Nieuwe regels rond 'gegevensbescherming'

Vanaf 25 mei 2018 van kracht!


Vanaf 25 mei 2018 is de nieuwe, Europese privacywetgeving van kracht!
Ook wel eens de GDPR genoemd: General Data Protection Regulation.
Daarmee wil Europa de persoonlijke gegevens van de Europese burger beter beschermen.

Bereid je voor als speelplein!

Alle bedrijven, vzw’s, feitelijke verenigingen die persoonsgegevens verwerken, dus ook elke speelpleinorganisator - er zijn geen uitzonderingen - moeten de nieuwe spelregels volgen. De privacycommissie zal daarop toezien en klachten behandelen. Respecteer je de wetgeving niet dan hangt er een geldboete boven je hoofd. Als animator of speelpleinverantwoordelijke kan je persoonlijk aansprakelijk worden gesteld als je de genomen maatregelen niet respecteert! Dat was in het verleden anders. 

Wat zijn persoonsgegevens?

Persoonsgegevens zijn naam, adres, leeftijd, geslacht, lichamelijke kenmerken, psychische kenmerken, financiële situatie, kenmerken gezin, geaardheid, vrijetijdsbesteding, lidmaatschappen, gerechtelijke gegevens, opleiding, beroep, beeldopname, geluidsopname… 

Wat verstaan de wet onder 'verwerking'?

Onder verwerking van persoonsgegevens verstaat de wet eender welke handeling die men met deze gegevens verricht: het bewaren, het gebruiken, het wijzigen, het meedelen... maar ook het verzamelen zelf.


Het uitgangspunt is dat je géén persoonsgegevens verwerkt. Indien toch... zo minimaal mogelijk voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel.

Ilja Van Hespen | Docent Administratief Recht


Europa bouwt verder op de Belgische Privacywet

Helemaal nieuw zijn de spelregels natuurlijk niet.
Veel basisprincipes vind je reeds terug in de actuele Belgische Privacywet.
Wie vandaag al voldoet aan de huidige wetgeving zal dat als basis kunnen gebruiken voor de implementatie van deze Europese verordering. Toch zijn er enkele nieuwigheden en verbeteringen die de huidige aanpak licht zullen wijzigen bv. de verantwoordingsplicht, de uitdrukkelijke toestemming van de betrokkene, rond transparantie en verantwoordelijkheid...


Helemaal mee met deze filmpjes op speelpleinmaat!



In 7 stappen GDPR-proof!

Je hebt de ruimte om als speelplein keuzes te maken, bv. op basis van welke wettelijke grond je persoonsgegevens verwerkt. Maak duidelijke keuzes, informeer ouders, animatoren, collega's... in een intern document.

Wat breng je minstens in orde tegen 25 mei?

25 mei 2018 is de deadline. Tegen dan heb je best een register, duidelijke privacyverklaring en sta je klaar om potentiële vragen van betrokkenen te kunnen beantwoorden. Zijn er daarnaast zaken die je nog niet kan realiseren, zet dan in op de hoogste noden en prioriteiten, plan een realistisch en aanvaardbaar vervolg, argumenteer en documenteer dit.

De privacycommissie gaat ook ingrijpen als je de maatregelen niet toepast. In een eerste fase moet je hen vooral kunnen aantonen hoe ver je al staat. 

Pak eerst de dringende zaken aan!

Bij de beveiliging en stappen die je speelplein nog moet zetten om 100% in regel te zijn, pak je eerst de meest dringende problemen aan. Scoor je 2x hoog op volgende vragen, ga er dan vanuit dat het dringend is: "Wat is de kans op een lek?" en "Hoe groot is de impact?". Problemen met minder risico en kleinere impact kan je nog aanpakken na 25 mei.

7 stappen + kant-en-klare templates & tools

1. bewustmaking

Informeer de medewerkers die met gegevens werken over: 

  • het belang van privacy van kinderen, animatroren, ouders... 
  • de noodzakelijke voorwaarden
  • stappen om je organisatie in regel te brengen 
  • beveiliging van persoonsgegevens

Het is belangrijk om iedereen die persoonsgegevens verwerkt te informeren en te betrekken.

-> Ons filmpje op maat van speelpleinwerk kan een mooie intro of samenvatting zijn.
-> agenderen en verslagen bijhouden

2. inventaris
  • Welke gegevens bewaar je als speelpleinorganisator (naam, adres, leeftijd,…)?
  • Waar bewaar je de gegevens?
  • Hoe lang worden ze bewaard?
  • Wie heeft er toegang toe?
  • Worden de gegevens beschermd of beveiligd?
  • Waarvoor gebruiken jullie de gegevens? (post, nieuwsbrief, contact in geval van nood…)

-> Gebruik deze template om je inventaris op te maken.

3. analyse en maatregelen

Op basis van de inventaris bekijk je of 

  • je de leden, deelnemers, partners duidelijk informeert (privacyverklaring)
  • je een wettelijke grond hebt om gegevens te verwerken
  • je niet te veel gegevens opvraagt en deze niet  te lang bewaart
  • leden, deelnemers,de mogelijkheid hebben om hun gegevens in te zien, te corrigeren, te laten verwijderen,… 

-> Gebruik deze template om je gegevens te analyseren

Wat je nog doet:

  • Lijst op hoe je papieren documenten, gegevens in bestanden of (online) beeldmateriaal technisch (bv. paswoorden, foto’s enkel in beveiligde omgeving) en organisatorisch (bv. medische fiches in een gesloten kast enkel beschikbaar voor bv. hoofdanimatoren) beveiligt.
  • Ga voor de gegevens die je verwerkt na of er risico is op verlies, diefstal of ongeoorloofde toegang. Gebruik deze template!
  • Bekijk welke verbeterstappen je kan / moet zetten. Lijst op wie welke maatregelen hoe gaat nemen binnen welke timing

-> Interessante site: www.safeonweb.be

4. opmaak register (verplicht!)
  • overzicht van de soorten verwerking van gegevens, gekoppeld aan de doeleinden (vb ledenregistratie, registratie van activiteiten en deelnemers,…) 
  • verplicht instrument om bij controle te voldoen aan je verantwoordingsplicht als verwerkingsverantwoordelijke
  • wordt continu geactualiseerd  en aangevuld. (In tegenstelling tot de inventaris en analyse) 
  • de informatie uit de inventaris en analyse zijn goede basis voor een verdere uitwerking in een register
  • online template scwitch als basis

-> Gebruik deze template voor de opmaak van je register.
    Extra bijlage bij het register

5. duidelijk informeren: privacyverklaring (verplicht!)

