GDPR en evenementen: wat moet een welzijnsorganisatie weten?

De boete die een collega organisatie trof

Een welzijnsorganisatie in mijn regio ontving in 2024 een brief van de Autoriteit Persoonsgegevens na een klacht van een oud-deelnemer. De klacht: de organisatie had de emailadressen van evenementdeelnemers gebruikt voor een nieuwsbrief waarvoor die deelnemers nooit expliciet toestemming hadden gegeven. De afhandeling kostte hen drie weken werk, een juridisch advies en uiteindelijk een waarschuwing met de dreiging van een boete bij herhaling.

De fout was simpel: het aanmeldformulier had geen aparte toestemmingsvraag voor nieuwsbrief aanmelding. Registratie voor een evenement werd stilzwijgend als toestemming voor alle communicatie behandeld. Dat mag niet.

GDPR hoeft niet ingewikkeld te zijn. Maar het vraagt wel bewuste keuzes bij elke stap van je evenementenproces.

Welke persoonsgegevens verwerk je bij een evenement?

Bij vrijwel elk evenement verwerk je minimaal de volgende categorieën persoonsgegevens:

• Naam en emailadres (voor registratie en communicatie)
• Telefoonnummer (optioneel, voor last-minute contact)
• Organisatie en functie (voor B2B events)
• Dieetwensen en toegankelijkheidsbehoeften (bijzondere persoonsgegevens: gezondheidsdata)
• Check-in tijdstip en aanwezigheidsregistratie
• Enquêteantwoorden (mening, evaluatie)
• Foto- en videomateriaal (als je dit vastlegt)

Dieetwensen en toegankelijkheidsbehoeften zijn bijzondere persoonsgegevens in de zin van de AVG omdat ze informatie onthullen over gezondheid. Daarvoor gelden strengere regels: je hebt altijd expliciete toestemming nodig en je moet ze beveiligd opslaan.

De vier rechtsgronden voor verwerking

Elke verwerking van persoonsgegevens heeft een rechtsgrond nodig. Voor evenementen zijn twee rechtsgronden het meest relevant:

Uitvoering van een overeenkomst

Als iemand zich aanmeldt voor je evenement ga je een overeenkomst aan: jij levert een bijeenkomst, de deelnemer neemt deel. De verwerking van naam en emailadres voor de bevestigingsmail en communicatie over het evenement valt onder deze rechtsgrond. Je hebt hiervoor geen aparte toestemming nodig.

Toestemming

Voor elk gebruik dat verder gaat dan de uitvoering van de overeenkomst heb je expliciete toestemming nodig. Nieuwsbrief aanmelding, gebruik van foto's, doorsturen van contactgegevens naar sponsors of sprekers: allemaal aparte toestemmingsvragen in je aanmeldformulier.

Bewaartermijnen voor evenementendata

Hoe lang mag je de data van evenementdeelnemers bewaren? De AVG stelt geen vaste termijnen maar hanteert het principe van minimale bewaring: niet langer dan noodzakelijk voor het doel waarvoor de data is verzameld.

Praktische richtlijnen voor welzijnsorganisaties:

• Registratiedata (naam, email, aanwezigheid): maximaal één jaar na het evenement voor operationele doelen. Langer als je kunt aantonen dat het noodzakelijk is voor WMO rapportage, maximaal zeven jaar voor financieel relevante data (bewaarplicht).
• Enquêteresultaten: maximaal twee jaar in geïdentificeerde vorm. Daarna anonimiseren of verwijderen.
• Foto- en videomateriaal: zolang de betrokkene toestemming heeft gegeven of totdat de toestemming wordt ingetrokken.
• Dieetwensen en gezondheidsdata: verwijderen direct na het evenement, tenzij er een specifieke reden is om ze langer te bewaren.

De verwerkersovereenkomst

Als je een extern platform gebruikt voor je evenementenregistratie (zoals Bijeen.app), ben jij de verwerkingsverantwoordelijke en is het platform de verwerker. Dat vereist een verwerkersovereenkomst tussen jou en het platform. Een goede eventplatformleverancier stelt dit standaard beschikbaar. Bijeen.app heeft een standaard verwerkersovereenkomst die je kunt downloaden via je accountinstellingen.

Zonder verwerkersovereenkomst ben jij als organisatie aansprakelijk voor de gegevensverwerking door het platform. Dat is een risico dat je eenvoudig kunt vermijden door het contract te sluiten.

Fotograferen en filmen op evenementen

Dit is het gebied waar welzijnsorganisaties de meeste fouten maken. Een foto van een groep mensen op een evenement is een verwerking van persoonsgegevens van alle herkenbare personen op die foto. Je hebt toestemming nodig.

Praktische aanpak: vermeld in je aanmeldformulier dat er gefotografeerd wordt en voor welk doel (website, sociaal media, jaarverslag). Geef deelnemers de optie om fotografietoestemming te weigeren. Zorg dat je team weet wie niet gefotografeerd wil worden.

Voor een complete aanpak zie het artikel over fotografietoestemming op evenementen in de kennisbank.

Veelgestelde vragen

Moet ik een privacyverklaring hebben als welzijnsorganisatie?

Ja, altijd. De AVG verplicht elke organisatie die persoonsgegevens verwerkt tot een transparant privacybeleid. Die verklaring moet minimaal beschrijven: welke data je verzamelt, waarvoor, op basis van welke rechtsgrond, hoe lang je het bewaart en hoe betrokkenen hun rechten kunnen uitoefenen.

Wat doe ik als een deelnemer vraagt om zijn of haar data te verwijderen?

Een verzoek tot verwijdering moet je in principe honoreren tenzij je een dwingende reden hebt om de data te bewaren (zoals een wettelijke bewaarplicht). Beantwoord het verzoek binnen één maand. Als je Bijeen.app gebruikt kun je data per deelnemer verwijderen via het deelnemersbeheer scherm.

Geldt de AVG ook voor kleine stichtingen met minder dan tien medewerkers?

Ja. De AVG geldt voor elke organisatie die persoonsgegevens van EU-burgers verwerkt, ongeacht de omvang. Er zijn geen uitzonderingen op basis van organisatiegrootte. De schaal van je verwerking bepaalt wel hoeveel je specifiek moet documenteren, maar de basisverplichtingen gelden voor iedereen.