AVG en evenementen in de praktijk AVG, GDPR, ingewikkelde materie met directe gevolgen voor ieder evenement. Als eventprof of opdrachtgever moet u dus heel goed weten welke data door uw vingers gaan en hoe u deze data moet beschermen en verwerken. De evenementenbranche maakt daarbij nogal rare sprongen. Van bezoekerslijsten achter glas tot een stip-op-het-voorhoofd-protocol. Wat moeten we nou wel en niet doen. In één keynote kregen de bezoekers van het EventBranche Wet en Regelgeving Congres in Pathé Utrecht Leidsche Rijn alle praktische tips. Deze keynote werd verzorgd door René Halfens: Van As Advocaten en een panel waarbij ook Freek Zindel van Aanmelder en Ramon van Jaarsveld van Clickshots aanschoven. Allereerst bleek bij onze registratie van het congres al een datalek te kunnen ontstaan. De 100 badges van de congresbezoekers waren uitgeprint en lagen klaar op de registratietafel. Had iemand hier een foto van gemaakt dan was er al een datalek ontstaan. Een tip voor u als eventorganisator: zorg ervoor dat niet alle bezoekers zicht hebben op deze badges of print ze op het moment zelf. Zoals te zien in bovenstaande visual gaf 78,8% van de respondenten aan dat zij het vak veranderd vinden sinds de invoering van de AVG. Er is heel veel veranderd, dit geeft ook Halfens toe. Maar we moeten het niet overdrijven in Nederland. Er zijn landen die het nog serieuzer nemen waaronder Duitsland en Scandinavië, daar kijken ze minder luchtig naar het onderwerp. Het bewustzijn bij de Nederlandse eventmanagers groeit en daarin wordt al een grote slag gemaakt. Maar hoe ver gaan zij? Wij legden hen de volgende stelling voor: Het merendeel van de respondenten vraagt hun bezoekers niet of zij akkoord gaan met het nemen van een foto. Volgens Halfens moet je zo min mogelijk vragen aan de bezoekers voorafgaande aan een evenement. Want vraag je het wel en het antwoord is nee? Dan heb je wel echt een probleem. Hoe ga je er vervolgens voor zorgen dat deze persoon buiten het zicht van de camera blijft? Als er dan toch onverhoopt een foto gemaakt wordt van deze persoon dan kan deze naar de Autoriteit Persoonsgegevens stappen. De controleur kan niet anders dan de bezoeker gelijk geven als hen vooraf expliciet is gevraagd om toestemming. De theorie van de AVG Tijdens het congres nam Halfens ons mee naar de theorie van de AVG in een notendop, met 6 concrete punten, om deze vervolgens te vertalen naar de praktijk. 1. Verwerken persoonsgegevens = grondslag nodig. De AVG kent 6 zogeheten grondslagen, kan je de gegevensverwerking baseren op minimaal één van deze grondslagen? Dan mag je de persoonsgegevens niet verwerken. Toestemming van de betrokkene bv. wilt u onze nieuwsbrief ontvangen? Ja. Uitvoering overeenkomst bv. het uitnodigen van werknemers voor het personeelsfeest. Nakomen van de wettelijke verplichting bv. het gaat hierbij om verplichtingen die in een andere wet staan. Bijvoorbeeld de loonadministratie die 7 jaar bewaard moet worden. Ter bescherming van de vitale belangen bv. als de verwerking noodzakelijk is om de vitale belangen van een natuurlijk persoon te kunnen beschermen. Ter vervulling van een taak of belang of uitoefening van openbaar gezag bv. Hieronder valt onder andere de gebruikelijke verwerkingen van, voor of namens de overheid. Behartiging van de gerechtvaardigde belangen bv.Dit belang kan gebruikt worden bij direct marketing maar ook bij fotografie op evenementen. Wat voor gegevens je ook wilt verwerken, het is noodzakelijk om een grondslag te hebben. 2. Verwerking moet binnen deze grondslag blijven. De gegevens van iemand die zich opgeeft voor de nieuwsbrief van bedrijf A, mogen niet zomaar door bedrijf B worden gebruikt. 3. Persoonsgegevens maximaal beschermen. Je moet alle redelijke technische en organisatorische maatregelen nemen om datalekken te voorkomen. Technisch voorbeeld: zet een wachtwoord op USB-stick waar persoonsgegevens op staan. Raakt deze verloren of laat je hem per ongeluk liggen in de trein? Dan kan niemand direct bij de gegevens komen. Organisatorisch voorbeeld: Inzagebeperking, bij een ziekenhuis is het niet de bedoeling dat de telefoniste al jouw gegevens kan zien. Hetzelfde geldt voor andere instellingen. Zorg dat alleen de bevoegden toegang hebben tot de gegevens. 4. Betrokkenen hebben rechten Een belangrijk punt bij de AVG, volgens Halfens, is dat de verwerkingsverantwoordelijke van de persoonsgegevens bepaalde rechten moet respecteren. De meest relevante rechten zette Halfens voor ons op een rij: 1. Recht op inzage: inzicht in welke persoonsgegevens verwerkt zijn. Moet er iets worden aangepast? Werk dan meteen mee en los het snel op. 2. Recht op rectificatie: er mag verzocht worden om onjuistheden te laten aanpassen 3. Recht op vergetelheid: iemand moet uit het systeem gehaald kunnen worden. Je mag de nieuwsbrief niet meer sturen maar ook geen andere mailing. Deze persoon moet helemaal uit het systeem gehaald worden. 4. Recht op bezwaar: er mag bezwaar aangetekend worden bij de Autoriteit Persoonsgegevens. Probeer dit voor te zijn door in eerste instantiegoed te helpen. 