit dat ze je toestemming geven hun gegevens te verwerken.

De tekst “Door op Inschrijven te klikken ga je akkoord met de Algemene Voorwaarden” is niet voldoende. Je moet een check box gebruiken om de toestemming uitdrukkelijk te maken. De stilzwijgende manieren om toestemming te vragen/geven zijn niet geldig (zoals bijvoorbeeld vooraf aangevinkte check boxen).De nieuwe wet vereist dat gebruikers de privacy policy kunnen lezen en een check box moeten aanvinken.

Daarom hebben we in Ledenbeheer het verplicht veld “Ik ga akkoord met de privacy policy en voorwaarden van de club” toegevoegd aan het inschrijvingsformulier. Dit is een vaste verplichte vraag binnen Ledenbeheer die elk lid moet aanvinken bij inschrijving.

Via het menu “instellingen = voorwaarden” moet je uiteraard je privacy policy en algemene voorwaarden toevoegen.



Portretrecht

Het portretrecht is een beperking van het auteursrecht. Het geeft een geportretteerde het recht zich te verzetten tegen publicatie van zijn of haar portret. Dit recht vloeit voort uit de wet op de privacy. Het portretrecht wordt ook wel het recht op afbeelding genoemd. Een geportretteerde kan zich verzetten tegen publicatie van een foto als hij daarbij een redelijk belang heeft. Bijvoorbeeld:

  1. het portret is een schending van de privacy.

  2. de geportretteerde wordt publiek belachelijk gemaakt.

  3. de manier van afbeelden is schadelijk voor de geportretteerde

Ook in een commerciële context mag je niet zomaar iedere foto gebruiken. Het is bijvoorbeeld niet toegestaan een portret te gebruiken voor reclamedoeleinden wanneer hiervoor geen uitdrukkelijke toestemming is gegeven.

Overzichtsfoto’s die gemaakt zijn tijdens publieke evenementen worden niet beschouwd als een overtreding van het portretrecht. Personen die herkenbaar zijn weergegeven, zullen zich hiertegen moeilijk kunnen verzetten. Wanneer een foto echter duidelijk op één of enkele personen focust, kunnen zij zich wel beroepen op het recht op privacy. In dat geval zal de context waarin je de beelden gebruikt zeker ook een rol spelen.

Vraag naar portretrecht op je inschrijvingsformulier

Via het menu "contacten > contactgegevens" kun je zelf vragen voor op het inschrijvingsformulier opmaken

Klik rechts bovenaan op “Categorie toevoegen”. Zo kun je alle vragen mbt privacy en portretrecht bundelen op je inschrijvingsformulier.

Klik op categorie toevoegen, naam: Privacy (GDPR) en portretrecht.

Daarna maak je een nieuwe vraag door te klikken op “vraag toevoegen”. Dit doe je best via een JA/NEE vraag.

Een ja/nee vraag kun je verplichten om in te vullen, zonder da je je leden verplicht om akkoord te gaan (want dit is volgens de wet niet toegestaan).

Portretrecht vraag opstellen

  1. Naam: Portretrecht

  2. Type vraag: meerkeuzevraag (radio knoppen).

  3. Categorie: Privacy (GDPR) en portretrecht.

  4. Meerkeuze-opties: Ja, Neen

  5. Verplicht: ja

Deze teksten stellen we voor bij het portrecht:

Vraagstelling: Ik ga akkoord dat er foto’s kunnen genomen en gepubliceerd worden.

Hulpinformatie onder de vraag: Sfeerfoto’s van in de les, optredens, workshops, danskampen, … Indien je niet akkoord gaat met een gepubliceerde foto, spreek ons hier dan over aan zodat we dit kunnen aanpassen.

Eens de vragen zijn opgemaakt kun je ze toevoegen aan je inschrijvingsformulier: lees hier hoe je dit doet.

Nieuwsbrieven

Als eigenaar van de lijst van (e-mail)adressen moet je kunnen aantonen dat je een opt-in hebt gebruikt of toestemming hebt gekregen om de gegevens te beheren en verwerken.

Die opt-in is het bewijs dat de klant effectief je communicatie wil ontvangen. De opt-ins moeten geregistreerd worden. Je moet dus altijd kunnen aantonen hoe je de opt-in hebt verzameld, zodat de rechtsgeldigheid ervan kan worden bewezen.

Wat is het verschil tussen een e-mail en een nieuwsbrief? Je leest het hier.

Leden zullen standaard worden gevraagd of ze de nieuwsbrief willen ontvangen, je hoeft hier niets voor te ondernemen.

Welke maatregelen moet je nemen rond gegevensverwerking van kinderen?

GDPR verbiedt niet dat je gegevens van kinderen verwerkt, maar legt wel enkele specifieke verplichtingen vast.

