Zoeken
1) GDPR? Wat, wanneer, hoe, wie?
De GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) is de wetgeving rond de bescherming van persoonsgegevens in de ruime zin.
De verordening zal van toepassing zijn op iedereen die persoonsgegevens verwerkt, dus ook op ouderverenigingen en -raden.
Persoonsgegevens zijn ELK stuk informatie dat toelaat om rechtstreeks of onrechtstreeks een persoon te identificeren.
‘Verwerken’ moet je verstaan in de ruime betekenis van het woord: verzamelen, opslaan, raadplegen, verspreiden… Of, alles wat je met gegevens doet.
Een officiële ouderraad valt juridisch onder het schoolbestuur. Overleg dus zeker met je schoolbestuur of de directie om de verwerking van gegevens op elkaar af te stemmen.
Als oudervereniging (geen officiële ouderraad) ben je zelf verantwoordelijk voor de data!
2) Reden tot paniek?
Is er reden tot paniek? Nee.
Gaat dit extra werk zijn? Ja.
De belangrijkste doelstelling is dat je bewust omgaat met gegevens, mensen informeert en sensibiliseert.
Het is een oefening waarbij je de verwerking van persoonsgegevens in vraag moet stellen.
Hoe zou je zelf willen dat iemand anders met jouw gegevens zou omgaan?
Wees ook transparant naar de personen wiens gegevens je verwerkt. Ze moeten weten wat je met hun gegevens doet, waarom je ze verwerkt en wat hun rechten zijn.
3) Standaarddocumentje invullen en klaar?
Het antwoord is vrij simpel: nee.
Iedere organisatie is anders, iedere organisatie heeft andere gegevens nodig om te werken, iedere organisatie heeft andere IT, iedere organisatie heeft andere financiële middelen beschikbaar…
Het is daarom belangrijk dat je nadenkt over de manier waarop je gegevens verwerkt, dat je bekijkt of het niet beter kan, dat je anderen informeert en sensibiliseert van het belang hiervan.
1) Logboek
Maak een logboek waar je de voortgang registreert.
Zet elke vergadering, opstellen van documenten, gesprekken… in het logboek.
Op die manier heb je altijd een bewijs bij de hand dat je aan het werken bent aan het zorgvuldig omgaan met gegevens.
Dit kan zeer eenvoudig zijn.
Bijvoorbeeld:
Datum Activiteit Opmerking
02/01/2018 Eerste vergadering oudercomité Toelichting over de GDPR + aanstellen verantwoordelijke
31/01/2018 Vergadering met voorstellen van het dataregister
2) Verantwoordelijke GDPR
Stel iemand aan die de GDPR opvolgt.
Deze persoon is dan verantwoordelijk voor het opstellen van de documenten en waakt over het correct uitvoeren van richtlijnen.
Het is niet de bedoeling dat deze persoon alleen alle werk zal doen of de eindverantwoordelijkheid zal dragen! Deze persoon zal ook niet aansprakelijk zijn als er iets zou mislopen.
De GDPR is een proces dat voor iedereen van toepassing is en waar iedereen zich bewust van moet zijn.
Informeer en sensibiliseer alle vrijwilligers, ouders, de school…
3) Audit / denkoefening
Denk eens na over welke gegevens jullie allemaal verzamelen, waar jullie ze verzamelen, zijn er procedures, is het veilig…
Doe dit eventueel per afdeling, per activiteit…
Een cruciale vraag in dit proces is: moeten we dit bijhouden?
Bijvoorbeeld: het bijhouden van het beroep van de leden van de ouderwerking.
Ah ja… want het zou ooit eens nodig kunnen zijn dat we iemand nodig hebben met dat beroep om een klusje op te knappen…
‘Het zou ooit eens nodig kunnen zijn…’ Dit is een persoonsgegeven dat niet noodzakelijk is en beter niet kan bijgehouden worden. Het zou ooit eens, is geen reden om van iemand gegevens bij te houden.
