03.07.2017

Waarom de nieuwe Europese privacyregels (GDPR) ook van levensbelang zijn voor de non-profitorganisaties

data_privacy.jpg


Bijdrage van Bart Van den Brande, Advocaat en Partner bij Sirius Legal

Waarom de nieuwe Europese privacyregels onder de GDPR ook van levensbelang zijn voor de non-profitsector

De voorbije maanden kon u er in de pers moeilijk omheen: het Europese privacyrecht verandert vanaf volgend jaar en de nieuwe regels worden heel wat strenger dan vandaag.  Toch lijkt het voor heel wat organisaties, met name in niet internetgebonden sectoren en vooral in de non-profitsector nog erg onduidelijk wat de impact op hun organisatie is. 

Nieuwe Europese privacyregels?

Eind vorig jaar keurde de EU definitief de General Data Protection Regulation (GDPR) goed.  Deze verordening moet vanaf mei 2018 in de ganse Europese unie op uniforme wijze de regels bepalen waarmee ondernemers en organisaties rekening moeten houden als ze persoonsgegevens bewaren of gebruiken.  Die GDPR vervangt de nationale wetgeving van de lidstaten, die meestal dateert uit de vroege jaren negentig en dus al lang niet meer aangepast is aan de digitale realiteit van de eenentwintigste eeuw.

Waarover gaat die GDPR dan?

De economie van de eenentwintigste eeuw draait op data.  Klantgegevens, marketingdatabases met profielen van potentiële klanten (of bv. donateurs), "big data" zijn voor heel wat ondernemers en organisaties de kern van hun activiteit geworden.  Het gevolg daarvan is dat er een wildgroei is aan applicaties en toepassingen om met die data om te gaan en daarbij wordt al te vaak het belang van de burger of consument uit het oog verloren. 

Om de "data-economie" in goede banen te leiden heeft de EU deze General Data Protection Regulation in het leven geroepen. 

De verordening valt uit elkaar in een aantal onderdelen, waarvan er twee van rechtstreeks belang zijn voor zowat alle ondernemers en organisaties, ongeacht de vraag of zij voornamelijk online actief zijn of bv eerder in klassieke offline activiteiten. 

Een eerste reeks regels bepaalt hoe persoonsgegevens verzameld mogen worden.  Hierin wordt onder meer geregeld wanneer een opt-in nodig is, hoe minderjarigen beschermd worden en hoe gegevens doorgegeven mogen worden aan derden.  Ook strenge regels rond profiling van klanten of prospects zijn hierin voorzien.  Veel van deze regels bestonden vroeger al, maar worden vanaf 2018 duidelijk veel strenger.

Een tweede reeks regels is echt nieuw.  Die gaan over de interne processen en organisatie.  Zo wordt een verplichting opgelegd voor elke organisatie om een "privacy impact assessment" te maken, een soort van veiligheidsaudit waarin organisatie moeten onderzoeken hoe ze met data omgaan en welke risico's op verlies of diefstal van hun data zij lopen.  Op basis daarvan moet een actieplan opgezet worden om die risico's weg te nemen.  Voor heel wat organisaties komt daar de verplichting bij om een "Data Protection Officer" in dienst te nemen, een soort van preventieadviseur voor privacy.  Dat kan overigens een externe consultant zijn die enkele uren per week of maand beschikbaar is. 

De verordening brengt nog heel wat andere nieuwigheden met zich mee, zoals bijvoorbeeld een meldplicht bij datalekken: als gegevens verloren gaan of gestolen worden moeten de overheid én de betrokken personen binnen 72 uur verwittigd worden.

Geldt dit allemaal ook voor mij als Stichting of vereniging?

Wat daarbij echter belangrijk is om te weten is dat de EU deze nieuwe regels niet beperkt heeft tot grote commerciële internetspelers.  Men heeft er integendeel bewust voor gekozen om de nieuwe regels te laten gelden voor iedereen die data verwerkt (met uitzondering van individuele personen die voor louter privégebruik contacten bijhouden, vanzelfsprekend).  Dat betekent dat de nieuwe regels ook zullen gelden voor middelgrote en kleine ondernemingen en -belangrijker voor u- ook voor stichtingen en verenigingen, zelfs als die geen enkel winstdoel nastreven of geen enkele commerciële  oogmerken hebben.

