De Europese privacyregels anno 2022
Eind 2017 keurde de EU definitief de General Data Protection Regulation (GDPR) goed. Deze verordening bepaalt vanaf mei 2018 in de ganse Europese Unie op uniforme wijze de regels waar iedereen die persoonsgegevens verzamelt, bewaart of gebruikt rekening moet mee houden. Die GDPR vervangt elke nationale wetgeving van de lidstaten, die meestal dateert uit de vroege jaren 90 en dus niet meer aangepast is aan de digitale realiteit van de 21ste eeuw.
Waarover gaat die GDPR dan ?
De 21ste eeuw draait op data. Gevolg daarvan is dat een wildgroei aan applicaties en toepassingen om met die data om te gaan is ontstaan. Daarbij wordt al te vaak het belang van de consument, burger of leden uit het oog verloren.
Om deze “data-economie” in goede banen te leiden heeft de EU deze General Data Protection Regulation in het leven geroepen.
De verordening valt uiteen in een aantal delen. Een eerste reeks regels bepaalt hoe persoonsgegevens verzamelt mogen worden. Hierin wordt ondermeer geregeld wanneer een opt-in nodig is (expliciete toestemming), hoe minderjarigen beschermd worden en hoe gegevens doorgegeven mogen worden aan derden.
Een tweede reeks is echter nieuw, met betrekking tot de interne organisatie. Zo wordt een veiligheidsaudit opgelegd waarbij organisaties moeten onderzoeken hoe ze met data omgaan en welk risico op diefstal of misbruik van die gegevens zij lopen. Op basis daarvan moet een actieplan worden opgezet om die risico’s weg te nemen.
De verordening brengt nog heel wat andere nieuwigheden met zich mee, zoals vb. een meldplicht bij datalekken : als gegevens verloren gaan, gestolen worden of misbruik wordt vastgesteld moeten de overheid én de betrokken personen binnen 72 u. verwittigd worden.
Geldt dit ook voor een bescheiden sportclub en VZW ?
Wat daarbij belangrijk is om weten is dat de EU deze nieuwe regels niet beperkt heeft tot grote commerciële spelers. Men heeft er integendeel bewust voor gekozen om de nieuwe regels te laten gelden voor iedereen die data verwerkt, met uitzondering van privé-personen. Dat betekent dat de nieuwe regels ook zullen gelden voor middelgrote en kleine ondernemingen en – belangrijker voor ons – ook voor VZW’s en zelfs feitelijke verenigingen zonder statuut. De opdracht is hier zelfs in veel gevallen nog wat moeilijker dan voor commerciële organisaties omdat in de non-profit vaak gegevens worden verzameld en verwerkt die door de verordening als ‘gevoelige gegevens’ beschouwd worden en om die reden extra bescherming vereisen. Vb. medische gegevens, politieke en seksuele voorkeur, ras, afkomst, etc...
Verwerken van persoonsgegevens
In België heeft de GDPR de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens vervangen.
De nieuwe verordening regelt op uniform niveau voor de ganse EU de wijze waarop men persoonsgegevens mag verwerken. “Verwerking” dient daarbij in de meest ruime betekenis van het woord te worden begrepen en omvat elke vorm van verzamelen, vastleggen, ordenen, structureren, gebruiken, verstrekken, verspreiden en zelfs het wissen of vernietigen van persoonsgegevens. Het gaat dan natuurlijk in de eerste plaats om namen, adressen, telefoonnummers, rijksregisternummers, geboortedata, etc... Hetzelfde geldt voor uw persoonlijke voorkeuren, lidmaatschap van een vakbond, financiële informatie, religie, huidskleur, medische historiek, ...
Het is dus duidelijk dat VZW’s op grote schaal persoonsgegevens verwerken en dus zonder enige mogelijke twijfel onder het toepassingsgebied van de GDPR vallen.
En wat nu ?
De verplichtingen en regels kunnen gegroepeerd worden in 3 categoriën :
- Het is belangrijk te weten dat het basisprincipe bij élke verwerking van persoonsgegevens ‘verantwoording’ is. Veel gegevens mogen worden verzameld en bijgehouden maar de verantwoordelijke voor de verwerking moet kunnen verantwoorden waarom hij de gegevens verwerkt, hoe hij dat doet, hoe lang gegevens worden bijgehouden, hoe die gegevens beveiligd zijn, etc... Een en ander vereist een constante voorafgaande denkoefening bij elke verwerking én het documenteren van die denkoefening voor het geval deze later in vraag wordt gesteld.
