Sinds 25 mei 2018 moeten alle organisaties die persoonlijke gegevens van inwoners van de EU verzamelen, verwerken en gebruiken, voldoen aan de strengere privacyregels, voortkomend uit de Algemene Verordening Gegevensbescherming (AVG) ofwel General Data Protection Regulation (GDPR). Dit heeft tot gevolg dat ook openluchttheaters aan deze wet moeten voldoen voor het bewaren van persoonlijke gegevens in digitale bestanden, in mappen of zelfs op een plank. Het kunnen persoonlijke gegevens zijn van leden en medewerkers, klanten, ontvangers van nieuwsbrieven, sponsoren, relaties of bijvoorbeeld Vrienden van het theater.
Een aantal eisen vanuit de AVG/GDPR:
– Organisaties zijn verplicht passende organisatorische en technische maatregelen te treffen om persoonlijke gegevens op de juiste manier vast te leggen, te beheren en te beveiligen. Dat vergt aanpassingen aan ICT, interne procedures en contracten.
– Organisaties zijn verplicht bij te blijven met de stand der techniek, vooral op het gebied van digitale gegevensbeveiliging.
– Er gelden nieuwe regels over het verkrijgen van goedkeuring voor het gebruik van persoonlijke data;
– Er gelden nieuwe rechten voor de personen waarvan de gegevens bewaard worden. Deze personen hebben het recht om:
a. inzicht te krijgen in de wijze waarop u als organisatie met de persoonsgegevens omgaat.
b. desgevraagd ook inzicht te krijgen in zijn/haar gegevens.
c. om hun gegevens desgewenst uit de bestanden te laten verwijderen.
– Organisaties hebben een verantwoordingsplicht, die inhoudt dat u moet kunnen aantonen dat u aan de AVG voldoet wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt.
Als u klaar bent voor de AVG, dan heeft u niet alleen een goed verhaal voor de mensen van wie u persoonsgegevens verwerkt, maar ook voor de Autoriteit Persoonsgegevens (AP).
Voor de gegevensbestanden van uw theaters is het belangrijk om daarvoor onderstaande punten na te lopen en schriftelijk vast te leggen:
Waarvoor gebruikt het theater de gegevensbestanden?
Welke persoonlijke gegevens worden opgeslagen en hoe?
Hoe lang worden de gegevens bewaard (en motivatie waarom)?
Wie is verantwoordelijk voor de gegevensbescherming?
Wie zijn geautoriseerd binnen het theater om de gegevens te gebruiken?
Wie zijn geautoriseerd om de gegevens te verwerken. Hoe zijn de spelregels met dergelijke personen of bedrijven in een overeenkomst vastgelegd? Denk hierbij bijvoorbeeld aan derden die het ticket management voor uw theater uitvoeren.
Wat doen we bij een datalek?
Hoe zijn/worden betrokken klanten, leden en relaties geïnformeerd over het beleid van de het theater met betrekking tot het gebruik van hun persoonlijke gegevens?
Hoe geven klanten, leden en relaties etc. toestemming tot het gebruik van hun persoonlijke gegevens?
Hoe kunnen personen hun gegevens uit de theater-bestanden laten verwijderen?
Omdat openluchttheaters heel verschillend zijn wat hun werkwijzen en databestanden betreft, is het niet mogelijk om vanuit OLT.NL voor de verschillende aspecten uniforme templates of procedures aan te reiken, die voor elk theater praktisch hanteerbaar zijn. Wel hebben wij inmiddels van een aantal paar openluchttheaters voorbeelden ter beschikking gekregen: stappenplan, privacy statements, dataregisters en interne instructies. Via een e-mail aan secretaris@openluchttheaters.nl kunnen wij onze leden desgewenst voorbeelden toesturen. Heeft u overigens al zon template of procedure, waarvan u denkt dat andere theaters daar hun voordeel mee kunnen doen? Wij houden ons aanbevolen!
Voor aanvullende informatie klik hier.