GDPR: 7 tips om een versnelling hoger te schakelen

Anderhalf jaar. Zo lang ligt de GDPR-deadline achter ons. In de weken voor 25 mei 2018 waren de meeste socioculturele organisaties nog druk bezig met registers en privacyverklaringen.
“Dat werk is nu achter de rug, maar dat is geen reden om stil te vallen” , zegt Luk Tas, GDPR-deskundige bij Scwitch.

“Eerst en vooral wil ik benadrukken dat de sector al mooie inspanningen heeft geleverd. Zeker omdat de wetgeving rond GDPR compleet nieuw was. We komen dan ook uit een periode waarin onze mailbox ontplofte en onze telefoon roodgloeiend stond. Maar nu merken we dat GDPR en privacy wat naar de achtergrond is verdrongen. Het is niet langer top of mind bij organisaties. En dat is jammer, want die GDPR in de praktijk brengen is in de meeste gevallen nog een work in progress. Als organisaties het een beetje slim aanpakken en nog wat extra stappen zetten, dan heeft dat als resultaat dat ze een echt beleid rond databeheer opzetten, dat nog tientallen jaren mee kan.”

Waar richt je het komende half jaar dan best je GDPR-pijlen op? Luk geeft 7 concrete tips: 

1. Maak een onderscheid tussen functionele en niet-functionele cookies.

“Vaak besef je niet dat er cookies op je website staan. We raden elke organisatie aan om dit zelf na te gaan of na te vragen bij hun webmaster. In een notendop: cookies houden de gebruikersvoorkeuren van de verschillende bezoekers op je website bij. Ook pixels en andere tracking tools doen dat tegenwoordig.”

“Bezoekers in een disclaimer informeren over het feit dat die cookies er zijn is één ding, in sommige gevallen moet je in lijn met de GDPR ook uitdrukkelijk toestemming vragen voor je een cookie op het toestel van je gebruiker mag plaatsen. Dat is niet zo voor functionele cookies, die nodig zijn om de basiswerking van je site te realiseren (denk maar aan het bijhouden van taalvoorkeur, login gegevens…). Maar voor niet-functionele cookies is die expliciete, actieve toestemming dus wel nodig. Dat gaat dan vooral over trackinggegevens van Google Analytics, een Facebook like-knop…Hieronder zie je hoe ze dit in de praktijk brengen op de website van VRT NWS.”

2. Ga zorgvuldig om met foto’s en filmpjes 

“De Pano-reportage over online pedofilie heeft het nog maar eens onder de aandacht gebracht: met foto’s en filmpjes spring je online best niet te lichtzinnig om. Foto’s van activiteiten die eigenlijk enkel interessant zijn voor kleine groepen, eigen leden, deelnemers, … gooi je beter niet zomaar op het net, maar verspreid je beter via afgeschermde  pagina’s of gesloten groepen. Mediaraven zet daarover een paar mogelijkheden op een rijtje. Ook de website van Mediawijs is een aanrader wanneer het om dit thema gaat.”

“Maak je gerichte beelden van personen? Dan ben je verplicht om hen daar toestemming voor te vragen, zeker wanneer je van plan bent om de beelden in te zetten voor promotie. En wie met kwetsbare doelgroepen werkt, kan ik alleen maar aanraden om extra streng voor zichzelf te zijn.”

3. Wees voorbereid op vragen om inzage

“Meer en meer mensen beginnen de privacyregels te kennen, en dus ook hun rechten. Het is dus niet de vraag of je een vraag om inzage in persoonsgegevens gaat krijgen, maar wel wanneer. Die vragen moet je binnen een strikte termijn beantwoorden, en het antwoord moet ook een aantal specifieke zaken bevatten (o.a. aan wie gegevens allemaal werden doorgegeven). En dan heb je nog de vragen van mensen die geschrapt willen worden uit jullie bestanden en die van derden. Ik kan alleen maar aanbevelen om hier op voorhand al een procedure rond uit te werken.”

4. Hou op regelmatige basis ‘grote kuis’

“Je hebt aangegeven in je register dat je gegevens maar x aantal tijd bij zal houden. Hou je dan ook aan die belofte. Voorzie tijd om op halfjaarlijkse basis ‘grote kuis’ te houden in je mailbox en op je computer. Verwijder daarbij alles wat je niet nodig hebt. Wat je wel nog nodig hebt, hou je bij in een cloudsysteem. Dat is niet alleen handig om met alle collega’s de kennis binnen je organisatie te kunnen delen, je vermijdt er ook een helse zoektocht in diverse mailboxen en computers mee als er een vraag om inzage komt. Nadenken over digitaal archiveren wordt belangrijker dan ooit.”

5. Blijf goed informeren

“Een van de belangrijkste principes binnen GDPR blijft de informatie en transparantie rond het gebruiken persoonsgegevens bij je leden, deelnemers, vrijwilligers, achterban,…Blijf hierover goed communiceren, ook naar nieuwe mensen toe. Zorg voor duidelijke toelichting en communicatie elke keer als je organisatie nieuwe persoonsgegevens  opvraagt en verwerkt.” 

6. Maak van je intern GDPR-beleid een prioriteit

“Nu de deadline is verstreken, zien we dat veel organisaties de neiging hebben om het thema ergens naar een duister hoekje van hun vzw-verplichtingen te verwijzen. Hen moet ik jammer genoeg teleurstellen: GDPR is een blijvertje. Je blijft als organisatie gegevens verwerken, en mensen kunnen nu en in de toekomst gebruik maken van hun rechten. Wees alert en zorg voor een goede follow-up. Overweeg bijvoorbeeld om een email disclaimer te gebruiken, als er toch per toeval eens een mail naar de verkeerde persoon wordt gestuurd. Het is ook nuttig om GDPR jaarlijks op je bestuursvergaderingen te agenderen. Zo kan je nagaan waar je misschien een tandje moet bijsteken, of je beleid wat moet aanpassen. Het register is hiervoor een handige leidraad”

7. Tot slot: overweeg een opvolgsessie

“Als je deze tips consequent toepast, zet je als organisatie al reuzensprongen vooruit. Toch nog nood aan verdere ondersteuning? Dan is het nuttig om te weten dat we in het voorjaar van 2020 opvolgsessies rond GDPR aanbieden. Samen met Emmanuel Steyaert, onze vaste externe GDPR expert, buigen we ons dan over de concrete uitwerking van bovenstaande topics op maat van jouw deelsector. Wie daar interesse in heeft, mag me altijd mailen.”

© Luk Tas

Reacties