Werk o.a. volgende zaken uit in een heldere privacyverklaring

  • WELKE gegevens worden verwerkt?
  • WAAR krijgt of verzamelt je organisatie de gegevens?
  • WAAROM worden de gegevens bewaard?
  • WIE verwerkt in je organisatie gegevens?
  • WIE krijgt de gegevens?
  • WAT wordt precies HOE, WAAR en HOELANG bewaard?
  • HOE worden gegevens beveiligd?
  • HOE zorg je voor je de uitoefening van de rechten van betrokkenen?

-> Gebruik deze checklist voor je privacyverklaring

  • De betrokkenen moeten duidelijk geïnformeerd worden over wat er met zijn gegevens gebeurt. 
  • Je speelplein moet dus altijd actief informeren over de verwerking van de persoonsgegevens en de rechten van de betrokkenen.
  • Dit moet beknopt, in een duidelijke eenvoudige taal en in een gemakkelijk toegankelijke vorm.
  • Dat moet proactief gebeuren. Je doet dit best via een privacyverklaring. 
  • De verantwoordelijke mag dus niet wachten met het geven van de informatie totdat een betrokkene ernaar vraagt. 
  • Opgelet: Het is een verklaring, een mededeling van het speelplein tegenover derden. De betrokkenen moet de verklaring niet goedkeuren. 

Opgelet: je maakt de privacyverklaring op in functie van de categorie betrokkenen waar je je toe richt (animatoren, ouders, kinderen…). De inhoud en locatie waarop je de privacyverklaring meedeelt hangen dus ook af van deze categorie.

Je privacyverklaring zet je raadpleegbaar op de meest aangewezen plaats voor de betrokkenen van wie de persoonsgegevens verwerkt worden. Dit betekent: je website, deelnemersformulier, medische fiche, vrijwilligersnota…

-> Voorbeeld privacyverklaring

6. procedures rechten betrokkenen

De voornaamste rechten van de betrokkenen voor lokale organisaties: 

  • recht op inzage en kopie
  • recht op aanpassing (rectification)
  • recht op vergetelheid (verwijderen van gegevens)
  • recht op intrekken toestemming (bij toestemming als rechtsgrond) 
7. aanpak datalek

Elk incident dat impact kan hebben op de veiligheid van je gegevens (zoals diefstal van een laptop of verlies van een usb-stick) en enige vorm van schade kan veroorzaken aan de betrokkenen(n) (bv. financieel verlies, schending geheimhoudingsplicht, identiteitsdiefstal), moet binnen 72 uur gemeld worden aan de privacycommissie.

-> datalek aangifteformulier


Concrete vragen over GDPR en speelpleinwerk


Alles over foto's

Valt portretrecht (foto's, video's... van personen) ook onder de GDPR?

We maken een onderscheid tussen het nemen en het gebruiken van beeldmateriaal. 

HET NEMEN VAN BEELDMATERIAAL
Foto’s nemen of filmpjes maken is een verwerking van persoonsgegevens. De GDPR is dus ook van toepassing op het nemen van foto- en beeldmateriaal. Informeer duidelijk, beveilig het beeldmateriaal, hou niet langer bij dan noodzakelijk en hou steeds rekening met de rechten van de personen van wie je foto’s neemt.

De verplichte vraag tot toestemming hangt af onderscheid tussen ‘gerichte’ en ‘niet gerichte’ beelden.

  • Gerichte beelden : toestemming nodig om de foto te nemen
    Gerichte beelden zijn beelden waarbij de persoon of personen in kwestie gericht in beeld zijn genomen en duidelijk herkenbaar zijn( close-up, beeld is gefocust op die bepaalde persoon, de foto is geposeerd, klasfoto, podium in een wedstrijd…).

    Voor gerichte beelden is steeds toestemming nodig. Journalisten hoeven geen toestemming te vragen als deze beelden gebruikt worden in het kader van nieuws/verslaggeving.

  • Niet gerichte beelden : geen toestemming nodig om de foto te nemen. Niet gerichte beelden die niet de intentie hebben bepaalde personen duidelijk in beeld te brengen en zijn eerder sfeerbeelden.

    Voor niet gerichte beelden is geen toestemming nodig. Opgelet: Als personen duidelijk weigeren om op de foto te staan, mag je de foto niet nemen. We raden je ook aan om steeds op je deelnemingsformulier, inschrijvingsformulier,… duidelijk te vermelden dat er sfeerfoto’s kunnen genomen worden.

Hoe vraag je toestemming?

In principe is het enkel aan de betrokken persoon om zelf te beslissen over het nemen of gebruiken van zijn afbeelding (aan ouders bij kinderen onder de 16). Hij/zij geeft hiervoor zijn ondubbelzinnige toestemming voor het specifiek gebruik van de foto, zonder dat hier druk wordt op uitgeoefend. Dit betekent dat de foto voor geen ander doeleinde mag worden verwerkt dan deze waarvoor de toestemming werd gegeven.

