Is uw VZW al klaar voor de Algemene Verordening Gegevensbescherming (GDPR)?

De voorbije maanden kon u er in de pers moeilijk naast kijken: het Europese privacyrecht verandert vanaf volgend jaar en de nieuwe regels worden heel wat strenger dan vandaag.  Toch lijkt het voor heel wat organisaties, met name in niet internetgebonden sectoren en vooral in de non-profitsector nog erg onduidelijk wat de impact op hun organisatie is. 

Nieuwe Europese privacyregels?

Eind vorig jaar keurde de EU definitief de General Data Protection Regulation (GDPR) goed.  Deze verordening moet vanaf mei 2018 in de ganse Europese unie op uniforme wijze de regels bepalen waar ondernemers rekening moeten houden als ze persoonsgegevens bewaren of gebruiken.  Die GDPR vervangt de nationale wetgeving van de lidstaten, die meestal dateert uit de vroege jaren negentig en dus al lang niet meer aangepast is aan de digitale realiteit van de eenentwintigste eeuw.

Waarover gaat die GDPR dan?

De economie van de eenentwintigste eeuw draait op data.  Klantgegevens, marketingdatabases met profielen van potentiële klanten, “big data” zijn voor heel wat ondernemers de kern van hun business geworden.  Het gevolg daarvan is dat er een wildgroei is aan applicaties en toepassingen om met die data om te gaan en daarbij wordt al te vaak het belang van de burger of consument uit het oog verloren.

Om de “data-economie” in goede banen te leiden heeft de EU deze General Data Protection Regulation in het leven geroepen.

De verordening valt uit elkaar in een aantal onderdelen, waarvan er twee van rechtstreeks belang zijn voor zowat alle ondernemers, ongeacht de vraag of zij voornamelijk online actief zijn of bvb eerder in klassieke offline distributie of retail zitten.

Een eerste reeks regels bepaalt hoe persoonsgegevens verzameld mogen worden.  Hierin wordt onder meer geregeld wanneer een opt-in nodig is, hoe minderjarigen beschermd worden en hoe gegevens doorgegeven mogen worden aan derden.  Ook strenge regels rond profiling van klanten of prospects zijn hierin voorzien.  Veel van deze regels bestonden vroeger al, maar worden vanaf 2018 duidelijk veel strenger.

Een tweede reeks regels is echt nieuw.  Die gaan over de interne organisatie van bedrijven.  Zo wordt een verplichting opgelegd voor elk organisatie om een “privacy impact assessment” te maken, een soort van veiligheidsaudit waarin bedrijven moeten onderzoeken hoe ze met data omgaan en welke risico’s op verlies of diefstal van hun data zij lopen.  Op basis daarvan moet een actieplan opgezet worden om die risico’s weg te nemen.  Voor heel wat bedrijven komt daar de verplichting bij om een “Data Protection Officer” in dienst te nemen, een soort van preventieadviseur voor privacy.  Dat kan overigens een externe consultant zijn die enkele uren per week of maand beschikbaar is.

De verordening brengt nog heel wat andere nieuwigheden met zich mee, zoals bijvoorbeeld een meldplicht bij datalekken: als gegevens verloren gaan of gestolen worden moeten de overheid én de betrokken klanten binnen 72 uur verwittigd worden.

Wat daarbij echter belangrijk is om te weten is dat de EU deze nieuwe regels niet beperkt heeft tot grote commerciële internetspelers.  Men heeft er integendeel bewust voor gekozen om de nieuwe regels te laten gelden voor iedereen die data verwerkt (met uitzondering van individuele personen die voor louter privégebruik contacten bijhouden, vanzelfsprekend).  Dat betekent dat de nieuwe regels ook zullen gelden voor middelgrote en kleine ondernemingen en -belangrijker voor u- ook voor VZW’s en zelfs feitelijke verenigingen, zelfs als die geen enkel winstdoel nastreven of geen enkele commerciële ingesteldheid hebben.

Aangezien de verordening geen onderscheid maakt tussen grote en kleine bedrijven of tussen ondernemingen met een winstoogmerk of VZW’s en verenigingen, moet ook in de non-profitsector élke VZW en élke vereniging zich wel degelijk tegen mei 2018 in regel stellen.  De opdracht hier is zelfs in veel gevallen nog wat moeilijker dan voor commerciële organisaties omdat in de non-profitsector zeer vaak gegevens verzameld en verwerkt worden die door de verordening als “gevoelige gegevens” beschouwd worden en om die reden extra bescherming vereisen.  Het gaat bijvoorbeeld om medische gegevens, politieke voorkeur, seksuele voorkeur, ras, afkomst, lidmaatschap van vakbonden, etc…

Verwerken van persoonsgegevens?

