Algemene verordening gegevensbescherming (AVG)

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Ook voetbalverenigingen hebben te maken met het verwerken van persoonsgegevens. Organisaties krijgen meer verplichtingen om op een juiste manier om te gaan met gegevens van personen.

Eind mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door een privacywetgeving die geldt in de gehele Europese Unie (EU): de AVG. Deze wet versterkt de positie van de mensen van wie persoonsgegevens worden verwerkt. Organisaties die persoonsgegevens verwerken, waaronder dus voetbalclubs, krijgen meer verplichtingen om op een juiste manier om te gaan met deze gegevens. Concreet houdt dit in dat verenigingen moeten opschrijven hoe zij omgaan met persoonsgegevens van hun leden, vrijwilligers en fans. Met deze documentatieplicht kunnen clubs aantonen dat zij voldoen aan de AVG.

Privacy: wat is dat?

Het recht op privacy kun je eenvoudig omschrijven als iemands recht om met rust te worden gelaten. Dit betekent ook dat je niet zomaar iemands persoonlijke informatie mag gebruiken. Dit laatste noemen we het recht op de bescherming van persoonsgegevens.  Als sportvereniging ben je wettelijk verplicht tot het beschermen van de persoonsgegevens van leden, vrijwilligers, en alle andere personen van wie je persoonsgegevens verwerkt. Privacywetgeving stelt daarvoor een aantal concrete regels. Om te begrijpen hoe je die regels naleeft, is het handig om enkele basisbegrippen te kennen. De belangrijkste begrippen lichten we hierna toe.

Wat zijn persoonsgegevens?

Een persoonsgegeven is ieder gegeven over een levende en identificeerbare persoon. Het gaat dus om álle informatie over een persoon. Het maakt daarbij niet uit of informatie ‘privé’, publiek bekend, oud of nieuw, relevant of juist volstrekt onbelangrijk is. Een paar voorbeelden van persoonsgegevens zijn iemands voor- en achternaam, woonplaats en adres, telefoonnummer, lidmaatschapsnummer, leeftijd, lichaamslengte,  dieet, geslacht, seksuele voorkeur, e-mailadres en de herkenbare afbeelding in een foto of video. Ook gegevens over iemands gedrag en voorspellingen daarvan kunnen persoonsgegevens zijn. Denk bijvoorbeeld aan iemands locatiegegeven of een analyse van iemands fysieke inspanning via populaire wearables en apps. Zulke gegevens zijn natuurlijk privacygevoelig. 

Wanneer is iemand identificeerbaar?

We spreken van een persoonsgegeven als een gegeven herleidbaar is tot een persoon. Vaak is informatie eenvoudig gekoppeld aan een naam of aan een uniek nummer, zodat je een persoon direct kunt identificeren. Stel dat de secretaris van een vereniging Jan de Vries heet en gebruikmaakt van het emailadres jan.devries@sportvereniging.nl. Dan is dat e-mailadres een persoonsgegeven. Soms is identificatie weliswaar niet direct, maar wel indirect mogelijk. Denk bijvoorbeeld aan een teamfoto. Hoewel er misschien geen namen onder de teamfoto staan, kom je daar met een eenvoudige zoekopdracht via internet soms toch achter. De foto is in dat geval een persoonsgegeven.  Valt er écht niet te achterhalen op wie informatie betrekking heeft, dan is sprake van ‘anonimiteit’. In theorie is de privacywetgeving dan niet van toepassing, omdat er geen sprake is van een persoonsgegeven. De ervaring leert echter dat het vaak lastig is om te voorkomen dat informatie alsnog kan wordt gekoppeld aan een individu. Ga er dus nooit zomaar vanuit dat je privacywetgeving eenvoudig buitenspel zet.

Ter illustratie: een bekend misverstand is het ‘anonimiseren’ door informatie (zoals een deelnemerslijst of wedstrijduitslagen) te koppelen aan een lidnummer in plaats van een naam. Dat nummer leidt immers eenvoudig terug naar een achternaam, zodat ook het lidnummer en de daaraan gekoppelde informatie kwalificeren als persoonsgegevens. Dat slechts de vereniging in staat is tot het leggen van die koppeling, maakt daarbij niet uit. 