Alleen gegevens die echt noodzakelijk zijn voor de goede werking moeten bijgehouden worden. Verwijder al de rest en maak het zo eenvoudig mogelijk.
Voor elk gegeven dat je ergens verwerkt, moet je kunnen verantwoorden waarom je het verwerkt!
Het resultaat van deze oefening kan dan in een dataregister gezet worden (zie verder).
4) Op basis van welke rechtsgronden of gerechtvaardigde doelen worden gegevens verwerkt?
Er zijn verschillende rechtsgronden op basis waarvan gegevens verwerkt mogen worden.
Voor elk gegeven dat je verwerkt, moet je een reden kunnen geven!
a) Wettelijke verplichting
De verwerking is noodzakelijk voor de uitvoering van een wettelijke plicht, wat de subsidiërende of lokale overheid oplegt op basis van een decreet.
Bijvoorbeeld: een lijst van vrijwilligers bijhouden, verwerking van persoonsgegevens voor loon verwerking (Dimona, loonberekening, enz.), neerlegging/publicatie van gegevens bestuurders (VZW-wet)…
b) Contractuele basis
De verwerking is noodzakelijk voor de uitvoering van een overeenkomst. Als je met iemand een overeenkomst hebt gesloten, mag je diens persoonsgegevens verwerken voor zover dat noodzakelijk is om de overeenkomst uit te kunnen voeren.
Bijvoorbeeld: arbeidsovereenkomst: bankrekeningnummer, naam, aantal kinderen ten laste, burgerlijke stand, geboortedatum, rijksregisternummer van de werknemer om het loon te kunnen laten berekenen en storten…
Bijvoorbeeld: lidmaatschapsovereenkomst: naam en e-mailadres voor het versturen van een nieuwsbrief waarin de activiteiten worden aangekondigd…
c) Vitaal belang
De verwerking is noodzakelijk omwille van een dringende medische noodzaak.
Bijvoorbeeld: als bij een bewusteloos slachtoffer van (arbeids)ongeval gezocht wordt naar medische gegevens voor een correcte aanpak
d) Gerechtvaardigd belang
Als je de activiteit niet behoorlijk kunt uitoefenen zonder het verwerken van persoonsgegevens, heb je een gerechtvaardigd belang, tenzij de belangen, grondrechten of individuele vrijheden van de betrokkene zwaarder doorwegen.
Bijvoorbeeld: controle op internet- en mailgebruik van werknemers kan een gerechtvaardigd belang zijn in het licht van fraudevoorkoming in de relatie werknemer-werkgever die hier als een relevante en passende verhouding wordt aangezien.
e) Algemeen belang of openbaar gezag
Met een publiekrechtelijke taak wordt bedoeld een taak die bij of krachtens de wet is opgedragen.
Bijvoorbeeld: de politie die gegevens opvraagt met referentie naar een onderzoek, op voorwaarde dat ze gemachtigd is door het Openbaar Ministerie
f) Ondubbelzinnige toestemming
De verwerking is gebaseerd op vrije, actieve en specifieke toestemming van de betrokkenen. Je mag gegevens op grond van de ondubbelzinnige toestemming van de betrokkene verwerken, mits je expliciet de toestemming hebt gekregen van de betrokkenen voor een bepaalde verwerking van bepaalde gegevens, de toestemming uit vrije wil is geuit, je de betrokkene hebt geïnformeerd over de gang van zaken rond de verwerking en er geen twijfel is over de inhoud en reikwijdte van de toestemming.
Dit is de duidelijkste rechtsgrond, men geeft expliciet toestemming.
Bijvoorbeeld: Bij het registreren op een website, vinkt men het vakje aan voor akkoord met de privacyverklaring van de site (op voorwaarde dat deze volledig is natuurlijk).
Bijvoorbeeld: Tijdens een activiteit worden er foto’s gemaakt. De mensen op de foto tekenen voor toestemming tot publicatie van de foto’s op de website. Er moet wel duidelijk staan waarvoor de foto’s gebruikt gaan worden.
