De Algemene Verordening Gegevensbescherming (AVG, of GDPR: General Data Protection Regulation) is een geheel van Europese regels om de burger te beschermen bij de verwerking (verzamelen, registreren, bewaren, verspreiden, kopiëren, bewerken, archiveren en vernietigen) van hun persoonsgegevens (naam, adres, telefoonnummer, e-mailadres, maar ook geaardheid, praktiserende godsdienst, omschrijving fysieke of psychische beperking, lidmaatschap, enz.) door organisaties, overheid en bedrijven.

Timing

De GDPR is in werking sinds 24 mei 2016, maar effectief van toepassing vanaf 25 mei 2018. Vanaf 25 mei 2018 moet je bij een controle of betwisting actief aantonen dat je volgens de nieuwe wetgeving handelt. Je hebt nog even de tijd, maar we raden elke organisatie aan om de komende maanden goed na te denken over hoe en waarom ze persoonsgegevens verwerken, en op basis van die denkoefening een aantal stappen te zetten om zich in regel te stellen.

Geen ontkomen aan

De GDPR is geen totaal nieuw verhaal. De wet is een herziening van de Data Protection Directive, de Europese wetgeving uit 1995. De principes rond privacy en gegevensverwerking blijven dezelfde, maar de methodes worden aangepast. Een gevolg van de technologische digitale ontwikkelingen en globalisering.

De GDPR-verordening stimuleert organisaties om zelf goed na te denken over hun privacybeleid en hoe dit toe te passen. Organisaties zijn namelijk zelf verantwoordelijk voor hun privacybeleid. Dit geeft ruimte om de verordening op maat van je organisatie uit te werken, maar creëert soms ook wat onduidelijkheid. Eén zaak is alvast duidelijk. Alle organisaties, ook vzw’s en feitelijke verenigingen, die persoonsgegevens gebruiken, vallen onder de regelgeving en moeten zich in orde stellen. Zelfs als je organisatie geen enkel winstdoel nastreeft of geen enkele commerciële handeling stelt.

Over naar de Data Protection Officer (DPO)

Gemeentearchieven en openbare bibliotheken zijn instellingen van lokale overheden. Deze overheden zijn als verwerker van persoonsgegevens op grote schaal verplicht om een DPO aan te duiden als verantwoordelijke van het privacybeleid. De Data Protection Officer is een deskundige inzake gegevensbescherming die je organisatie bijstaat in het toezicht op de interne naleving van de GDPR. Openbare bibliotheken, archieven en cultuurcentra kunnen dus rekenen op de ondersteuning van de gemeentelijke DPO.

Let op, dit betekent niet dat deze persoon al het werk zal verrichten om je organisatie GDPR-proof te maken. We vermoeden dat er binnen heel wat stedelijke of gemeentelijke bibliotheken en archieven een personeelslid zal aangeduid worden die het proces voor de bibliotheek of archief mee begeleidt en vorm geeft. Informeer je dus goed, zodat je met de betrokken DPO een beleid op maat van je bibliotheek of archief kunt uitwerken.

Hoe pak je die GDPR-verordening nu best aan? Enkele aandachtspunten

Voor we een aantal stappen, voorwaarden en maatregelen toelichten, raden we je aan om de GDPR steeds vanuit volgende invalshoeken te bekijken:

• Hebben we een goed zicht op welke persoonsgegevens we gebruiken en of we die echt allemaal nodig hebben voor onze werking?
• Mogen we alle gegevens die we opvragen en gebruiken wel verwerken?
• Hebben we een transparant en correct privacybeleid ten opzichte van ons publiek?
• Worden de persoonsgegevens voldoende beveiligd?
• Houden we rekening met de rechten van onze deelnemers, ontleners, enz. (en hebben we hier procedures rond)?

Concreet aan de slag

Van bewustmaking over inventarisatie, screening, maatregelen tot privacyverklaring, opvolging register en datalekprocedure.

Bewustmaking op Raad van bestuur en teamoverleg

Zet de GDPR op de agenda van de eerstvolgende vergadering van je bestuurs- of adviesorgaan en het volgende teamoverleg. Het is belangrijk dat je bestuurders op de hoogte zijn van de verordening, dat ze weten wat de verantwoordelijkheid is van de organisatie ten opzichte van de leden en dat ze een goed beeld en akkoord hebben over hoe je organisatie de thematiek aanpakt.

Spreek goed af wie zich de komende maanden gaat ontfermen over de GDPR- implementatie en wie het proces in handen neemt. Maak goede afspraken met de DPO van de lokale overheid.

Wie, wat, waar, hoe, waarom, en voor hoe lang? De inventaris.

