Nieuwe regels rond 'gegevensbescherming'

Vanaf 25 mei 2018 van kracht!


Vanaf 25 mei 2018 is de nieuwe, Europese privacywetgeving van kracht!
Ook wel eens de GDPR genoemd: General Data Protection Regulation.
Daarmee wil Europa de persoonlijke gegevens van de Europese burger beter beschermen.

Bereid je voor als speelplein!

Alle bedrijven, vzw’s, feitelijke verenigingen die persoonsgegevens verwerken, dus ook elke speelpleinorganisator - er zijn geen uitzonderingen - moeten de nieuwe spelregels volgen. De privacycommissie zal daarop toezien en klachten behandelen. Respecteer je de wetgeving niet dan hangt er een geldboete boven je hoofd. Als animator of speelpleinverantwoordelijke kan je persoonlijk aansprakelijk worden gesteld als je de genomen maatregelen niet respecteert! Dat was in het verleden anders. 

Wat zijn persoonsgegevens?

Persoonsgegevens zijn naam, adres, leeftijd, geslacht, lichamelijke kenmerken, psychische kenmerken, financiële situatie, kenmerken gezin, geaardheid, vrijetijdsbesteding, lidmaatschappen, gerechtelijke gegevens, opleiding, beroep, beeldopname, geluidsopname… 

Wat verstaan de wet onder 'verwerking'?

Onder verwerking van persoonsgegevens verstaat de wet eender welke handeling die men met deze gegevens verricht: het bewaren, het gebruiken, het wijzigen, het meedelen... maar ook het verzamelen zelf.


Het uitgangspunt is dat je géén persoonsgegevens verwerkt. Indien toch... zo minimaal mogelijk voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel.

Ilja Van Hespen | Docent Administratief Recht


Europa bouwt verder op de Belgische Privacywet

Helemaal nieuw zijn de spelregels natuurlijk niet.
Veel basisprincipes vind je reeds terug in de actuele Belgische Privacywet.
Wie vandaag al voldoet aan de huidige wetgeving zal dat als basis kunnen gebruiken voor de implementatie van deze Europese verordering. Toch zijn er enkele nieuwigheden en verbeteringen die de huidige aanpak licht zullen wijzigen bv. de verantwoordingsplicht, de uitdrukkelijke toestemming van de betrokkene, rond transparantie en verantwoordelijkheid...


Helemaal mee met deze filmpjes op speelpleinmaat!



In 7 stappen GDPR-proof!

Je hebt de ruimte om als speelplein keuzes te maken, bv. op basis van welke wettelijke grond je persoonsgegevens verwerkt. Maak duidelijke keuzes, informeer ouders, animatoren, collega's... in een intern document.

Wat breng je minstens in orde tegen 25 mei?

25 mei 2018 is de deadline. Tegen dan heb je best een register, duidelijke privacyverklaring en sta je klaar om potentiële vragen van betrokkenen te kunnen beantwoorden. Zijn er daarnaast zaken die je nog niet kan realiseren, zet dan in op de hoogste noden en prioriteiten, plan een realistisch en aanvaardbaar vervolg, argumenteer en documenteer dit.

De privacycommissie gaat ook ingrijpen als je de maatregelen niet toepast. In een eerste fase moet je hen vooral kunnen aantonen hoe ver je al staat. 

Pak eerst de dringende zaken aan!

Bij de beveiliging en stappen die je speelplein nog moet zetten om 100% in regel te zijn, pak je eerst de meest dringende problemen aan. Scoor je 2x hoog op volgende vragen, ga er dan vanuit dat het dringend is: "Wat is de kans op een lek?" en "Hoe groot is de impact?". Problemen met minder risico en kleinere impact kan je nog aanpakken na 25 mei.

7 stappen + kant-en-klare templates & tools

1. bewustmaking

Informeer de medewerkers die met gegevens werken over: 

  • het belang van privacy van kinderen, animatroren, ouders... 
  • de noodzakelijke voorwaarden
  • stappen om je organisatie in regel te brengen 
  • beveiliging van persoonsgegevens

Het is belangrijk om iedereen die persoonsgegevens verwerkt te informeren en te betrekken.

