De AVG bij evenementen – De ultieme gids (1)

door | nov 7 2019 | Kennisdossiers | 0 Reacties

De AVG bij evenementen – Je gaat een evenement organiseren. Staan er persoonsgegevens in je draaiboek? Moeten gasten zich voor je evenement aanmelden? Gebruik je een online registratieformulier? Dan zijn de ‘spelregels’ van de AVG direct van toepassing. De AVG heeft gevolgen op de organisatie van evenementen. De Algemene Verordening Gegevensbescherming (AVG) geldt vanaf 25 mei 2018. Voor het organiseren van een evenement komen hier extra aandachtspunten te liggen. Vooral het beschermen van de persoonsgegevens van deelnemers, bezoekers, sprekers, etc. is punt van aandacht.

Hoe pas je de AVG bij evenementen nu toe? Het kan best pittig zijn om je 100% te conformeren aan de AVG. In basis is de gedachte voor het toepassen van de AVG vrij eenvoudig. Ga met persoonsgegevens van anderen om, zoals jij wil dat er met jouw persoonsgegevens wordt omgegaan. Zou jij het vervelend vinden als je overal met naam en foto wordt vermeld? Dan zal dat voor iemand anders wellicht ook het geval zijn. Daar komt het in basis voor de AVG bij evenementen op neer. 

In deze gids nemen we je mee in de toepassing van de AVG bij het organiseren van evenementen. We behandelen 3 fases: 

  1. De AVG bij evenementen – Vooraf het evenement
  2. De AVG bij evenementen – Tijdens het evenement
  3. De AVG bij evenementen – Na het evenement

We gaan ons in dit artikel richten op de eerste fase van het evenement. 

De AVG bij evenementen – vooraf het evenement

Nadenken over privacybescherming is een must!

Voordat je een evenement gaat organiseren zul je, naast het inhoudelijke gedeelte van je evenement, ook aandacht moeten besteden aan de privacy van je gasten. En dan vooral de bescherming van die privacy. Je zult vanaf nu (nog beter) moeten stilstaan bij vragen als:

  • Hoe ga ik de registratie van personen regelen?
  • Welke informatie heb ik van de personen (echt) nodig?
  • Met welke partijen werk ik samen tijdens de organisatie van het evenement?
  • Welke afspraken moeten er op het gebied van privacy worden gemaakt?
  • Moet ik de gemaakte afspraken over privacy vastleggen en zo ja, hoe?
  • Hoe zit het met het maken van foto’s en video’s tijdens het evenement?

Verwerkersovereenkomst en de AVG bij evenementen
Bij het organiseren van evenementen, of het nu gaat om een congres, bijeenkomst of ander soort event krijg je te maken met het verwerken van persoonsgegevens. Neem alleen al het voorbeeld van je draaiboek. Daar staat in 9/10 gevallen een overzicht van contactpersonen in. Dat zijn allemaal persoonsgegevens. Niet alleen jij als evenementenbureau verwerkt die persoonsgegevens. Er zijn namelijk nog veel meer partijen bij betrokken.

Als eerste zul jij aan je opdrachtgever moeten aantonen dat je de persoonsgegevens zo goed mogelijk beschermd. Je opdrachtgever moet dit ergens kunnen teruglezen en hiermee akkoord gaan. Je legt deze afspraken tussen jou en je opdrachtgever vast in een zgn. verwerkersovereenkomst.

Wat staat er in een verwerkersovereenkomst?

In een verwerkersovereenkomst geef je onder andere aan:

  • Welke persoonsgegevens je als bedrijf verwerkt en hoelang je deze persoonsgegevens bewaard.
  • Welke persoonsgegevens je niet verwerkt. Bijzondere persoonsgegevens mag je niet verwerken. Voorbeelden van bijzondere persoonsgegevens vindt je hier.
  • Wat je gaat doen met de door jou te verwerken persoonsgegevens (aanmeldingen voor een congres mag je niet, zonder toestemming, opslaan op een mailinglijst om daar vervolgens marketingcampagnes op los te laten. Wel mag je de mailadressen gebruiken om uitnodigingen te versturen wanneer je een soortgelijk evenement organiseert).
  • Met welke (digitale) partijen jij samenwerkt en of je met die partijen ook een verwerkersovereenkomst hebt gesloten. Voorbeelden van betrokken (digitale) partijen:
    Jouw mailprovider (je verstuurt en ontvangt je mailberichten en aanmeldingen waarin persoonsgegevens staan).
    Jouw webhost. Hier loopt het digitale verkeer, via hun server langs, naar de server van de verwerkende (mail) partij.
    Platforms voor nieuwsbrieven; zoals Mailchimp. Hier sla je persoonsgegevens op, die door Mailchimp worden verwerkt.