5) Dataregister
Het dataregister is een overzicht van al de gegevens die jullie verwerken.
Hoeveel in dit register zal staan, zal afhangen van de hoeveelheid gegevens die er worden verwerkt.
Wat kan allemaal in het dataregister:
- Welke data hebben we?
Bijvoorbeeld: naam/voornaam/adres/e-mail/telefoon/…
- Waar hebben we de gegevens verkregen?
Bijvoorbeeld: bij het lid worden van de ouderwerking/bij inschrijving op een activiteit/via de school/…
- Waar houden we de data bij?
Bijvoorbeeld: in een ledenregister/op de PC van de secretaris/in een map/op een USB-stick…
- Met welk doel is ze verzameld / waarvoor wordt ze gebruikt?
Bijvoorbeeld: leden kunnen contacteren/beheer inschrijven activiteit/…
- Op welke rechtsgrond zijn de gegevens verzameld?
- Wettelijke verplichting
- Contractuele basis (bijvoorbeeld lidmaatschap)
- Vitaal belang
- Gerechtvaardigd belang
- Algemeen belang of openbaar gezag
- Ondubbelzinnige toestemming
De contractuele basis (lid van de ouderwerking) zal, samen met ondubbelzinnige toestemming, hoofdzakelijk de rechtsgrond zijn die van toepassing is.
Natuurlijk mogen dan enkel die gegevens worden verwerkt in het kader van die rechtsgrond en waarover transparant gecommuniceerd is.
- Zijn de data eigenlijk (nog) wel relevant voor ons?
Bijvoorbeeld: bijhouden kledingmaat.
Een handelaar heeft ooit werkkledij voor de oudervereniging gesponsord. Op dat moment was het relevant om de kledingmaat te kennen. Moeten deze gegevens nog bewaard worden?
Bijvoorbeeld: een lid van onze vereniging is X, vader van Y.
Y is een minderjarig kind, wat een gevoelig gegeven is. Gevoelige gegevens zijn o.a. ras, etniciteit, religie, seksuele voorkeur, politieke voorkeur, lidmaatschap vakbond, medische en biometrische gegevens, gegevens minderjarigen…
Moet je dit weten want hierdoor val je onder een strengere reglementering, o.a. aanstellen van een data protection officer?
- Hoelang houden we de data bij?
Oneindig gegevens bijhouden mag volgens de GDPR niet. Als gegevens niet meer van toepassing zijn, moeten ze verwijderd worden.
Let wel op met wettelijke minimumtermijnen!
- Wie heeft er toegang tot onze data? Wie gebruikt de data?
Bijvoorbeeld: alle ledengegevens staan op een USB-stick. Wie kan ze inkijken? Wie heeft een kopie?
- Wat zijn de risico’s en welke zijn de beveiligingsmaatregelen?
Bijvoorbeeld: alle ledengegevens staan op een USB-stick. Wat als deze verloren gaat? Staat er een versleuteling op?
6) Documenteer
Zorg dat je verslagen, documenten en een logboek hebt zodat je kan aantonen dat je wel degelijk bewust omgaat met gegevens.
Als er een probleem zou zijn, moet je kunnen bewijzen dat er nagedacht is over de data en dat er alles aan gedaan is om ze veilig te houden.
7) Derden
Als derden toegang tot de gegevens hebben, verzeker je op papier dat ze de GDPR en de vertrouwelijkheid van je gegevens respecteren.
Bijvoorbeeld: gebruik van een externe IT-leverancier
8) Informeren van de betrokkenen
Hoe worden de volgende rechten van betrokkenen mogelijk gemaakt (regelingen, procedures, mechanismen) en worden de betrokkenen daar voldoende duidelijk en transparant over geïnformeerd?
