GDPR: Nieuwe Europese regelgeving voor gegevensbescherming: wij allen moeten aan de slag

Geschreven in de categorie Vlaanderen

Vanaf 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in voege. Die algemene verordening over gegevensbescherming (AVG) versterkt het recht van Europese burgers om hun persoonsgegevens te controleren. Ze legt ook uniforme regels op waarmee ondernemingen en organisaties rekening moeten houden als ze persoonsgegevens bewaren of gebruiken.

Waarover gaat die GDPR?

De verordening valt uiteen in een aantal onderdelen, waarvan er twee van rechtstreeks belang zijn voor zowat alle ondernemingen en organisaties, ongeacht zij voornamelijk online actief (bv. via de nieuwsbrief of via e-mail) zijn of eerder klassieke offline (bv. via MS-Link of via briefwisseling) activiteiten organiseren.

Een eerste reeks regels bepaalt hoe persoonsgegevens verzameld mogen worden. Hierin wordt onder meer geregeld wanneer een opt-in nodig is (= akkoord gaan met gebruik van je gegevens), hoe minderjarigen beschermd worden en hoe gegevens doorgegeven mogen worden aan derden. Ook strenge regels rond profiling van klanten (bij ons: personen met MS, schenkers) of contacten (bvb. de sponsors) zijn hierin voorzien. Veel van deze regels bestonden vroeger al, maar worden vanaf  mei 2018 veel strenger.

Een tweede reeks regels is nieuw. Die gaan over de interne processen en organisatie. Zo wordt elke organisatie verplicht om een privacy impact assessment te maken, een soort van veiligheidsaudit waarin de organisatie moet onderzoeken hoe ze met persoonsgegevens (intern en via uitwisseling) omgaat en welke risico's op verlies of diefstal er zijn. Op basis daarvan moet een actieplan opgezet worden om die risico's weg te nemen. Voor heel wat organisaties komt daar de verplichting bij om een data protection officer (DPO) aan te stellen, een soort van preventieadviseur voor privacy. Dat geldt ook voor ons in de MS-Liga en wordt centraal georganiseerd.

De verordening brengt nog heel wat andere nieuwigheden met zich mee, zoals bijvoorbeeld een meldplicht bij datalekken. Als gegevens verloren gaan of gestolen worden moeten de overheid én de betrokken personen binnen 72 uur verwittigd worden. Ook dat is onze zorg.

Geldt dit allemaal ook voor onze eigen MS-vereniging?

De nieuwe regels zijn niet beperkt tot grote commerciële spelers of overheden. Men heeft er integendeel bewust voor gekozen om de nieuwe regels te laten gelden voor iedereen die persoonsgegevens verwerkt (met uitzondering van individuele personen die voor louter privégebruik contacten bijhouden. Dat betekent dat de nieuwe regels ook zullen gelden voor vzw’s en zelfs feitelijke verenigingen, ook als die geen enkel winstdoel nastreven of geen enkele commerciële ingesteldheid hebben.

Doordat de verordening geen onderscheid maakt tussen grote en kleine bedrijven of tussen ondernemingen met een winstoogmerk of vzw’s en verenigingen, moet ook in de non-profitsector élke vzw en élke andere vereniging zich tegen 25 mei 2018 in regel stellen.

Ongetwijfeld verzamelen en gebruiken we gegevens over leden, schenkers van giften, contacten, personeel, vrijwilligers, bestuursleden, enz. De opdracht hier is zelfs nog wat moeilijker dan voor commerciële organisaties. Zelfhulpgroepen en patiëntenverenigingen verzamelen en verwerken immers vaak gegevens die door de verordening als "gevoelige gegevens" beschouwd worden en om die reden extra bescherming vereisen. Het loutere feit dat iemand lid is van een vereniging (lees de MS-Liga), zegt bijvoorbeeld meteen iets over het “gevoelige gegeven” gezondheid. Als mensen op de ene of andere online of papieren bevraging georganiseerd bijvoorbeeld antwoorden hoe groot het deel van hun loon is dat ze maandelijks aan professionele ondersteuning uitgeven, dan zegt dat iets over het gevoelige gegeven “financiën”. Andere “gevoelige gegevens” hebben onder andere betrekking op politieke voorkeur, seksuele voorkeur, ras, geloofsovertuiging, afkomst, lidmaatschap van vakbonden, …

Wat moet er door ons gebeuren?