De toestemming moet niet schriftelijk zijn maar kan ook mondeling of stilzwijgend worden gegeven.
Een stilzwijgende toestemming kan bijvoorbeeld het feit zijn dat een persoon zich laat fotograferen tijdens een activiteit van een vereniging, en er zich bewust van is dat de foto in het verenigingsblad kan worden gepubliceerd.

Wanneer de persoon op de foto duidelijk poseert geldt dat in principe als toestemming voor het NEMEN van de foto (niet voor het publiceren ervan).

Een mondelinge of stilzwijgende toestemming is moeilijk bewijsbaar. We raden aan dat je je kinderen (ouders) en animatoren steeds duidelijk informeert (via privacyverklaring, op het deelnemersformulier,…) dat je sfeerbeelden neemt tijdens activiteiten en deze ook kan gebruiken voor rapportage. Voor het gebruik van gerichte foto’s, zeker voor promotionele doelen stellen we voor dat je steeds de toestemming van de betrokkene(n) vraagt. 

 

HET GEBRUIKEN VAN BEELDMATERIAAL

Het gebruik van beeldmateriaal (in je brochure, organisatieboekje, op je website,…) valt onder het ‘persoonlijkheidsrecht op afbeelding’ (of portretrecht)

Iedereen heeft recht op het beperken van het gebruik van zijn afbeelding. Ook hier geldt:

  • Gerichte beelden : toestemming nodig
  • Niet-gerichte beelden: geen toestemming nodig

Wanneer iemand zijn/haar toestemming intrekt, moet je organisatie het gebruik onmiddellijk stopzetten en het beeldmateriaal van de sociale media verwijderen.

Je mag en kan op een inschrijvingsformulier, deelnemingsformulier meedelen (zonder dat er expliciet toestemming moet worden gevraagd) dat er beelden zullen genomen worden deze mogelijks gebruikt zullen worden voor de website over het event, de besloten facebookgroep…

Wanneer iemand meldt dat hij niet wenst dat er afbeeldingen van hem worden gebruikt, moet je hier wel rekening mee houden en geen foto’s gebruiken waarin de persoon duidelijk in beeld komt of duidelijk herkenbaar is.

De afbeeldingspragmatiek

Een close up van iemand die voor de camera poseert is een duidelijk gericht beeld. Net als de massa op een festival tot een overduidelijk sfeerbeeld kan gerekend worden. Moeilijker wordt het met foto’s met maar enkele personen duidelijk in beeld tijdens een activiteit, voorstelling,… En net die foto’s zijn interessant om te gebruiken in je brochure, boekje, website,…

Gebruik in eerste instantie het gezond verstand en probeer je in te leven in de personen wiens beelden je zou gebruiken. Wat zijn de normale verwachtingen van de persoon? Er is een groot verschil tussen sfeerbeelden van activiteiten in het ledenblad dat maar op 50 exemplaren wordt verspreid, dan een close up van jou in een promocampagne voor je werking.

Als je de foto’s voor ‘commerciële of promotionele’ doeleinden gebruikt (bv. brochure om je aanbod in bekend te maken, duidelijke beeld op je site) stellen we je voor om steeds de toestemming te vragen. Zo vermijd je problemen achteraf. Je zou zelf ook niet graag zonder het te weten plots een promobeeld zijn.

 

Hoe zorg ik ervoor dat ik en mijn animatoren weten wie er op de foto mag of niet?

Het is niet makkelijk om een systeem te vinden waarbij je altijd snel zal kunnen zien of je een bepaald kind mag fotograferen of niet.

Zoek naar een systeem waarbij je meteen kan zien of een kind gefotografeerd mag worden, bijvoorbeeld polsbandjes in een bepaalde kleur. Je kan ook aan de ouders vragen om er met hun kinderen over te spreken zodat ze zelf kunnen aangeven dat ze niet op de foto willen.

Zoals je merkt: een sluitend systeem is niet gemakkelijk te vinden. Hier kan je nog wat bijkomende tips vinden

  • Zorg dat je fotograaf de kinderen die niet op de foto mogen goed kent
  • Neem geen foto's van kinderen en animatoren in genante/vervelende situaties. Een foto moet een mooie herinnering zijn, en niet een soort inventaris van onaangename momenten.
  • Maak er een gewoonte van om geen portretfoto’s te nemen. Je kan een heleboel leuke sfeerfoto’s nemen zonder de kinderen herkenbaar op de foto te plaatsen
  • Je kan met online tools, zoals Pixlr, gemakkelijk gezichten van kinderen ‘Blurren’ zonder de sfeer van de foto aan te tasten
Hoe kunnen we élke foto wissen als iemand vergeten wil worden? Onbegonnen werk!

Het 'recht om vergeten te worden' is een Europese wetgeving waarbij burgers uit de Europese Unie kunnen vragen aan zoekmachines om niet meer te verschijnen in zoekopdrachten. In principe zijn foto's die niet via een zoekmachine te vinden zijn niet onderhevig aan deze wetgeving. 

Maar: Er moet sprake zijn van een expliciete toestemming om de foto's te nemen en deze te verwerken. Die toestemming kan altijd ingetrokken worden. Aangezien 'bewaren' een handeling is die aanzien wordt als 'persoonsgegevens verwerken', moet er dus ook de mogelijkheid zijn om die foto's te (laten) wissen.

Er bestaat een verschil tussen gerichte en niet-gerichte beelden. Dat verschil wordt in een voorgaande vraag uitgebreid toegelicht. Een vraag om foto's te verwijderen gaat het dus om de gerichte beelden.

Het kan in ieder geval niet de bedoeling zijn dat vrijwilligers of beroepskrachten hele dagen steken in het wissen van foto's. We gaan er ook van uit dat de vraag om foto's te wissen zeer zelden zal voorkomen.

Je krijgt de vraag: Wat nu? 

