Je bent officieel persoonsgegevens aan het verwerken wanneer je events organiseert en je bezoekers vraagt zich te registreren. Vanaf dat moment heb je wettelijk gezien bepaalde verantwoordelijkheden omtrent veiligheid en privacy. Waar moet je als event organisator rekening mee houden en hoe help je IT’ers grip te krijgen op event data? Kom erachter aan de hand van 5 tips!
Wat is een datalek?
Als event manager verzamel, verwerk en gebruik je doorlopend persoonsgegevens. Ga maar na: Hoeveel registratielijsten heb je op je computer staan? Hoe goed zijn die gegevens beveiligd? Deel je deze lijsten met leveranciers, bureaus, registratie- of softwarepartners?
Wanneer een 3e partij onrechtmatig toegang heeft gekregen tot deze gegevens spreek je van een datalek. Voorbeelden zijn: een zoekgeraakte USB-stick, inbraak door een hacker of een malware-besmetting. Stem daarom je beleid goed af met alle betrokkenen: de meeste datalekken worden immers veroorzaakt door menselijke fouten.
Vanaf 2018 is een Europese verordening van toepassing die bestuurders (directie) van een organisatie aansprakelijk kan stellen voor dergelijke lekken. Kortom: als er iets met de data gebeurt, is dat niet alleen vervelend voor je klanten, maar hangt je organisatie ook een (hoge) boete boven het hoofd.
“Zonder goede bewustwording kun je niet voldoen aan privacywetgeving. Zorg daarom altijd dat je weet waarom je welke persoonsgegevens verwerkt.” - Juridisch adviesbureau ICTRecht
Bewaren persoonsgegevens: binnen of buiten de EU?
Het is belangrijk om te weten waar de persoonsgegevens worden opgeslagen: binnen of buiten de Europese Unie? De EU heeft strenge privacyregels waardoor de privacy van jouw data gewaarborgd blijft.
De VS daarentegen hanteert soepelere regels, waardoor de Amerikaanse overheid op eenvoudige wijze toegang tot je data heeft. Dit is niet altijd gewenst; ga dus na of het betreffende bedrijf gevestigd is in de Verenigde Staten en verdiep je in hun policy.
Persoonsgegevens in handen van derden = reputatieschade
Sinds 1 januari 2016 hebben bedrijven in Nederland een meldplicht voor datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) zich direct moeten melden bij de Autoriteit Persoonsgegevens zodra zich een (ernstig) datalek voordoet.
Kortom dit betekent dat gegevens van jou en je klanten op straat komt te liggen, doordat er iets mis is gegaan met de beveiliging. Je kan dus niet meer controleren wie de data in handen krijgt. Soms moet je het lek ook melden aan de betrokkenen (degene van wie de persoonsgegevens zijn gelekt). Dit kan jouw organisatie of de klant van je eventbureau ernstige reputatieschade opleveren!
Beperk het aantal persoonsgegevens
Van je bezoeker heb je altijd bepaalde gegevens nodig; voornaam, achternaam en emailadres zijn standaard. Beperk het vragen van gegevens die écht noodzakelijk zijn. Vermijd het verzamelen van paspoort-, creditcard- en medische gegevens: deze zijn zeer gevoelig en vereisen een verhoogd beveiligingsniveau. Beveilig je persoonsgegevens in elk altijd goed, doe dit met onderstaande tips:
5 Tips voor bescherming van persoonsgegevens
1. Beveilig persoonsgegevens met een (sterk) wachtwoord
Wanneer je de persoonsgegevens in Excel bewaart, beveilig het document dan met een wachtwoord. Met name wanneer je ze gaat mailen naar een leverancier. Verstuur het wachtwoord apart, per SMS. Zo weet je zeker dat alleen jij en de leverancier bij de gegevens kunnen.
2. Werk met veilige event software
Wanneer je met event software of -registratiepartners werkt, vraag dan naar het beveiligingsbeleid (certificering en richtlijnen) dat zij hanteren. Worden de persoonsgegevens versleuteld verstuurd tussen website en server? Waar en hoe wordt de data opgeslagen? Verdiep je in het beleid van deze partners, zodat je weet of je jouw data aan hen kunt toevertrouwen!
3. Gratis betekent niet voor niets
Gratis software is nooit écht gratis. Bij producten voor commercieel gebruik, waarbij niet betaald wordt voor de service, moet je je afvragen hoe het verdienmodel eruit ziet. Het is mogelijk dat deze bedrijven jouw data doorverkopen aan derden. Persoonsgegevens zijn immers een hoop geld waard! Overweeg goed of je jouw zakelijke database wilt delen met een gratis service.
4. Sla nooit wachtwoorden op in je browser
Wanneer je software gebruikt waarin jouw event data (en dus persoonsgegevens) is opgeslagen, sla dan de inloggegevens niet op in de browser. Stel dat iemand je computer weet te bemachtigen, dan kan deze persoon met 1 klik bij de meest waardevolle data. Ja, het kan vervelend zijn om je wachtwoord telkens opnieuw in te voeren (en te onthouden), maar het wachtwoord is er voor een reden!
5. Sluit een verwerkersovereenkomst met je leverancier(s)
Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) van toepassing zijn. Door deze nieuwe verordening ben je verplicht om met iedere ‘verwerker van persoonsgegevens’ (bijvoorbeeld een externe webontwikkelaar of marketingbureau) een verwerkersovereenkomst af te sluiten wanneer je persoonsgegevens door hen laat verwerken. Hierin wordt vastgelegd hoe bepaalde gegevens verwerkt worden en wat de consequenties zijn in geval van incidenten. Lees hier meer over Momice en GDPR-compliance.
Conclusie
Door allerlei richtlijnen wordt het steeds belangrijker dat je zorgvuldig met persoonsgegevens omgaat. Als event organisator draag je namelijk een belangrijke verantwoordelijkheid. Het kan geen kwaad om je tijdig te verdiepen in je leveranciers en partners. Je hoeft je nergens druk om te maken wanneer je goed je gegevens beveiligt!
Wil je weten wat privacy en veiligheid voor invloed hebben op de aanschaf van event software? Lees hier 6 redenen om NIET je eigen event software te (laten) bouwen.