- het recht op informatie
- het recht op toegang, inzage en kopie
- het recht op aanpassing van onjuiste of onvolledige gegevens
- het recht van bezwaar
- het recht om vergeten te worden (verwijdering van gegevens)
- het recht op beperking van de verwerking tot welbepaalde doeleinden
- het recht van intrekking van toestemming
- het recht op overdraagbaarheid aan een andere verantwoordelijkheid
- het recht van weigering
- het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming, zoals profilering
- het recht van klacht bij de privacy commissie (ook wel 'gegevensbeschermingsautoriteit' genoemd)
9) Gevoelige gegevens
Wat we zeker afraden is het verwerken van gevoelige gegevens:
- Ras
- Etniciteit
- Religie
- seksuele voorkeur
- politieke voorkeur
- lidmaatschap vakbond
- medische en biometrische gegevens
- gegevens minderjarigen
- …
Als je gevoelige gegevens bijhoudt, moet je een DPO (Data Protection Officer) aanstellen. Deze is verplicht een opleiding te volgen.
Ook onrechtstreeks gevoelige gegevens bijhouden, is gevoelige gegevens bijhouden.
Bijvoorbeeld: Persoon X is lid van de ouderraad en heeft kind Y in het 3e leerjaar
Bijvoorbeeld: Persoon X is lid van sportclub Z. Sportclub Z is echter een vereniging die zich specifiek richt op mensen met een bepaalde seksuele voorkeur. Onrechtstreeks worden hier dus gegevens verwerkt over de seksuele voorkeur van een persoon.
Maak een duidelijke privacyverklaring.
De privacyverklaring zal grotendeels ontstaan uit alle voorgaande punten.
Beschrijf hier duidelijk in welke gegevens jullie verzamelen en wat jullie ermee doen.
Belangrijke onderdelen:
- Gegevens eigen organisatie = verwerker van de persoonsgegevens
- Welke gegevens worden bijgehouden => bekijk het dataregister. Bijvoorbeeld: Naam/adres/E-mail/IP-adres website/…
- Wat zijn de doelstellingen van de verwerking. Bijvoorbeeld: uitvoering overeenkomst lidmaatschap/beheer van de website/…
- Informeer de betrokkenen transparant waarvoor je de gegevens zal gebruiken. Bijvoorbeeld: toesturen van informatie
- Informatie over doorgifte aan derden. Bijvoorbeeld: worden de gegevens verkocht aan derden (stel dat een handelaar wil sponsoren in ruil voor een aanwezigheidslijst)
- Bewaartermijnen: hoe lang worden de gegevens bijgehouden
- Rechten van de betrokkenen en hoe men deze kan uitoefenen:
- het recht op informatie
- het recht op toegang, inzage en kopie
- het recht op aanpassing van onjuiste of onvolledige gegevens
- het recht van bezwaar
- het recht om vergeten te worden (verwijdering van gegevens)
- het recht op beperking van de verwerking tot welbepaalde doeleinden
- het recht van intrekking van toestemming
- het recht op overdraagbaarheid aan een andere verantwoordelijkheid
- het recht van weigering
- het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming, zoals profilering
- het recht van klacht bij de privacy commissie (ook wel ‘gegevensbeschermingsautoriteit’ genoemd)
- Veiligheid van de gegevens:
- hoe gaat de organisatie om met de vertrouwelijkheid en veiligheid van de gegevens
- hoe moet de gebruiker zelf omgaan met bepaalde gegevens. Bijvoorbeeld: paswoorden zijn de verantwoordelijkheid van de gebruiker
- Toegang door derden: zijn er derden die aan de gegevens kunnen. Bijvoorbeeld: werknemers, de school…
1) Verplichtingen in de GDPR
Er is de verplichting om de privacy commissie of de gegevensbeschermingsautoriteit te verwittigen van elk datalek, ten laatste binnen 72 uur.
Volgende punten moeten minstens meegedeeld worden:
- aard van het lek
- mogelijke gevolgen
- genomen maatregelen
- …
Er geldt een verplichting om een datalek te documenteren! Maak dus een verslag op.
