Privacy

GDPR voor hondenscholen: praktische gids

Welke gegevens u mag verwerken, hoe lang u ze mag bewaren, wanneer u toestemming nodig heeft voor foto's en wat u doet bij een datalek.

6 minuten lezen

De GDPR — in het Nederlands de AVG — geldt voor elke organisatie die persoonsgegevens verwerkt, of u nu een vzw bent met vijftig leden of een eenmanszaak die puppycursussen geeft. Zodra u een ledenlijst bijhoudt, lidgelden factureert of een foto van een training online zet, bent u verwerkingsverantwoordelijke: u beslist wat er verzameld wordt, en waarom.

Breng eerst in kaart wat u bijhoudt:

  • Contactgegevens: naam, adres, e-mail en telefoonnummer van de geleider
  • Financiële gegevens: rekeningnummer, facturen en betalingshistoriek
  • Hondengegevens: strikt genomen geen persoonsgegevens, maar ze hangen aan een eigenaar vast
  • Beeldmateriaal: foto's en video's van lessen en evenementen
  • Communicatie: e-mails, lesinschrijvingen en aanwezigheidslijsten

Op welke grondslag verwerkt u die gegevens?

Verwerken mag alleen op basis van een grondslag uit artikel 6 van de AVG. Er zijn er vier relevant:

  • Uitvoering van een overeenkomst: alles wat het lidmaatschap doet werken — inschrijving, lesindeling, een bericht over een geannuleerde les.
  • Wettelijke verplichting: uw boekhouding. Geen toestemming nodig, en een lid kan die gegevens niet zomaar laten wissen.
  • Toestemming: alles wat níét nodig is voor het lidmaatschap, zoals foto's en de nieuwsbrief.
  • Gerechtvaardigd belang: bijvoorbeeld cameratoezicht. Vraagt een afweging tegen de privacy van uw leden, die u vastlegt.

Kies per doel één grondslag en wissel niet achteraf. Toestemming moet vrij gegeven zijn en even makkelijk in te trekken als te geven — u mag het lidmaatschap dus niet afhankelijk maken van een fotoakkoord.

De informatieplicht: uw privacyverklaring

U informeert uw leden uit eigen beweging via een privacyverklaring op uw website, waarnaar u verwijst op het inschrijfformulier. Daarin staat wie de verwerkingsverantwoordelijke is, welke gegevens u verzamelt en waarvoor, op welke grondslag, hoe lang u bewaart, met wie u deelt, welke rechten het lid heeft en dat hij klacht kan indienen bij de Gegevensbeschermingsautoriteit. Ondertekenen hoeft niet; vindbaar zijn wel. Ter illustratie: het privacybeleid van Ledenadmin.

Reken er ook op dat u een verwerkingsregister (artikel 30) nodig heeft: de vrijstelling onder 250 werknemers vervalt zodra de verwerking niet incidenteel is, en een ledenadministratie die het hele jaar draait, is dat niet. Een tabel met doel, gegevens, grondslag, bewaartermijn en ontvangers volstaat.

Hoe lang mag u gegevens bewaren?

De AVG legt zelf nauwelijks termijnen op: niet langer bewaren dan nodig, en zelf documenteren wat "nodig" betekent.

  • Boekhoudkundige stukken: zeven jaar. Een Belgische bewaarplicht, die voorgaat op een verzoek tot verwijdering.
  • Actieve leden: zolang het lidmaatschap loopt.
  • Na uitschrijving: kies zelf een redelijke termijn — vaak één tot twee jaar — en leg die vast.
  • Aanwezigheids- en lesgegevens: zolang nuttig voor de opvolging van de opleiding.

Een bewaartermijn die u nooit toepast, is geen bewaartermijn. Plan jaarlijks een opruimmoment. In een ledenadministratie die actieve en uitgeschreven leden uit elkaar houdt, kost dat minuten.

De rechten van uw leden

U antwoordt binnen één maand; bij een complex verzoek mag u met twee maanden verlengen, mits u het lid verwittigt.

  • Inzage: een kopie van de gegevens die u over hem verwerkt
  • Verbetering: onjuiste of onvolledige gegevens laten corrigeren
  • Verwijdering: gegevens laten wissen, tenzij u ze wettelijk moet bijhouden
  • Bezwaar: zich verzetten tegen verwerking op gerechtvaardigd belang, en altijd tegen direct marketing
  • Overdraagbaarheid: de zelf aangeleverde gegevens in een leesbaar formaat meekrijgen

Tip: laat leden hun eigen dossier beheren

Veel inzage- en verbetervragen verdwijnen zodra leden hun eigen gegevens kunnen zien. In de ledenzone passen leden zelf hun adres, telefoonnummer en e-mail aan, achter een persoonlijke login. Dat maakt u niet automatisch conform, maar het houdt uw ledenlijst wel correct.