  • Informeer naar de reden waarom de foto's gewist moeten worden. Misschien gaat om om een gemakkelijk te onderscheiden type foto, of om een welbepaalde foto die gewist moet worden.
  • Misschien willen de ouders zelf eens langskomen om de foto's te wissen waarvan ze niet willen dat die blijven bestaan
  • Richt je bij het wissen op de 'gerichte beelden'. het is inderdaad onbegonnen werk om elke sfeerfoto af te speuren.
  • Zorg dat er datumstempels op de foto's staan of dat de foto's gesorteerd zijn per week. Zo kan je nagaan op welke dagen het kind op het speelplein was en enkel op de foto's van die dagen gaan kijken of er foto's gewist moeten worden.

 

Mogen we nog foto's op sociale media plaatsen?

Opgelet: als je beeldmateriaal onbeveiligd op het net publiceert, heb je geen controle meer over het verdere gebruik van het beeldmateriaal. Dit moet duidelijk meegedeeld worden aan de persoon die toestemming geeft (op voorhand).

We raden alle organisaties aan dit zo veel mogelijk te vermijden. Als je beeldmateriaal onbeveiligd op het internet post, heb je het niet meer onder controle en kan dit een eigen leven leiden.

Personen en verenigingen geven zelf persoonsgegevens vrij op sociale netwerksites. Als je informatie onbeveiligd op het internet plaatst, verliest de betrokkene - die hier vaak niet van op de hoogte is- er de controle over. Het is dus verboden om zonder toestemming persoonlijke informatie (persoonsgegevens) van iemand anders te delen. Er moet in principe steeds toestemming gevraagd worden voor gerichte beelden.

Privacyrisico’s met betrekking tot identiteits- en imagoschade kunnen in grote mate onder controle gehouden worden door volgende richtlijnen:

  • Beveilig het fotomateriaal (zorg da het niet zomaar kan gekopieerd of gedownload worden, plaats een watermerk...)
  • Plaats het materiaal op eigen sites met beperkte toegang
  • Gebruik de op sociale netwerksites aanwezige privacy-instellingen
  • Gooi niet zomaar alles online. Denk na over wat je op het internet zet. Gebruik geen beeldmateriaal dat compromitterend kan zijn voor de betrokken personen.

meer info
https://www.ikbeslis.be/ouders-leerkrachten/privacy-online/denk-na-voor-je-iets-post 

Is het dan wél oke als we de foto's in een besloten groep plaatsen?

 

Het principe blijft altijd hetzelfde: Er is expliciete toestemming nodig om de foto's te publiceren (delen op sociale media geldt dan als publiceren). Het antwoord is dus: Ja dat mag, op voorwaarde dat je beschikt over toestemming om dat te doen.

Het feit dat het gaat om een 'besloten groep' maakt niets uit. Je hebt de toestemming nodig om de foto’s te publiceren, ook in een beperkte groep. Wel kan je toestemming vragen om de foto's te mogen delen met animatoren door ze in een besloten facebookgroep voor de animatoren te plaatsen.

Door het aantal mensen die aan de foto's kunnen te beperken zal je natuurlijk ook de kans dat er onrechtmatig gebruik van gemaakt wordt kunnen verkleinen. Dat is op zich een goede zaak.

Maak ook afspraken met de leden van de besloten groep over het delen van foto's die op de groep gepost worden.

 

Mogen animatoren foto’s van elkaar of kinderen nemen en op sociale media zetten?

Animatoren mogen foto's nemen van hun eigen leefwereld en de mensen (lees: vrienden) die in die leefwereld vertoeven. Animatoren mogen dus gerust foto's trekken van op het speelplein met hun eigen vrienden. 'kijk eens wat een tof spel wij hier aan het doen zijn', of 'Hoe cool zijn wij verkleed...".

We gaan er van uit dat zij, door het nemen van een foto van vrienden, de toestemming hebben gevraagd van die vrienden om op die foto te staan en deze te gebruiken op sociale media.

Het nemen van foto's van kinderen is echter een andere zaak. Animatoren mogen foto's nemen van de kinderen, indien dit in opdracht is van de organisatie (of werkgever) en die organisatie de toestemming heeft gekregen van de ouders om die foto's te nemen.

Animatoren mogen dus geen foto’s van kinderen nemen om ze later te gaan gebruiken voor hun eigen facebook/instagramprofiel.

Je maakt dus met de animatoren op voorhand afspraken over het nemen van foto’s van kinderen, en zeker over het publiceren van die foto’s op sociale media.


Speelpleinen zijn creatief om de privacy van haar deelnemers te respecteren, bv. smileys.


Verzamelen en gebruiken van persoonsgegevens

Op basis van welke wettelijke grond mag ik persoonsgegevens verwerken?

Er zijn 6 wettelijke gronden op basis waarvan je persoonsgegevens mag verwerken. Van die 6 zijn er vier mogelijke toepasbaar voor speelpleinwerkingen. Het is aan jouw organisatie om de keuze te maken, dit te motiveren en je leden, deelnemers hierover te informeren (in je privacyverklaring)

  • wettelijke verplichting (noodzakelijk voor de uitvoering van een wettelijke plicht )

De verwerking van gegevens is opgelegd door een wet, decreet,… Voor deze wettelijke grond is er geen toestemming nodig. Je moet de personen wel informeren. Vaak vraagt de overheid gegevens op als voorwaarde, bewijs voor subsidiedossiers. De voorwaarden zijn in dat geval opgenomen in een gemeentelijk besluit, gemeenteraads- of collegebeslissingen. Meestal vragen overheden geanonimiseerde of gepseudonimiseerde gegevens op, zodat de persoonsgegevens niet meer herkenbaar zijn of terug te brengen zijn tot de specifieke personen in kwestie.

Ook lokale overheden zijn gebonden aan de algemene principes van minimalisatie van gegevens wat betekent dat ze enkel de noodzakelijke gegevens mogen opvragen in verhouding waar het toe dient. schepencolleges hebben dus geen disproportionele macht over het verzamelen van gegevens.

