De General Data Protection Regulation, ofwel Algemene Verordening Gegevensbescherming, is een geheel van Europese regels om de burger te beschermen rond gebruik van persoonsgegevens.

De nieuwe GDPR wetgeving treedt in voege vanaf 25 mei 2018. Vanaf dan moet je bij een controle of betwisting actief kunnen aantonen dat je volgens de nieuwe wetgeving handelt.

Het is geen ramp als je op 25 mei 2018 nog niet volledig in regel bent met GDPR, maar het is wel belangrijk dat je er mee bezig bent en dit zo snel als mogelijk in orde brengt.

Een korte toelichting over GDPR werd gegeven tijdens de algemene ledenvergadering van het VVS in 2018. We hebben toen gezegd dat we de VVS clubs gingen ondersteunen in het GDPR verhaal. Ondertussen is er veel water naar de zee gestroomd en hebben we een eerste versie van 2 noodzakelijke documenten klaar. Deze documenten zijn templates en dienen door jullie te worden vervolledigd en gevalideerd. Je vind deze document onder downloads / GDPR documenten (wel eerst inloggen op de VVS website want deze documenten zijn enkel beschikbaar voor de club bestuurders, met een login).

Meer gedetailleerde informatie over GDPR vind je in de bijgevoegde documenten Scwitch_GDPR_Info.pdf en DynamoProject_GDPR_Info.pdf. Neem deze zeker eens door.
In deze leidraad verwijzen we enkel naar het document Scwitch_GDPR_Info.pdf.
In het document van DynamoProject vind je ook de definities terug van aan aantal begrippen binnen GDPR. 

Disclaimer

Als club zijn jullie verantwoordelijk voor de persoonsgegevens die jullie verwerken. Het is jullie taak om zich in regel te stellen met GDPR. Het Verbond van Vlaamse Speleologen vzw kan niet aansprakelijk worden gesteld als een VVS club niet in regel is met GDPR.

Hoe maak je je club compliant met GDPR?

In het document Scwitch_GDPR_Info.pdf vind je een stappenplan om GDPR compliant te worden. Maar we hebben voor jullie al het een en ander voorgekauwd.

1. Bewustmaking

Normaal zou deze stap al voltooid moeten zijn en zouden jullie zich bewust moeten zijn van wat GDPR inhoud. Zo niet, dan wordt het hoge tijd om hier werk van te maken...

2. Inventaris en analyse gebruikte gegevens

Als je als club enkel de persoonsgegevens gebruikt die vermeld zijn in het bijgevoegde register verwerkingsactiviteiten (Template_GDPR_Register_Clubs.xlsx), dan heb je niet veel werk.

Bekijk dus of je nog meer gegevens verzameld dan vermeld in het bijgevoegde register en/of voor andere doeleinden (bv. aansluiten lid bij een andere federatie). Voor activiteiten zal dit zeker het geval zijn.

Verzamel je nog andere gegevens of voor andere doeleinden, dan dien je zelf nog een inventaris en analyse van deze gegevens te maken. De nodige info hierover vind je in het document Scwitch_GDPR_Info.pdf.

3. Opmaak register verwerkingsactiviteiten

Heb je reeds je eigen verwerkingsregister aangemaakt, controleer dan of je alle gegevens die vermeld staan onder ledenadministratie, aanvragen initiaties en aanvragen gastverzekeringen in onze template mee opgenomen hebt in je eigen verwerkingsregister. Controleer hier ook zeker de bewaartijd. Deze gegevens zijn noodzakelijk voor de samenwerking met het VVS.

Zo niet, het MS Excel bestand Template_GDPR_Register_Clubs.xlsx is een goede basis om mee te starten voor de VVS clubs.

Hierbij een korte toelichting/leidraad om het register van jouw club te vervolledigen.

Op elke blad kan je in de linkerbovenhoek het logo van jouw club plaatsen.

Organisatie (blad organisatie)

Vul hier de gegevens van jouw organisatie en GDPR/Privacy verantwoordelijke is.

Heb je meerder contactpersonen voor bepaalde verwerkingsdoeleinden, dan kan je die ook hier vermelden.

Ledenadministratie (blad Verwerkingsactiviteiten_doeleinden)

Al de vermelde gegevens van de leden worden bijgehouden door het VVS. Je kan hier dus geen gegevens uit schrappen.

Er zijn 2 doeleinden die je misschien wel kan schrappen of die je zeker een tegen het licht moet houden (gemarkeerd in het blauw):

  • Delen contactgegevens onder club leden: doe je dit, dan heb je van elke lid een expliciete toestemming* nodig om de gegevens te verspreiden onder jullie leden. Bekijk ook of de aangeduide gegevens door jullie gedeeld worden en pas dit aan in het register.
  • Subsidie aanvraag / erkenning sportclub door gemeente: ben je als club geregistreerd bij je gemeente om bv. subsidies te trekken, bekijk dan welke gegevens van je leden je dient door te geven aan jouw gemeente in het kader van je subsidieaanvraag/erkenning. Pas jullie register aan naar jullie situatie.