Foto's, video's en toestemming

Mag een sfeerfoto van de zaterdagtraining op Facebook? Alleen met toestemming. In België spelen twee regels tegelijk: de AVG, omdat een herkenbaar persoon een persoonsgegeven is, en het recht op afbeelding, dat daar los van staat.

Hoe vraagt u toestemming?

  • Een aparte fotoclausule in het inschrijfformulier, los van de algemene voorwaarden
  • Specifiek over waar de beelden komen: clubwebsite, sociale media, clubblad
  • Een expliciete opt-in: aangevinkt vakje of handtekening, nooit stilzwijgen
  • Noteer wie toestemming gaf en wanneer — bij discussie moet u dat aantonen
  • Maak intrekken makkelijk, en respecteer een weigering

Dezelfde logica geldt voor uw nieuwsbrief: een aparte opt-in en een afmeldlink in elke mailing.

Let op bij minderjarigen

Voor beelden van kinderen vraagt u toestemming aan de ouder of voogd. Een groepsfoto van op afstand ligt minder gevoelig dan een herkenbare close-up, maar bij twijfel publiceert u niet.

De verwerkersovereenkomst met uw leveranciers

Zodra een externe partij bij uw ledengegevens kan, is die een verwerker en verplicht artikel 28 van de AVG u daar een verwerkersovereenkomst mee te sluiten: ledenadministratie, boekhoudpakket, e-mailmarketingtools, clouddiensten.

U blijft zelf verwerkingsverantwoordelijke: de verwerker mag de gegevens enkel gebruiken voor wat u opdraagt. Vraag elke leverancier of hij een verwerkersovereenkomst kan voorleggen, en waar de gegevens staan. Ledenadmin draait op servers binnen de Europese Unie, met dagelijkse backups en een versleutelde verbinding; hoe Zodi Innovations als verwerker met gegevens omgaat, staat in het privacybeleid. Voor een verwerkersovereenkomst neemt u contact op.

Datalekken: de klok tikt 72 uur

Een datalek is meer dan een hack: een gestolen laptop met de ledenlijst erop, een mailing met alle adressen in cc in plaats van bcc, of een gedeelde Excel die per ongeluk publiek staat.

Levert het lek waarschijnlijk een risico op voor uw leden, dan meldt u het binnen 72 uur nadat u het vaststelde bij de Gegevensbeschermingsautoriteit. Is het risico hoog — denk aan rekeningnummers — dan verwittigt u ook de betrokken leden zelf. Een klein lek zonder noemenswaardig risico hoeft u niet te melden, maar registreert u wel intern. Spreek vooraf af wie de melding doet: 72 uur is kort.

Checklist voor uw hondenschool

Documentatie

  • Privacyverklaring opgesteld, bereikbaar vanaf website en inschrijfformulier
  • Verwerkingsregister ingevuld en actueel
  • Verwerkersovereenkomst met elke leverancier die aan uw ledengegevens kan

Toestemming

  • Fotoclausule met expliciete opt-in, toestemmingen genoteerd met datum
  • Aparte opt-in voor de nieuwsbrief, met afmeldlink

Beveiliging

  • Toegang tot de ledenlijst beperkt tot wie ze echt nodig heeft
  • Een eigen login per bestuurslid, geen gedeelde wachtwoorden
  • Geen ledenlijsten via onbeveiligde e-mail of losse USB-sticks

Procedures

  • Afgesproken wie inzageverzoeken behandelt, en binnen welke termijn
  • Draaiboek voor datalekken, met de 72-uurtermijn erin
  • Jaarlijkse controle van bewaartermijnen

Tot slot

GDPR-conformiteit is geen certificaat, maar een manier van werken: weet welke gegevens u heeft en waarom, vertel het uw leden, en ruim op wat u niet meer nodig heeft. Software neemt u die verantwoordelijkheid niet uit handen, maar maakt de uitvoering lichter. Start u nog op? De gids hondenschool starten zet de bredere stappen op een rij.

Dit artikel is algemene informatie en geen juridisch advies — raadpleeg bij twijfel een specialist of de Gegevensbeschermingsautoriteit.

De administratie van uw hondenschool automatisch geregeld

Ledenadmin houdt uw leden, lessen, lidgelden en communicatie bij op één plek. Bekijk wat het platform voor uw club kan doen.

Wij gebruiken cookies

Deze website gebruikt cookies voor analytics en om uw ervaring te verbeteren. Lees ons privacybeleid voor meer informatie.