Je bent hier:

Nog vragen? Contacteer ons op 09 245 45 86 of stuur een mailtje naar privacy@fosopenscouting.be.

Moeten we onze privacy altijd volledig delen?

Nee dat hoeft niet. Je privacyverklaring dient wel vlot te raadplegen zijn. Je mag dus perfect vanop de eigen website of documenten verwijzen naar privacy.fosopenscouting.be.

Het is wel aan te raden om net iets meer neer te schrijven dan enkel dit linkje. Probeer waar mogelijk toch heel beknopt mee te delen waarom je net die informatie opvraagt.

Je kan bijvoorbeeld ook in september één exemplaar van de privacyverklaring aan de inschrijvingstafel ter inzage leggen.

 

Moeten we onze privacyverklaring laten goedkeuren door onze leden?

Nee, dit is een veel voorkomend misverstand. In je privacyverklaring verklaar jij als organisatie aan je leden hoe je met hun persoonsgegevens om gaat. Dit valt gewoon onder je informatieplicht.

Enkel als je expliciet een onderlinge toestemming nodig hebt als wettelijke grond om bepaalde gegevens te mogen verwerken (vb. nemen en delen van portretfoto’s) dien je voor deze verwerking een actieve toestemming te vragen.

 

Zijn we echt verplicht om de medische fiche na afloop van het kamp te vernietigen?

Ja, dat moet. Daarom niet meteen, maar je moet ze wel kort daarna vernietigen (of terugbezorgen aan de ouders van je leden).

Je kan bijvoorbeeld nog even wachten met deze documenten te vernietigen als je vreest voor disputen over de aan hun kind toebedeelde (medische) zorgen. Op deze manier kan je achteraf nog aantonen dat je wel volgens de door hen doorgespeelde informatie (op de fiches) de nodige zorgen hebt verstrekt.

Maar uiteindelijk dien je ze wel te vernietigen. Het verwerken van gezondheidsgegevens valt net als informatie over seksuele voorkeur, godsdienstige overtuiging… onder de categorie ‘gevoelige informatie’. Je mag medische fiches uitzonderlijk en tijdelijk wel raadplegen omdat deze gegevens noodzakelijk zijn om de juiste zorgen toe te dienen aan je leden.

Je bewaart ze dus zeker niet digitaal en neemt ook de nodige voorzorgsmaatregelen om deze te bewaren op een beperkt toegankelijke plek.

Sommige eenheden vragen (ook) in het begin van het scoutsjaar reeds medische fiches op. Dat mag, je mag deze fiches maximaal één jaar bewaren. Maar omwille van de vergankelijkheid van deze informatie is het beter om deze telkens voor een weekend of kamp opnieuw op te vragen en daarna te vernietigen.

Dus ook als je in het begin van het jaar medische fiches opvraagt, dan nog vraag je best nieuwe exemplaren op voor het zomerkamp. De medische toestand en de medicatie die een kind kreeg voorgeschreven kunnen immers snel veranderen.

 

De uitbater van onze kampplek vraagt een deelnemerslijst op. Mag ik die doorgeven?

Ja dat mag, dit past perfect in het kader van het lidmaatschap bij onze vereniging. De uitbater zal en mag deze gegevens ook enkel gebruiken ter registratie van de aanwezigen op zijn kampplek.

Hiernaast is het ook zo dat uitbaters vaak zelf verplicht worden om bepaalde gegevens op te vragen. Zo stelt het KB van 27 april 2007 betreffende de registratie en de controle van reizigers die verblijven in een toeristische verblijfsaccommodatie dat hun gegevens 7 jaar bewaard moeten worden. Gedurende deze periode moeten ze ter beschikking worden gehouden van de politie. Na deze periode worden ze vernietigd.

Je kan en mag een uitbater dus perfect een deelnemerslijst bezorgen met vermelding van naam, voornaam, adres en geboortedatum. Vraagt een uitbater meer identificatiegegevens op? Vraag hem/haar dan om aan te tonen op basis van welke wetsgrond hij dit doet. Mogelijks vraagt de gemeente/politie waar het verblijf gelegen is nog meer informatie op.

 

De jeugddienst vraagt elk jaar een ledenlijst op van het voorbije scoutsjaar. Mag dit?