De blauwe markeringen in het document mag je teniet doen.

* expliciete toestemming: de toestemming moet actief gegeven worden. Dit betekent dat de betrokken persoon moet schrijven dat hij toestemming geeft of een vinkje o.d. op een formulier moet aankruisen om toestemming te geven.

Aanvragen initiaties / afsluiten van gastverzekeringen (blad Verwerkingsactiviteiten_doeleinden)

Deze 2 blokken zijn hoogstwaarschijnlijk volledig voor jullie. Het blok aanvragen initiaties speleologie is van toepassing op aanvragen die jullie rechtstreeks binnenkrijgen evenals voor de aanvragen die via het VVS naar jullie worden gestuurd.

Organisatie van activiteiten (blad Verwerkingsactiviteiten_doeleinden)

Buiten naam en contactgegevens van de deelnemer staan hier nog niet veel gegevens vermeld.

Deze lijst van gegevens dien je aan te vullen met alle info die je nodig hebt om een clubactiviteit te kunnen organiseren (vraag dus niet meer dan wat je echt nodig hebt). Ook de keuze voor een vegetarische maaltijd en/of allergieën vallen onder GDPR en dien je te vermelden.

Opslag locatie / Beveiligingsmaatregelen (blad Verwerkingsactiviteiten_doeleinden)

Noteer waar al de vermelde data bewaard wordt (bv. PC van bestuurders) en welke maatregelen je hebt getroffen om al de persoonsgegevens te beveiligen tegen een datalek (ongehoorde toegang). Ook de backup methode van de data mag je hier vermelden.

Alles wat je hier schrijft, dien je ook effectief te realiseren. Tips rond veilig PC en internet gebruik van je bv. op de website van Safe on Web.

Betrokken partijen (blad Betrokken partijen)

Op dit blad kan je oplijsten met wie je je persoonsgegevens allemaal deelt en de rol van die partij.

4. Verwerking persoonsgegevens van -16 jarigen

Voor de verwerking van persoonsgegevens van kinderen/jongeren heb je toestemming nodig van de ouders. Meer informatie hierover vind je in het document Scwitch_GDPR_Info.pdf (p. 16).

5. Privacyverklaring

Hiervoor kan en mag je gebruikmaken van de template Template_Privacyverklaring_Clubs.docx. Heb je reeds een eigen privacyverklaring opgesteld, controleer dan zeker of je alle zaken over ledenadministratie, aanvragen van initiaties en afsluiten van gastverzekeringen hebt vermeld in je eigen privacyverklaring. Verwijs hier ook zeker naar de privacyverklaring van het VVS (https://www.speleovvs.be/index.php/nl/het-vvs-en-diensten/gdpr-privacy/privacyverklaring) Dit is noodzakelijk voor de samenwerking met het VVS.

De blauw gemarkeerde zaken dien je aan te vullen / te herbekijken.

Voor elke aanpassing die je aan het register hebt gedaan, dien je deze aanpassing ook door te trekken naar je privacyverklaring.

Lees deze privacyverklaring nog eens kritisch na alvorens je deze binnen je clubbestuur (RvB) goedkeurd.

Opmerkingen/aanvullen mag je steeds doorsturen naar Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Jullie privacyverklaring dien je te verspreiden naar alle betrokken personen waarvan je persoonsgegevens verwerkt.

Voor het verspreiden van jouw privacyverklaring kan je bv. je website gebruiken. Het voordeel hiervan is dat je er dan enkel naar moet verwijzen als je gegevens van een "nieuw" persoon wenst op te vragen.

6. Overeenkomsten met partners

Zie document Scwitch_GDPR_Info.pdf (p. 13) voor meer informatie hierover. Later zullen we vanuit het VVS hier meer informatie over geven.

Voor het VVS zijn de clubs verwerker van de persoonsgegevens van de leden en aanvragers van initiaties. Vanuit het VVS zullen we met de clubs hiervoor een verwerkingscontract afsluiten.

7. Rechten van betrokkenen

Bekijk hoe je de rechten van de betrokken (personen waarvan je persoonsgegevens verwerkt) kan nakomen. Meer informatie hierover vind je in het document Scwitch_GDPR_Info.pdf (p. 7).

Vanuit het VVS ondersteunen we de mogelijkheid om alle gegevens van een lid door te geven naar een andere club. Contacteer daarvoor het VVS secretariaat via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

8. Melden van datalekken

Bereid je voor om een datalek te kunnen melden en afhandelen. Meer informatie hierover vind je in het document Scwitch_GDPR_Info.pdf (p. 18).

Meer informatie en ondersteuning

Vanuit het VVS geven we ondersteuning voor zaken die voor de VVS clubs noodzakelijk zijn. Je kan je vraag stellen via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Op de volgende websites vind je extra informatie: