Toolkit 'GDPR voor fondsenwervende verenigingen'
De toolkit 'GDPR for fundraisers' van het Fundraisers Forum geeft u de mogelijkheid om een uitgebreide basisdocumentatie over GDPR voor fondsenwervende verenigingen te raadplegen:
Handleiding ‘GDPR voor fondsenwervende verenigingen’ (32 blz.) + bijlage (48 blz.): inhoudstafel hieronder.
Maandelijkse ‘GDPR for fundraisers’ newsletter (van Februari tot Juli 2018)
Meertalige editie (hoofdzakelijk Frans-Engels) met getuigenissen ('best practices') en voorbeelden ('templates',...).
Prijs en bestellingsformulier
De handleiding (+ bijlage) en de GDPR Newsletter worden u binnen de twee dagen na uw bestelling opgestuurd.
Prijs: 45 euro
Bestelling via deze link.
Inhoudstafel van de handleiding
Deel A - Direct marketing en fondsenwerving: belangrijkste eisen van de GDPR
- 1.1 AVG : context, actoren (p.7)
- 1.18 Terminologie (p.8)
- 1.19 Verwerkingsverantwoordelijke en verwerkers: verplichtingen (p.8)
- 1.20 Dataregister: verplichte documentatie van alle verwerkingsactiviteiten (p.9) . 121a Documenteer de wettelijke grondslag van uw bewerkingen (p.11)
- 1.21b Zes wettelijke grondslagen (p.11).
- 1.21c Uw keuze voor de wettelijke grondslag voor bewerkingen mbt fondsenwerving: ‘gerechtvaardigd belang’ of ‘toestemming’ (p.12).
- 121d – Wettelijke grondslag op basis van ‘gerechtvaardigd belang’ (p.12).
- 121e – Wettelijke grondslag op basis van ‘toestemming’ (p.13).
- 1.21f – Soft opt-in: uitsluitend voor electronische communicatie aan ‘bestaande klanten’ (actieve schenkers of andere actieve contacten) (p.14).
- 1.21g – Wettelijke grondslagen voor het beheer van persoonsgegevens buiten direct marketing en fondsenwerving (p.16)
- 1.22 Aandacht voor de rechten van de betrokkenen
- 1.22a Recht op verwijdering (p.17)
- 1.22b Recht om geïnformeerd te worden (p.17)
- 1.22c Recht op correctie (p.17)
- 1.22d Recht van inzage (p.17)
- 1.22E Recht van verzet (p.17)
- 1.22f Informeer uw gebruikers over hun rechten (p.18)
- 1.23 Verzoek tot toegang (p.18)
- 1.24 Informatieplicht & Privacyverklaring (p.19)
- 1.25 Verplichtingen m.b.t. minimalisatie van de persoonsgegevens en bewaartermijn (p.21)
- 1.26 Beveiliging van de persoonsgegevens en procedures mbt datalekken (p.21)
- 1.26a Administratieve maatregelen (p.21)
- 1.26b Informatika: technische maatregelen (p.22)
- 1.26c Externe verwerkers: contractuele en andere maatregelen (p.22)
- 1.26d Procedures om datalekken op te sporen en te rapporteren (p.22)
- 1.27 Geautomatiseerde besluitvorming en profiling: wanneer is dit van toepassing
- voor fondsenwervende activiteiten ? (p.23)
- 1.28 Aanpassing contracten met verwerkers en onderaannemers (p.23)
- 1.29 Verantwoordelijke persoon voor het naleven van de databeschermingsregels (p.24)
Deel B - Verplichtingen die eerder bij grotere fondsenwervende instellingen van toepassing zijn
- 1.31 Het beginsel van de doelbinding (p.25)
- 1.32 Recht op overdraagbaarheid van gegevens (p.25)
- 1.33 Gevoelige data (p.26)
- 1.34 Gegevensverwerking van minderjarige kinderen (p.26)
- 1.35 Gegevensbescherming door ontwerp en door standaardinstellingen (p.26)
- 1.36 Data Protection Impact Assesment (DPIA) (p.27)
- 1.37 Data Protection Officer (D.P.O.): benoeming, verplichtingen (p.27)
- 1.38 Doorgifte naar derde landen (p.29)
- 1.4 Praktische implementatie van de AVG binnen fondsenwervende verenigingen
- 1.41 Stap 1: bewustmaking binnen uw organisatie (p.30)
- 1.42 Volgende stappen (p.30)
- 1.49 Tips & tricks – Algemeen advies van diverse instellingen (p.30)
BIJLAGEN
- Appendix 1 – ‘GDPR: the essentials for fundraising organisations’
edited by the Institute of Fundraising (IoF) – (extracts) - Appendix 2 – Fundraising and Data Protection ‘A survival guide for the uninitiated’
Author: Tim Turner (extracts) - Appendix 3 – Privacy Notice (examples)
- Appendix 4 – Opt-in forms & preference forms (examples)
- Appendix 5 – Recording your processing activities: examples
Extension du mécanisme 'opt-in': qu'en pensent les donateurs ?
