Vanaf 25 mei 2018 moeten alle organisaties binnen de EU voldoen aan de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR)* wordt dan van kracht. Deze wetgeving beïnvloedt ook jouw werk als event professional, omdat je met bezoekersregistratie vrijwel dagelijks gegevens aan het verwerken bent. Wanneer je de nieuwe richtlijnen niet zorgvuldig opvolgt, loopt jouw bedrijf het risico op hoge boetes. We leggen kort uit waarom deze wetgeving er komt, wat er voor jou gaat veranderen en wat je moet doen om events te organiseren volgens de nieuwe wetgeving.
*Deze nieuwe wetgeving heet Algemene Verordening Gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR). Deze termen worden door elkaar gebruikt.
Waarom komt deze wetgeving er?
De nieuwe wetgeving is er gekomen om binnen de EU de privacy van personen beter te beschermen. Persoonsgegevens zijn privacygevoelig en vragen daarom om een zorgvuldige aanpak. Door de enorme digitalisering van gegevens en gebruik van de cloud voor het opslaan van deze gegevens, worden de risico’s op een zogenaamde ‘datalek’ steeds groter. In de nieuwe wetgeving krijgen organisaties meer verantwoordelijkheid in het opslaan en verwerken van persoonsgegevens. Op deze manier worden Europeanen beter beschermd - en hoef je je als organisatie maar aan 1 wetgeving te houden.
Wat gaat er veranderen?
Op dit moment zijn er ook al wetten die de bescherming van persoonsgegevens waarborgen. Met andere woorden: het is nu al belangrijk, maar doordat de wetgeving strenger wordt, wordt voor veel organisaties de urgentie nu pas écht duidelijk.
Hier volgen de meest relevante wijzigingen voor jou als event organisator / manager:
- Nr. 1 Omdat jij als organisator verantwoordelijk bent voor de persoonsgegevens van jouw relaties, is jouw leverancier (bijvoorbeeld jouw event software-leveranciers of email service provider) ook verplicht een eventuele datalek bij jou te melden. De melding moet tussen de 24 en 72 uur gemaakt worden.
- Nr 2. De nieuwe wetgeving AVG verplicht de organisatie om een datalek intern te documenteren en te melden bij de Europese toezichthouder. Wanneer je niet zorgvuldig met de data bent omgegaan, loopt jouw organisatie het risico op een boete die kan oplopen tot 20 miljoen euro - of 4% van de wereldwijde omzet. Het risico op een datalek is voor event organisatoren relatief hoog. Je verwerkt namelijk veel gegevens, op verschillende locaties en met meerdere leveranciers. In een volgend artikel helpen we je om de kans op een datalek zo klein mogelijk te maken.
- Nr 3. Je dient een verwerkersovereenkomst af te sluiten met alle leveranciers die gegevens van jouw organisatie verwerken. Voor events zijn dat bijvoorbeeld registratiesoftware partners of Email Service Providers. Zij verwerken gegevens van jouw contacten. De verwerkersovereenkomst lijkt veel op de huidige bewerkersovereenkomst - echter de nieuwe overeenkomst is verplicht en bevat meer onderwerpen. Namelijk welke gegevens er verwerkt worden, wat de verplichtingen en verantwoordelijkheden zijn en waar de aansprakelijkheid ligt. In een volgende blog komen de te behandelen onderwerpen van een verwerkersovereenkomst aan bod!
- Nr 4. Vanaf mei 2018 moeten organisaties alle verwerkingen van persoonsgegevens documenteren in een register. Je beschrijft welke gegevens je verwerkt, voor welke doeleinden en hoe ze beveiligd zijn. Dit heeft dus vooral betrekking op gegevens uit het registratieformulier. Naam, email, bedrijf en functie zijn normale persoonsgegevens. Let goed op: Dieetwensen, paspoort en creditcard gegevens vallen onder bijzondere persoonsgegevens en vereisen een hoger beveiligingsniveau! Vraag jouw met je collega die verantwoordelijk is voor het privacybeleid welke gegevens jij aan je bezoekers mag vragen.
- Nr 5. Voorheen vielen alleen persoonsgegevens onder de privacywet, nu gelden de regels ook voor gegevens die gekoppeld zijn aan apparaten, zoals het MAC-adres en cookie informatie. Je dient als organisatie eenvoudig uit te leggen welke gegevens je opslaat en wat je er mee doet. Dus voor al jouw event websites geldt straks dat wanneer er cookies opgeslagen worden, je dit duidelijk moet melden in een transparante privacyverklaring.
- Nr 6. Met ingang van de nieuwe wetgeving is iedere leverancier verplicht een export van de database aan te kunnen leveren in een standaard formaat. Zo kunnen de gegevens makkelijk overgedragen worden wanneer je van leverancier wisselt.
- Nr 7. Wanneer je samenwerkt met partijen die hun data buiten de EU verwerken/opslaan, ga dan na of dit bedrijf zich bevindt in een land dat door de Europese Commissie gecertificeerd is (bijvoorbeeld de VS). Maar let op: De meeste Nederlandse/ Europese bedrijven eisen dat de verwerkte data binnen de EU blijft. Wees dus voorzichtig met Amerikaanse (software)leveranciers.
Is jouw event software AVG-ready?
Een goede event softwareleverancier zorgt ervoor dat persoonsgegevens veilig verwerkt en opgeslagen worden - en helpt je jouw events AVG-ready te maken. Als je geen bezoekersregistratie software gebruikt, is het verstandig dit in de toekomst wél te gaan doen, omdat er bij events veel persoonsgegevens verwerkt worden waarop de nieuwe privacywetgeving van toepassing is. Werk je al wel met bezoekersregistratie software, dan is het een goed idee om met hen hierover in gesprek te gaan, zodat je samen AVG-ready bent!
Conclusie
Vanaf 25 mei 2018 gaat de nieuwe Europese wetgeving in omtrent de bescherming van persoonsgegevens. Ook event professionals krijgen uitvoerig te maken met deze wet - zij verwerken dagelijks veel persoonsgegevens. Door nu al te beginnen met de voorbereiding zorg jij dat je op tijd AVG-ready bent! De event software van Momice is helemaal ingericht volgens de GDPR, benieuwd? Lees hier hoe wij dit doen.
Dit is de 1e blog in een reeks van 3, lees ook:
- Deel 2: Hoe voorkom je een datalek?
- Deel 3: Wat stem je af in een verwerkersovereenkomst?
- Download: De AVG white paper
