De GDPR/AVG van Eventix

avatar

Max Seffelaar

7 juni 2018

Het kan niet anders dan dat je de term GDPR in de afgelopen weken of maanden bent tegengekomen. De term GDPR staat voor General Data Protection Regulation (in het Nederlands de AVG: Algemene Verordening Gegevensbescherming). Hoewel de GDPR grotendeels aansluit op de al geldende Nederlandse Wet Bescherming Persoonsgegevens, zullen er toch een aantal belangrijke wijzigingen worden doorgevoerd. Daarom geven we in deze blog de antwoorden op vragen die jij hebt.

In deze blog kom je meer te weten over vier belangrijke punten:

  • Wat is de GDPR en wat houdt het in?
  • Welke maatregelen treft Eventix vanwege de GDPR?
  • Persoonsgegevens bij Eventix.
  • Wat verandert er voor jou als organisatie?

Wat is de GDPR en wat houdt het in?

Deze nieuwe privacywet is ingevoerd door de Europese Unie en wordt van toepassing vanaf 25 mei 2018. Het doel achter de GDPR is om de persoonsgegevens van bezoekers meer te beschermen. Of beter gezegd, het zorgt ervoor dat consumenten meer controle krijgen over datgene wat er met hun gegevens gedaan wordt.

Vanaf 25 mei 2018 zul je als organisator expliciet toestemming moeten vragen om bepaalde gegevens van bezoekers op te vragen wanneer de opgevraagde gegevens niet direct relevant zijn bij het organiseren van een evenement.

Daarnaast hebben je bezoekers als persoon meer rechten als het gaat om hoe er met hun persoonsgegevens wordt omgegaan. Zo kunnen bezoekers aangeven dat ze gegevens over zichzelf willen verzamelen, of dat ze vergeten willen worden door jou als organisatie. Dit laatste houdt in dat alle gegevens over deze bezoeker verwijderd of geanonimiseerd worden.

Welke maatregelen treft Eventix vanwege de GDPR?

Samen met een evenementenorganisatie is Eventix verwerkingsverantwoordelijk in de ogen van de GDPR. Als ‘verwerkingsverantwoordelijke’ van de persoonsgegevens moeten we uiteraard voldoen aan de GDPR. Daarom zijn er een aantal stappen die we hebben ondernomen om onszelf en jou als organisator aan de nieuwe regels te laten voldoen.

  • Algemene Voorwaarden en Externe Privacy Policy aanpassen: We publiceren nieuwe en aangepaste algemene voorwaarden en aangepast privacy statement die voldoen aan de GDPR. Dat betekent dat we expliciet vermelden wat we met de persoonsgegevens gaan doen en wat onze rol als verwerker is bij het verzamelen van persoonsgegevens.
  • Verwerkingsovereenkomsten: Als ‘verwerkingsverantwoordelijke’ zijn we verplicht om een verwerkingsovereenkomst te hebben met alle partijen die Eventix helpen bij het aanbieden van onze ticketservice. Hierin spreken we met elkaar af hoe onze partners omgaan met de gegevens van ticketkopers.
  • Registratie van verwerking: Onder de GDPR zijn wij verplicht een verwerkingsregister bij te houden. In dit register worden o.a. de persoonsgegevens, de verwerkingsdoeleinden en de ontvangers van persoonsgegevens bijgehouden. Welke informatie hier precies onder valt, kun je hier teruglezen.
  • Interne privacy policy: De interne privacy policy geeft ons personeel een duidelijke instructie voor het verwerken van persoonsgegevens. Onder meer wordt ingegaan op enige basisbeginselen gegevensverwerking, de hoedanigheid van Eventix bij verschillende verwerkingen en de omgang met specifieke ‘bijzondere’ persoonsgegevens. Op deze manier weet al het personeel wat het beleid is als het gaat om integriteit en veiligheid van data.