Als er mogelijke ernstige gevolgen zijn voor de privacy, heb je de plicht om de betrokkenen in persoon te verwittigen!
Stel een stappenplan op voor een datalek.
2) Stappenplan datalek
Dit is een eenvoudig stappenplan dat als basis kan gebruikt worden in geval van een datalek. Hoe gedetailleerd en hoe diepgaand je dit moet opstellen, hangt af van de hoeveelheid en de gevoeligheid van de gegevens.
Bekijk het eventueel samen met de school.
Algemeen: vermeld de
- gegevens van je organisatie;
- contactpersonen en verantwoordelijken.
Stap 1: Geef informatie over het datalek
- Aard van het lek;
- Gevolgen van het lek?
- Welke data zijn er verloren?
- Wat is de oorzaak?
- Wat is de impact (op de organisatie en de betrokkenen)?
- …
Stap 2: Wat gaan we doen?
- Vergadering samenroepen;
- IT-leverancier inlichten;
- Betrokkenen inlichten;
- School inlichten;
- Toestel op afstand blokkeren of swipen;
- Privacy commissie of de gegevensbeschermingsautoriteit verwittigen;
- …
Stap 3: Rapporteren en documenteren
- Maak een verslag op van het hele incident;
- Welke maatregelen zijn genomen om dit in de toekomst te voorkomen?
- Wat zijn de gevolgen?
- …
Stel een nota op voor de vrijwilligers, bestuurders, leden…
Maak iedereen bewust dat men zorgvuldig moet omgaan met gegevens.
Wat kan je in deze nota vermelden?
- gegevens van de ouderwerking;
- beschrijving van de ouderwerking en structuur;
- verzekeringen die de ouderwerking heeft;
- aansprakelijkheid;
- vertrouwelijkheidsovereenkomst:
- persoonsgegevens die men in handen krijgt, zijn vertrouwelijk en moeten als dusdanig behandeld worden. Ze mogen ook niet voor andere doeleinden gebruikt worden;
bijvoorbeeld: een vrijwilliger is toevallig ook plaatselijke handelaar en gebruikt de inschrijvingslijst van het schoolfeest om reclame rond te sturen voor de eigen zaak. - verbod op kopieën van informatie;
- materiaal en gegevens blijven eigendom van de organisatie;
- beheer van vertrouwelijke informatie;
bijvoorbeeld: na een vergadering mogen er geen verslagen blijven liggen op de tafels (clean desk). De computers waar gegevens op staan, moeten beveiligd zijn. - …
Deze lijst kan aangepast en aangevuld worden naar gelang de complexiteit van jouw organisatie.
Stel interne regels op over het gebruik van gegevens.
Eventueel kan dit onderdeel uitmaken van de organisatienota, afhankelijk van de complexiteit van jouw organisatie.
Mogelijke policies:
- over het gebruik van privéapparatuur en de beveiliging indien er gegevens van de organisatie zouden opstaan;
- richtlijnen over wat te doen met verslagen;
- richtlijnen over het omgaan met vertrouwelijke gegevens;
- …
Bekijk dit niet enkel als dwingende regels. Zie het veel ruimer en geef bijvoorbeeld tips over de manier waarop je zorgvuldig omgaat met data.
Veel dingen lijken vanzelfsprekend, maar ze zijn het niet altijd! Mensen staan er vaak niet bij stil welke de gevolgen kunnen zijn van onzorgvuldig omgaan met data.
Bijvoorbeeld:
- Een wachtwoord bestaat best uit 12 karakters met letters, cijfers en een teken;
- log steeds uit;
- laat geen papieren slingeren op je bureau of na de vergadering;
- …
De privacy commissie of de gegevensbeschermingsautoriteit kan bij een klacht een controle uitvoeren.
Wanneer blijkt dat de GDPR niet gerespecteerd werd, kunnen ze sancties en boetes opleggen.
Er is geen reden tot paniek, maar wel tot nadenken.