Samenvattend: we raden aan om alle gegevens waarvan je vermoedt dat die herleidbaar zijn tot een persoon te behandelen alsof het persoonsgegevens zijn. 

Wanneer ‘verwerk’ je persoonsgegevens?

Om te weten in welke gevallen je rekening moet houden met privacywetgeving, moet je steeds nagaan of er sprake is van een verwerking van persoonsgegevens. 

Het begrip ‘verwerken’ is zeer breed. In feite is iedere handeling met een persoonsgegeven een verwerking. Denk dus aan het verzamelen, opslaan, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken van persoonsgegevens. In dat laatste geval spreek je van een ‘datalek’.

Voorbeelden van verwerkingen:

Een sportvereniging neemt de persoonsgegevens van een nieuw lid op in het ledenbestand. Bepaalde gegevens worden doorgestuurd naar de gelieerde sportbond. De vereniging factureert het lid jaarlijks voor het lidmaatschapsgeld. Ook stuurt de vereniging regelmatig nieuwsbrieven aan haar leden. Leden worden gekoppeld met teamindelingen en wedstrijdschema’s. Foto’s en video’s van wedstrijden worden gepubliceerd op de verenigingswebsite, de verenigingsapp en op sociale media. Nadat het lid is uitgetreden, worden zijn gegevens uit het ledenbestand verwijderd. Dit soort activiteiten zijn voorbeelden van verwerkingen van persoonsgegevens door een sportvereniging.

Verwerkingen vinden in de praktijk niet alleen digitaal plaats, maar ook op papier. Ook als gegevens op papier worden gezet of geprint om in een bestand te worden opgenomen, is sprake van een verwerking. Denk bijvoorbeeld aan de papieren leden-, vrijwilligers- en wedstrijdadministratie.

Wie is de ‘betrokkene’?

Een belangrijke figuur in het privacyrecht is de betrokkene. Dit is de persoon op wie een persoonsgegeven betrekking heeft. Hij of zij is dus degene die door het privacyrecht wordt beschermd. 

Voorbeeld van een betrokkene:

Een lid wordt opgenomen in het ledenbestand van de sportvereniging. Het lid is betrokkene bij de verwerkingen van de persoonsgegevens die op hem of haar betrekking hebben, zoals een naam, lidnummer, adres, geboortedatum en bankrekeningnummer.

Betrokkenen hebben een aantal belangrijke rechten. Zo kan ieder lid of een vrijwilliger vragen om inzage, aanpassing en verwijdering van zijn of haar persoonsgegevens. Je bent als vereniging meestal verplicht om aan een dergelijk verzoek mee te werken.

Wie is ‘verwerkingsverantwoordelijke’?

Naast de vraag of privacywetgeving een rol speelt, wil je natuurlijk ook weten wie zich vervolgens aan die regels moet houden bij een bepaalde verwerking. Dat is hoofdzakelijk één partij, namelijk degene die beslist over het doel van en de middelen voor die verwerking. We noemen deze partij de verwerkingsverantwoordelijke (of korter: verantwoordelijke). Je kunt de verantwoordelijke eigenlijk zien als de baas van een verwerking van persoonsgegevens: de verantwoordelijke bepaalt waarom en hoe bepaalde gegevens wel of juist niet worden gebruikt. 

Voorbeeld van een verantwoordelijke:

De sportvereniging is in de praktijk verantwoordelijk voor vrijwel alle verwerkingen die zij uitvoert met de persoonsgegevens van haar leden. De vereniging bepaalt immers hoe en waarom bepaalde verwerkingen plaatsvinden (zoals ledenbeheer, facturatie en nieuwsvoorziening van leden, online publicaties door de vereniging, of de doorgifte van persoonsgegevens aan een sportbond of een sponsor). 

Vaak worden dezelfde persoonsgegevens van een betrokkene door meerdere partijen verwerkt voor verschillende doeleinden. Deze partijen zijn doorgaans ieder zelfstandig verantwoordelijke voor wat zij zélf met die persoonsgegevens doen. 

