Het zal niemand ontgaan zijn dat de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018 ingaat. Deze nieuwe privacywet geeft personen meer privacyrechten en organisaties meer verantwoordelijkheden. De AVG bevat regels voor het verwerken van persoonsgegevens en vervangt de huidige privacywetgeving. Elke organisatie – dus ook de evenementenbranche – die persoonsgegevens verwerkt, valt onder de werking van de AVG. Deze nieuwe Europese wet dwingt organisatoren tot meer actie en maatregelen indien deze gegevens over bezoekers, deelnemers, klanten, personeel of andere personen vastleggen.

De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de privacywet. Na 25 mei 2018 kan iedereen organisaties aanspreken op de naleving van de AVG. Wie niet aan de regels van de verordening voldoet, riskeert een claim (tevens een maximale boete) van €20 miljoen, of 4 procent van de jaarlijkse (wereldwijde) omzet.

Met het oog hierop heeft de VVEM eerder dit jaar de workshop ‘Privacy rond evenementen, hoe werkt dat?’ georganiseerd. Deze goedbezochte avond gaf de deelnemers inzicht in de materie. Tevens kregen bezoekers sterke handvatten hoe als organisator met de AVG om te gaan. Advocaat Marijn Kingma legde onder meer de focus op het begrip toestemming. Organisaties dienen transparant te zijn over de gegevens die zij vastleggen (van zowel bezoekers als medewerkers) en waarom. De gegevens die een organisatie noodzakelijkerwijs nodig heeft om een evenement te kunnen organiseren, mogen zonder toestemming worden verzameld. Voor het toesturen van nieuwsbrieven of het vastleggen van (privacy)gevoelige gegevens is doorgaans wel toestemming nodig. Het moet voor de toestemminggever helder zijn waarvoor exact toestemming wordt gegeven, wat er met de gegevens gebeurt (en hoe lang) en deze toestemming moet te allen tijde ook weer in te trekken zijn.

Onderdeel van de AVG is ook een verplicht protocol ten opzichte van mogelijke datalekken. Alle beveiligingsincidenten moeten geregistreerd worden, inclusief de meldingsafwegingen die zijn gemaakt. Het protocol moet organisaties in staat stellen tijdig te voldoen aan de Meldplicht Datalekken, waarbinnen ernstige datalekken binnen 72 uur gemeld dienen te worden aan de AP.

Organisaties moeten aantonen dat:

  • de AVG wordt nageleefd;
  • op de juiste wijze toestemming is gegeven;
  • de juiste beveiligingsmaatregelen zijn getroffen.

“Kortom, nadenken over privacy en leg je beleid vast”, aldus Kingma. Om dat te bewerkstelligen is het goed om alle systemen en data te documenteren en bewaartermijnen vast te stellen. “Registreer geen gegevens die niet noodzakelijk zijn en beperk met het oog op de beveiliging de toegang tot gegevens. Informeer zowel bezoekers als medewerkers.”

Ook VVEM-lid Klap Evenementenverzekeringen heeft een lijst tips voor een goede zorgplicht gemaakt:
“Als professional in de evenementenbranche bent u verantwoordelijk voor de belangen van opdrachtgevers en richting derden. Doe dus ook alleen zaken met professionele toeleveranciers en partijen die met data van uw klanten omgaan en ga zorgvuldig om met uw klantgegevens.”

  • Check of samenwerkende partijen goed zijn verzekerd voor aansprakelijkheid en cyberrisico
  • Zorg voor een beveiligde verbinding bij het versturen van klantgegevens of inschrijfformulier
  • Vraag niet meer gegevens dan nodig
  • Leg goed uit waarom je de gegevens verzamelt
  • Bewaar de gegevens niet langer dan nodig
  • Vraag altijd toestemming voor het versturen van een nieuwsbrief
  • Zorg voor een goede bewerkersovereenkomst bij gebruik van een extern inschrijfsysteem

Wie meer wil lezen of weten kan terecht op de sites van VNO-NCW en MKB-Nederland. Deze zijn het afgelopen jaar druk bezig geweest met voorlichting en het ontwikkelen van tools om ondernemers te helpen grip te krijgen op de AVG. Nuttige links en informatie over de AVG zijn op de sites gebundeld voor ondernemers:
https://www.vno-ncw.nl/avg of https://www.mkb.nl/avg

Tags