Een goed vertrekpunt om hieraan te werken is de vraag hoe je zelf zou willen dat men jouw data zou behandelen.
Documenteer je rond iedere stap want dat is uiteindelijk het bewijs dat je er alles aan gedaan hebt om zorgvuldig om te gaan met data.
Bekijk het niet als de zoveelste administratieve last, maar als een gezonde denkoefening. Je zal nog verrast zijn met de resultaten van het nadenken over de gegevens die in jouw organisatie verwerkt worden.
Het is belangrijk is dat je op papier kan bewijzen dat je er alles aan gedaan hebt om zorgvuldig met data om te gaan als er problemen zouden ontstaan:
- logboek: wat en wanneer je iets gedaan hebt in het kader van de GDPR;
- dataregister met beschrijving van al de data;
- privacyverklaring (is vooral voor externen);
- informatienota naar eigen vrijwilligers (vooral intern);
- policies (interne regels over de manier waarop je omgaat met data);
- stappenplan bij een datalek.
In welke mate dit gedocumenteerd dit moet zijn, is vooral afhankelijk van de hoeveelheid data.
Verschillende van deze documenten zijn niet nieuw. Ze zijn nu vooral transparanter en gedetailleerder worden.
Deze denkoefening is niet een éénmalig. Het zou een continu proces moeten worden.
Het is daarom belangrijk dat je altijd kan bewijzen dat je alle moeite hebt gedaan om zorgvuldig met persoonsgegevens om te gaan.
De informatie in dit document is niet ‘het model’ waarmee je met alles in orde bent. Gebruik het als basis om de denkoefening te doen en de nodige documentatie op te stellen.
Meer informatie kan je ook vinden op:
- Website gegevensbeschermingsautoriteit (privacy commissie): https://www.gegevensbeschermingsautoriteit.be/burger
- www.ikbeslis.be
- Gericht op scholen vanuit Katholiek Onderwijs Vlaanderen: http://www.privacyopschool.be
Is dit nu allemaal nodig? Het antwoord op deze vraag is een beetje dubbel.
Eigenlijk zou het niet nodig moeten zijn, maar…
Als je de auto leent van iemand anders, ga je daar voorzichtig mee om.
Data of gegevens bekijk je niet op dezelfde manier, maar het onzorgvuldig verwerken van gegevens, kan zware gevolgen hebben.
Enkele voorbeelden:
- Een ouder stelt een vraag aan de ouderwerking i.v.m. het pesten van het eigen kind.
De ouderwerking brengt dit op de vergadering die doorgaat in een klaslokaal op school. De verslaggever vermeldt de ouder en het kind met naam in het verslag.
Op het einde van een vergadering, blijft er een versie van dit verslag liggen.
De volgende morgen komen er leerlingen in het lokaal en kijken in het verslag. Ze zien de naam van hun medeleerling die gepest wordt…
Dit kan bijvoorbeeld als gevolg hebben dat het pestgedrag zal toenemen door het onzorgvuldig omgaan met een verslag waarin deze gegevens staan.
- Tijdens de vergadering van de ouderraad in het leraarslokaal op school, maakt 1 van de leden een selfie.
Op de achtergrond hangt er echter een interne nota over een kind met gescheiden ouders en de instructies over wie het kind mag afhalen van school. De leerkrachten moeten dit weten.
De selfie komt op Facebook en iedereen kan de interne nota zien, met de gevoelige gegevens.
Mensen nemen tegenwoordig overal foto’s en zetten ze online, zonder verder stil te staan bij de gevolgen.
- Alle verslagen en documenten van de ouderwerking staan op een paar USB-sticks (men heeft er aan gedacht om toch al een kopie te maken). Eén van deze sticks gaat verloren of wordt gestolen.
Er staat geen versleuteling of wachtwoord op de stick. Iedereen die de stick in handen krijgt, kan dus aan alle gegevens (verslagen, ledenlijsten, foto’s…).