De AVG bij evenementen – Het registratieformulier

Wanneer je een evenement gaat organiseren wil je natuurlijk een zo hoog mogelijke opkomst. Maar hoe gaat dat in zijn werk wanneer je rekening met houden met de AVG bij evenementen? Je gasten zullen zich moeten aanmelden om aan te geven dat ze op je evenement zullen langskomen. Je doet er verstandig aan om een online registratieformulier te gebruiken.

Je zult er zoveel mogelijk voor moet zorgen dat de gegevens van personen bij het invullen van je aanmeldformulier worden beschermd. Kun je alles 100% dichttimmeren? Nee, maar je zult echter wel zoveel mogelijk je best moeten doen, om te voorkomen dat de gegevens van personen ‘op straat’ komen te liggen.

Welk evenementen registratie pakket neem je?

Veel factoren zullen meespelen in je keuze voor het gebruiken of kopen van een registratiepakket. Kies, om echt zeker te zijn van een goede beveiliging, voor software met een ISO 27001:2013-certificaat voor informatiebeveiliging. Deze voldoet namelijk aantoonbaar aan alle eisen op het gebied van informatiebeveiliging.

Natuurlijk zullen de kosten hierin een (grote) rol spelen. Het registratiesysteem kan nog zo briljant zijn ingericht, maar als het voor jou of je klant niet betaalbaar is, ga je op zoek naar alternatieven. Dat is natuurlijk heel goed te begrijpen.

Welke informatie vraag je tijdens de registratie van je deelnemers?

Wanneer je op een juiste manier de AVG bij evenementen en de spelregels ervan wil toepassen in je aanmeldformulier zul je moeten stilstaan bij de vraag: “Welke informatie wil ik hebben van de deelnemers van mijn evenement?” Ook hier geldt: Vraag alleen die informatie die echt nodig is.

Vraag bij jezelf af: “Hoe zou ik het vinden als mij deze informatie zou worden gevraagd?” Houdt als vuistregel aan dat je niet meer informatie aan de gasten van je evenement vraagt dan strikt nodig is. 

Moet je mensen overal toestemming voor vragen in je aanmeldformulier?

Moet je volgens de AVG bij evenementen aan je gasten overal goedkeuring voor vragen? In principe zul je op een fatsoenlijke manier met de gegevens van mensen moeten omgaan. Maar bedenk je ook dat soms vragen naar de bekende weg kan leiden tot problemen: Zo is niet verplicht om mensen te vragen of zij wel of geen toestemming verlenen om bijvoorbeeld foto’s waar zij onverhoopt op staan, te gebruiken voor marketingdoeleinden. Neem de volgende vraag: “Geeft u toestemming om foto’s voor marketingdoeleinden te gebruiken waarop u te zien bent?” De uitkomst kan het een eenvoudig ja of nee worden beantwoord. Maar wat nu als er van de 500 personen er 150 zijn die “nee” op die vraag antwoorden? Dan heb je een probleem. Want; Plaats je vervolgens een foto op je website en een persoon is daarop per ongeluk wel te zien, dan kun je problemen verwachten. Je hebt de uitdrukkelijke wens van de persoon namelijk niet gehonoreerd. Op die manier sta je direct met 1-0 achter.

Staat er een persoon toch op een foto en hij/zij wil dat liever niet? In 9/10 gevallen kun je een belletje of mailtje krijgen met het verzoek de foto te verwijderen. Geen enkel probleem, je verwijderd de foto op verzoek van de persoon in kwestie. Laat de persoon vanuit jouw zijde weten dat je aan de wens hebt voldaan. Met een beetje geluk krijg je er nog een goede recensie voor terug ook! 

