Hoe kunnen we jouw vzw helpen met GDPR?

GDPR is niet alleen van toepassing op grote bedrijven maar ook op kleinere organisaties zoals vzw's die persoonsgegevens van leden, donateurs of vrijwilligers verwerken. Maar waarom is het belangrijk voor vzw’s om te investeren in GDPR-compliance? En hoe pak je dit best aan als vzw? 

GDPR-compliance in vzw’s 

Een vzw is, net zoals andere organisaties, bedrijven en overheden, verplicht om persoonsgegevens te verwerken in lijn met de GDPR-regels. Dit betekent concreet dat je organisatie onder andere:  

• een register voor de verwerking moet opstellen; 

• een analyse moet maken van de verwerkingsactiviteiten om na te gaan of die conform zijn aan de GDPR; 

• een privacy statement moet maken om je leden, donateurs, vrijwilligers te informeren; 

• een verwerkersovereenkomst moet afsluiten met je marketing agency, website developer,…; 

• moet onderzoeken of je een DPO moet aanstellen; 

• technische en organisatorische beveiligingsmaatregelen moet nemen om persoonsgegevens veilig te verwerken. 

Opletten met gevoelige gegevens 

Wanneer je bepaalde gevoelige gegevens verwerkt, moet je bovendien extra waakzaam zijn en mogelijks ook extra maatregelen nemen.  

Recent verscherpte de aandacht voor GDPR opnieuw bij die vzw’s die fiscale attesten moeten uitreiken aan hun donateurs én hiervoor het rijksregisternummer moeten opvragen. Het opvragen en verwerken van een rijksregisternummer mag je immers niet zomaar doen. Bovendien wordt het rijkregisternummer beschouwd als een gevoelig persoonsgegeven waarvoor je bijzondere beveilingsmaatregelen moet nemen bij de verwerking.  

Wanneer je persoonsgegevens van minderjarigen verwerkt,  gegevens m.b.t. gezondheid, ras of etniciteit,… ben je eveneens gevoelige gegevens aan het verwerken en moet je ook hier extra maatregelen nemen om die gegevens te beveiligen.  

Gevolgen van niet na-naleving 

Het niet naleven van GDPR kan leiden tot stevige boetes. Zo werden door de GBA al verschillende vzw’s op de vingers getikt, onder andere omwille van het verwerken van persoonsgegevens zonder juridische rechtvaardiging. De boetes varieerden van 1.000 tot 10.000EUR. Een dergelijke boete kan bovendien voor heel wat reputatieschade zorgen wat nefast kan zijn voor het vertrouwen van bijvoorbeeld donateurs in je organisatie.  

Het waarborgen van de privacy van je leden, donateurs, vrijwilligers,… is bovendien een ethische verantwoordelijkheid van elke organisatie. 

Hoe kunnen we jouw vzw hierin ondersteunen? 

1. GDPR-scan  

We starten met een GDPR-scan waarbij we nagaan welke stappen je organisatie al heeft gezet. Op basis van die analyse kunnen we ook al een basis verwerkingsregister opmaken en brengen we alle to do’s helder in kaart in een plan van aanpak. 

2. Uitvoeren plan van aanpak 

We spreiden de uitvoering (en ook de kost) van het plan van aanpak bij voorkeur over een aantal maanden. Op die manier heeft je organisatie voldoende tijd om hier intern mee aan de slag te gaan én kan je de kost spreiden in de tijd.  

3. Training 

Een training van je medewerkers is een belangrijke laatste stap in elk GDPR-compliance traject. Zij moeten immers de GDPR-verplichtingene van de organisatie integreren in hun dagelijks takenpakket. 

4. Eventueel: DPO as a service 

Het is nuttig om een DPO-as-a service traject op te starten in twee gevallen:  

• Als  uit de GDPR-scan blijkt dat jouw organisatie een DPO nodig heeft of, 

• jullie intern de nood voelen om een DPO aan boord te halen omwille van een gebrek aan interne expertise. 

 In deze gevallen  ondersteunen we jou dan als externe DPO gedurende een aantal dagen per maand.  

Heb je vragen of wil je weten hoe wij jouw vzw specifiek kunnen ondersteunen? Neem dan gerust contact met ons op voor een vrijblijvende kennismaking.