- Andere algemene principes omvatten het feit dat niet méér gegevens verzameld mogen worden dan effectief nodig zijn, het feit dat gegevens niet langer mogen bijgehouden worden dan verantwoordbaar nodig is en het feit dat de gegevens veilig moeten bewaard worden.
- Minder rechtstreeks relevant, maar daarom niet minder belangrijk zijn databescherming ‘by design’ en ‘by default’ : elk stuk software, elke app, elk tool dat in de toekomst gebouwd of gebruikt wordt, zal van bij de aanvang zo gebouwd moeten zijn dat de privacy van de betrokken personen maximaal gerespecteerd wordt. De verantwoordelijkheid van een VZW ligt erin om enkel die software te gebruiken die op dit vlak de nodige garanties kan geven...
Procesmatige verplichtingen
De ‘procesmatige’ verplichtingen die uit de GDPR voortvloeien, hebben als eerste en belangrijkste gevolg dat VZW’s die verantwoordelijke voor de verwerking zijn, met alle verwerkers waarop zij beroep doen een geschreven overeenkomst zullen moeten voorzien met daarin een aantal verplichte vermeldingen. Het gaat dan vb. om vrijwilligers, softwareleveranciers, webhosters, overheden, boekhouders...
Daarbovenop hebben de meeste VZW’s een privacy-effectenbeoordeling moeten uitvoeren en deze zeer goed moeten documenteren. Hierin moet elke type van verwerkingsactiviteit in kaart worden gebracht, samen met de daarmee gepaard gaande veiligheidsrisico’s en de maatregelen die genomen zullen worden om deze risico’s te elimineren of beperken.
Tenslotte moeten alle VZW’s een ‘register van verwerkingsactiviteiten’ bijhouden. In dat register houdt u volgende zaken bij : het doel van de verwerking, een omschrijving van de categorieën van gegevens en hun verstrekkers; de ontvangers die inzicht krijgen in bepaalde gegevens; een omschrijving van de veiligheidsmaatregelen die de verantwoordelijke nam; indien mogelijk de tijdslimiet voor het wissen van de gegevens. De verordening voorziet een uitzondering voor ondernemingen met minder dan 250 werknemers, maar de uitzondering geldt niet voor gevoelige gegevens zoals medische gegevens, ras, afkomst, etc... Dat zijn precies de gegevens die VZW’s zeker in de sportwereld verwerken waardoor zo’n register toch vereist blijft.
Informatie aan betrokkenen
De verordening verplicht de VZW om in de toekomst te voorzien in een ‘privacy policy’ en een ‘privacy statement’. Deze zal een groot aantal verplichte vermeldingen dienen te bevatten, zoals opgesomd in artikel 13.
Zo dient in deze Privacy Policy ondermeer te worden aangegeven welke de rechtsgrond is voor de verwerking, de verwerkingsdoeleinden, de periode gedurende dewelke de gegevens worden bewaard, .... Die policy is het uithangbord naar de buitenwereld en het is dus van groot belang dat hierin géén fouten worden gemaakt. Enkel op die manier kan worden vermeden dat op een gegeven ogenblik klachten en controles te verwachten zijn.
Specifieke aandachtspunten
Belangrijk is te noteren dat VZW’s heel vaak over gevoelige gegevens beschikken. Daarbij dient in het achterhoofd te worden gehouden dat de GDPR voorziet in een bijzonder beschermingsregime voor deze gevoelige gegevens en de verantwoordelijke dus extra maatregelen zal moeten nemen om deze te beveiligen aan de hand van technische en organisatorische maatregelen.
Verder voorziet men in de mogelijkheid voor sectorverenigingen (in ons geval NELOS) om gedragscodes op te stellen teneinde de toepassing op een specifieke sector nader toe te lichten. Die codes zijn dan bindend voor de leden van de vereniging of federatie en creëren een vermoeden van conformiteit met de verordening voor de erin vervatte materies. Voor de duiksport inspireren en conformeren we ons alvast aan de richtlijnen zoals die ons door NELOS ter beschikking worden gesteld.