Wat is het doel van je evenement?
Om te bepalen welke informatie je gaat opvragen, wordt onder andere bepaald door het doel van je evenement en wat je precies met die informatie wilt gaan doen. Je zult jezelf vooraf dus eerst de vraag moeten stellen: “Wat wil ik gaan bereiken met dit evenement?” Daarna zul je de vraag moeten stellen: “Welke informatie moet ik aan personen vragen, waarmee ik gerechtvaardigd dit doel kan bereiken?”

En daar gaat het in 9/10 gevallen mis. Organisaties voelen zich geroepen om – in het kader van “de AVG bij evenementen – de gasten werkelijk het hemd van het lijf te vragen. Tijdens de registratie of aanmelding van een evenement gaat het vervolgens verkeerd. Teveel informatie vragen, zonder echt een doel. “Less is more” is een goede vuistregel.

Vaak ligt hier vanuit de organisatie een naïeve motivatie aan ten grondslag. Wanneer je vraagt waarom iemand de (verplicht in te vullen) vraag neerzet over het geslacht van iemand, krijg je vaak als antwoord: “Ja, we vinden het wel zo netjes om een gepersonaliseerde email terug te sturen, nadat iemand zich heeft aanmeldt”. Op deze manier informatie bij mensen opvragen heeft geen enkele toegevoegde waarde. Het is ook helemaal niet nodig. En dit soort vragen als “verplicht in te vullen” aanmerken moet je al helemaal niet doen!

Dat iemand zo graag een mailtje wil terugsturen die begint met: “Geachte heer/Geachte mevrouw,….” is geen enkele rechtvaardiging om naar iemands geslacht te vragen. Gewoon niet doen dus. Laten we aan de hand van een praktijkvoorbeeld eens kijken welke informatie je nu wel of niet nodig hebt.

Een netwerkbijeenkomst organiseren voor ondernemers

Je bent van plan om een netwerkbijeenkomst te organiseren. Je doelgroep zijn lokale ondernemers. Het doel van de netwerkbijeenkomst is de lokale ondernemers nader kennis met elkaar te laten maken en hun potentiële netwerk uit te breiden. Hierdoor kunnen er nieuwe samenwerkingsverbanden ontstaan wat de onderlinge business verhoogt. TOP! 

Iedere ondernemer moet zich aanmelden voor deze netwerkbijeenkomst via een online registratieformulier. Welke informatie heb je nu echt nodig van de ondernemer? Met andere woorden: welke informatie vindt jij gerechtvaardigd om bij de ondernemer op te vragen tijdens de registratie van de netwerkbijeenkomst?

De enige informatie die echt nodig is voor de ondernemer om zich aan te melden is:

  • Initialen
  • Achternaam
  • Mailadres

Misschien wil je een gepersonaliseerde autoreply (bevestigingsmail) sturen, nadat de persoon zich heeft aangemeld. Dan kan het netjes zijn om in ieder geval de persoon met zijn of haar initialen en/of achternaam aan te spreken. Strikt nodig is het niet. Je kunt je bevestigingsmail ook beginnen met:

“Beste,

Hierbij bevestigen we de ontvangst van je aanmelding. Dank je wel voor je registratie.

Met vriendelijke groet,
[Naam v/d organisatie]”

Initialen en achternaam – In het kader van de werkbaarheid tijdens het evenement is het misschien raadzaam om op zijn minst de achternaam van de persoon in kwestie te hebben. Wanneer de persoon zich meldt bij de registratiebalie, is het misschien handig om te weten dat de persoon ook echt op het evenement is langs geweest.

Het kan dan ook weer handig zijn in een eventueel “Bedankmailtje” nadat het evenement is afgelopen. Dit is echter geen rechtvaardiging om een mailadres te moeten vragen. Een “Dank je wel voor je komst” bericht is geen essentieel onderdeel van je evenement. Het is netjes en attent, maar meer ook niet. Een andere reden kan zijn dat het vanuit een veiligheidsoverweging te checken wie er binnenkomt. In dat geval zal je evenement een heel ander karakter hebben en wordt het een heel ander verhaal. Let er dus op dat je de gevraagde informatie moet kunnen rechtvaardigen.