Maak met je team een duidelijk overzicht over wie welke gegevens hoe, waar en voor hoe lang verwerkt. Bespreek ook of alle gegevens die je tot nu bewaart echt nodig zijn. Beschrijf hoe je persoonsgegevens deelt tussen collega’s, met andere organisaties, deelnemers, enz. (via mail, dropbox, enz.).

Deze inventarisatie is een cruciale oefening en geeft je de noodzakelijke basis voor de volgende stappen.

Heb je echt alle persoons­gegevens nodig? Hou je ze niet langer bij dan noodzakelijk?

Je hebt nu een zicht op welke gegevens door wie, waar, waarom en voor hoe lang verwerkt worden.

Bekijk en omschrijf nu goed voor welke doeleinden je bijvoorbeeld leden- en gebruikersgegevens verzamelt en verwerkt.

Ga na of het voor de uitvoering van die doeleinden wel nodig (of verplicht door de overheid) is om al die gegevens op te vragen en te gebruiken. Denk ook na tot wanneer het relevant is voor de uitvoering van je doeleinden om die gegevens te bewaren. Schrap de gegevens die je eigenlijk niet nodig hebt voor het uitvoeren van je activiteiten.

De wettelijke basis om gegevens te verwerken.

Je hebt je doelstellingen bepaald en omschreven waarom je welke gegevens echt nodig hebt om je taken te kunnen uitvoeren. Ga na of je een wettelijke basis hebt om persoonsgegevens te verwerken. De GDPR somt zes doeleinden op die de verwerking van persoonsgegevens kunnen rechtvaardigen:

• Contractuele basis (noodzakelijk voor uitvoering van overeenkomst, bv arbeidsovereenkomst).
• Wettelijke verplichting (noodzakelijk voor uitvoering wettelijke plicht (bv opgelegd in decreet).
• Algemeen belang of openbaar gezag (door de wet opgedragen).
• Vitaal belang (bv om dringende medische reden).
• Gerechtvaardigd belang (activiteit is anders niet uitvoerbaar), enkel als dit zwaarder doorweegt dan het belang, de rechten en de redelijke privacyverwachtingen van de betrokkenen.
• Ondubbelzinnige toestemming (vrije, actieve en specifieke toestemming van betrokkenen).

Ga na of de doeleinden die je als organisatie vooropstelt, onder een van de zes doelstellingen passen. De contractuele basis, het gerechtvaardigd belang en de wettelijke verplichting zijn de meest voorkomende en voor de hand liggende legale basissen voor het verwerven van persoonsgegevens. Hiervoor heb je geen toestemming van de betrokkenen nodig. Je moet hen wel duidelijk informeren.

Je zult merken dat je voor doeleinden die niet onder contractuele basis of wettelijke verplichting vallen, best de toestemming vraagt van de betrokkenen.

Beveiliging en maatregelen treffen

Bekijk niet alleen welke stappen nodig zijn om je in regel te stellen met de GDPR. Ga ook goed na welke maatregelen je moet treffen om de persoonsgegevens van je leden te beschermen. Dit gaat van organisatorische maatregelen tot technische en soms juridische maatregelen.

Vaak helpen gezond verstand en eenvoudige ingrepen. Schrap bijvoorbeeld persoonlijke e-mailadressen, telefoonnummers, geboortedata op de deelnemerslijsten van de mensen die aanwezigen tekenen. Voorzie een degelijk paswoordenbeleid, zonder dat je collega’s zomaar alle paswoorden ergens op een Excel kunnen vinden. Wat IT-beveiliging betreft, bespreek je dit best met de IT-specialist van je bibliotheek, archief of gemeente (als het een gemeentelijke instelling betreft).

Rechten van de betrokkenen

De GDPR hecht bijzonder veel aandacht aan de rechten van de betrokkene.

Bepaal (met beknopte uitgeschreven procedures) hoe je omgaat met vragen rond recht op o.a. informatie, inzage, aanpassing, vergetelheid, intrekking toestemming en weigering voor profilering. Zorg er voor dat je de betrokkenen goed informeert over hoe je hun rechten respecteert, hoe ze hier vragen over kunnen stellen en wie ze hiervoor kunnen contacteren. Een goede plaats hiervoor is je privacyverklaring.

Duidelijk en transparant informeren: De privacyverklaring

Open communicatie is de sleutel in de GDPR-aanpak. Informeer gewoon heel duidelijk en actief (zonder dat de betrokkenen ernaar moeten vragen) hoe je omgaat met hun persoonsgegevens, waarom je ze verwerkt, voor hoelang, of en hoe je ze doorgeeft aan derden. Verzamel die informatie in de privacyverklaring van je organisatie.