L'opt-in, un mécanisme de consentement fortement encouragé par la réglementation RGPD ?
10 septembre 2017 - Nombre d’associations s’apprêtent à vérifier dans quelle mesure la gestion des données personnelles concernant leurs donateurs est dès à présent conforme aux exigences de la Réglementation européenne relative à la protection des données personnelles (RGPD), qui entrera en application en Mai 2018.
-> lire le précédent article 'Réglementation européenne RGPD: votre association est-elle prête ?'
Certains professionnels de la collecte de fonds ont cru comprendre, dans un premier temps, qu’une stricte application de certaines dispositions réduirait considérablement les opportunités de contact régulier entre les organisations caritatives et leurs donateurs.
Tel aurait été le cas si le règlement RGPD ne permettrait d’envoyer régulièrement de nouveaux appels qu’à la condition que tous les donateurs aient donné préalablement leur consentement explicite concernant ce type de traitement.
Pareil consentement devrait, dans pareille hypothèse, être enregistré au départ d’un mécanisme de type ‘opt-in’, par exemple sur base d'un formulaire en ligne que le donateur aurait prélablement complété.
Il est cependant rapidement apparu que cette obligation ne serait pas imposée aux associations actives en levée de fonds, pas plus qu'elle ne l'est aux entreprises qui souhaitent recontacter leurs clients.
Car si l'envoi occasionel de nouvelles sollicitations aux donateurs déjà fidélisés par l'association peut avoir pour fondement légal le consentement préalable du donateur, l'association peut également justifier ce traitement sur base de l'intérêt légitime de l'organisation. Il est en effet incontestable que ces opérations de marketing direct sont indispensables pour le maintien des activités correspondant à son objet social.
-> Lire: 'Le consentement explicite, une arme à double tranchant'
Pour quels traitements un consentement préalable - "opt-in" - du donateur sera-t-il désormais exigé ?
Au niveau belge, il est à espérer que le dialogue en cours entre l'AERF (Association pour une Ethique dans les Récoltes de Fonds) et la Commission de la Vie Privée apportera sans trop tarder des éclaircissements concernant différents points, au nombre desquels la liste des traitements nécessitant un consentement explicite du donateur.
Cette question particulièrement délicate figure depuis début 2017 au cœur des débats entre les organes représentatifs des associations caritatives britanniques et l’ICO, qui est l’instance nationale chargée de la mise en œuvre de la réglementation européenne RGPD (GDPR en anglais) au Royaume-Uni.
Quid du point de vue des donateurs ?
Et voici que le débat rebondit depuis peu au Royaume-Uni, au départ de la publication des résultats d’un sondage et d’entretiens qualitatifs menés par nfpSynergy auprès d'un panel de donateurs britanniques.
Le public sondé a été invité à se prononcer sur différentes options qui pourraient leur être soumises en matière d’opt-in. Il en ressort que
- 47% accepteraient explicitement l’envoi ultérieur de mailings purement informatifs (sans appel au don) concernant les activités de l’association;
- 16% accepteraient que leur soient envoyés des messages d'appel aux dons ;
- 5% accepteraient que leurs coordonnées puissent être transmises à d’autres associations, si elles étaient choisies avec soin.
Les auteurs de l’étude constatent que le public britannique souhaite que le secteur caritatif soit soumis exactement aux mêmes règles relatives à la protection des données personnelles que celles qui sont d'application pour le secteur commercial.