Mailadres – Hierbij is het niet per se nodig een zakelijk mailadres op te vragen bij een ondernemer. Dit kan namelijk weer leiden tot herleiding van iemands functie, werkadres etc.  Het enige nodige is dat je een bevestiging van aanmelding hebt en dit kunt bevestigen. Laat iedereen vrij om een mailadres naar keuze op te geven tijdens de registratie voor een evenement.

Sterker nog: Je kunt de persoon ook doorleiden (via een zgn. re-direct) naar een “Dank je wel-pagina” die wordt getoond nadat de verzendknop is aangeklikt. En dan heb je geen mailadres nodig van de persoon die zich registreert. 

Verkeerde evenement registratie binnen AVG normen

Wat we al eerder meldden gaat het in 9/10 gevallen al mis met de privacy tijdens de registratie van een evenement. In het geval van een netwerkbijeenkomst kwamen wij een aanmeldformulier tegen waarin de volgende informatie werd opgevraagd: 

  • Geslacht
  • Initialen
  • Voornaam
  • Achternaam
  • Telefoonnummer
  • E-mailadres
  • Functie
  • Bedrijfsnaam

De organisator was een gemeentelijke instantie. Dan vraag je je toch af of die mensen wel hebben zitten opletten.

Maar laten we ook zeker dan hand in eigen boezem steken als evenementenbranche. Want ook daar worden er vaak schaamteloos veel vragen gesteld. Zelfs bij de registratie of aanmelding van vakgerelateerde evenementen. Zo werden wij als evenementenbureau uitgenodigd om een vakbeurs te bezoeken. Tijdens deze vakbeurs kunnen wij als eventorganisator kijken welke trends er ‘hot or not’ zijn. We konden in gesprek en netwerken met toeleveranciers binnen de evenementenbranche. Ook hiervoor is er hoogstens nodig om te vragen:

  • Initialen
  • Achternaam
  • E-mailadres

De volgende gegevens (allen verplicht in te vullen!) werden gevraagd:

  • Aanhef (Dhr. of Mevr)
  • Voornaam
  • Achternaam
  • Functie
  • E-mailadres
  • Bedrijfsnaam
  • Adresgegevens van het bedrijf
  • Postcode + Huisnummer
  • Plaats
  • Land
  • Bedrijfsgrootte (Selecteer het aantal fte)
  • Bij de organisatie van wat voor soort evenementen ben je betrokken?
    (Kies uit de lijst van event typen)
  • Is het organiseren van evenementen de core business van het bedrijf?
    (Ja of Nee)
  • Door hoeveel personen worden de evenementen die je organiseert gemiddeld bezocht?
    (Selecteer een aantal)
  • Hoeveel evenementen organiseer je op jaarbasis?
    (Selecteer een aantal)

We stelden onszelf de vraag: Wat willen ze met al deze informatie van mij doen en zou ik dat prettig vinden? Hebben zij dit echt allemaal nodig van mij? We kozen ervoor ons niet aan te melden voor deze vakbeurs. Zo zie je dat teveel vragen ook in je nadeel kan werken als het gaat om het opkomstpercentage voor je evenement.

De AVG bij evenementen -Email versturen en ontvangen

In aanloop naar een evenement worden er persoonsgegevens verzameld. Vaak worden deze gegevens opgeslagen in een excel spreadsheet. Op deze spreadsheet staan alle door personen ingevulde gegevens van het aanmeldformulier. Je zult deze spreadsheet op een beschermde omgeving moeten opslaan. 

Mailen van deelnemerslijsten en de AVG

Het komt vaak voor dat personen, tijdens de organisatie van een evenement, een lijst met elkaar gaan delen via email. Meestal is dat met de beste bedoeling, maar de kans op een mogelijk datalek wordt daarmee wel vergroot. Je mailprovider krijgt een kopie van het bestand op zijn server. Doordat je het bestand via de server verstuurd van je mailprovider. Maar ook de ontvanger en diens mailprovider hebben nu een kopie van het excel document. En je weet op voorhand niet hoe goed of slecht iemand met dat excelbestand omgaat. 

Voordat je het weet gaat die excellijst een eigen leven leiden en gaan er talloze organisaties met de persoonsgegevens aan de haal. En wanneer iemand erachter komt dat je op die manier met hun persoonsgegevens bent omgegaan kun je je borst natmaken.