Persoonsgegevens bij Eventix

Als je je evenement bij ons aanmaakt kom je bij tickets het kopje ‘Bezoekersinformatie’ tegen. Met bezoekersinformatie bedoelen we de informatie die we vragen aan jouw bezoekers tijdens het aanschaffen van tickets via de ticketshop. Het zijn de velden die moeten worden ingevuld in het bestelproces, zoals naam, email, en leeftijd. De antwoorden die bezoekers geven zijn persoonsgegevens. We hebben zelf een aantal vragen die je standaard kunt instellen, maar je kunt deze ook handmatig toevoegen. (In deze handleiding gaan we uitgebreid in op hoe je Bezoekersinformatie instelt). Onder de GDPR mag je niet meer, zonder geldige reden, informatie over je bezoekers verzamelen. Je kunt hier vinden welke zeven redenen het opvragen van persoonsgegevens rechtvaardigen. Het is logisch dat we een bezoeker om een mailadres vragen, maar jij als organisator moet je afvragen of het bijvoorbeeld wel nodig is om de woonplaats van je bezoeker(s) op te vragen. Wanneer je dit vraagt, maar dit niet nodig is voor het organiseren van je evenement moet je de bezoeker toestemming vragen om deze gegevens, waarbij je aangeeft waarom je deze toch opvraagt.

Wat verandert er voor jou als organisatie?

Zoals je uit het voorgaande hebt kunnen opmaken, gaan er onder de GDPR een aantal zaken veranderen. Wij willen voorkomen dat je, als gevolg hiervan, veel ingrijpende maatregelen moet nemen. Zoals je weet is automatisering één van onze speerpunten. Dit streven voeren we ook door in onze implementatie van de GDPR. Wij zorgen ervoor dat er vanaf 25 mei standaard algemene voorwaarden automatisch worden toegevoegd aan jouw shop. Als je je eigen algemene voorwaarden al hebt opgenomen bij ons, laten we die staan en zal er niks veranderen. Wanneer je die nog niet hebt, nemen wij die zorg uit handen. De voorwaarden die we namens jouw organisatie aan de bezoeker stellen synchroniseren automatisch met de ‘Bezoekersinformatie’ die in jouw ticketshop gevraagd wordt.

We vangen zoveel mogelijk voor je op, maar er zijn tóch een aantal stappen die je zelf moet ondernemen om het risico van misbruik van persoonsgegevens zo laag mogelijk te houden:

  1. Zorg voor betrouwbare mensen in je team: Persoonsgegevens worden een fragiel onderwerp dat je met fluwelen handschoenen moet behandelen. Kies daarom mensen uit je organisatie die je 100% vertrouwt als het gaat om de toegang tot persoonsgegevens.
  2. Geef het doel aan: Geef duidelijk de relevantie van gegevens aan waarvoor ze gebruikt worden. Neem hierin duidelijk op dat de gegevens die je verzamelt relevant zijn voor bijvoorbeeld een marketingcampagne. Dit geldt ook voor cookies.
  3. Think before you print: Het kan zijn dat je voor je evenement een presentielijst hebt die geprint wordt. Het printen van een tastbare presentielijst verhoogt het risico dat gegevens kwijt raken en bij mensen terecht komt die er gebruik of misbruik van kunnen maken. Als je digitaal deze gegevens verzamelt is dit veiliger, omdat je digitale bestanden kunt beveiligen door het anoniem te maken of versleuteling met bijvoorbeeld een pincode.
  4. Meld een datalek binnen 72 uur: Een ongeluk zit in een klein hoekje, zo kan een niet versleutelde laptop van de achterbank van een auto gestolen worden. Indien je in de gaten hebt dat er een datalek ontstaan is, ben je verplicht dit binnen 72 uur bij de Autoriteit Persoonsgegevens te melden. We hebben een document waarmee je snel een volledige melding bij de Autoriteit Persoonsgegevens kunt doen.

Als er in de toekomst het één en ander gaat veranderen, zullen we je direct op de hoogte stellen van deze ontwikkelingen. Mocht je vragen of feedback hebben, neem contact op via de chat of info@eventix.io

avatar

Max Seffelaar

Back