Wat betekent de AVG voor event organisaties?

Home > Blog > Wat betekent de AVG voor event organisaties?

Test of je AVG-proof bent!

Per 25 mei 2018 geldt de algemene verordening gegevensbescherming (de AVG) ofwel General Data Protection Regulation (GDPR). Vanaf dan geldt dezelfde privacywetgeving in de hele EU en de Nederlandse Wet bescherming persoonsgegevens (Wbp) wordt daarmee vervangen. Maar wat betekent deze wijziging voor event organisaties?

Als event organisatie heb je te maken met persoonsgegevens. Alle informatie over een geïdentificeerde of identificeerbare persoon is een persoonsgegeven. Op het moment dat het mogelijk is om iemand te identificeren, spreek je al van persoonsgegevens. Zelfs gepseudonimiseerde gegevens zijn persoonsgegevens, omdat het nog steeds mogelijk is die persoon te identificeren.   

Onder de AVG moet je nog zorgvuldiger omgaan met deze gegevens. Als organisatie moet je kunnen aantonen dat je persoonsgegevens opslaat en verwerkt in overeenstemming met de geldende privacyregels.

Wanneer ben je als event organisatie AVG-proof? Om te beginnen als je op deze drie vragen ja kunt beantwoorden.

1. Kun je de naleving van de AVG aantonen?

Als organisatie moet je snel en eenvoudig kunnen aantonen dat je stappen hebt ondernomen om aan de AVG-voorwaarden te voldoen. Je moet deze informatie en ondersteunende documentatie direct kunnen overhandigen aan toezichthouders wanneer daarom gevraagd wordt. Dit betekent dat je inzicht moet kunnen geven in:

  • Wat voor informatie je opslaat (of verwerkt);
  • Van (over) wie deze informatie is;
  • Waar je dit opslaat;
  • Hoe dit beveiligd is.

2. Heb je bewerkersovereenkomsten met verwerkers en voldoen die aan de eisen?

De wet gaat niet alleen over het bezit van persoonsgegevens, maar ook over de verwerking. Personen, bedrijven of instellingen die slechts ‘werken met de gegevens’ moeten voldoen aan de eisen. Als je dus een dienstverlener inschakelt die persoonsgegevens verwerkt (zoals We Cross) dan ben je al organisatie verplicht schriftelijke afspraken te maken over de omgang met deze persoonsgegevens. Dat gebeurt in een bewerkersovereenkomst. Deze moet voldoen aan de eisen van de AVG.

3. Vraag je op de juiste manier om toestemming van de betrokkene?

Om persoonsgegeven te verwerken is toestemming van de betrokkene vereist. De AVG stelt strengere eisen aan toestemming. Toestemming onder de AVG moet zijn: een ‘vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. In een volgende blogpost zullen we hier verder op in gaan.