Wanneer heb je toestemming nodig om gegevens te verzamelen?

In Stamhoofd kan je zelf je eigen kenmerken toevoegen. Dat is handig, maar hierbij moet je zelf wel goed weten wanneer je toestemming nodig hebt om iets te verzamelen en hoe je daarmee om moet gaan.


Volgens de GDPR-wetgeving kan je gegevens enkel verzamelen als het voldoet aan één van de volgende eisen (de rechtsgronden):

  • de persoon waarvan je de gegevens wenst te verwerken, stemt toe;
  • de verwerking van persoonsgegevens is noodzakelijk (een verwerking vormt een uitzondering op de bescherming van persoonsgegevens en de beperkingen ervan moeten binnen de grens van het strikt noodzakelijke blijven, wat niet meer is dan de toepassing van principe van de minimale gegevensverwerking vermeld in artikel 5.c) AVG):
    • voor de uitvoering van een overeenkomst;
    • om te voldoen aan een wettelijke verplichting;
    • voor de bescherming van de vitale belangen van een persoon;
    • voor de vervulling van een taak van algemeen belang of de uitoefening van het openbaar gezag;
    • voor de behartiging van een gerechtvaardigd belang.

Als de verzameling dus niet noodzakelijk is (zoals bepaald in de laatste 5 punten), moet je dus al meteen toestemming vragen om gegevens te verzamelen. Voor alle gegevens die je verzamelt moet je kunnen verantwoorden waarom je die verzamelt en volgens welke rechtsgrond.

Daarnaast heb je ook nog een belangrijke uitzondering. En die uitzondering komt meteen heel vaak voor bij verenigingen: gevoelige gegevens. Dit zijn:

  • de bijzondere categorieën van persoonsgegevens zoals vermeld in artikel 9.1 AVG, meer bepaald:

ras of etnische afkomst; - politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond; - genetische gegevens (bv. een DNA analyse) (zie ook overweging 34 bij de AVG); - biometrische gegevens met het oog op unieke identificatie (bv. vingerafdrukgegevens of iris- of gelaatsherkenning); - gezondheidsgegevens (zie ook overweging 35 bij de AVG); - gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

  • persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (artikel 10 AVG)

Op deze gegevens rust een verwerkingsverbod, tenzij in de volgende situaties:

  • de betrokkene heeft er uitdrukkelijk mee ingestemd;
  • de verwerking is noodzakelijk ter uitvoering van verplichtingen ingevolge het arbeidsrecht of het sociale zekerheids- en sociale beschermingsrecht;
  • de verwerking is noodzakelijk ter bescherming van vitale belangen;
  • verwerkingen door verenigingen en instanties -werkzaam op politiek; levensbeschouwelijk, godsdienstig of vakbondsgebied- met betrekking tot hun leden; de gegevens mogen niet aan derden worden meegedeeld zonder toestemming van de betrokkenen;
  • de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang door of krachtens de wet;
  • de verwerking is noodzakelijk voor het verstrekken van gezondheidszorg;
  • voor archivering in het algemeen belang of wetenschappelijk, historisch of statistisch onderzoek

Voor gevoelige gegevens die een vereniging verzamelt kan je dus soms zonder toestemming wel die gegevens verzamelen. Maar wij oordelen dat de uitzonderingen hier toch te vaag zijn, en dat het bovendien nog steeds de vrije keuze moet zijn van een lid of je bepaalde gevoelige gegevens mag verzamelen. Daarom raden we je aan om ALTIJD toestemming te vragen voor gevoelige gegevens.


Voorbeelden

Allergieën

Dit gaat om gezondheidsgegevens, en is dus gevoelige informatie. Ookal kan deze informatie soms van levensbelang zijn, vraag hiervoor altijd toestemming.

Gevoelige gegevens Toestemming vragen End-to-end versleuteld opslaan

Vrije opmerkingen

Je hebt geen controle over de informatie die een lid kan invullen. Vraag dus altijd toestemming, want hier kunnen onverwacht gevoelige gegevens (zoals gezondheidsgegevens) in komen.

Gevoelige gegevens Toestemming vragen End-to-end versleuteld opslaan

Aanvinkvakjes met vrije opmerking

Je hebt geen controle over de informatie die een lid kan invullen. Vraag dus altijd toestemming, want hier kunnen onverwacht gevoelige gegevens (zoals gezondheidsgegevens) in komen.

Gevoelige gegevens Toestemming vragen End-to-end versleuteld opslaan

Toestemming om foto's te verzamelen

Hiervoor heb je uiteraad geen toestemming nodig. Bovendien verzamel je dit soort informatie best ook niet end-to-end versleuteld (lid dat zijn wachtwoord vergeet moet dit niet opnieuw ingegeven dan).

Gevoelige gegevens Toestemming vragen End-to-end versleuteld opslaan

Toestemming voor toedienen medicatie

Gaat het hier enkel om een aanvinkvakje, gaat het enkel om algemene medicatie waaruit geen medische voorgeschiedenis valt af te leiden, en zijn er geen vrije opmerkingen mogelijk, dan gaat het niet om gevoelige informatie. Bovendien verzamel je dit soort informatie best ook niet end-to-end versleuteld (lid dat zijn wachtwoord vergeet moet dit niet opnieuw ingegeven dan).

Gevoelige gegevens Toestemming vragen End-to-end versleuteld opslaan

Noodzakelijke medicatie

Vragen welke medicatie iemand moet krijgen, is wel gevoelige informatie.

Gevoelige gegevens Toestemming vragen End-to-end versleuteld opslaan

Naam ouders

We raden aan om contactgegevens en andere persoonsgegevens altijd end-to-end versleuteld op te slaan.

Gevoelige gegevens Toestemming vragen (tenzij geen noodzakelijke verzameling) End-to-end versleuteld opslaan