De AVG is een Europese verordening die de bestaande Europese privacywetgeving moet moderniseren en harmoniseren.  In België zal ze de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens vervangen. Die wet, die later aangepast werd op basis van een Europese richtlijn 95/45/EG is inmiddels 25 jaar oud.  Ze stamt nog van voor de digitale revolutie en de principes waarop ze gebaseerd is zijn inmiddels ruimschoots achterhaald door de technologische en maatschappelijke evolutie.

De nieuwe Verordening regelt nu op uniform niveau voor de ganse EU de wijze waarop men persoonsgegevens mag verwerken. “Verwerking” dient daarbij in de meest ruime betekenis van het woord te worden begrepen en omvat elke vorm van verzamelen, vastleggen, ordenen, structuren, gebruiken, verstrekken, verspreiden en zelfs het wissen of vernietigen van persoonsgegevens. Een persoonsgegeven is elk stukje informatie aan de hand waarvan een natuurlijke persoon rechtstreeks of onrechtstreeks geïdentificeerd kan worden.  Het gaat dan natuurlijk in de eerste plaats om namen, adressen, telefoonnummers, rijksregisternummers, geboortedatum, etc… Maar ook het IP adres van uw computer is een persoonsgegeven omdat het toelaat u onrechtstreeks te identificeren.  Hetzelfde geldt voor uw (persoonlijke) voorkeuren, lidmaatschap van een vakbond, financiële informatie, uw religie, huidskleur, medische historiek, …

Het mag onmiddellijk duidelijk zijn dat ook VZW’s op grote schaal persoonsgegevens verwerken.  Elke VZW ontvangt immers noodzakelijkerwijze persoonsgegevens  van zijn leden, donoren, sponsors, vrijwiliggers, etc…  VZW’s vallen dus zonder twijfel onder het toepassingsgebied van de AVG.

En wat nu als ik inderdaad persoonsgegevens verwerk?

Wie effectief persoonsgegevens verwerkt –en dat doet zoals eerder gezegd elke VZW- moet vanaf mei 2018 rekening houden met een hele reeks nieuwe en minder nieuwe verplichtingen.  Die verplichtingen kunnen gegroepeerd worden in drie categorieën.

  1. Algemene principes

In die eerste categorie van regels is het van belang om te weten dat het basisprincipe bij élke verwerking van persoonsgegevens verantwoording is: de verantwoordelijke voor de verwerking moet kunnen verantwoorden waarom hij gegevens verwerkt, hoe hij dat doet, hoe lang hij gegevens bijhoudt, hoe die gegevens beveiligd zijn, etc…  een en ander vereist een constante voorafgaande denkoefening bij elke verwerking én het documenteren van die denkoefening voor het geval deze later in vraag gesteld zouden worden.  Andere algemene principes die voor VZW’s van belang zijn omvatten het feit dat niet meer gegevens verzameld mogen worden dan effectief nodig zijn (waarbij op basis van de verantwoordingsplicht moet kunnen toegelicht worden waarom een en ander zo is), het feit dat gegevens niet langer mogen bijgehouden worden dat verantwoordbaar nodig is en het feit dat gegevens ‘veilig’ bewaard moeten worden.  Minder rechtstreeks relevant, maar daarom op onrechtstreekse wijze niet minder belangrijk zijn databescherming ‘by design’ en ‘by default’: elk stuk software, elke app, elke tool die in de toekomst gebouwd wordt, zal van bij aanvang zo gebouwd moeten zijn dat de privacy van de betrokkenen maximaal gerespecteerd wordt.  De verantwoordelijkheid van de VZW ligt erin om enkel die software te gebruiken die op dit vlak de nodige garanties kan geven…

  1. Procesmatige verplichtingen

De “procesmatige” verplichtingen die uit de AVG voortvloeien, hebben als eerste en belangrijkste gevolg dat VZW’s die verantwoordelijke voor de verwerking zijn, met alle verwerkers waarop zij een beroep doen een geschreven overeenkomst zullen moeten voorzien met daarin een aantal verplichte vermeldingen zoals opgesomd in artikel 32 AVG.  Het gaat dan bijvoorbeeld om vrijwilligers, softwareleveranciers, overheden, boekhouders, …