Wanneer je een email verstuurd met een bijlage die persoonsgegevens bevat 

Hieronder geven we je een paar tips waarmee je zoveel mogelijk kunt voorkomen dat je je privacy gevoelige informatie lekt. Bedenk je goed dat er nooit van je wordt verwacht dat je iedere punt en komma 100% naar de letter van de Wet hebt toegepast . Je zult echter wel zo goed mogelijk je best moeten doen om het na te streven en datalekken te voorkomen. 

Tips om een datalek te voorkomen – Verzender

Wanneer je een mail verstuurt met een bijlage die persoonsgegevens bevat: 

  • Verwijder direct na verzending je verzonden mail.
  • Leeg je prullenbak in je mailprogramma. Na verwijdering van het mailbericht is deze namelijk nog steeds terug te vinden in je prullenbak.

Encryptie / Versleuteling van mailberichten

Wanneer je een mail verzend die privacygevoelige informatie bevat, zorg er dan, zoveel mogelijk, voor dat je het mailbericht beveiligd. Door encryptie (het mailbericht te versleutelen en daarmee onleesbaar maken voor personen of bedrijven) wordt het bericht onleesbaar. Alleen de ontvanger kan, door het invoeren van een beveiligingscode (verkregen via SMS) zich identificeren. Hiermee krijgt alleen de ontvanger toegang tot de inhoud van het mailbericht.

Zelfvernietiging van mailberichten

Het kan natuurlijk best voorkomen dat je gewoonweg bent vergeten je verzonden items te verwijderen. Het kan iedereen overkomen. Gelukkig is ook daar een oplossing voor: Het mogelijk om een mailbericht na een bepaalde periode zichzelf te laten verwijderen (SelfDestruct). Per mail provider zijn hier verschillende oplossingen voor. 

Hier kun je lezen hoe je een mailbericht versleuteld via Gmail en Outlook. Heeft jouw mailprovider deze (SelfDestruct) oplossing niet dan zijn er tal van externe varianten te verkrijgen; gratis of betaald.

Wanneer je een mail ontvangt met een bijlage die persoonsgegevens bevat

Hieronder geven we je een paar tips waarmee je zoveel mogelijk kunt voorkomen dat je je privacy gevoelige informatie lekt. Bedenk je goed dat er nooit van je wordt verwacht dat je 100% veilig bezig bent. Je zult echter zo goed mogelijk je best moeten doen om datalekken te voorkomen. 

Tips om een datalek te voorkomen – Ontvanger

Wanneer je een mail ontvangt met een bijlage die persoonsgegevens bevat:

  • Sla ontvangen lijsten met persoonsgegevens op in een beveiligde map, voorzien van een moeilijk te raden wachtwoord. Een wachtwoord als: “Geheim123” is een voorbeeld van een makkelijk te achterhalen wachtwoord. Gebruik liever hele zinnen en/of werk met verschillende karakters in je wachtwoord.  
  • Gebruik nooit je map “downloads” om privacygevoelige informatie op te slaan. Deze map zal door een hacker als eerste zal worden bekeken, wanneer hij zich toegang tot je computer heeft verschaft. Tip: Kijk eens in je downloadmap en zoek naar .xls of .xlsx bestanden. Staat hier privacygevoelige informatie op? Verplaats deze bestanden naar een afgeschermde map op je computer.
  • Sla geen bestanden op met privacygevoelige informatie op je bureaublad. Ook hier zijn je bestanden voor iedereen in te zien, waarmee je de kans op een datalek vergroot.
  • Verwijder een ontvangen mailbericht die privacygevoelige informatie(bestanden) bevat of sla deze, beveiligd met een wachtwoord, op. 
  • Leeg je prullenbak in je mailprogramma. Na verwijdering van het mailbericht is deze namelijk nog steeds terug te vinden in je prullenbak. 

Tot zover het hoofdstuk: “De AVG en evenementen – vooraf het evenement”. Was dit voor jou een nuttig artikel? Deel het dan gerust met je branchegenoten en/of collega’s. In het volgende artikel gaan we in op het onderdeel: De AVG en evenementen – tijdens het evenement. 

error: Copy beveiliging * De inhoud van deze website is beveiligd | Copy Security * Content is protected !!