On se souviendra de ce que le public britannique a été fortement sensibilisé par les médias nationaux concernant divers abus dont certaines associations britanniques se sont rendues coupables il y a bientôt deux ans.
-> Lire 'Royaume-Uni: 'The Fundraising Regulator', nouvelle instance d'autorégulation ?'
Il serait dès lors risqué de prendre pour hypothèse qu’un sondage comparable, mené cette fois sur échantillon de donateurs belges, aboutirait à des résultats identiques.
Sources:
- nfpSynergy, - ‘GDPR – The Change That Charity Donors Want’ (rapport téléchargeable au départ de ce lien)
- Third Sector, 17-08-2017 – ‘Most donors would not opt-in to future fundraising, research shows’ (lien)
-> Article 'RGPD et collecte de fonds: documents et liens utiles'
Réglementation européenne RGPD: votre association est-elle prête ?
Nouveau Réglement Général 'Protection des Données' dès mai 2018
2 août 2017 - Une nouvelle réglementation européenne relative à la protection de la vie privée entrera en vigueur dans l’ensemble des pays de l’Union européenne, à partir de Mai 2018.
Toutes les entreprises seront obligées, sous peine de sanctions financières particulièrement lourdes, de mettre en place diverses procédures destinées à protéger les données de leur personnel, de leurs clients ainsi que de leurs membres ou adhérents.
Les associations actives en levée de fonds devront également tenir compte de ces dispositions nouvelles concernant la gestion de leurs relations avec leurs usagers, bénévoles et donateurs.
OXFAM, WWF, etc.: premières amendes à l'encontre d'associations caritatives britanniques
Depuis décembre 2016 l'ICO (Information Commission’s Officer), instance britannique compétente en matière de protection de la vie privée, a déjà distribué des amendes à l'encontre de treize organisations caritatives britanniques, pour la plupart à forte notoriété.
Les jugements motivés font état de pratiques en matière de gestion des fichiers de donateurs dont l’ICO estime qu’elles contreviennent tant à la législation britannique qu’à la future réglementation européenne.
-> Lire ‘Respect de la vie privée: treize grandes associations britanniques à l’amende‘
Autant dire que partout en Europe les associations actives en levée de fonds ont intérêt à ne pas sous-estimer l’importance de ces nouvelles dispositions.
N'attendez pas la dernière minute
On soulignera que la diversité des dispositions à prendre, y compris en termes de programmation des logiciels de gestion des bases de données, nécessite que les organisations concernées s’appliquent dès à présent à planifier la mise en place des procédures les plus complexes.
La RGPD au sommaire du Fundraisers Forum de ce jeudi 31 août
La réglementation RGPD au sommaire de notre prochain workshop FR/NL du jeudi 31 août: lien vers le programme
Consultez notre 'Centre de Ressources RGPD & Fundraising'
Le site du Fundraisers Forum vous propose dès à présent, au départ du menu 'Resources', un état des lieux des principales sources d'information concernant l’application de la réglementation RGPD, d'une part au plan général, d'autre-part en ce qui concerne la gestion des fichiers de donateurs.
-> Lire 'RGPD et collecte de fonds: documents et liens utiles'
Algemene Verordening Gegevensbescherming: is uw vereniging klaar ?
Nieuwe Algemene Verordening Gegevensbescherming vanaf Mei 2018
De Algemene Verordening Gegevensbescherming ("AVG" maar beter gekend onder "GDPR") is op 24 mei 2016 in werking getreden, maar er wordt een overgangsperiode van 2 jaar voorzien.
De Privacycommissie, bedrijven en organisaties krijgen tot 25 mei 2018 de tijd om zich aan de nieuwe eisen van de AVG aan te passen.
Algemene basisinformatie, waaronder een interessant ‘Stappenplan’, is beschikbaar op de website van de Privacycommissie.
Verder is voorlopig geen Belgische documentatie beschikbaar met betrekking tot de specifieke gevolgen van de AVG voor fondsenwervende organisaties.