5. Privacy by design & privacy by default Hierbij draait het om het privacy vriendelijk handelen. Producten/diensten moeten privacy vriendelijk zijn en instellingen dienen standaard op vriendelijk te staan. Hiermee wordt bedoeld dat bij het aanmelden voor het congres niet standaard het knopje: Ik ontvang graag de nieuwsbrief, ook al staat aangevinkt. Deze keuze moet u bij de bezoeker laten en niet bij voorbaat al aanvinken. Nog een privacy vriendelijke handeling is het niet langer bewaren van persoonsgegevens dan nodig. 6. Verwerkersovereenkomst Indien een verwerkingsverantwoordelijke de verwerking van persoonsgegevens aan een externe verwerker uitbesteed, moet hiermee een verwerkersovereenkomst worden gesloten waarin alle afspraken en verantwoordelijkheden zijn vastgelegd. Wordt er door een externe partij een personeelsfeest georganiseerd, dan krijg je als organisator de gegevens van alle personeelsleden. Maar wie is dan verantwoordelijk? Sluit hiervoor een personeelsovereenkomst af. Leg vast wie er verantwoordelijk is voor de gegevens. De opdrachtgever sluit een overeenkomst met het bureau, bureau sluit verwerk overeenkomst met onderaannemers wanneer nodig, bijvoorbeeld de registratiepartij of de locatie. De praktijk: Volgens Halfens is het belangrijk om spreekwoordelijk de kop niet in het zand te steken maar overdrijf het ook niet. Zorg er vooral voor dat je problemen snel oplost. Laat zien dat je er als bedrijf mee bezig bent. ‘Ga met de persoonsgegevens van een ander om zoals je wil dat anderen ook met jouw gegevens omgaan.’ Tips: 1. Verwerk niet meer dan noodzakelijk Vraag geen informatie op die u niet gebruikt. Door minder gegevens op te vragen is de privacy impact veel kleiner. 2. Wees voorzichtig met wachtwoorden Vraag uw bezoekers niet in te loggen met een eigen gekozen wachtwoord. Hoeveel mensen gebruiken wel niet hetzelfde wachtwoord voor alles? Dat is een groot percentage. Komt deze lijst met emailadressen en wachtwoorden op straat te liggen dan is de kans groot dat de dief van deze gegevens ook bij de andere accounts van de bezoekers kan. Zo kunnen de boosdoeners ook bij de mailboxen en rekeningen komen. Wat is de oplossing? Genereer vooraf een wachtwoord voor de bezoekers en maak het makkelijk om het wachtwoord te wijzigen. Als zo een lijst met wachtwoorden uitkomt zijn de gegevens minder makkelijk te herleiden. 3. Durf te ondernemen Wees niet altijd te voorzichtig. Zo maakten veel bedrijven de fout hun hele adressenbestand te mailen met de vraag: Wil je deze nieuwsbrief nog ontvangen? Was het antwoord nee dan waren de bedrijven genoodzaakt deze persoon uit hun database te halen. Ook voor andere zaken mogen deze contacten niet meer gemaild worden. Een nieuwsbrief met de mogelijkheid om af te melden is voldoende en voorkomt dat u 30% van uw adressenbestand moet verwijderen. Is iemand het toch niet eens met de mailing die zij ontvangen of de foto waar zij bij op staan dan kan dit achteraf opgelost worden. Zorg ervoor dat dit snel en correct gebeurd. Voorbeelden De registratie van het EB congres: De registratie voor het congres zag er uit zoals hierboven aangegeven. Het volgende valt Halfens op: Adresgegevens: Gaat het om het zakelijke adres of het privé adres? Privé adres gegevens zijn persoonsgegevens en deze mag je niet vragen als je ze niet nodig hebt. Onthoudt altijd dat de gegevens niet herleidbaar mogen zijn tot een persoon. Een postcode zonder huisnummer zou wel kunnen en het zakelijke adres vragen is ook mogelijk. Dieetwensen: wees hier voorzichtig mee geeft Halfens aan. Wanneer iemand als dieetwens halal invult, wat in de meeste gevallen slaat op een geloofsovertuiging, dan zijn daar gelden strengere regels voor. Verzamel deze gegevens niet wanneer het niet nodig is, denk hierbij aan gegevens over geloofsovertuigingen maar ook aan medische gegevens. Als idee draagt Halfens aan dat je als eventorganisator rekening kan houden met 15 halal gerechten zonder dat dit vooraf aangegeven is. Vanuit de zaal kwam het geluid van een cateraar dat dit niet haalbaar is voor grotere evenementen. Zij vragen bij het verzoek om dieetwensen wel naar de voor- en achternaam aangezien de cateraar aansprakelijk is wanneer het fout gaat met bijzondere dieetwensen. Als reactie hierop geeft Halfens aan dat deze manier van werken voor sommige evenementen wel een uitkomst biedt, moet je de gegevens wel opvragen en zijn ze aan de naam gekoppeld; ga dan ontzettend voorzichtig met deze gegevens om. Zorg ervoor dat de gegevens versleuteld zijn. Kortom: vraag niet meer dan nodig is. Onderstaand een voorbeeld waarbij de opgevraagde informatie voldoende is: Voorbeeld: Collega aanmelden voor een evenement, mag dat? Uit de zaal kwam de vraag of het toegestaan is om voorafgaande aan het evenement een mailing te sturen met de oproep om een collega aan te melden voor een evenement, waardoor je zelf gratis het event kan bezoeken. Volgens Halfens ligt dit niet in lijn met de AVG richtlijnen. Bij wijze van spreken kan er in dat geval een emailadres van een vreemde ingevuld worden waardoor je zelf gratis naar het evenement kan. Lees ook: Privacy: Bescherm het of je bent het kwijt Privacy proof events organiseren met aanmelder.nl Naar wie mag u de uitnodiging voor uw evenement precies versturen