Ja dit is doorgaans toegestaan. Vaak vraagt de jeugddienst een aantal gegevens op als bewijs om subsidies toe te kennen aan je eenheid. Hun subsidiereglement of wat ze mogen opvragen aan gegevens zou normaal goedgekeurd moeten zijn door het schepencollege of de gemeenteraad.

Heb je het gevoel dat ze toch heel wat meer gegevens opvragen dan ze volgens jou nodig hebben voor hun doel (het berekenen en/of toekennen van subsidies)? Kaart dit dan even aan bij de jeugddienst van jouw gemeente. Ook gemeenten dienen rekening te houden met het proportionaliteitsbeginsel. Misschien is hun subsidiereglement nog niet aangepast aan de in 2018 vernieuwde privacyregels en vragen ze dus meer dan het noodzakelijke op.

 

Mogen we een cloud-opslagplaats delen met alle actieve leid(st)ers, ook al staan daar excel-lijsten met ledeninformatie in?

Ja dat mag. Het hanteren van een gecentraliseerd systeem met gecontroleerd toegangsbeheer geniet zelfs de voorkeur boven het doormailen van diverse ledenlijsten. Op deze manier kan je als eenheid veel beter bewaken dat verouderde gegevens gewist worden en hoef je niet (of minder) te vrezen voor tal van oude ledenlijsten die op persoonlijke laptops van (ex-)leid(st)ers blijven rondzwerven.

Een correct toegangsbeheer is hier belangrijk. Zorg er jaarlijks in augustus/september voor dat je gestopte leid(st)ers de toegang ontzegt en nieuwe leid(st)er toevoegt en met hen de nodige afspraken maakt.

Uiteraard kan je ook nog binnen je cloud-opslagplaats(en) het toegangsbeheer beperken tot bepaalde clusters van leid(st)ers (vb. welpenleid(st)ers enkel info van de welpen) maar gezien de informatie die je daar zal stockeren vooral beperkt is tot ledenlijsten en deelnamelijsten is dit niet meteen nodig. Het maakt het mogelijks ook wat onoverzichtelijk als kleinere vrijwilligersorganisatie om dan de toegang correct te beheren. Heel gevoelige informatie die je bijvoorbeeld verzamelt op medische fiches worden immers niet digitaal verwerkt.

 

Hoe beveiligen we onze gegevens die in 'de cloud' staan?

Je doet dit door werk te maken van een correct toegangsbeheer en door regelmatig goede afspraken te maken met de leid(st)ers die toegang hebben. Welke gebruiker heeft welke rechten? Wat zijn de minimumvoorwaarden voor wachtwoorden? Wanneer maak je een deelnamelijst aan? Wie doet dit? Wanneer print je een lijst uit? Wie mag deze printen? …

Indien bijvoorbeeld gegevens uit jullie cloud gelekt zouden worden buiten jullie schuld om is dit de verantwoordelijkheid van het bedrijf die deze diensten aanbied. Net als jullie zijn bedrijven zoals Dropbox, Google, Microsoft… verplicht om te voldoen aan de privacywetgeving. Je kan er dus vanop aan dat zij al het mogelijke doen om lekken (omwille van technische fouten of gaten in hun beveiliging) tegen te gaan. Jouw taak ligt dus bij het tegengaan van lekken door menselijke fouten, de leid(st)ers dus.

 

Moeten we om onze nieuwsbrieven te mogen versturen naar (de ouders van) onze leden expliciete toestemming vragen?

Neen, dat hoeft niet indien de inhoud van je nieuwsbrieven, tijdschriftjes, mails, infoblaadjes… een logisch gevolg is van je scoutswerking. Volgens de wetgeving op de e-commerce mag je niet aan direct marketing doen. Hieronder vallen dus ook de promotionele nieuwsbrieven vervat waarbij mensen overtuigd worden om iets aan te kopen.
Binnen de context van scouting gebruik je communicatiekanalen om leden en hun ouders te informeren over de werking van jouw eenheid. We aanschouwen dit als een dienst waarop ze reeds intekenden bij het aanvragen van een lidmaatschap. Het is immers ook in hun belang dat je hen grondig informeert over de activiteiten. Dus ook al vraag je hen om een kampdeelname ‘aan te kopen’ of in te tekenen op jullie eenheids-BBQ blijft dit in hun belang, dit is een wezenlijk onderdeel van jullie scoutswerking.

