Blog

Privacy & de zomerbarbecue: een voorbeeld uit de praktijk

Leestijd 4 minuten

Tijdens deze warme zomerdagen sta je natuurlijk liever op een barbecue of een borrel met collega’s of relaties dan dat je aan de AVG-compliance van je bedrijf aan het werken bent. Maar wist je dat de AVG zelfs een rol kan spelen wanneer je als bedrijf een barbecue organiseert voor je medewerkers en/of voor relaties? Hierna volgen drie tips voor het privacy-proof organiseren van een interne en/of externe bedrijfsactiviteit.

  1. Bedenk welke persoonsgegevens je van een potentiële deelnemer aan een activiteit nodig hebt voor het organiseren van die activiteit.

Neem als voorbeeld het organiseren van een barbecue voor je medewerkers en relaties. Voordat je de uitnodiging verstuurt en de persoonsgegevens van een genodigde opvraagt, bedenk dan goed welke gegevens je precies van de deelnemers nodig hebt voor het organiseren van deze activiteit. Wellicht is het onnodig om zowel het e-mailadres als het woonadres/het adres van iemands werkgever op te vragen en te registreren. En vaak is het opvragen van dieetwensen wel noodzakelijk, maar is het registreren van iemands leeftijd dat niet per se. Denk dus goed na over het doel waarvoor je bepaalde persoonsgegevens opvraagt en verwerkt. Volgens de AVG moet een organisatie namelijk bij de verwerking van persoonsgegevens rekening houden met het beginsel van doelbinding (art. 4 lid 1 onder b AVG): persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere manier kan worden bereikt.

  1. Let goed op welke persoonsgegevens je aan een derde verstrekt.

Voorkom dat persoonsgegevens worden gedeeld met een derde die deze niet nodig heeft. Neem opnieuw het voorbeeld van het organiseren van een barbecue. Vaak worden de (vegetarische) hamburgers en de salades afgenomen van bijv. een cateraar. Maar die cateraar hoeft meestal niet te weten wie welke dieetwensen heeft, of hoe oud de aanwezigen zijn. Een uitdraai van de volledige deelnemerslijst met alle opgevraagde informatie hoeft dus niet aan de cateraar te worden verstrekt. Het beginsel van minimale gegevensverwerking (art. 4 lid 1 onder c AVG) is hierop van toepassing: beperk het aantal (door jou én de cateraar) te verwerken categorieën van persoonsgegevens tot het aantal dat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt.

  1. Verwijder op tijd (een deel van) de persoonsgegevens die je verzameld hebt.

De barbecue heeft plaatsgevonden en het was een groot succes: met een flink aantal relaties zijn de banden weer aangehaald. Misschien wil je de aanwezige relaties nog een e-mail sturen waarin ze bedankt worden voor hun aanwezigheid. Of wil je de aanwezigen bij de barbecue ook uitnodigen voor de door jou georganiseerde kerstborrel of nieuwjaarsreceptie. Persoonsgegevens mag je echter niet oneindig bewaren. Zorg er dus voor dat je termijnen hanteert voor het bewaren (en dus ook wissen) van de in het kader van het organiseren van de barbecue verzamelde persoonsgegevens. De AVG kent namelijk het beginsel van opslagbeperking (art. 4 lid 1 onder e AVG): persoonsgegevens moeten niet langer worden bewaard dan dat voor de doeleinde waarvoor de persoonsgegevens worden verwerkt, noodzakelijk is. Voor het nadien sturen van een bedank e-mail is mogelijk het bewaren van een naam en een e-mailadres noodzakelijk. Het bewaren van iemands dieetwensen echter niet.

Houdt jouw organisatie bij het organiseren van een bedrijfsactiviteit al rekening met het bovenstaande? Heel goed! Trek je nu echter de conclusie dat er nog wel wat slagen te maken zijn voor het privacy-proof organiseren van de volgende bedrijfsactiviteit, neem dan contact op met Sylvie Bax of met een van haar andere collega’s van ons privacy team. Zij kunnen je helpen bij het privacy-proof inrichten van je bedrijfsprocessen, zodat (ook) de volgende (zomer)barbecue met collega’s en/of relaties (AVG-technisch) een succes wordt!