- Voor het schoolfeest wordt er gewerkt met een inschrijvingslijst. Aan de inkom zit iemand om af te vinken. De lijst ligt gewoon op tafel.
Iemand maakt vlug met de smartphone foto’s van deze lijsten en gaat de personen op de lijst nadien mailen met reclame of verkoopt de lijst.
- …
De bemerking bij deze voorbeelden is meestal: ‘Ja, maar dit zijn extremen en de kans dat het zal gebeuren is zeer klein’.
Toch is het beter om preventief de mensen bewust te maken van de risico’s en ze te informeren en sensibiliseren!
Als zich een probleem zou voordoen en je kan niet bewijzen dat je zorgvuldig met de data bent omgegaan, volgen er mogelijk sancties en boetes. De eventuele persoonlijke gevolgen voor de betrokkenen zijn vaak niet gering. Misbruik van persoonlijke gegevens moeten we voorkomen, ook al menen we dat de kans daartoe klein is.
Hier staan enkele vragen die we reeds uit de praktijk gekregen hebben.
- Wat is een goede bewaartermijn?
Eerst en vooral zijn er voor sommige documenten en gegevens wettelijke bewaartermijnen. Dit heeft dus steeds voorrang. Informeer je hiervoor goed bij de bevoegde instanties.
Oneindig bewaren is zeker de verkeerde bewaartermijn.
Voor verslagen, ledenlijsten… kan er ook steeds een termijn worden vastgesteld op deze manier: alle verslagen en documenten met betrekking tot de organisatie worden tot X jaar na de ontbinding bewaard.
Gebruik vooral je gezond verstand en ga geen documenten en gegevens bewaren met als insteek ‘als ooit eens…’.
- Wat doe je met een ledenlijst?
Je moet zorgen dat er alles aan gedaan wordt om er zorgvuldig mee om te gaan.
Je moet ze daarom niet in een kluis steken, maar het is ook niet verantwoord dat je ze op een openbaar prikbord hangt.
De ledenlijst is in geval van een VZW een officieel document = wettelijke verplichting als rechtsgrond.
Zet daarom niet meer gegevens op de ledenlijst als nodig. Voor elk gegeven is er een rechtsgrond nodig. Je moet kunnen aantonen waarom je dit verwerkt.
- Wat met Facebook?
Mensen die zich registreren op facebook, geven uitdrukkelijke toestemming aan facebook (lees dus ook hun privacyverklaring en voorwaarden) om hun gegevens te gebruiken. De mensen die een facebookpagina volgen, hebben aan facebook op die manier al expliciete toestemming gegeven voor hun persoonsgegevens.
MAAR, iedereen is wel verantwoordelijk voor de gegevens (ook foto’s) die ze zelf op facebook zetten! Wees daar voorzichtig mee.
- Wat met foto’s?
Foto’s op facebook of op een website plaatsen is delicaat.
Je zou de expliciete toestemming moeten hebben van iedereen op de foto en voor minderjarigen ook die van de juridisch verantwoordelijke voor die minderjarige.
Het is best is om nooit namen onder de foto’s te zetten (of te taggen).
Wat je op facebook of internet plaatst, is publiek toegankelijk. Iemand met slechte bedoelingen zou er misbruik van kunnen maken.
Denk hierbij aan het verhaal van de foto’s van scouts/chiro die in Rusland ineens op sites verschenen.
Een school kan in het schoolreglement opnemen dat er regelmatig foto’s genomen zullen worden op publieke evenementen. Als ouder teken je het document, waarbij je de toestemming geeft.
Bekijk eventueel samen met de school hoe je als oudercomité die expliciete toestemming kan verwerven om iedereen probleemloos op een foto te mogen laten verschijnen. Dit is geen vanzelfsprekendheid…
Sensibiliseer iedereen, ook de ouders zelf! Iedereen heeft een smartphone en foto’s worden snel gemaakt! Iets wat met goede bedoelingen gedaan werd, kan soms onaangename gevolgen hebben.