Voor de organisatie van events worden onvermijdelijk persoonsgegevens verwerkt. Soms blijft het bij wat basic gegevens voor het inkomticket, in andere gevallen worden de meest diverse gegevens door de meest gesofisticeerde algoritmes verwerkt.
5 lessen na 5 jaar GDPR in de eventsector.
1. Geen weg rond de GDPR
Hoewel de GDPR vijf jaar na haar inwerkingtreding voor organisatoren uit de sport-, festival- en entertainment-sector al lang geen nobele onbekende meer is, is compliance er niet bepaald gemakkelijker op geworden. Het willen aanbieden van een gepersonaliseerde beleving stoot nog veel te vaak op een complexe wetgeving die met pop-ups en vinkjes de creativiteit lijkt te beperken.
Hoewel er wel eens wordt beweerd dat de meeste mensen zich weinig aantrekken van hun rechten als “betrokkene” en de vele vragen voor toestemming zelfs als storend ervaren, is één enkele klacht voldoende om door de Gegevensbeschermingsautoriteit (“GBA”) op de vingers te worden getikt.
De GBA liet onlangs weten sinds de inwerkingtreding van de GDPR 3.749 klachten te hebben gekregen (waarvan 1120 betrekking hadden op slechts 1 vermeend gegevenslek in 2021). Naast de significante boetes waar sommige advocaten en consultants zo graag naar verwijzen, is de reputationele impact niet te onderschatten, omdat het vertrouwen in organisatoren, en dus hun events, door de weerklank van één enkele klacht op losse schroeven kan komen te staan.
2. Documenteren, documenteren, documenteren
Zowel in de 592 onderzoeken als de 535 procedures is gebleken dat het voor de GBA cruciaal is om compliance-gerelateerde activiteiten afdoende gedocumenteerd te hebben. “Welke informatie werd aan deze betrokkene gegeven?” “Hoe kan je aantonen dat deze betrokkene hiervoor zijn/haar toestemming heeft gegeven?” “En wanneer was dat?” “En bent u zeker dat de toestemming niet terug werd ingetrokken?” “Werd er nog iets naar de betrokkene gestuurd (opgelet, we hebben misschien een e-mail die aantoont dat dit wél het geval was…)?”
Een ander cruciaal element waar de Inspectiedienst van de GBA zeer veel belang aan hecht is het register van de verwerkingsactiviteiten. “Hoe kan u beweren dat u gegevens afdoende beschermt als u geen overzicht hebt van de gegevens die u verwerkt?”
Gebruik data mapping als een manier om uw data-gerelateerde risico’s op een accurate manier in te schatten en uw register als een one-stop-shop document voor uw plannen om deze risico’s doeltreffend aan te pakken.
3. De “creepiness”-factor
“Wie is dit en hoe komen ze aan mijn gegevens?” Waarschijnlijk heeft u zich dit al afgevraagd bij het ontvangen van een e-mail van een schijnbaar onbekende zender. Het gevoel dat een dergelijke e-mail met zich meebrengt varieert van ontvanger tot ontvanger en van onverschilligheid tot ergernis tot regelrechte angst.
De enige echt werkbare manier om hierop te anticiperen is om voorgenoemde vragen op voorhand te beantwoorden. Wie op een festival voor een podium heeft staan springen zal de link met de verzender waarschijnlijk gemakkelijk leggen, maar iemand die een communicatie krijgt van een minder bekende eventorganisator kan dat misschien niet. In zulk geval kan het schetsen van de context wonderen doen – of alvast een klacht bij de GBA vermijden, zeker gezien de GBA “direct marketing” als een prioriteit in haar Strategisch Plan 2020-2025 heeft opgenomen.
Hetzelfde geldt voor andere verwerkingen tijdens het event. U heeft er misschien lang over nagedacht en alle mogelijk maatregelen genomen, maar als de betrokkenen niet weten dat u hun gegevens op een bepaalde manier ging gebruiken, kan uw activiteit snel als eng ervaren worden.
Wij spreken graag over de “creepiness-factor”, de GBA heeft het liever over het aantonen dat “het in lijn is met de verwachtingen van de betrokkenen”, maar we hebben het over hetzelfde: transparantie is de sleutel, niet alleen voor uw direct marketing berichten, maar ook tijdens het bestelproces, in de gegevensbeschermingsverklaring op uw website, etc.
4. Vertrouwen is goed, controleren (en documenteren) is beter
Zoals je erop moet vertrouwen dat elke medewerker bezoekers behandelt volgens de normen en waarden van uw organisatie, moet u er ook op kunnen vertrouwen dat elke partij die persoonsgegevens voor u verwerkt dit volgens uw verwachtingen doet – en dus ook in overeenstemming met de vereisten van de GDPR.
Hoewel jarenlange afspraken duidelijk kunnen zijn voor alle betrokken partijen en er de factogeen risico bestaat voor de betrokkenen, verwacht de GDPR dat alle afspraken gedocumenteerd zijn in een specifieke gegevensverwerkingsovereenkomst. Gebruik het opstellen van zulke overeenkomst als een opportuniteit om alle gegevensstromen (nog eens) te bespreken, inclusief de gegevensdoorgiftes buiten de Europese Unie, die momenteel nog maar eens ter discussie staan…
Als cybersecurity-advocaat is het frappant om steeds weer vast te moeten stellen dat partijen niet weten dat ze door een bepaald incident in een bepaalde jurisdictie getroffen zijn, eenvoudigweg omdat ze niet wisten dat hun dienstverleners de verwerking op hun beurt verder uitbesteed hadden. Voorgenoemde data mapping zou dit aan het licht moeten brengen, maar omdat u niet weet wat u niet weet, is de blijvende input van dienstverleners zeker geen overbodige luxe.
5. Het belang van de rechten van betrokkenen
De bescherming van persoonsgegevens staat in het Handvest van de Grondrechten van de Europese Unie naast andere rechten, vrijheden en beginselen zoals het recht op leven of het verbod op foltering. Dit is het niveau van belang dat de GBA in acht neemt wanneer ze oordeelt of rechten van de betrokkenen al dan niet werden gerespecteerd.
Behandel elke vraag in verband met de bescherming van persoonsgegevens dan ook serieus, en zorg dat de juiste procedures bestaan om de uitoefening van rechten binnen het juiste kader en strikte tijdsspanne op te volgen, niet in het minst omdat ook dit door de GBA als “prioritair” werd bestempeld in haar Strategisch Plan 2020-2025.
Conclusie
Hoewel het moeilijk te ontkennen is dat de GDPR bepaalde aspecten van de organisatie van events nóg complexer heeft gemaakt en de wetgeving door de sector niet bepaald op een staande ovatie werd onthaald, hebben de meeste organisatoren in de afgelopen vijf jaar ingezien dat deze wetgeving ervoor heeft gezorgd dat ze meer controle hebben gekregen over wat ze doen met persoonsgegevens.
Door waardeloze “big data” te vervangen door georganiseerde “smart data”, rekening te houden met fundamentele principes zoals transparantie, en persoonsgegevens als een goede huisvader te beheren, kan het publiek vol vertrouwen aan events deelnemen zonder dat bezorgdheden over hun persoonsgegevens een stoorzender worden. Nu de event sector weer op volle toeren draait, is ook dit vertrouwen meer dan welkom.