  • contractuele basis (noodzakelijk voor de uitvoering van een overeenkomst)

Je mag gegevens opvragen als deze noodzakelijk zijn voor de uitvoering van een overeenkomst. Je hebt bijvoorbeeld iemand zijn naam nodig om hem in te schrijven voor een activiteit. Er is voor deze grond geen toestemming nodig. Je moet de personen wel informeren. We veronderstellen dat je het lidmaatschap ook als een vorm van contract mag zien. Zo heb je een minimum aan gegevens nodig van je leden om hem/haar als lid te registeren, en bijvoorbeeld te verzekeren. Je kan deze gegevens opvragen op basis van de grond ‘uitvoering van overeenkomst’. Je moet voor deze gegevens geen goedkeuring vragen, maar het lid hier goed over informeren en de gegevens enkel hiervoor gebruiken.

  • Gerechtvaardigd belang (de activiteit is anders niet uitvoerbaar)

Dit mag je enkel toepassen wanneer het belang zwaarder doorweegt dan het belang , de rechten en de redelijke privacyverwachting van de betrokkenen. Het gerechtvaardigd belang biedt wel mogelijkheden, maar je moet als organisatie steeds goed nadenken of je hierdoor voldoet aan de verwachtingen van je leden, deelnemers en je hun privacy niet schendt. Zo kan je als organisatie beslissen dat het noodzakelijk is dat je (geëngageerde) leden (bestuursleden,leiding,…) op de hoogte blijven van je waarden, visie en werking en je hen daarom geregeld informeert via mailings of nieuwsbrieven. Dat kan, maar dan moet je dit goed argumenteren en hen hier goed over informeren.

Let op! Een overheid mag zich nooit beroepen op gerechtvaardigd belang
 in het kader van de uitoefening van hun taken. Gerechtvaardigd belang overheid = algemeen belang. Een taak kan noodzakelijk worden geacht voor de vervulling van een taak van algemeen belang, een taak in het kader van de uitoefening van openbaar gezag of publiek/legitiem belang.

  • Ondubbelzinnige toestemming (vrije, actieve en specifieke toestemming van de betrokkenen)

Het vragen van de actieve toestemming is de meest faire en duidelijkste vorm ten opzichte van de betrokkene. Let wel: de toestemming met actief gebeuren: de betrokkenen duidt zelf aan dat hij/zij akkoord gaat. Dit kan niet met op voorhand aangevinkt vakjes of ‘uitschrijfmodules’.

Welke gegevens mag ik (niet) opvragen? (bv. rijksregisternummer)

De principes van de GDPR zijn heel duidelijk: Je verwerkt GEEN persoonsgegevens. Verwerken = het bewaren, het gebruiken, het wijzigen, het meedelen... maar ook het verzamelen zelf.

De gegevens die je toch zou vragen moeten een wettelijke basis hebben. Ze mogen enkel op basis daarvan verwerkt worden. Meer informatie daarover vind je bij een andere vraag.

Je mag daarbij enkel de gegevens die noodzakelijk zijn voor een duidelijk omschreven en gerechtvaardigd doel verwerken. Je vraagt dus niet meer gegevens dan je écht nodig hebt. Je hoeft bijvoorbeeld niet echt te weten of er zich een jongen of meisje inschrijft voor het speelplein, die gegevens vraag je dus niet op.

Het Rijksregisternummer

De Vlaamse Dienst Speelpleinwerk nam contact op met de privacycommissie (26/04/2018) naar aanleiding van vragen omtrent het opvragen en gebruiken van het rijksregisternummer.  

Wanneer een lokaal bestuur verantwoordelijk is voor de speelpleinwerking mag zij het rijksregisternummer van kinderen opvragen (bv. bij inschrijving) en gebruiken (bv. voor het bezorgen van fiscale attesten). Dat mag zij doen via eigen of ingekochte software. Een lokale overheid heeft sowieso toegang tot het rijksregisternummer van haar bevolking en vanuit die redenering laat de privacycommissie het opvragen en gebruiken van een uniek rijksregisternummer toe. Een bijkomende voorwaarde is dat de burger ook zonder het doorgeven van een rijksregisternummer moet kunnen deelnemen en dus ook een fiscaal attest moet kunnen ontvangen.

Voor particuliere speelpleinorganisatoren gaat deze redenering niet op. Zij mogen in geen geval het rijksregisternummer van kinderen opvragen en gebruiken. Indien zij werken met een softwareprogramma waarbij het rijksregisternummer wordt gevraagd, moet dit worden aangepast. Voor fiscale attesten volstaat het dat zij zich baseren op de geboortedatum van de kinderen. Het is de verantwoordelijkheid van de softwareleverancier om, op eigen kosten, het veld ‘rijksregisternummer’ weg te halen en de verwerking van data op een alternatieve wijze te regelen. 

De Vlaamse Dienst Speelpleinwerk liet weten aan de privacycommissie dat het zich vragen stelt bij dit advies en deze redenering. Het uitgangspunt van de wetgeving is dat men enkel die informatie opvraagt die noodzakelijk is. Een rijksregisternummer is dat niet om deel te nemen aan een vrijetijdsaanbod, noch om fiscaal attest te kunnen afleveren, noch om betalingen te innen op basis van een retributiereglement. “Het is gekoppeld aan de boekhouding/facturatie, handig om een adres te verifiëren, …” zijn niet noodzakelijk en dus argumenten die volgens de VDS niet in overeenstemming zijn met de nieuwe Europese richtlijn.

Bovendien heeft een lokaal bestuur inderdaad toegang tot het rijksregisternummer van haar burgers, maar moet zij zich volgens de wet zo organiseren dat enkel de personeelsleden die het rijksregisternummer nodig hebben voor de uitoefening van haar taken aan deze data kunnen en anderen niet.

 

Mag je dan nog gegevens gebruiken om bijvoorbeeld een folder te versturen?

