Woensdag 17 januari was de eerste Insight Session van 2018. Een groep van 22 event professionals kwam samen in ons gloednieuwe kantoor! Deze 1e sessie ging over de nieuwe Europese privacywetgeving AVG (GDPR in het Engels)*. Sinds vrijdag 25 mei 2018 is deze nieuwe wetgeving van kracht. Toch is er voor event professionals nog veel te leren over dit onderwerp. Tijd om de praktische toepassingen te bespreken!
*De nieuwe wetgeving heet Algemene Verordening Gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR). Deze termen worden door elkaar gebruikt.
1. Wat verandert er voor event professionals met de nieuwe wetgeving?
De nieuwe Europese privacy wetgeving gaat er op toezien dat persoonsgegevens beter beschermd worden. Als event professional moet je dus nagaan welke persoonsgegevens jij verwerkt en of je dat veilig genoeg doet zodat deze gegevens niet op straat komen te liggen. Je leveranciers spelen hierin een grote rol. Wie krijgen toegang tot de gegevens en gaan ze daar zorgvuldig genoeg mee om?
Je dient met alle leveranciers die persoonsgegevens verwerken een verwerkersovereenkomst af te stemmen waarin je afspraken maakt over het verwerken van die gegevens. Denk aan (on site) registratiepartners en registratie software.
2. Wie is waarvoor verantwoordelijk en aansprakelijk?
Als bedrijf ben je eindverantwoordelijk voor de persoonsgegevens. Je moet er dus voor zorgen dat het verwerken van jouw data zorgvuldig gedaan wordt door de leveranciers waarmee je die gegevens deelt. Je kunt een leverancier (zoals een registratie / software partner) aansprakelijk stellen voor bepaalde verantwoordelijkheden. Zij moeten de data ook netjes verwerken en opslaan.
Je moet dus met je leveranciers duidelijke afspraken maken over de type gegevens, hoe en waar die verwerkt worden en op welke manier beveiligd zijn. Dit stem je af in een verwerkersovereenkomst - deze overeenkomst is vanaf mei dit jaar verplicht.
3. Wat is een verwerkersovereenkomst?
Een overeenkomst tussen jou en de leveranciers die namens jou persoonsgegevens verwerken. Je stemt hierin af wie waarvoor verantwoordelijk is, welke data verwerkt wordt, hoelang die bewaard wordt, hoe de data beveiligd wordt en wat er gebeurt als er een datalek plaatsvindt. Meer details vind je hier.
Momice biedt een verwerkersovereenkomst aan die exact aansluit op event registratie. Alle verplichte onderdelen worden erin behandeld. Gebruik deze verwerkersovereenkomst als basis om te onderhandelen. Dat scheelt veel tijd voor beide partijen!
4. Welke persoonsgegevens mag ik wel en niet vragen?
Het is aan te raden om met met de security en privacy officer binnen je organisatie af te stemmen welke gegevens jij aan je genodigden mag vragen. Normale persoonsgegevens (naam, bedrijf, email) vragen een ander beveiligingsniveau dan bijzondere persoonsgegevens (BSN nummer, creditcard of medische gegevens).
Het verwerken van die gegevens voor jouw event brengt grote risico's met zich mee. Zoek naar alternatieve manieren die wel aan het veiligheidsbeleid van jouw organisatie voldoen.
5. Vermeld je op een event website wat je doet met de persoonsgegevens?
Ja, op iedere website waar je persoonsgegevens verwerkt moet je aangeven wat je met deze gegevens gaat doen. Je kunt linken naar de privacy pagina van je bedrijf of als het per event verschilt, kun je dat uitleggen op de event website.
6. Kun je de strenge Europese privacywet omzeilen als je jouw data in de VS opslaat en verwerkt?
Nee, dit heeft geen invloed. Als Europees bedrijf wordt je aansprakelijk gesteld voor de manier waarop JIJ met jouw data (en die van je klanten) omgaat. Of je ze nu in Nederland, Duitsland of de VS opslaat.
Het werken met leveranciers uit de VS heeft wél consequenties: zij hanteren minder strikte regels, waardoor het kan zijn dat ze niet aan de Europese voorwaarden voldoen. Houd dit in je achterhoofd wanneer je overweegt met een Amerikaanse partner samen te werken.