De belangrijkste en tegelijk ook vaagste bepaling waarmee VZW’s rekening moeten houden is de verplichting om “passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen”.  Het gaat daarbij om antivirusprogramma’s, firewalls, paswoordbeveiliging, beveiligde VPN-verbindingen, encryptie van gegevens, maar bijvoorbeeld ook om duidelijke interne procedures rond thuiswerk, “bring your own device”, etc…

In bepaald gevallen zullen ook VZW’s een (interne of externe) “functionaris voor de gegevensbescherming” (“Data Protection Officer”) dienen aan te stellen, dit is het geval wanneer deze “hoofdzakelijk is belast met grootschalige verwerking van gevoelige gegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten”. Dit is echter een zeer rekbaar begrip en voorlopig is nog niet veel duidelijkheid over hoe dit begrip dient geïnterpreteerd te worden. Belangrijk is wel om op te merken dat een kleine VZW mogelijks aan grootschalige verwerking zou kunnen doen. De grootte van de organisatie is zodus niet bepalend met dien verstande dat een solo practitioner uitgesloten wordt van het toepassingsgebied.

Daarbovenop zullen de meeste VZW’s een privacy-effectenbeoordeling moeten uitvoeren en deze zeer goed moeten documenteren.  Hierin moet elk type van verwerkingsactiviteit in kaart gebracht worden, samen met de daarmee gepaard gaande veiligheidsrisico’s en de maatregelen die genomen zullen worden om deze risico’s te elimineren of beperken.

Tenslotte zullen bijna alle VZW’s een ‘register voor de verwerkingsactiviteiten’ moeten bijhouden. In dat register houdt u volgende zaken bij: het doel van de verwerking, een omschrijving van de categorieën van gegevens en hun verstrekkers; de ontvangers die inzicht krijgen in de gegevens; een omschrijving van de veiligheidsmaatregelen die de verantwoordelijke nam; indien mogelijk: de tijdslimiet voor het wissen van de gegevens.  De verordening voorziet een uitzondering voor ondernemingen met minder dan 250 werknemers, maar die uitzondering geldt niet voor wie ‘gevoelige’ gegevens (medische gegevens, gegevens over geloofsovertuiging, politieke voorkeur, seksuele voorkeur, afkomst, ras, …) verwerkt en dat is precies het geval voor heel wat VZW’s, waardoor zo’n register toch nodig zal zijn.

  1. Informatie aan de betrokkenen

De derde reeks regels verplichten de VZW om in de toekomst te voorzien in een uitgebreide Privacy Policy die een aantal verplichte vermeldingen zal dienen te bevatten, zoals opgesomd in artikel 13. Zo dient in deze Privacy Policy onder meer worden aangegeven welke de rechtsgrond is voor de verwerking, de verwerkingsdoeleinden, periode gedurende dewelke de gegevens worden bewaard,… Die >Privacy Policy is het uithangsbord van een VZW naar de buitenwereld en het is dus van het grootste belang om hierin geen fouten te maken.  Wie in zijn communicatie naar de buitenwereld al in de fout gaat, mag op een gegeven ogenblik ongetwijfeld klachten en controles verwachten…

Specifieke aandachtspunten voor VZW’s

Verwerking van gevoelige gegevens

Een eerste belangrijk aandachtspunt is het feit dat VZW’s heel vaak over gevoelige gegevens zullen beschikken, afhankelijk van wat de VZW precies als maatschappelijk doel heeft. Gevoelige gegevens zijn volgens de verordening informatie over strafrechtelijke veroordelingen en strafbare feiten, lidmaatschap van een vakbond, politieke voorkeur, seksuele voorkeur, religie, afkomst en ras, biometrische gevens en soms zelf ook medische gegevens. Daarbij dient in het achterhoofd te worden gehouden dat de AVG voorziet een bijzonder beschermingsregime voor deze gevoelige gegevens en dat de VZW in kwestie die deze gegevens verwerkt zodoende extra maatregelen zal moeten nemen om deze gegevens te beveiligen aan de hand van technische maatregelen (bv. encryptie of versleuteling) alsook van organisatorische maatregelen (bv. fysieke dossiers bewaren in een afgesloten lokaal of dossierkast én een adequaat sleutelbeheer).