Je kan bij het opvragen van gegevens die je nodig hebt én mag vragen op wettelijke basis, vermelden dat je de gegevens ook wenst te gebruiken voor eigen promotie.

Gegevens bijhouden om promotie te maken voor je eigen werking of leden te informeren is een geval van gerechtvaardigd belang, dus je mag vragen om dat te doen. Je mag natuurlijk niet vragen om de gegevens te gebruiken en door te geven aan de plaatselijke supermarkt.

Als je bv. contactgevens van oud-animatoren wil bewaren voor specifieke evenementen (jubileum/oud-animatordag,...) vermeld je dat duidelijk in de privacyverklaring.

Iedereen mag weigeren om deze toestemming te geven. Dit mag geen invloed hebben op bijvoorbeeld deelname aan de vakantiewerking.

Je vermeldt duidelijk in de privacyverklaring waarom je de gegevens opvraagt, waarvoor je ze zal gebruiken en hoelang je ze zal bijhouden (rechtmatig, duidelijk en transparant). Je bewaart geen gegevens langer dan nodig.

Je gaat steeds strikt vertrouwelijk om met de gegevens die je verzamelt. 

Mag de gemeente ons nog een lijst geven met de adressen van alle 16-jarigen?

Neen, dat mag niet meer.

De personen in kwestie kunnen geen toestemming geven om hun gegevens te delen. Dat betekent dat de gemeente zou in de fout gaan bij het delen van deze informatie.

De gemeente mag natuurlijk wel die gegevens gebruiken om mensen te informeren over het (speelplein)aanbod in de gemeente. Bekijk dus met het gemeentebestuur of de jeugddienst op welke manier zij kunnen helpen om jullie doelpubliek te bereiken.

Misschien willen ze wel de etiketten op gefrankeerde enveloppen plakken en posten? Of beter nog: Ze nemen de verzending volledig op zich!

Mag de gemeente persoongegevens opvragen in functie van subsidies?

Vaak vraagt de overheid gegevens op als voorwaarde, bewijs voor subsidiedossiers. De voorwaarden zijn in dat geval opgenomen in een gemeentelijk besluit, gemeenteraads- of collegebeslissingen. Meestal vragen overheden geanonimiseerde of gepseudonimiseerde gegevens op, zodat de persoonsgegevens niet meer herkenbaar zijn of terug te brengen zijn tot de specifieke personen in kwestie.

Ook lokale overheden zijn gebonden aan de algemene principes van minimalisatie van gegevens wat betekent dat ze enkel de noodzakelijke gegevens mogen opvragen in verhouding waar het toe dient. schepencolleges hebben dus geen disproportionele macht over het verzamelen van gegevens.

Mag ons online inschrijfprogramma kosten aanrekenen voor GDPR-aanpassingen?

Het is de verantwoordelijkheid van de eigenaar van het programma om het systeem in regel te brengen met de AVG – GDPR.

Als je het programma huurt dan ben je niet de eigenaar van het programma en is het dus de verantwoordelijkheid van de eigenaar om het programma in orde te maken. Je controleert best ook de contracten: Staan de aanpassingen erin opgenomen? Je kan aan je partners vragen om dit op te nemen in het contract en dus aan de wetgeving te voldoen.

Als je de software in het verleden hebt aangekocht, of op maat hebt laten maken, dan ben jij de eigenaar van het programma. In dat geval kan een kostprijs aangerekend worden om aanpassingen voor GDPR door te voeren. Het is immers jouw verantwoordelijkheid om te zorgen dat het systeem in regel is met de wet.

Let wel: voor veel programma’s is het zo dat je een licentie koopt: een toestemming om het programma te gebruiken. In dat geval ben je NIET de eigenaar van het programma, maar een huurder.


Bewaren van persoonsgegevens

Moeten alle gegevens achter slot en grendel?

De wetgeving legt op dat je ‘redelijke maatregelen’ moet nemen om persoonsgegevens te beschermen. Dit gaat zowel om technische als organisatorische maatregelen. Er bestaat op dit moment nog geen juridisch kader om te bepalen wat 'redelijke' is. Het gaat er om dat je maatregelen neemt die werkbaar zijn en in verhouding staan tot de mogelijke schade bij verlies of diefstal van de gegevens.

Zo kan je er technisch voor zorgen dat:

  • niet iedereen toegang heeft tot de cumputer waar de persoonsgegevens opstaan
  • er een systeem is met paswoorden
  • bepaalde gebruikers toegang hebben tot (beperkte) gegevens
  • dat je kan zien wie toegang heeft gehad tot de computer
  • je kan nagaan wie welke gegevens heeft opgevraagd in de laatste 72 uur.

Je kan organisatorisch ervoor zorgen dat:

  • je er met een sleutelroutine voor zorgt dat niet iedereen toegang heeft tot het lokaal waar de computer staat
  • de kast met de papieren op slot kanwaar de gegevensbestanden op bewaard worden
  • er op gelet wordt dat je geen lijsten met persoonsgegevens laat rondslingeren

Als kleine organisatie, die relatief weinig persoonsgegevens beheert, hoeft het dus allemaal niet zo veel te zijn.

Let wel, een situatie waarbij iedereen toegang heeft tot de computer met lijsten op, heel veel mensen een sleutel hebben van de dossierkast, iedereen een kopie kan nemen, … dat mag niet bestaan.

'Redelijke beveiliging' gaat dus vooral over: kan iedereen hieraan? Heeft deze persoon dit nodig? Wie moet zeker niet aan de gegevens kunnen?

Het beperken van gegevens die je deelt binnen het speelplein verlaagt ook het risico om informatie kwijt te geraken en op een bijhorende schadeclaim.

De inschrijflijst op tafel

Speelplein werken we ook vaak met inschrijvingslijsten die (publiekelijk) op tafel liggen, waar soms heel wat persoonlijke info op staat en vaak zijn ook de medische fiches voor iedereen toegankelijk.