-> Ons filmpje op maat van speelpleinwerk kan een mooie intro of samenvatting zijn.
-> agenderen en verslagen bijhouden

2. inventaris
  • Welke gegevens bewaar je als speelpleinorganisator (naam, adres, leeftijd,…)?
  • Waar bewaar je de gegevens?
  • Hoe lang worden ze bewaard?
  • Wie heeft er toegang toe?
  • Worden de gegevens beschermd of beveiligd?
  • Waarvoor gebruiken jullie de gegevens? (post, nieuwsbrief, contact in geval van nood…)

-> Gebruik deze template om je inventaris op te maken.

3. analyse en maatregelen

Op basis van de inventaris bekijk je of 

  • je de leden, deelnemers, partners duidelijk informeert (privacyverklaring)
  • je een wettelijke grond hebt om gegevens te verwerken
  • je niet te veel gegevens opvraagt en deze niet  te lang bewaart
  • leden, deelnemers,de mogelijkheid hebben om hun gegevens in te zien, te corrigeren, te laten verwijderen,… 

-> Gebruik deze template om je gegevens te analyseren

Wat je nog doet:

  • Lijst op hoe je papieren documenten, gegevens in bestanden of (online) beeldmateriaal technisch (bv. paswoorden, foto’s enkel in beveiligde omgeving) en organisatorisch (bv. medische fiches in een gesloten kast enkel beschikbaar voor bv. hoofdanimatoren) beveiligt.
  • Ga voor de gegevens die je verwerkt na of er risico is op verlies, diefstal of ongeoorloofde toegang. Gebruik deze template!
  • Bekijk welke verbeterstappen je kan / moet zetten. Lijst op wie welke maatregelen hoe gaat nemen binnen welke timing

-> Interessante site: www.safeonweb.be

4. opmaak register (verplicht!)
  • overzicht van de soorten verwerking van gegevens, gekoppeld aan de doeleinden (vb ledenregistratie, registratie van activiteiten en deelnemers,…) 
  • verplicht instrument om bij controle te voldoen aan je verantwoordingsplicht als verwerkingsverantwoordelijke
  • wordt continu geactualiseerd  en aangevuld. (In tegenstelling tot de inventaris en analyse) 
  • de informatie uit de inventaris en analyse zijn goede basis voor een verdere uitwerking in een register
  • online template scwitch als basis

-> Gebruik deze template voor de opmaak van je register.
    Extra bijlage bij het register

5. duidelijk informeren: privacyverklaring (verplicht!)

Werk o.a. volgende zaken uit in een heldere privacyverklaring

  • WELKE gegevens worden verwerkt?
  • WAAR krijgt of verzamelt je organisatie de gegevens?
  • WAAROM worden de gegevens bewaard?
  • WIE verwerkt in je organisatie gegevens?
  • WIE krijgt de gegevens?
  • WAT wordt precies HOE, WAAR en HOELANG bewaard?
  • HOE worden gegevens beveiligd?
  • HOE zorg je voor je de uitoefening van de rechten van betrokkenen?

-> Gebruik deze checklist voor je privacyverklaring

  • De betrokkenen moeten duidelijk geïnformeerd worden over wat er met zijn gegevens gebeurt. 
  • Je speelplein moet dus altijd actief informeren over de verwerking van de persoonsgegevens en de rechten van de betrokkenen.
  • Dit moet beknopt, in een duidelijke eenvoudige taal en in een gemakkelijk toegankelijke vorm.
  • Dat moet proactief gebeuren. Je doet dit best via een privacyverklaring. 
  • De verantwoordelijke mag dus niet wachten met het geven van de informatie totdat een betrokkene ernaar vraagt. 
  • Opgelet: Het is een verklaring, een mededeling van het speelplein tegenover derden. De betrokkenen moet de verklaring niet goedkeuren. 