Het is zelfs zo dat de wet op elektronische communicatie stelt dat bij promotie van een gelijkaardig product aan leden of klanten er geen voorafgaandelijke expliciete toestemming nodig is. Je mag dus zelfs promotie voeren voor gelijkaardige activiteiten die jullie niet zelf organiseren of niet als activiteit van de eenheid op intekenen (bijvoorbeeld individuele deelname aan de dag van de jeugdbeweging). Wees hiermee echter voorzichtig, indien verschillende ouders het signaal geven dat ze dergelijke mails storend en ongewenst vinden dien je even na te gaan of je deze wet niet te ruim interpreteert. Je dient je inhoud steeds te kunnen beargumenteren in het kader van het gerechtvaardigd belang voor de ontvanger.

 

Hoe zit dat dan met ons steuncomité?

Dat hangt er wat vanaf. Is het nog een steuncomité? Of is het een steunvzw?

In het eerste geval kan je hen – net als een oudercomité – als een entiteit actief binnen je eenheid aanschouwen. Indien dit ‘werkgroepje’ van je eenheid gegevens verwerkt neem je deze verwerkingsactiviteiten ook op in je verwerkingsregister.

In het tweede geval spreken we duidelijk over een andere rechtspersoon. En dient deze vzw zich zelf ook in orde te brengen met nieuwe privacyregels door een verwerkingsregister op te stellen, een privacyverklaring uit te werken, een contactpersoon aan te stellen, …

 

Wat doe ik als een lid vraagt om zijn of haar gegevens te wissen?

Dan kan je hier niet op ingaan, tenzij het gegevens betreft die niet noodzakelijk zijn om aan een correct ledenbeheer te doen. Indien het lid in kwestie dus lid wil blijven vormt dit lidmaatschap de ‘contractuele basis’ die je als rechtsgrond aan kan wenden om deze gegevens te verwerken. Leden dienen hierover enkel geïnformeerd te worden, ze dienen geen toestemming te geven.

Vraag je echter ook gegevens op die je niet kan verantwoorden op basis van één van de in de wet voorziene rechtsgronden (‘contractuele basis’, ‘gerechtvaardigd belang’, ‘vitaal belang’, …) waarvoor geen toestemming is vereist dan mag een lid wel vragen om deze gegevens te schrappen. Verwerk je bijvoorbeeld het gegeven ‘haarkleur’ waarvoor je ‘ondubbelzinnige toestemming’ nodig had om dit te mogen verwerken, dan mag een lid altijd vragen om dit gegeven te wissen. Ze mogen immers altijd hun toestemming intrekken.

 

Moeten we voor alle persoonsgegevens die we al voor 25 mei beheerden toestemming vragen?

Ja en nee. Ja voor al deze gegevens waarvoor nu ook toestemming vereist zou zijn, en nee indien dit niet het geval is.

In je verwerkingsregister vul(de) je in kolom C voor alle gegevens die je opsomt in kolom B in wat de wettelijke rechtsgrond is om deze gegevens te mogen verwerken. Enkel als daar nu ‘ondubbelzinnige toestemming’ staat dien je dus ook die toestemming te hebben.
Je zal merken dat dit amper tot niet het geval is. Als ‘ledenvereniging’ zijn doorgaans andere rechtsgronden van toepassing om gegevens te mogen verwerken. Je doet dit immers in het belang van het lid en om een normale werking te kunnen garanderen.
Verzamel je echter gegevens die onnodig zijn voor je scoutswerking (zie het voorbeeld van haarkleur hierboven), dan kan het dat je toestemming hiervoor moet vragen. Ook als je naast je ledenbestand heel veel gegevens verzamelt van niet-leden zal je toestemming moeten vragen. Gegevens van ouders die zich opgeven als contactpersoon voor hun zoon/dochter reken je hier niet bij (die zitten in je ledenbestand).

Neem dus je verwerkingsregister erbij en ga na waar ‘ondubbelzinnige toestemming’ naast staat. Volgens de nieuwe regels moet je voor deze gegevens dus een actieve toestemming krijgen. Beslis zelf of je ze dan niet beter wist (is het echt nodig), of bekijk hoe je deze opnieuw zult opvragen (met actieve toestemming dit keer).

Nog vragen? Contacteer ons op 09 245 45 86 of stuur een mailtje naar privacy@fosopenscouting.be.

Niet gevonden wat je zoekt?