Intussen verwijzen wij graag naar de voornaamste Nederlandse bronnen, die in een artikel van Procurios (Nederland) worden beschreven: ‘Maak kennis met de Algemene Verordening Gegevensbescherming’ (link)
OXFAM, WWF, enz.: een tiental boetes werden reeds aan diverse Britse fondsenwervende verenigingen opgelegd
Sind december 2016 heeft de ICO (Information Commission’s Officer) in het kader van de nieuwe Europese verordening zware boetes aan dertien bekende verenigingen opgelegd.
-> Artikel ‘Respect de la vie privée: treize grandes associations britanniques à l’amende‘
Wat gaat er veranderen?
De voornaamste veranderingen voor werden onlangs als volgt samengevat in een artikel van de Nederlandse info-site De Dikke Blauwe (link):
1. Een organisatie moet beter kunnen aantonen dat zij toestemming heeft gekregen van een persoon om informatie over die persoon te verzamelen en op te slaan.
2. In de AVG staat een aantal aanvullende rechten: zo hebben consumenten nu meer rechten om hun gegevens te laten verwijderen.
3. De AVG is een stuk strenger is dan de oorspronkelijke Nederlandse wet.
Waar nu nog met enige soepelheid wordt opgetreden, zal straks strikter gehandhaafd worden.
Vanaf 2018 is de drempel voor de Nederlandse Autoriteit Persoonsgegevens om te straffen een stuk lager geworden.
De Belgische Privacycommissie heeft de Europese verordening in een nuttig 13 Stappenplan samengevat (link).
Het onderdeel - FAQ (Veelgestelde vragen) van deze website levert wel concrete perspectieven in verband met 'Direct Marketing activiteiten' (link).
De AVG wordt gedurende de workshop van het Fundraisers Forum op donderdag 31 augustus besproken
Diverse sprekers, waaronder Luc Botten (Rode Kruis Vlaanderen), Michel Lorge (Vereniging voor Ethiek) en Isabelle Bersani (UNICEF) zullen de specifieke gevolgen van de Europese verordening in het kader van de workshop van 31 augustus toelichten.
-> Programma en inschrijvingsformulier
Nuttige links
Deze website biedt U een overzicht van diverse nuttige bronnen m.b.t. RGPD & fundraising.
-> Artikel 'RGPD et collecte de fonds: documents et liens utiles'
Alexander De Croo dénonce le harcèlement de certains donateurs
Un couple solidaire et engagé, qui préfère désormais ne plus donner
23 novembre 2016 - La commune de Zolder compte nombre de citoyens engagés, au nombre desquels Theo Rayen et son épouse, qui soutiennent une initiative locale - l’asbl Schilderswijk - ainsi qu’un micro-projet de coopération au développement.
Sur proposition de son épouse, le couple décide de verser un premier don au profit d'une importante association néerlandophone active dans le domaine des maladies, qui collecte un peu plus d'1,5 million d'euros par an, presqu'exclusivement au travers de mailings (650.000 € en frais de mailings, hors appointements).
Et voici qu’à leur grand étonnement, à l'évidence suite à ce premier don, leur boite aux lettres se trouve bientôt envahie d’un nombre croissant d’appels aux dons émanant de diverses autres associations.
Theo Rayen et son épouse s’étonnent en outre de constater que plusieurs de ces messages sont accompagnés de divers gadgets offerts au titre de cadeaux. Ils se demandent dès lors si ces associations se préoccupent réellement d’affecter au maximum les contributions de leurs donateurs aux projets de terrain, plutôt qu’à des dépenses excessives en collecte de fonds.
Theo est d'ailleurs d’avis que l’association à laquelle le couple a confié un premier don "se tire une balle dans le pied" en acceptant que les adresses de ses nouveaux donateurs soient aussitôt exploitées par d’autres associations.
Il sera mis fin à l’envoi des nombreux appels au don après que Monsieur Rayen ait pris contact avec les différentes associations concernées, et surtout avec l’agence commerciale DSC (Direct Social Communication) à laquelle ces différentes associations ont sous-traité tout ou partie de leur collecte de fonds.
Précisons ici que d’étranges dispositions contractuelles, que la société DSC parvient à imposer à la quasi-totalité des associations qui font appel à ses services, lui permettent d’exploiter de manière répétée les adresses de ces nouveaux donateurs que ces associations ont pourtant prospectés à leurs frais.
