De impact van de AVG op events

Organisatoren van evenementen blijken nog erg slecht voorbereid op de Algemene Verordening Gegevensbescherming, oftewel de AVG die op 25 mei ingaat. En dat terwijl je als organisator van een evenement relatief veel persoonsgegevens verzamelt! Je weet bijvoorbeeld niet alleen de naam en contactgegevens van je gasten, maar vaak ook welke allergieën ze hebben.

Weet jij al wat de AVG voor evenementen inhoudt?

Verschillen met de oude Wet Bescherming Persoonsgegevens

Vanaf 25 mei moeten bedrijven kunnen aantonen dat zij hun verantwoordelijkheid nemen om privacy te waarborgen en datalekken tegen te gaan. Organisaties hebben een documentatieplicht. Dat wil zeggen dat ze met documenten moeten kunnen aantonen dat er op het gebied van organisatie, software en techniek voldoende maatregelen zijn genomen om aan de AVG te voldoen. Aangezien je als organisator van een event vaak samenwerkt met leveranciers en personeel dat toegang heeft tot data is dit de belangrijkste verandering.

Daarnaast krijgen we te maken met het recht op dataportabiliteit. Daardoor moet je snel een overzichtelijke inzage van persoonsgegevens kunnen aanleveren. Degenen over wie gegevens worden verzameld hebben namelijk het recht om deze in te zien, te ontvangen of te laten wissen.

Welke data wordt verzameld?

Als je een event organiseert is het belangrijk om na te gaan welke data je precies verzamelt. Er wordt namelijk onderscheid gemaakt tussen gewone en bijzondere persoonsgegevens. Gewone persoonsgegevens zijn naam- en adresgegevens. Bij bijzondere gegevens kun je denken aan iemands godsdienst, politieke of seksuele voorkeur of lidmaatschap van maatschappelijke organisaties. Oftewel, bijzondere persoonsgegevens gaan over iemands identiteit. Als je deze data wilt verzamelen is het erg belangrijk om aan te tonen dat dit noodzakelijk is en dat hier beleid voor is.

Ook al is er een goed beleid voor het verantwoordelijk omgaan met data, toch mogen niet alle gegevens opgeslagen worden. Men moet hier eerst expliciet toestemming voor geven. Daarnaast mag je alleen gegevens verzamelen die een organisatorisch doel dienen. Heeft iemand je bijvoorbeeld toestemming gegeven om zijn of haar politieke voorkeur op te slaan maar is dit voor het event is dit niet van belang? Dan mag je deze data dus niet bewaren!

Bereid je goed voor op de AVG voor events!

Een goede voorbereiding op de AVG is voor alle bedrijven, groot en klein, belangrijk. Maar wil je een evenement organiseren? Dan krijg je zeker te maken met persoonsgegevens! Zorg ervoor dat je de volgende zaken geregeld hebt:

  • Beleidsregels: Leg vast waar je gegevens opslaat en hoe je deze data beschermt. Werk daarnaast uit hoe je datalekken herkent en hoe er gehandeld moet worden in het geval van een datalek.
  • Privacy Impact Assessment: Onderzoek hoe het zit met de regels rondom privacy van nieuwe producten en services en analyseer risico’s van nieuwe systemen en processen.
  • Privacyverklaring: Plaats een duidelijke privacyverklaring op je website. Hierin geef je bezoekers inzicht in al je activiteiten en hoe je met hun data omgaat.
  • Opt-in: Geef al je bestaande en nieuwe klanten de mogelijkheid om aan te vinken welke informatie ze in de toekomst willen ontvangen. Denk hierbij aan uitnodigingen, verslagen van events, nieuwsbrieven of productintroducties. Als je relaties hier niet expliciet toestemming voor hebben gegeven mag je ze na 25 mei ook niet meer mailen!
  • Verwerkingsovereenkomsten: Stel verwerkingsovereenkomsten op met alle partijen en personen die gegevens verwerken of opslaan voor jouw bedrijf. Dit zijn bijvoorbeeld cateraars en beveiligingsbedrijven, maar ook je online marketingbureau of het bedrijf achter je softwarepakketten. Neem hier ook in op wie er verantwoordelijk is als er gegevens op straat komen te liggen.

Bereid je als organisator van een evenement goed voor op de AVG en voorkom hoge boetes!