7. Hoe kan ik zo veilig mogelijk presentaties en registratielijsten delen met mijn collega of leveranciers?
Het belangrijkste is dat je controle houdt over de bestemming van de data. Probeer daarom het versturen van lijsten met grote aantallen persoonsgegevens per mail te voorkomen. Als je met event software werkt, kun je de lijst importeren of een koppeling maken met je CRM systeem.
Is er geen andere mogelijkheid dan mailen? Sla het bestand dan op met een wachtwoord en stuur het wachtwoord per SMS / WhatsApp of ander apart kanaal. Voor grote (gevoelige) bestanden kun je WeTransfer gebruiken. Bij de betaalde versie kun je ook een wachtwoord toevoegen. Het is wel aan te raden om ook met hen een verwerkersovereenkomst af te stemmen. Binnenkort wordt deze standaard door WeTransfer aangeboden.
8. Hoe ga ik om met het printen van badges en draaiboeken bij een copyshop? Valt dit ook onder de GDPR en geldt verlies als een datalek?
In draaiboeken staan ook persoonsgegevens maar het gaat om kleine aantallen. Ze worden niet verwerkt dus dit is geen groot risico. In het geval van badges moet je wel oppassen: Een leverancier (copyshop) ontvangt een grote lijst met persoonsgegevens die uitgeprint worden, dus moet je ook met deze leverancier een verwerkersovereenkomst afsluiten.
9. Wat is privacy by design?
Privacy by design betekent dat je de software zo inricht dat je zorgvuldig met data van klanten omgaat. Bijvoorbeeld door inzage te bieden in welke data voor welke doeleinden wordt opgeslagen en de data niet langer opslaat dan nodig is.
Wanneer je met de registratie software van Momice werkt, helpen we je hiermee: Momice verwijdert de registratiegegevens automatisch 30 dagen na het event om databases niet langer dan nodig te bewaren. Door je events met Momice te organiseren, zijn al veel verplichtingen automatisch geregeld voor de GDPR.
10. Hoe moet ik als evenementenbureau omspringen met de nieuwe wetgeving?
Als je bij een evenementenbureau werkt, zijn er 3 partijen in het spel: de eindverantwoordelijke (opdrachtgever), de uitvoerder (bureau) en de verwerker (event software). De verantwoordelijkheid en aansprakelijkheid komt bij het bedrijf dat de factuur ontvangt. Dus wanneer de event software leverancier naar jou (het bureau) factureert, is ook jouw organisatie verantwoordelijk en aansprakelijk voor veilige opslag en verwerking. De opdrachtgever blijft eindverantwoordelijk voor de data.
We raden daarom aan om een aparte verwerkersovereenkomst af te sluiten tussen de opdrachtgever, het bureau en event software, waarin alle verantwoordelijkheden duidelijk uiteengezet worden. Uiteindelijk zal de opdrachtgever ook de gehele keten van verwerkers duidelijk willen hebben - dus iedereen is erbij gebaat.
11. Als iemand zich aanmeldt voor een event, mag ik die persoon ook mailings sturen buiten het event om?
Nee, deze persoon schrijft zich in voor een specifieke mailinglijst, door zich aan te melden voor een event. Hij geeft daarmee geen toestemming voor andere mailings. Wel kun je op de registratiepagina of in de bevestigingsmail een opt-in mogelijkheid bieden, waarmee jouw contact zich ook kan inschrijven voor andere mailings. Wees transparant en duidelijk over de frequentie en de inhoud van die mailings.
Conclusie
De nieuwe privacywetgeving, die ingaat op 25 mei 2018 heeft veel impact op de werkzaamheden van event professionals. Mede doordat zij vaak en veel persoonsgegevens verwerken en met diverse leveranciers samenwerken. Door de werkzaamheden en leveranciers in kaart te brengen, kun je er zorg voor dragen dat de events veilig en efficiënt georganiseerd worden volgens de nieuwe privacywet.
Insight Sessions 2018
Momice organiseert regelmatig Insight Sessions. Bij Insight Sessions gaan we dieper in op uitdagingen binnen events die je met de goed denkwerk en software op kunt lossen. Een perfect moment voor jou als event professional om je kennis bij te spijkeren. Houd onze social media kanalen in de gaten voor een update!