Opgelet: je maakt de privacyverklaring op in functie van de categorie betrokkenen waar je je toe richt (animatoren, ouders, kinderen…). De inhoud en locatie waarop je de privacyverklaring meedeelt hangen dus ook af van deze categorie.

Je privacyverklaring zet je raadpleegbaar op de meest aangewezen plaats voor de betrokkenen van wie de persoonsgegevens verwerkt worden. Dit betekent: je website, deelnemersformulier, medische fiche, vrijwilligersnota…

6. procedures rechten betrokkenen

De voornaamste rechten van de betrokkenen voor lokale organisaties: 

  • recht op inzage en kopie
  • recht op aanpassing (rectification)
  • recht op vergetelheid (verwijderen van gegevens)
  • recht op intrekken toestemming (bij toestemming als rechtsgrond) 
7. aanpak datalek

Elk incident dat impact kan hebben op de veiligheid van je gegevens (zoals diefstal van een laptop of verlies van een usb-stick) en enige vorm van schade kan veroorzaken aan de betrokkenen(n) (bv. financieel verlies, schending geheimhoudingsplicht, identiteitsdiefstal), moet binnen 72 uur gemeld worden aan de privacycommissie.

-> datalek aangifteformulier


Concrete vragen over GDPR en speelpleinwerk

Valt portretrecht (foto's, video's... van personen) ook onder de GDPR?

We maken een onderscheid tussen het nemen en het gebruiken van beeldmateriaal. 

HET NEMEN VAN BEELDMATERIAAL
Foto’s nemen of filmpjes maken is een verwerking van persoonsgegevens. De GDPR is dus ook van toepassing op het nemen van foto- en beeldmateriaal. Informeer duidelijk, beveilig het beeldmateriaal, hou niet langer bij dan noodzakelijk en hou steeds rekening met de rechten van de personen van wie je foto’s neemt.

De verplichte vraag tot toestemming hangt af onderscheid tussen ‘gerichte’ en ‘niet gerichte’ beelden.

  • Gerichte beelden : toestemming nodig om de foto te nemen
    Gerichte beelden zijn beelden waarbij de persoon of personen in kwestie gericht in beeld zijn genomen en duidelijk herkenbaar zijn( close-up, beeld is gefocust op die bepaalde persoon, de foto is geposeerd, klasfoto, podium in een wedstrijd…).

    Voor gerichte beelden is steeds toestemming nodig. Journalisten hoeven geen toestemming te vragen als deze beelden gebruikt worden in het kader van nieuws/verslaggeving.

  • Niet gerichte beelden : geen toestemming nodig om de foto te nemen. Niet gerichte beelden die niet de intentie hebben bepaalde personen duidelijk in beeld te brengen en zijn eerder sfeerbeelden.

    Voor niet gerichte beelden is geen toestemming nodig. Opgelet: Als personen duidelijk weigeren om op de foto te staan, mag je de foto niet nemen. We raden je ook aan om steeds op je deelnemingsformulier, inschrijvingsformulier,… duidelijk te vermelden dat er sfeerfoto’s kunnen genomen worden.

Hoe vraag je toestemming?

In principe is het enkel aan de betrokken persoon om zelf te beslissen over het nemen of gebruiken van zijn afbeelding (aan ouders bij kinderen onder de 16). Hij/zij geeft hiervoor zijn ondubbelzinnige toestemming voor het specifiek gebruik van de foto, zonder dat hier druk wordt op uitgeoefend. Dit betekent dat de foto voor geen ander doeleinde mag worden verwerkt dan deze waarvoor de toestemming werd gegeven.

De toestemming moet niet schriftelijk zijn maar kan ook mondeling of stilzwijgend worden gegeven.
Een stilzwijgende toestemming kan bijvoorbeeld het feit zijn dat een persoon zich laat fotograferen tijdens een activiteit van een vereniging, en er zich bewust van is dat de foto in het verenigingsblad kan worden gepubliceerd.