Aangezien de verordening geen onderscheid maakt tussen grote en kleine bedrijven of tussen ondernemingen met een winstoogmerk of stichtingen en verenigingen, moet ook in de non-profitsector élke stichting en élke vereniging zich wel degelijk tegen mei 2018 in op orde brengen.  Ongetwijfeld beheert uw organisatie gegevens over leden, donateurs, cliënten, personeel, vrijwilligers, bestuursleden, .... De opdracht hier is zelfs in veel gevallen nog wat moeilijker dan voor commerciële organisaties omdat in de non-profitsector zeer vaak gegevens verzameld en verwerkt worden die door de verordening als "gevoelige gegevens" beschouwd worden en om die reden extra bescherming vereisen.  Het gaat bijvoorbeeld om medische gegevens, politieke voorkeur, seksuele voorkeur, ras, geloofsovertuiging, afkomst, lidmaatschap van vakbonden, etc...

Wat moet er precies gebeuren in voorbereiding op de GDPR?

In de eerste plaats is het belangrijk om te weten dat mei 2018 een einddatum is.  De verordening gaat dan in werking en er is géén overgangstermijn voorzien om zaken op orde te stellen.  Vanaf mei 2018 kunnen organisaties dus (bijzonder hoge) boetes oplopen.  Bovendien zullen zij vanaf dan, en wellicht al vroeger, steeds vaker van partners en toeleverancier te horen krijgen dat zij moeten aantonen dat ze "GDPR compliant" zijn.  Eén van de verplichtingen onder de nieuwe verordening is immers precies om enkel te werken met "veilige" bedrijven en om altijd en overal geschreven contracten met de nodige garanties te voorzien. Het is dus erg belangrijk om tijdig aan de slag te gaan.

Organisaties moeten bovendien vanaf volgend jaar rekening houden met de verplichting om een dataregister bij te houden, met een nieuwe meldplicht bij datalekken, met de noodzaak om een Data Protection Officer aan te stellen indien zij aan de voorwaarden daarvoor voldoen, ...

Wat precies nodig is, hangt af van organisatie tot organisatie.  In grote lijnen komt het erop neer dat een privacy audit en een zogenaamde "Data Protection Impact Assessment" vereist zijn, waarbij in kaart gebracht wordt welke data gebruikt wordt binnen de organisatie, waar die vandaan komt, wie er toegang toe heeft, welke partners of onderaannemers (bv online marketing organisatie, data hosting bedrijf, overheid, andere organisaties) die gegevens in handen krijgen, etc... om op die manier tot een inschatting van veiligheidsrisico's te komen. 

Op basis daarvan kan met aan de slag voor het doorvoeren van de nodige aanpassingen op drie niveaus: het voorzien van bijkomende technische beveiliging waar nodig, het aanpassen van processen binnen de organisatie en het aanpassen van contracten met leveranciers, arbeidsovereenkomsten, arbeidsreglementen, toegang van vrijwilligers tot informatie, "bring your own device policies" etc...

Bovendien zijn er in heel wat organisaties ernstige bijsturingen nodig van de wijze waarop data verzameld en bijgehouden worden.  Er zijn immers aanzienlijk strengere regels rond opt-ins, informatie aan de betrokkenen, omgaan met gegevens van minderjarigen, doorgifte aan derden, ...

Voor heel wat organisaties brengt dit aardig wat meer werk met zich mee dat ze initieel verwacht hadden.  Tijdig starten is dus de boodschap.   

Een aantal gespecialiseerde advocatenkantoren of IT-consultants kunnen u zeker tijdig op weg helpen.  Vanzelfsprekend kan u hiervoor terecht bij Sirius Legal. 

Bezoek de privacypagina's op de website www.siriuslegal.be of contacteer vrijblijvend info@siriuslegal.be voor meer info. Sirius Legal werkt ook in Nederland, met een Nederlandse advocaat in dienstverlening, en met lokale partners.

 

Nota: TechSoup Nederland onderzoekt momenteel hoe de aangesloten stichtingen en verenigingen de juiste tools en ondersteuning kan aanbieden om ze op weg te helpen om zich conform te maken.