Commentaire sévère d’Alexander De Croo, Ministre de la Coopération
Theo Rayen a profité d’une tribune que l’hebdomadaire Knack (n°47, 23-29 novembre 2016) consacre au thème de la solidarité internationale pour interpeller Alexander De Croo, Ministre de la Coopération au Développement.
Résumant les péripéties décrites ci-dessus, il s’interroge : « Nos données personnelles peuvent-elles ainsi être vendues ou transmises à des tiers ? »
La réponse du Ministre se veut nette et dépourvue d’ambiguïté : « Je désapprouve bien entendu cette pratique, qui est condamnable autant que contre-productive. Si quelqu’un soutient une association, cette personne doit savoir à quoi s’en tenir. Pour que des données puissent être transmises à des tiers, il faut que l’association en ait reçu l'autorisation de manière explicite, et non sous forme d’un consentement stipulé quelque-part dans les ‘conditions générales’.
Je verrai avec Philippe De Backer, secrétaire d’Etat compétent pour les questions relatives à la protection de la vie privée, comment solutionner ce problème. "
Pressions abusives en matière de mailings: l'expérience britannique
L’interpellation du couple Rayen amène ainsi le Ministre De Croo à soulever l’opportunité, pour les associations opérant en Belgique, d’une règlementation plus stricte concernant l’utilisation des données personnelles des donateurs.
L'utilisation abusive de listings de donateurs actifs a également souvent été dénoncée au Royaume Uni, où ces pratiques ont alimenté nombre d'articles critiques dans divers médias.
-> Lire 'Royaume-Uni: contestation des techniques de collecte trop intrusives'
Les autorités britanniques ont dès lors envisagé d'imposer diverses mesures particulièrement restrictives concernant les opérations de collecte de fonds au travers de mailing ou de campagnes d'appels téléphoniques.
Les associations britanniques ont cru un moment - avant le vote du Brexit ... - que la nouvelle directive de l'Union Européenne en matière de protection de la vie privée imposerait de fortes contraintes, dans le cadre d'une généralisation du principe de l'"opt-in" (lire).
La directive européenne se contente en réalité d'indiquer que les opérations de télé-contact et de mailings devront respecter l’option « opt-out » - que tout citoyen de l'UE sera à tout moment en droit d'activer. Il n'est pas prévu d'exiger le consentement préalable du consommateur - le cas échéant 'doinateur' - sous forme d’ « opt-in ».
Royaume-Uni:
l'option "opt-in" privilégiée par la RNLI pourrait lui faire perdre 42,8 millions d'euros
Certaines associations choisissent de se fixer des règles particulièrement exigentes, qui visent à réduire au maximum tout risque d'irritation de donateurs susceptibles d'être lassés par un envoi excessif de messages.
C'est ainsi que la forte médiatisation de certains abus a amené la RNLI - la Lifeboat Association compte parmi les principaux acteurs de la collecte au Royaume-Uni - à instaurer systématiquement une procédure de type « opt-in » destinée à réguler la communication auprès de ses propres donateurs.
Cette mesure particulièrement stricte exclut non seulement toute cession d'adresse de donateurs au profit d'organisations tierces, mais régule également - dans le respect du choix formulé par chaque donateur - la fréquence des messages que l'association lui enverra.
Plusieurs médias britanniques, au nombres desquels The Guardian (lien), ont salué le choix jugé courageux de cette association.
Car en privilégiant le plein respect des préférences de ses sympathisants, l'équipe dirigeante de la RNLI est consciente de ce que cette mesure extrème provoquera probablement une diminution des contributions de ses donateurs à hauteur d'un total de £ 35,6 millions (soit 42,8 millions d’euros) répartis sur les cinq prochaines années.
Pour plus d’infos:
- Hebdomadaire KNACK, n°47 (23-29/11/2016), p.27
- Fundraising Week: 'Opt-in-only systems will not be compulsory' (lien)
- The Guardian: 'Treating our charity's supporters well will cost us £35m, but they are worth it' (lien)
-> Autres articles concernant cette thématique, répertoriés sous
'Direct Social Communications: des techniques de fundraising souvent critiquées'
Suivez l'actu belge et internationale
de la collecte de fonds
en souscrivant à la Fundraisers.News