Een mondelinge of stilzwijgende toestemming is moeilijk bewijsbaar. We raden aan dat je je kinderen (ouders) en animatoren steeds duidelijk informeert (via privacyverklaring, op het deelnemersformulier,…) dat je sfeerbeelden neemt tijdens activiteiten en deze ook kan gebruiken voor rapportage. Voor het gebruik van gerichte foto’s, zeker voor promotionele doelen stellen we voor dat je steeds de toestemming van de betrokkene(n) vraagt. 

 

HET GEBRUIKEN VAN BEELDMATERIAAL

Het gebruik van beeldmateriaal (in je brochure, organisatieboekje, op je website,…) valt onder het ‘persoonlijkheidsrecht op afbeelding’ (of portretrecht)

Iedereen heeft recht op het beperken van het gebruik van zijn afbeelding. Ook hier geldt:

  • Gerichte beelden : toestemming nodig
  • Niet-gerichte beelden: geen toestemming nodig

Wanneer iemand zijn/haar toestemming intrekt, moet je organisatie het gebruik onmiddellijk stopzetten en het beeldmateriaal van de sociale media verwijderen.

Je mag en kan op een inschrijvingsformulier, deelnemingsformulier meedelen (zonder dat er expliciet toestemming moet worden gevraagd) dat er beelden zullen genomen worden deze mogelijks gebruikt zullen worden voor de website over het event, de besloten facebookgroep…

Wanneer iemand meldt dat hij niet wenst dat er afbeeldingen van hem worden gebruikt, moet je hier wel rekening mee houden en geen foto’s gebruiken waarin de persoon duidelijk in beeld komt of duidelijk herkenbaar is.

De afbeeldingspragmatiek

Een close up van iemand die voor de camera poseert is een duidelijk gericht beeld. Net als de massa op een festival tot een overduidelijk sfeerbeeld kan gerekend worden. Moeilijker wordt het met foto’s met maar enkele personen duidelijk in beeld tijdens een activiteit, voorstelling,… En net die foto’s zijn interessant om te gebruiken in je brochure, boekje, website,…

Gebruik in eerste instantie het gezond verstand en probeer je in te leven in de personen wiens beelden je zou gebruiken. Wat zijn de normale verwachtingen van de persoon? Er is een groot verschil tussen sfeerbeelden van activiteiten in het ledenblad dat maar op 50 exemplaren wordt verspreid, dan een close up van jou in een promocampagne voor je werking.

Als je de foto’s voor ‘commerciële of promotionele’ doeleinden gebruikt (bv. brochure om je aanbod in bekend te maken, duidelijke beeld op je site) stellen we je voor om steeds de toestemming te vragen. Zo vermijd je problemen achteraf. Je zou zelf ook niet graag zonder het te weten plots een promobeeld zijn.

 

GEBRUIK BEELDMATERIAAL OP SOCIALE MEDIA 

Opgelet: als je beeldmateriaal onbeveiligd op het net publiceert, heb je geen controle meer over het verdere gebruik van het beeldmateriaal. Dit moet duidelijk meegedeeld worden aan de persoon die toestemming geeft (op voorhand).

We raden alle organisaties aan dit zo veel mogelijk te vermijden. Als je beeldmateriaal onbeveiligd op het internet post, heb je het niet meer onder controle en kan dit een eigen leven leiden.

Personen en verenigingen geven zelf persoonsgegevens vrij op sociale netwerksites. Als je informatie onbeveiligd op het internet plaatst, verliest de betrokkene - die hier vaak niet van op de hoogte is- er de controle over. Het is dus verboden om zonder toestemming persoonlijke informatie (persoonsgegevens) van iemand anders te delen. Er moet in principe steeds toestemming gevraagd worden voor gerichte beelden.