De GDPR verwacht dat je de informatie over persoonsgegevens op een duidelijke en begrijpelijke manier verwoordt. Deze verplichting is nog strenger als het over gegevens van kinderen en adolescenten gaat.

Als organisatie moet je dus rekening houden met de leeftijd van je doelgroep en ervoor zorgen dat het beleid rond de gegevensverwerking voor een kind of adolescent begrijpelijk is. Vermijd dus zeker juridische termen en maak bijvoorbeeld gebruik van iconen of visuele elementen om de zaken toch duidelijk en begrijpelijk weer te geven.

Toestemming om geïnformeerd te worden door je organisatie.

Wat als je bedrijf kinderen wil informeren? Bij het woord ‘informatie’ kun je bijvoorbeeld denken aan de aankoop van muziek uit een digitale catalogus, aan een abonnement op een streaming dienst, aan een onlinegaming-provider of aan de sociale media.

In dat geval moet je in België, voor kinderen jonger dan 13 jaar, het akkoord van een ouder of wettelijke vertegenwoordiger vragen. Dit doe je in Ledenbeheer het best op het inschrijvingsformulier.

Als je diensten niet direct worden aangeboden aan een kind, dan geldt de vraag van de ‘digitale meerderjarigheid’ niet. Verkoop je bijvoorbeeld online kinderkleding, dan hoef je geen toestemming te vragen.

Deze zaken moeten zeker in orde zijn als je inschrijvingen verwerkt, maar dankzij Ledenbeheer is dit al in orde:

  1. De stijl van de informatie afstemmen op kinderen en adolescenten, zodat ze voor hen begrijpelijk is.

  2. Een systeem installeren om aan elke gebruiker te vragen of hij of zij de vereiste leeftijd bereikt heeft (van 13 tot 16 jaar).

  3. Wanneer de gebruiker zegt dat hij de vereiste leeftijd niet heeft bereikt, dan moeten ze ingeschreven worden door een ouder of voogd.

Recht op gegevenswissing

Zelfs als een van de ouders zich akkoord verklaart met de gegevensverwerking dan nog is dit niet definitief. De ouder en het kind kunnen de toestemming op elk moment intrekken en verzoeken om alle gegevens uit het verleden te wissen. Bovendien moet dit verzoek binnen de maand toegepast worden. Tot slot moet het verzoek doorgeven aan alle partners die de data van het kind ontvangen hebben. Zo kunnen zij op hun beurt de gegevens vernietigen.

Met deze regels wil de EU vooral het signaal geven dat gegevens van kinderen geen koopwaar zijn en dat kinderen goed moet beschermd worden. Bovendien zal de pas aangestelde Gegevensbeschermingsautoriteit de strijd tegen inbreuken op de GDPR opvoeren. Neem je GDPR-beleid dus zeker grondig onder de loep en neem concrete acties om boetes of andere sancties te vermijden.


Veel gestelde vragen rond de GDPR-wetgeving

Geldt de GDPR-wetgeving ook voor mijn vereniging?

Ja. Ook feitelijke verenigingen en vzw’s ontsnappen niet aan de GDPR.

Als je persoonsgegevens verwerkt. Maar dat doen nu eenmaal alle organisaties, zelfs op kleine schaal. Ook als je alleen maar op papier gegevens bijhoudt (de goede oude fichebak).

Wat moet mijn organisatie doen om zich in regel te stellen met de GDPR?

Drie sleutelwoorden: informeren / documenteren / beveiligen.

Informeren

Elke organisatie moet zijn leden, deelnemers aan activiteiten, partner, … wiens persoonsgegevens hij gebruikt (opslaan, bewaren, publiceren, doorgeven…) goed informeren over waarom je welke gegevens gebruikt.

Je informeert in een duidelijke taal, bij het eerste moment waarop je gegevens opslaat. Voor verenigingen is dit meestal bij inschrijving als lid of deelname aan een activiteit. Als je een website hebt, maak je best een privacyverklaring op waarnaar je kan verwijzen op je deelnemings- of inschrijvingsformulieren. We raden je aan om op je deelnemers- of inschrijvingsformulieren ook kort te vermelden waarom je de gegevens opvraagt en hoe je hier mee omgaat. Als je toestemming vraagt voor het gebruik van gegevens, doe je dit ook op het allereerste moment dat mensen je hun gegevens bezorgen. De toestemming geldt alleen voor de doeleinden waarvoor je deze toestemming vraagt.

Documenteren

GDPR is een zaak van iedereen in je organisatie die persoonsgegevens kan zien of gebruikt. Handel dit niet alleen af. Betrek alle medewerkers van je organisatie hierbij. Je moet elke stap die je zet en elke beslissing die je neemt goed documenteren en bijhouden. Hou alles over je aanpak van privacy van je deelnemers, leden, … goed bij.