Gedragscodes

De AVG voorziet tenslotte in de mogelijkheid voor sectorverenigingen om gedragscodes (“Codes of Conduct”) op te stellen teneinde de toepassing van de Verordening op een specifieke sector nader toe te lichten.  Hieraan wordt met name in de fondsenwervende sector op dit ogenblik hard gewerkt.  Die gedragscodes zijn dan bindend voor de leden van de vakvereniging en creëren een vermoeden van conformiteit met de verordening voor de erin vervatte materies.  Een interessante denkpiste is ongetwijfeld om vanuit zo’n sectorvereniging te werken aan een gedragscode met bepalingen aangaande bijvoorbeeld de rechtsgrond voor een aantal verwerkingen, de retentietermijnen voor persoonsgegevens, de belangrijkste en minimale veiligheidsmaatregelen zijn die door VZW’s dienen in aanmerking te worden genomen.

5 vragen voor de VZW

Is de AVG van toepassing op VZW’s, zelfs op kleine organisaties?

De verordening is wel degelijk van toepassing op élke organisatie, groot of klein, die persoonsgegevens verwerkt. Dat geldt ook voor VZW’s en zelfs een feitelijke vereniging dient zich ermee in regel te stellen.

Wanneer moet ik de nodige maatregelen doorgevoerd hebben?

De AVG is vanaf 25 mei 2018 onmiddellijk en rechtstreeks van toepassing, zonder dat er in een overgangsperiode wordt voorzien. Dit is net één van de kritiekpunten van de Verordening aangezien de inhoud ervan op veel punten nog zeer vaag en de nationale toezichthoudende overheden nog bijzonder veel werk zullen hebben om deze vage bepalingen om te zetten in concrete adviezen.

Slaat dit ook op papieren dossiers?

De AVG maakt geen onderscheid tussen digitale en analoge verwerking van persoonsgegevens.  Ook uw papieren dossiers moeten dus voldoen aan de vereisten van de AVG.  In veel VZW’s betekent dat bijvoorbeeld zorgen dat nagedacht moet worden over toegang tot dossiers, het klassement afgesloten bijhouden en toegang ertoe beperken, ‘clean desk policies’ invoeren op plaatsen waar derden komen (denk aan uw kuis- of veiligheidspersoneel, …)

Wie staat in voor dit alles binnen mijn vereniging?

U kan best op het hoogste niveau een task force samenstellen.  Op niveau van de Raad van Bestuur of van het dagelijks bestuur is men best geplaatst om de volledige impact doorheen alle geledingen van een vereniging correct in te schatten én om zonder tijdsverlies tot de nodige acties te beslissen.  GDPR is alvast geen bijkomstig projectje dat u kan toevertrouwen aan losse vrijwilligers, secretariaatsmedewerkers, …

Zijn de boetes echt zo hoog?

Ja, de boetes zijn echt zo hoog.  Bovendien lopen VZW’s bijkomend risico op burgerrechtelijke aansprakelijkheid en ernstige imagoschade.

Bereid uw VZW voor op de AVG voor in 10 stappen

  1. Informeer uzelf en uw medewerkers. Privacybewustzijn bij AL uw medewerkers en personeelsleden is cruciaal.
  2. Werk met schriftelijke ‘verwerkersovereenkomsten’ tussen u en uw cliënten en tussen uzelf en uw medewerkers.  Zorg daarnaast voor duidelijk privacybeleid en zorg dat dit beschikbaar is in uw kantoor en op uw website.
  3. Voer een privacy effectenbeoordeling uit en start hier tijdig mee.  Zorg ook voor een gepast actieplan op basis van de resultanten van uw PEB.
  4. Evalueer de wettelijke grondslag voor elke gegevensverwerking en hou er rekening mee dat u zal moeten aantonen dat u bv. effectief een gerechtvaardigd belang hebt.
  5. Evalueer de toestemming van de betrokkene en ga na of dit een vrije, geïnformeerde en specifieke toestemming is.
  6. Bekijk of u onder de voorwaarden valt voor de verplichte aanstelling van een Data Protection Officer en doe dit tijdig
  7. Zorg voor een dataregister of logboek op de zetel van uw vereniging.
  8. U dient een concreet plan van aanpak te ontwikkelen voor het geval u wordt geconfronteerd met datalekken hacking of wanneer persoonsgegevens verloren zijn gegaan.
  9. Ga na of u alle rechten van de betrokkenen (recht van toegang, verzet, verbetering, data overdraagbaarheid,…) hebt opgenomen in uw privacy policy en werk de nodige procedures uit in uw bedrijf om deze te vrijwaren en op te volgen.
  10. Bepaal welke internationaal de toezichthoudende autoriteit is indien u in verschillende landen kantoren heeft en verifieer tijdig of u data exporteert buiten de EU.

Vragen over GDPR?

Neem gerust contact op met Bart Van den Brande op bart@siriuslegal.be of 0486 901 931