Daar komt de GDPR. Hoe pak je ze aan in je coöperatie?

20/03/2018

Op 25 mei 2018 gaat de General Data Protection Regulation van kracht. Deze Europese privacyverordening is voor België bindend, en dus ook voor jouw coöperatie of vzw. Er zijn meer dan genoeg infobronnen en stappenplannen die bedrijven en organisaties op weg kunnen helpen. In deze nota gaan we daarom alleen dieper in op onze eigen ervaring, en op specifieke aandachtspunten voor coöperaties.

Download deze tekst als pdf.

Wat is de GDPR?

De GDPR is een geheel van regels om de gegevens van Europese burgers beter te beschermen en om misbruik te voorkomen. De verordening treedt in werking op 25 mei 2018. Vanaf dan kunnen overheden boetes opleggen aan organisaties die de wetgeving niet respecteren.

Waarom deze nieuwe regels?

De Europese privacyrichtlijn dateerde alweer van 1995. In tijden van Big Data, met alle gegevens over surf- en consumptiegedrag uit onze handen en in de cloud, was het hoog tijd voor een herziening. Het recht om vergeten te worden, en om ingelicht te worden bij datalekken, daar kunnen we alleen maar beter van worden, toch?

Gelden ze ook voor mijn vzw of coöperatie?

Ja, ook jouw organisatie (vennootschap of vzw) moet vanaf mei 2018 kunnen aantonen welke persoonsgegevens ze verzamelt, hoe ze deze data gebruikt en beveiligt … waar deze data zich ook mogen bevinden: op een goede oude harde schijf, of in de cloud.

Kunnen we dit zelf rondkrijgen?

Ja, dat kan zeker – ook al zullen consultants die van GDPR hun broodwinning maken dit niet graag horen. Als doorsnee coöperatie of vzw moet je deze regelgeving uiteraard ernstig nemen, maar mits de nodige voorzorgen kan je zelf instaan voor de praktische toepassing.

Disclaimer: zelf hebben we een juriste in huis met een verleden in privacyrecht. Een reden te meer om onze ervaring te delen.

ZEKER DOEN

1. SURF NAAR PRIVACYCOMMISSION.BE

Volg de aanbevelingen van de Commissie voor de bescherming van de persoonlijke levenssfeer (Privacycommissie). Neem hun plan met 13 stappen door. Het is geen blauwdruk die je zomaar kan kopiëren naar je eigen organisatie, maar een leidraad die je naar je eigen situatie kan aanpassen.

2. MAAK EEN OVERZICHT

Inventariseer wie welke gegevens bijhoudt en verwerkt in je organisatie. Ongetwijfeld zijn er heel wat documenten of tools die jouw organisatie gebruikt om gegevens te bewaren en te verwerken van klanten, personeel, leveranciers …

Zelf komen we al gauw aan een tiental datasets. Er is de lijst van de leden van de algemene vergadering. In ons boekhoudprogramma zit een lijst van klanten en een lijst van leveranciers. Onze personeels- en loonadministratie zit bij een sociaal secretariaat. Zij zijn de verwerkers, maar wij blijven uiteraard de verwerkingsverantwoordelijke. Idem voor onze mailinglijsten, die bij een overzeese verwerker zitten.

3. TIJD VOOR TRIAGE

Welke gegevens heb je absoluut nodig? Kan je de verwerking of het bijhouden ervan verantwoorden? Zo niet, wissen die gegevens.

Zelf hebben we enkele maanden terug voor een klant een sollicitatieprocedure begeleid. Er is een kandidaat gekozen, dus geen reden meer om de andere cv’s bij te houden. Weer wat opslagruimte op de server gewonnen.

4. LEG EEN DATAREGISTER AAN

In principe is een dataregister niet voor iedereen verplicht. Maar de kans dat je tot een van de uitzonderingen behoort is behoorlijk klein, want welke coöperatie verwerkt geen gegevens van klanten, leveranciers, personeel … om van je wettelijk verplichte aandelenregister nog te zwijgen (zie verder).
Bovendien is het gewoon een nuttig instrument waarmee je kan aantonen dat je de GDPR respecteert wanneer je gegevens verwerkt.

Een aanrader is dit model van de Privacycommissie. Het is meer dan een administratietool, het is een begeleidingstool, met gebruiksaanwijzing.

Niet alle 43 kolommen van het register zijn voor jou van toepassing. Alleen de 8 kolommen in het rood bevatten informatie die je volgens de GDPR moet kunnen geven: doel van je verwerking (kolom G), bewaartermijn (kolom P), derde land/internationale organisatie (kolom Y) … Maar kijk zeker ook de andere na, want dit is een handig vertrekpunt om ook de volgende stappen te zetten. Zoals je procedures rond datalekken of rond het opvragen van gegevens door betrokkenen, of rond wie in je organisatie toegang heeft tot welke gegevens. Daarover vind je alles en meer op de website van de Privacycommissie.

Dat geeft ons de ruimte om een woordje te wijden specifiek aan coöperaties en vzw’s.

Moeten coöperaties hun aandelenregister vermelden in het dataregister?

Ja, want in het aandelenregister bewaar je heel wat persoonlijke gegevens. Vermeld dus welke gegevens je bijhoudt en verwerkt. Dat zijn doorgaans:

  1. de naam, de voornamen en de woonplaats van elke vennoot
  2. het aantal aandelen dat elke vennoot bezit, evenals de inschrijvingen op nieuwe aandelen en de terugbetalingen, met opgave van de datum
  3. de overgangen en overdrachten van aandelen, met hun datum
  4. de datum van toetreding, uittreding of uitsluiting van elke vennoot
  5. de gedane stortingen
  6. de opgave van de bedragen die voor de uittreding, voor de gedeeltelijke terugneming van aandelen en voor de terugneming van stortingen worden aangewend.

Op welke wettelijke grondslag beroepen we ons om de gegevens van vennoten bij te houden?

Artikel 357 van het wetboek Vennootschappen verplicht coöperatieve vennootschappen om een aandelenregister bij te houden waarvan elke vennoot “inzage mag nemen”.
In je dataregister vul je dus het best ‘Registratie en administratie van aandeelhouders of vennoten’ in bij het veld ‘doeleinde verwerking’. Het gaat niet om ‘gevoelige gegevens’ volgens artikel 9 en 10 van de GDPR, want je verzamelt geen info over politieke overtuiging, geloof of strafblad. Maar dat neemt niet weg dat je moet zeggen hoe je de inzage regelt (onder ‘beschrijving beveiligingsmaatregelen’ in het dataregister), want elke vennoot mag het aandelenregister inkijken, maar zeker niet kopiëren.

Wat met vzw’s en hun ledenregisters?

Neem het ledenregister op in je dataregister, en vermeld ‘ledenadministratie’ als doeleinde van de verwerking. Meer bepaald baseer je je op artikel 10 van de wet op Verenigingen & Stichtingen – 27 juni 1921.

“Op de zetel van de vzw wordt door de raad van bestuur een register van leden gehouden. Dit register vermeldt de naam, voornamen en woonplaats van de leden of, ingeval het een rechtspersoon betreft, de naam, de rechtsvorm en het adres van de zetel. Bovendien moeten alle beslissingen betreffende de toetreding, uittreding of uitsluiting van leden door toedoen van de raad van bestuur in dat register worden ingeschreven binnen acht dagen nadat hij van de beslissing in kennis is gesteld.”