Maak hiervoor gebruik van een duidelijk register (meer info: zie register) . Elke organisatie is trouwens verplicht een register bij te houden (lidmaatschap, activiteiten, nieuwbrief).

Beveiligen

Elke organisatie is verantwoordelijk voor het gebruik van persoonsgegevens van zijn leden. Dit betekent dat je er ook zorgzaam moet mee omgaan. Door de gegevens te beveiligen. We geven alvast enkele tips.

  1. Gegevens die je eigenlijk niet (meer) nodig hebt, schrap je direct.

  2. Laat geen lijsten rondslingeren en maak hier duidelijke afspraken rond met je vrijwilligers, leiding, bestuur, …

Versleutel

Dit gaat van het bewaren van medische fiches in een gesloten koffertje, tot bewaren van documenten op laptops.

Zet niet zomaar foto’s op het net. Plaats ze in afgeschermde omgevingen en zorg er voor dat beeldmateriaal niet zomaar kan van het net gehaald worden.

Moeten we voor onze nieuwsbrieven toestemming vragen?

We raden aan om even na te denken wat je in je nieuwsbrief zet en naar wie je deze stuurt, voor je beslist om iedereen toestemming te vragen.

Promotionele mailings

Zijn je mailings en nieuwsbrief promotioneel, wil je hiermee mensen aanspreken om een aankoop te doen, een ticket te kopen, een plaats te reserveren, …. Met andere woorden: doe je aan direct marketing, dan geldt naast de GDPR hier ook de wetgeving op e-commerce.

Deze wet stelt duidelijk dat je geen promotionele (ongevraagde) mails mag sturen, tenzij naar klanten voor gelijkaardige producten of als je de toestemming vraagt. Deze toestemming moet vanaf 25 mei 2019 ondubbelzinnig, dus vrij, actief, controleerbaar en specifiek zijn. Alleen maar een uitschrijfmogelijkheid is niet meer voldoende.

Inhoudelijke en praktische mailings

Zijn je nieuwsbrief en mailings puur informatief, inhoudelijk relevant voor diegene aan wie je ze stuurt en dus niet promotioneel of ‘commercieel’. En is de info en mailing die je verzend ‘nodig om je werking te kunnen organiseren’? Dan kun je dit verantwoorden vanuit het gerechtvaardigd belang. Let op, dit moet je wel argumenteren.

Dergelijke mails mogen niet ongewenst zijn of storend voor diegene aan wie je ze zend. En je moet duidelijk argumenteren waarom ze noodzakelijk zijn om je werking te kunnen organiseren. Je mag trouwens mensen nog steeds mensen mailen met puur praktische afspraken en inhoudelijke informatie zenden in het kader van de activiteiten of werking waarvoor ze intekenen.

Bijvoorbeeld.

Informatie en afspraken over je werking naar aangesloten leden lijkt ons aanvaardbaar onder gerechtvaardigd belang, omdat je leden dit verwachten, dit niet als storend beschouwen, en het belangrijk en nodig is dat je leden op de hoogte zijn van het reilen en zeilen in je organisatie.

Promotie van je voorstelling naar iedereen buiten je vereniging kun je dan weer eerder als promotioneel zien. En dan komt die e-commercewetgeving er bovenop.

Tip: Misschien helpt het je om je mailbestanden niet alleen eens op te kuisen, maar ook onderscheid te maken welk soort informatie je naar wie zend. Ledenbeheer is al voorzien om promotionele e-mails en inhoudelijke informatie afzonderlijk te houden.

Mag ik de gegevens van mijn leden doorgeven aan derden zoals mijn sponsors?

Neen! Behalve als je leden hier nadrukkelijk toestemming voor hebben gegeven. Hoe kun je hun toestemming krijgen? Door de vraag te stellen op het inschrijvingsformulier, vermeld daar heel duidelijk welke gegevens je wil doorgeven en aan wie. Je leden moeten steeds de optie hebben om ja of neen te zeggen, je mag dit niet verplichten als voorwaarde om lid te worden van je sportclub!

Met wie mag ik wel gegevens delen van mijn leden?

Controleer of de persoon of bedrijf aan wie je die gegevens wil doorspelen wel aan de GDPR-voorwaarden voldoet. Anders kunnen die gegevens verder verspreid worden.

Voorbeeld: De verzekeringen, je moet je leden kunnen verzekeren dus mag je die gegevens doorgeven maar alleen maar met het doel om je leden te verzekeren.
Neem dit op in je GDPR-verklaring.

Was dit een antwoord op uw vraag?