Privacyrisico’s met betrekking tot identiteits- en imagoschade kunnen in grote mate onder controle gehouden worden door volgende richtlijnen:

  • Beveilig het fotomateriaal (zorg da het niet zomaar kan gekopieerd of gedownload worden, plaats een watermerk...)
  • Plaats het materiaal op eigen sites met beperkte toegang
  • Gebruik de op sociale netwerksites aanwezige privacy-instellingen
  • Gooi niet zomaar alles online. Denk na over wat je op het internet zet. Gebruik geen beeldmateriaal dat compromitterend kan zijn voor de betrokken personen.

meer info
https://www.ikbeslis.be/ouders-leerkrachten/privacy-online/denk-na-voor-je-iets-post 

Op basis van welke wettelijke grond mag ik persoonsgegevens verwerken?

Er zijn 6 wettelijke gronden op basis waarvan je persoonsgegevens mag verwerken. Van die 6 zijn er vier mogelijke toepasbaar voor speelpleinwerkingen. Het is aan jouw organisatie om de keuze te maken, dit te motiveren en je leden, deelnemers hierover te informeren (in je privacyverklaring)

  • wettelijke verplichting (noodzakelijk voor de uitvoering van een wettelijke plicht )

De verwerking van gegevens is opgelegd door een wet, decreet,… Voor deze wettelijke grond is er geen toestemming nodig. Je moet de personen wel informeren. Vaak vraagt de overheid gegevens op als voorwaarde, bewijs voor subsidiedossiers. De voorwaarden zijn in dat geval opgenomen in een gemeentelijk besluit, gemeenteraads- of collegebeslissingen. Meestal vragen overheden geanonimiseerde of gepseudonimiseerde gegevens op, zodat de persoonsgegevens niet meer herkenbaar zijn of terug te brengen zijn tot de specifieke personen in kwestie.

Ook lokale overheden zijn gebonden aan de algemene principes van minimalisatie van gegevens wat betekent dat ze enkel de noodzakelijke gegevens mogen opvragen in verhouding waar het toe dient. schepencolleges hebben dus geen disproportionele macht over het verzamelen van gegevens.

  • contractuele basis (noodzakelijk voor de uitvoering van een overeenkomst)

Je mag gegevens opvragen als deze noodzakelijk zijn voor de uitvoering van een overeenkomst. Je hebt bijvoorbeeld iemand zijn naam nodig om hem in te schrijven voor een activiteit. Er is voor deze grond geen toestemming nodig. Je moet de personen wel informeren. We veronderstellen dat je het lidmaatschap ook als een vorm van contract mag zien. Zo heb je een minimum aan gegevens nodig van je leden om hem/haar als lid te registeren, en bijvoorbeeld te verzekeren. Je kan deze gegevens opvragen op basis van de grond ‘uitvoering van overeenkomst’. Je moet voor deze gegevens geen goedkeuring vragen, maar het lid hier goed over informeren en de gegevens enkel hiervoor gebruiken.

  • Gerechtvaardigd belang (de activiteit is anders niet uitvoerbaar)

Dit mag je enkel toepassen wanneer het belang zwaarder doorweegt dan het belang , de rechten en de redelijke privacyverwachting van de betrokkenen. Het gerechtvaardigd belang biedt wel mogelijkheden, maar je moet als organisatie steeds goed nadenken of je hierdoor voldoet aan de verwachtingen van je leden, deelnemers en je hun privacy niet schendt. Zo kan je als organisatie beslissen dat het noodzakelijk is dat je (geëngageerde) leden (bestuursleden,leiding,…) op de hoogte blijven van je waarden, visie en werking en je hen daarom geregeld informeert via mailings of nieuwsbrieven. Dat kan, maar dan moet je dit goed argumenteren en hen hier goed over informeren.

  • Ondubbelzinnige toestemming (vrije, actieve en specifieke toestemming van de betrokkenen)

Het vragen van de actieve toestemming is de meest faire en duidelijkste vorm ten opzichte van de betrokkene. Let wel: de toestemming met actief gebeuren: de betrokkenen duidt zelf aan dat hij/zij akkoord gaat. Dit kan niet met op voorhand aangevinkt vakjes of ‘uitschrijfmodules’.