Stel je de vraag: Wat heeft de (hoofd)animator op dat moment nodig om zijn taak uit te voeren, namelijk de juiste aanwezigheden registreren. Die lijst kan gerust beperkt worden tot de naam en voornaam, en eventueel de leeftijd van het kind in functie van een groepsverdeling.

Zijn gegevens die in 'de cloud' staan (Dropbox, Drive, OneNote) voldoende beveiligd?

 

Ook organisaties zoals Google, Microsoft en Dropbox moeten ook voldoen aan de privacywetgeving en zij moeten ook (strenge) maatregelen nemen om lekken tegen te gaan. Een technisch probleem is dan ook duidelijk hun verantwoordelijkheid. (bv. een hacking)

Je kan er dus van uitgaan dat jouw verantwoordelijkheid ligt in het beschermen van paswoorden en gebruikersrechten, hun verantwoordelijkheid in de veiligheid van de toepassing zelf.

Je moet je dus in de eerste plaats de vraag stellen wie toegang heeft tot de gegevens en of deze personen deze gegevens ook echt nodig hebben.

Je kan bijvoorbeeld werken met verschillende gedeeld mappen per week (om inschrijvingen te delen) of een beperkt aantal personen toegang geven tot het systeem. Vergeet niet om de rechten terug af te nemen wanneer een persoon de gegevens niet meer nodig heeft.

 

Hoelang mag ik gegevens of foto's bewaren?

‘Zolang je ze nodig hebt en zolang als je de toestemming hebt gevraagd om ze te bewaren’.

Dat betekent dat je gegevens die je niet meer nodig hebt na een vakantie moet wissen. Dat hoeven niet noodzakelijk alle gegevens te zijn. Je kan bijvoorbeeld adresgegevens bijhouden in functie van promotie voor volgende vakanties en projecten, een contactenlijst van oud-animatoren voor een reunie…

Bedenk wel: Het is niet omdat je die gegevens ‘ooit nog wel eens zou kunnen gebruiken’ dat je ze ook mag bijhouden. Houd enkel de gegevens bij waarvoor je toestemming hebt om ze bij te houden en waar je effectief een nut voor hebt.

Het is natuurlijk belangrijk ervoor te zorgen dat de eigenaars van die gegevens weten welke gegevens je zal bijhouden en waarom je dat doet. Je neemt die informatie dus op in jouw privacyverklaring.

Voor foto's geldt in principe hetzelfde. Het komt er dus op neer om expliciete toerstemming te vragen voor het aanleggen van een archief.

Hoelang mogen we medische fiches gebruiken?

 

Ook hier geldt: ‘Zolang je ze nodig hebt en zolang als je de toestemming hebt gevraagd om ze te bewaren’.

Eens de vakantieperiode afgelopen is heb je de informatie op de medische fiches niet meer nodig en dien je ze ook te verwijderen/vernietigen.

Het kan zijn dat je in functie van een vlotte werking de ouders niet vaker dan nodig een medische fiche wil laten invullen. Zo kan je bijvoorbeeld afspreken dat je een medische fiche bijhoudt tot het einde van een werkjaar en ze pas nadien vernietigt.

Let natuurlijk wel: De informatie op zo’n fiche kan natuurlijk door omstandigheden snel verouderen. Ga er nooit van uit dat een medische fiche ook na een aantal maanden nog juist is. Wil je ze toch hergebruiken? Laat de fiches dan zeker nog eens nakijken aan het begin van de vakantie.

Dit moet natuurlijk vermeld staan in de privacyverklaring van de organisatie. Je moet ten allen tijde kunnen aantonen waarom je die medische fiches wil bewaren.

 

 

Titel

De GDPR zegt: verwijder persoonsgegevens zodra je ze niet meer nodig hebt. Voor een aantal documenten gelden wettelijke bewaartermijnen: Een bepaalde tijd dat je een document MOET bijhouden.

Neem de bewaartermijnen mee op in je planning voor het verwijderen van persoonsgegevens, zodat je niet ad-hoc moet opzoeken hoelang je een specifiek document ook al weer moest bewaren.

Overzicht wettelijke bewaartermijnen

·         Kopie belastingaangifte (+ documenten ter controle: boekhouding, facturen, attesten, bankdocumenten): 7 jaar

·         Bewaartermijnen facturen

o    Kastickets kleine bedragen: 1 maand

o    Transportfacturen: 6 maand

o    Aankoopfacturen/ garantiebewijzen, facturen en bewijs van betaling voor nutsvoorzieningen, medische kosten: 2 jaar

·         Bankdocumenten, contracten en betalingen i.v.m. huur: 5 jaar

·         Alles rond bouwen en verbouwen:10 jaar

·         Documenten/ bewijsstukken van de kosten die je fiscaal in vermindering kan brengen op je belastingaangifte: 7 jaar

 

Fiscale attesten

 

Er bestaat geen wettelijke bewaartermijn voor fiscale attesten. Je kan als speelplein in principe zelf kiezen hoelang je fiscale attesten wil bewaren.

 

Voor mensen die de fiscale attesten binnenbrengen in hun belastingaangifte geldt het fiscaal attest als bewijsstuk dat 7 jaar bewaard moet blijven. In geval van verlies moet de ouder bij het speelplein terecht kunnen om een kopie te krijgen van het fiscaal attest. Dus ook voor het speelplein geldt dat je de fiscale attesten best 7 jaar bijhoudt.


De ondubbelzinnige toestemming

Let op! Extra bescherming voor jongeren -16 jaar.

Voor jongeren onder de 16, de kinderen van je speelplein en een deel van je animatoren, biedt de GDPR zelfs speciale bescherming. Om hun gegevens te verzamelen, heb je een controleerbare toestemming van ouders of voogd nodig. De maatregel is vooral gericht op sociale mediabedrijven, maar is in principe onverkort op elke organisator van toepassing. De Vlaamse Regering kan zelfstandig beslissen om de leeftijdsgrens omlaag te halen tot 13 jaar maar deed dit nog niet.