Je geeft die informatie best meteen mee bij het eerste contact met je organisatie of wanneer ze zich inschrijven. Bij bibliotheken is dat bijvoorbeeld het document dat een lener invult om een kaart aan te vragen, maar evengoed de vrijwilligersnota die een vrijwilliger tekent wanneer hij of zij een handje komt toesteken bij een activiteit. Vraag bij inschrijving van een lener ook of/dat hij of zij zich schriftelijk (bv met aanvinkvakje en ondertekenen op inschrijvingsformulier) akkoord verklaart met de privacyverklaring.

Anonimiseren

Vaak verzamelen organisaties ook deelnemerslijsten of cijfers als verplicht meetmateriaal voor de overheid. De gegevens die opgevraagd worden door de overheid zijn vaak geanonimiseerd en niet terug te leiden tot de personen in kwestie. In dat geval is er geen probleem. Overheden kunnen echter ook persoonsgegevens opvragen. Dat kan op voorwaarde dat er een duidelijke wettelijke basis is. Als organisatie moet je de betrokkenen hierover goed informeren.

Instellingen delen soms persoonsgegevens met partners. Zo worden ontleengegevens en statistieken van diverse bibliotheken bijgehouden in grotere databanken. Interessant, want daardoor kun je op diverse schalen benchmarken, een (aankoop-)beleid ontwikkelen etc. We raden aan om na te gaan of deze grote databanken ook een veilig en correct privacybeleid voeren. Als persoonsgegevens met derden worden gedeeld, dan moet de gemeente met deze derde een verwerkersovereenkomst sluiten. Het is echter aangewezen om gedeelde persoonsgegevens steeds te anonimiseren. Voor louter statistische doeleinden zal dit meestal volstaan en is het niet nodig om een statistisch profiel naar een werkelijke gebruiker of natuurlijke persoon te kunnen herleiden.

Register

Alle bovenvermelde stappen zijn een tijdsopname. Een (digitale) foto van de huidige toestand, en een overzicht van de verantwoordelijken en betrokkenen. De GDPR verplicht je om een register bij te houden waarin je ook elke wijziging in de toekomst bijhoudt: verandering van crm-systemen, aanpassingen in de privacyverklaring, enz. Je houdt alles bij in het register, zodat dit een interessant en belangrijke historiek weergeeft over je privacybeleid, nu en in de toekomst. Dit register is het eerste document dat de privacyvommissie zal opvragen bij klacht of controle.

Datalek

Maak duidelijke afspraken over de melding van datalekken. Denk aan het verlies van een laptop, hacking, enz. Eigenlijk kun je dit makkelijk voorzien door hiervoor een interne verantwoordelijke aan te stellen en alle personeelsleden hierover te informeren. Voorzie een duidelijke en eenvoudige procedure en een datalekdocument voor het geval er zich een datalek voordoet in je organisatie. Je bent namelijk verplicht om dataverlies binnen 72 uur te melden aan de Privacycommissie (binnenkort de Gegevensbeschermingsautoriteit). Wanneer er een hoog risico is voor de rechten en vrijheden van betrokken personen, breng je hen ook op de hoogte, zodat ze de nodige voorzorgsmaatregelen kunnen nemen.

GDPR-compliant

De GDPR heeft ook een impact op de diensten en tools die je organisatie gebruikt. Zowel contractpartners als softwaretools en onlineservices waarmee je werkt, moeten in de toekomst GDPR-compliant zijn, in een schriftelijk contract gegarandeerd. Dat geldt overigens ook voor allerlei cloudoplossingen.

Sluit met alle betrokken partijen een verwerkersovereenkomst, met afspraken over de duur, beschrijving en doeleinden van de gegevensverwerking, de beveiligingsmaatregelen, enz.

Controleer dus al je lopende overeenkomsten, zorg voor of informeer naar de nodige aanpassingen in de al bestaande contracten en zorg ervoor dat de dienstverlener waarmee je samenwerkt aantoont dat hij conform de GDPR werkt.

Artikel 89: afwijkingen voor archivering.
De GDPR voorziet in een reeks uitzonderingen voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. Mits de nodige passende maatregelen worden getroffen zijn een aantal verplichtingen niet van toepassing voor o.a. archivering. De concrete uitwerking van wat dan passend is heeft men overgelaten aan de nationale wetgever. In België is deze wetgeving volop in voorbereiding.

Conclusie

Het vraagt wel wat werk. Maar panikeer niet. Heel eenvoudig komt het erop neer dat je als organisatie een goed overzicht maakt van je verwerking van personengegevens, verstandig nadenkt over welke gegevens je echt wel en niet nodig hebt, schrapt en (beveiligings) maatregelen treft waar nodig. Even belangrijk is dat je hierover duidelijk communiceert met de betrokkenen via je privacyverklaring en dat je in de toekomst alles goed opvolgt met behulp van je register.

Scwitch werkte een gratis logboek en templates uit die je op weg helpen om je organisatie in orde te brengen met de GDPR-verordening. Je vindt het op de website van Scwitch