In de eerste plaats is het belangrijk om te weten dat 25 mei 2018 een einddatum is. De verordening gaat dan in werking en er is géén overgangstermijn voorzien om ons nog in regel te stellen. Vanaf dan kunnen organisaties (bijzonder hoge) boetes oplopen. Bovendien zullen wij vanaf dan, en wellicht al vroeger, soms van samenwerkingspartners te horen krijgen dat wij moeten aantonen dat we GDPR compliant (= AVG-conform) zijn. Eén van de verplichtingen onder de nieuwe verordening is immers precies om enkel te werken met "veilige" bedrijven of organisaties en om geschreven overeenkomsten met de nodige garanties te voorzien. Dit laatste is een verplichting voor onze centrale administratie, maar kan pas opgesteld worden als we van u als vrijwilliger en/of persoon met MS die gegevens bijhoudt, met bewijzen kunnen aantonen dat we de opgelegde regels volgen. Als we dat niet kunnen bewijzen dan valt die samenwerking weg en lopen we tegelijk ook risico’s op boetes.

Organisaties en verenigingen moeten bovendien vanaf dan rekening houden met de verplichting om een dataregister bij te houden, met een nieuwe meldplicht bij datalekken, met de noodzaak om een data protection officer aan te stellen indien zij aan de voorwaarden daarvoor voldoen, enz.

Wat betekent dat nu precies voor de vrijwilligers?

In grote lijnen komt het erop neer dat een privacy audit en een zogenaamde data protection impact assessment vereist zijn. Concreet wordt in kaart gebracht welke persoonsgegevens we allen samen binnen de organisatie gebruiken, waar die vandaan komen, wie er toegang toe heeft, wie of welke partners die gegevens in handen krijgen, hoe (veilig) ze bewaard worden enz. om zo een inschatting van veiligheidsrisico's te maken.

Op basis daarvan gaan we aan de slag voor het doorvoeren van de nodige aanpassingen :

  • het voorzien van bijkomende technische beveiliging waar nodig;
  • het aanpassen van processen binnen de organisatie;
  • het opstellen van mededelingen aan en afspraken met vrijwilligers die gegevens bewaren en/of uitwisselen, contacten hebben met en uitwisseling hebben met derden, personen met MS die gegevens bewaren en/of uitwisselen, enz.

Er zijn ook nog bijsturingen nodig van de manier waarop persoonsgegevens verzameld en bijgehouden worden. Er zijn immers aanzienlijk strengere regels rond opt-ins (= toestemmingen om gegevens te mogen gebruiken), informatie aan de betrokkenen, omgaan met gegevens van minderjarigen en patiëntgegevens, doorgifte aan derden, ... In dat laatste verband zijn er heel wat stappen te organiseren aangezien gegevens uitgewisseld worden met ziekenhuizen en revalidatiecentra. Dat kan voortaan niet zonder geschreven akkoord van de personen met MS , nl. via een informed consent of geschreven toestemming die centraal bewaard moet worden.

Met deze eerste mededeling (met dank aan Trefpunt Zelfhulp) zetten we de eerste stap in het voorziene stappenplan dat door de Raad van bestuur van de MS-Liga goedgekeurd werd: bewustmaking. Daarna volgen de concrete stappen gevat in het hierna volgende stappenplan.

Dank alvast voor de aandacht die u aan deze info besteedt. U kan voor vragen steeds terecht bij Luc De Groote (directeur@ms-vlaanderen.be).

Stappenplan

  • Bewustmaking personeel, vrijwilligers, PmMS: januari – mei. Gebeurt stapsgewijs met elektronische nieuwsbieven, via MS-Link en de site.
  • Samenstellen van het gegevensregister vrijwilligers, PmMS, personeel: januari – maart. Opvragen wie/wat bewaart en hoe (veilig) en wat ermee gebeurt. Verder ook hoe je aan je gegevens komt.
  • Beheer en governance (oa. privacyverklaring, geschreven toestemmingen) voor PmMS, personeel: februari-maart
  • Risico-inschattingen (impact assessment) en beheer risico’s: april. Door centrale administratie
  • Rechten van alle gebruikers: mei. Info aan allen die gegevens opslaan. Door centrale administratie
  • Verplichtingen centrale administratie en maatschappelijke werkers ten aanzien van derden/organisaties (ziekenhuizen, datacenter…): januari- april

Verklarende woordenlijst

Wat wordt er bedoeld met persoonsgegevens?

