De Algemene Verordening Gegevensbescherming (AVG) heeft rechtstreeks gevolgen voor elke organisator die gegevens van bezoekers verzamelt. E-mails, namen, telefoonnummers, aankoopvoorkeuren... dit zijn allemaal persoonsgegevens die conform de regelgeving moeten worden behandeld. Niet-naleving kan leiden tot boetes tot 20 miljoen euro of 4% van de jaaromzet. Deze gids legt het essentiële uit.
Gegevens die je verzamelt (en misschien niet wist)
Als eventorganisator verzamel je meer gegevens dan je waarschijnlijk denkt. Het is belangrijk om ze allemaal te identificeren om ze correct te beheren.
- Aankoopgegevens: naam, e-mail, telefoon, factuuradres
- Toegangsgegevens: tijdstip van binnenkomst, zone, validatiepogingen
- Gedragsgegevens: bezochte pagina's, verlaten winkelwagentjes
- Apparaatgegevens: IP, browser, besturingssysteem
- Optionele gegevens: voorkeuren, geboortedatum, geslacht
Rechtsgronden voor verwerking
De AVG vereist dat elke gegevensverwerking een rechtsgrond heeft. Voor eventorganisatoren zijn de meest relevante:
- Uitvoering van een overeenkomst: je hebt de gegevens nodig om het ticket te verkopen en te leveren
- Toestemming: om nieuwsbrieven of commerciële communicatie te versturen
- Gerechtvaardigd belang: om fraude te voorkomen of de dienstverlening te verbeteren
- Wettelijke verplichting: fiscale gegevens die je wettelijk moet bewaren
Toestemming: hoe deze correct te verkrijgen
Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Dit betekent dat je geen vooraf aangevinkte vakjes mag gebruiken, de aankoop niet afhankelijk mag maken van het accepteren van marketing, en de toestemming niet mag verbergen in algemene voorwaarden.
- Aparte selectievakjes voor elk doel (één voor marketing, één voor derden)
- Duidelijke en begrijpelijke taal, zonder juridisch jargon
- Toestemming even eenvoudig intrekbaar als te geven
- Registratie van wanneer en hoe elke toestemming is verkregen
Rechten van bezoekers
Bezoekers hebben rechten over hun gegevens die je moet kunnen afhandelen. Je hebt één maand om op elk verzoek te reageren.
- Inzage: weten welke gegevens je over hen hebt
- Rectificatie: onjuiste gegevens corrigeren
- Wissing: hun gegevens verwijderen (met wettelijke uitzonderingen)
- Overdraagbaarheid: hun gegevens in gestructureerd formaat ontvangen
- Bezwaar: bepaalde verwerkingen weigeren
Leveranciers en verwerkers
Wanneer je een ticketingplatform, een e-mailmarketingdienst of een andere leverancier gebruikt die toegang heeft tot de gegevens van je bezoekers, heb je een verwerkersovereenkomst nodig. Dit contract bepaalt wat de leverancier met de gegevens mag doen en welke beveiligingsverplichtingen die heeft.
- Controleer of je leveranciers voldoen aan de AVG
- Onderteken verwerkersovereenkomsten
- Controleer waar ze gegevens opslaan (internationale doorgiften)
- Houd een register bij van alle leveranciers met gegevenstoegang
Beveiligingsinbreuken
Als je te maken krijgt met een beveiligingsinbreuk die persoonsgegevens treft, heb je 72 uur om de Autoriteit Persoonsgegevens op de hoogte te stellen. Als het risico hoog is, moet je ook de betrokkenen informeren. Het is essentieel om een protocol klaar te hebben voordat het gebeurt.
Conclusie
De AVG is niet alleen een wettelijke verplichting, het is een kans om vertrouwen op te bouwen bij je bezoekers. Gegevens transparant en verantwoord beheren verbetert je reputatie en vermindert risico's. Investeer tijd in het correct implementeren van de basis en actualiseer deze wanneer je processen veranderen.