Controleerbare toestemming nodig van ouders bij jongeren onder de 16?

Voor jongeren onder de 16, de kinderen van je speelplein en een deel van je animatoren, biedt de GDPR zelfs speciale bescherming. Om hun gegevens te verzamelen, heb je een controleerbare toestemming van ouders of voogd nodig. De maatregel is vooral gericht op sociale mediabedrijven, maar is in principe onverkort op elke organisator van toepassing. De Vlaamse Regering kan zelfstandig beslissen om de leeftijdsgrens omlaag te halen tot 13 jaar maar deed dit nog niet. 

Het Kinderrechtencommissariaat schreef een advies aan het Vlaamse Parlement om dit te doen.
Hier vind je de reactie van minister Sven Gatz.

Moet ik steeds de volledige privacyverklaring meegeven?

Neen. Als je privacyverklaring duidelijk op je website staat, mag je hier naar verwijzen op je andere documenten. We raden je wel aan om op de andere documenten beknopt mee te delen wat je beleid is rond privacy en gebruik van persoonsgegevens, waarna je specifiek doorverwijst naar de volledige privacyverklaring.

Heb ik expliciete toestemming nodig om iemand in te schrijven voor een activiteit?

Iemand die zich inschrijft voor een dagje speelpleinen, mag je aanschouwen als een overeenkomst met de betrokkene. Je mag gegevens opvragen als deze noodzakelijk zijn voor de uitvoering van een overeenkomst. Je hebt bijvoorbeeld iemand zijn naam nodig om hem in te schrijven voor een activiteit. Er is voor deze grond geen toestemming nodig. Je moet de personen wel informeren.

Mag de gemeente persoongegevens opvragen in functie van subsidies?

Vaak vraagt de overheid gegevens op als voorwaarde, bewijs voor subsidiedossiers. De voorwaarden zijn in dat geval opgenomen in een gemeentelijk besluit, gemeenteraads- of collegebeslissingen. Meestal vragen overheden geanonimiseerde of gepseudonimiseerde gegevens op, zodat de persoonsgegevens niet meer herkenbaar zijn of terug te brengen zijn tot de specifieke personen in kwestie. Ook lokale overheden zijn gebonden aan de algemene principes van minimalisatie van gegevens wat betekent dat ze enkel de noodzakelijke gegevens mogen opvragen in verhouding waar het toe dient. schepencolleges hebben dus geen disproportionele macht over het verzamelen van gegevens.


Herbekijk onze studienamiddag op maat van speelpleinen

Op 20 maart organiseerde De VDS, samen met expert Ilja Van Hespen, een studienamiddag in Mechelen op maat van speelpleinverantwoordelijken. De volledige presentatie werd opgenomen en is te herbekijken via onderstaande video.


Waar wij de mosterd haalden...



De Vlaamse Dienst Speelpleinwerk (VDS) laat zich bijstaan en inspireren door de informatie van Scwitch. Zij hebben een bruikbare bundel met hapklare informatie over de GDPR-regeling op VZW-niveau. Scwitch werkt samen met GDPR-specialist Emmanuel Steyaert.

Anderzijds kunnen we rekenen op GDPR-expert Ilja Van Hespen. Samen met hem organiseren we op 20 maart een studiedag op maat van speelpleinwerk

De Privacycommissie bundelde de nieuwe regelgeving in een overzichtelijke brochure: 'bereid je voor' en informeert ook op haar website in verschillende 'themadossiers' over de nieuwe regelgeving. 




Vragen?


Bert Breugelmans
Communicatieverantwoordelijke 

T 0494 79 09 65 

Of stel je vragen aan je lokaal ondersteuner


Speelplein-Poll


79% van de speelpleinen geeft aan (22/03/2018) dat ze in de bewustmakingsfase zitten. Laat ons weten hoever jij staat (klik!). We willen graag in kaart brengen hoeveel werk er nog op de plank ligt bij de speelpleinen.