Onder persoonsgegevens verstaat men elke vorm van informatie die rechtstreeks of onrechtstreeks naar een natuurlijke persoon kan leiden. Het begrip “persoonsgegeven” is dus zeer breed. Er wordt ook geen onderscheid gemaakt tussen vertrouwelijke/publiek toegankelijke en professionele/niet professionele informatie.

Bijvoorbeeld: een gebruikersnaam, een naam, een foto, een nummer van de sociale zekerheid, een intern registratienummer, een nummerplaat, een postadres, een telefoonnummer, locatiegegevens, een online gebruikersnaam (zoals een IP adres of een alias), een klankopname, … Let op, indien het koppelen van verschillende informatie (leeftijd, geslacht, stad, diploma, enz.) of het gebruik van verschillende technische middelen tot één persoon leidt (singling out), worden de gegevens nog als persoonsgegevens beschouwd.

De nieuwe Europese privacywetgeving is niet van toepassing op de gegevens van overleden personen. De lidstaten mogen hierover desgewenst wel nog specifieke regels vaststellen.

Verwerkingsverantwoordelijke

De organisatie die het doel en de middelen van de verwerking van persoonsgegevens vaststelt. Is dus de MS-Liga juridisch vertegenwoordigd door de leden van de Raad van Bestuur.

Verwerker

Een externe partij die in opdracht van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt. Bijvoorbeeld de drukker van het verenigingstijdschrift die meteen de adressen drukt, de firma die de website host. Maar ook het personeelslid of de vrijwilliger die een ledenbestand krijgt om een activiteit te organiseren.

Betrokkene

De geïdentificeerde of identificeerbare natuurlijke persoon, bijvoorbeeld de leden, abonnees, patiënten, maar ook schenkers, vrijwilligers of contacten (bvb. sponsors)

Gegevens over gezondheid

Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een betrokkene. Gegevens over gezondheid zijn bijzondere persoonsgegevens. Aan de verwerking hiervan stelt de AVG strengere eisen. Dit geldt dus ook voor de MS-Liga. Is belangrijk voor database van maatschappelijke werkers en de uitwisseling met derden (bvb. ziekenhuizen)

Opt-in

De uitdrukkelijke keuze om iets toe te staan. De standaardoptie is weigering. Bijvoorbeeld op een website expliciet moeten aanvinken dat men op de hoogte wenst gehouden te worden via e-mail. Niet aanvinken is weigeren. Het e-mailadres kan dan ook niet bijgehouden worden.

Profiling

Het methodisch opstellen van profielen om vervolgens gerichte acties aan te koppelen. Bijvoorbeeld op basis van bepaalde gegevens in een ledenlijst, vrouwen jonger dan 25 uit Antwerpen met MS, schenkers ouder dan 65, gericht contacteren voor een bewegingsactiviteit

Data protection officer (DPO)

Functionaris voor gegevensbescherming. De centrale administratie stelt daarvoor iemand aan 

Privacy impact assessment (DPIA)

Gegevensbeschermingseffectbeoordeling (GEB). Gebeurt door de centrale administratie op basis van de informatie die verzameld wordt inzake opslag en beheer van persoonsgegevens door vrijwilligers en personeel. Meer bepaald wordt ingeschat wat de risico’s zijn en hoe we ze (beter) kunnen beheren. Verder ook wat er moet gebeuren bij datalekken. Daarvoor komen instructies. 

Naar het nieuwsoverzicht

Steun ons

U kan de MS-Liga Vlaanderen o.a. steunen door een onlineschenking.

Voor giften vanaf 40 euro ontvangt u van ons een fiscaal attest.

Hoe steunen

Vragen?

Aarzel niet om ons te contacteren.

Facebook