In sommige gevallen kan het ook aanvaard worden dat een jongere met 'voldoende onderscheidingsvermogen' zelf toestemming kan geven voor het nemen van een foto. Moeilijk daarbij is dat daar geen eenduidige leeftijdsgrens voor getrokken kan worden. Je kan als speelplein dus best vragen aan de ouders van jonge animatoren om toestemming.

Het Kinderrechtencommissariaat schreef een advies aan het Vlaamse Parlement om dit te doen.
Hier vind je de reactie van minister Sven Gatz.

Heb ik expliciete toestemming nodig om iemand in te schrijven voor een activiteit?

Iemand die zich inschrijft voor een dagje speelpleinen, mag je aanschouwen als een overeenkomst met de betrokkene. Je mag gegevens opvragen als deze noodzakelijk zijn voor de uitvoering van een overeenkomst. Je hebt bijvoorbeeld iemand zijn naam nodig om hem in te schrijven voor een activiteit. Er is voor deze grond geen toestemming nodig. Je moet de personen wel informeren.

Wat met de gegevens die je nu al hebt? Opnieuw iedereen toestemming vragen?

De Algemene Verordening voor Gegevensbescherming (AGV) zegt dat je bestanden van voor 25 mei 2018 (bijvoorbeeld foto’s van vroeger) mag bewaren als ze ongestructureerd zijn. Van zodra je er structuur begint in te brengen (bv. sorteren op leeftijd, jaartal, …), moet je met terugwerkende kracht toestemming vragen aan de betrokkenen. Tip: ga je hoop foto’s van vroeger dus niet beginnen ordenen en structuren.

Gegevens die wel gestructureerd zijn zullen gewist moeten worden. Heel wat van die gegevens heb je hoe dan ook niet meer nodig: de geboorteplaats van een animator die op het speelplein stond in 2007, of de weken waarop de hoofdanimator in 2016 ter beschikking was om op het speelplein te staan. Grijp de gelegenheid aan om een goed op te kuisen!

Andere gegevens wil je misschien wél bewaren: contactgegevens van oud-animatoren bijvoorbeeld, om later een te gekke reunie te kunnen organiseren.

Voor de gegevens die je wil bewaren heb je toestemming nodig. Die toestemming kan je eenvoudig krijgen door een mailing rond te sturen. Krijg je die toestemming niet, dan moeten de gegevens gewist worden.

Dit wil trouwens niet zeggen dat je een oude foto van zomaar mag gebruiken op een publicatie vandaag. Als je weet wie de persoon in kwestie is, kan je toch nog toestemming vragen. Je mag nooit iets publiceren zonder toestemming.

Moeten we ieder jaar opnieuw toestemming vragen aan de ouders?

De toestemming sterkt tot zover je de toestemming gevraagd en gekregen hebt. Je moet dus opnieuw toestemming vragen als:

·         De bewaartermijn zoals aangegeven in de privacyverklaring verstreken is

·         Je een verwerking van de persoonsgegevens doet waar je nog geen toestemming voor had

o    Gegevens aanpassen is ook een verwerking

·         Je nieuwe gegevens opvraagt

We raden aan om in de praktijk bij elke inschrijving de toestemming te hernieuwen.


Communiceren over privacy

Moet ik steeds de volledige privacyverklaring meegeven?

Neen. Als je privacyverklaring duidelijk op je website staat, mag je hier naar verwijzen op je andere documenten. We raden je wel aan om op de andere documenten beknopt mee te delen wat je beleid is rond privacy en gebruik van persoonsgegevens, waarna je specifiek doorverwijst naar de volledige privacyverklaring.

Moet er iets in het huishoudelijk reglement staan over foto’s nemen en gebruiken?

Dit is niet verplicht.

Het huishoudelijk reglement is wel een goede plaats om extra uitleg te geven hoe jouw privacyverklaring ineen zit en waarvoor ze dan toestemming geven. Het dient niet ter vervanging van een privacyverklaring, maar kan wel een aantal zaken verduidelijken.

Neem ook de praktische zaken uit de privacyverklaring op in het animatorenboekje en/of een overeenkomst voor animatoren. Zo kan je makkelijk uitleggen wat de rol is van de animatoren in verband met het nemen van foto’s.


Herbekijk onze studienamiddag op maat van speelpleinen

Op 20 maart organiseerde De VDS, samen met expert Ilja Van Hespen, een studienamiddag in Mechelen op maat van speelpleinverantwoordelijken. De volledige presentatie werd opgenomen en is te herbekijken via onderstaande video.


Waar wij de mosterd haalden...



De Vlaamse Dienst Speelpleinwerk (VDS) laat zich bijstaan en inspireren door de informatie van Scwitch. Zij hebben een bruikbare bundel met hapklare informatie over de GDPR-regeling op VZW-niveau. Scwitch werkt samen met GDPR-specialist Emmanuel Steyaert.

Anderzijds kunnen we rekenen op GDPR-expert Ilja Van Hespen. Samen met hem organiseerden we op 20 maart een studiedag op maat van speelpleinwerk

De Privacycommissie bundelde de nieuwe regelgeving in een overzichtelijke brochure: 'bereid je voor' en informeert ook op haar website in verschillende 'themadossiers' over de nieuwe regelgeving. 




Vragen?


Neem contact op met je 
lokale speelpleinondersteuner voor 12 oktober


5 zaken die je animatoren moeten weten!


We goten dé 5 zaken die animatoren moeten weten voor aanvang van de speelpleinzomer in één A4-tje. Handig om af te drukken en mee te overlopen tijdens een voorbereidingsdag of om de inhoud in je animatorenbrochure op te nemen.