Voorbeeld:

De persoonsgegevens van een lid (zoals een e-mailadres) zijn vaak niet alleen bekend bij de sportvereniging, maar ook bij een sportbond of een koepelorganisatie. Deze organisaties streven vaak een eigen doel na bij het gebruik van die persoonsgegevens. Iedere partij blijft dan zelfstandig verantwoordelijk voor de naleving van privacywetgeving.  

Let op: een sportbond is niet automatisch verantwoordelijke voor verwerkingen die plaatsvinden door derde partijen die dat doen voor hun eigen doeleinden, ook al heeft deze derde de persoonsgegevens wellicht verkregen via de sportbond. 

Meestal kun je eenvoudig vaststellen wie verantwoordelijke is, maar er zijn ook complexere gevallen. Soms zijn er bijvoorbeeld meerdere organisaties betrokken bij dezelfde verwerking. Je bent dan ‘gezamenlijk verantwoordelijk’. Doet zo’n situatie zich voor en kun je niet vaststellen wat de rechten en plichten zijn van de vereniging, vraag dan om deskundig advies.

Mocht de vereniging gebruik maken van externe dienstverleners, hoe zit dat?

Sportverenigingen maken tegenwoordig veel gebruik van bijvoorbeeld online ledenadministratie en marketingmailing-diensten. Daarbij worden vrijwel altijd persoonsgegevens verwerkt. De vereniging bepaalt in dat geval weliswaar het doel van de verwerking van die persoonsgegevens, maar de dienstverlener verzorgt de feitelijke uitvoering, zoals het ‘hosten’ van de gegevens. Een dienstverlener is in dat geval als een ‘verwerker’. Als verantwoordelijke ben je wettelijk verplicht tot het aangaan van een zogeheten verwerkersovereenkomst met deze verwerker. Je maakt daarin afspraken om ervoor te zorgen dat de verwerker zorgvuldig omgaat met de persoonsgegevens.

Voorbeeld verwerker:

De sportvereniging neemt de persoonsgegevens van haar leden op in een online ledenbeheersysteem. Dit systeem wordt aangeboden en gehost door een ICT-dienstverlener. De hosting gebeurt ten behoeve van de vereniging (en niet voor eigen doeleinden van de ICTdienstverlener). De ICT-dienstverlener is dus verwerker, en de vereniging is verantwoordelijke voor de verwerkingen die plaatsvinden met het ledenbeheersysteem. De vereniging moet een verwerkersovereenkomst sluiten met de ICT-dienstverlener. 

Overzicht krijgen met het verwerkingsregister:

Sportverenigingen zijn zelfstandig verplicht zorgvuldig om te gaan met persoonsgegevens. De wet stelt daarvoor een aantal concrete eisen. Om te achterhalen welke gevolgen dit heeft voor jouw vereniging, moet je eerst grondig vaststellen hoe de vereniging persoonsgegevens zoal gebruikt. Deze informatie leg je vast in een verwerkingsregister (hierna: 'register'). Het bijhouden van een register is vanaf 25 mei 2018 wettelijk verplicht.

Wat is het nut van een register?

Een register komt van pas bij het stapsgewijs controleren van het privacybeleid binnen de vereniging. Zo kun je met het register bijvoorbeeld per verwerking nagaan of een gebruik van persoonsgegevens wel of niet is toegestaan en of de gebruikte gegevens niet te lang worden bewaard. 

Welke informatie neem je op in het register?

Het register is een schematisch overzicht met essentiële informatie over de verwerkingen van persoonsgegevens binnen de vereniging. Het register geeft minimaal antwoord op de volgende vragen:

1 Wat zijn de verschillende doeleinden waarvoor de vereniging persoonsgegevens verwerkt?

2 Om welke persoonsgegevens gaat het?

3 Op welke categorie personen hebben de gegevens betrekking (wie zijn de betrokkenen)?

4 Hoe lang worden de betreffende persoonsgegevens bewaard?

5 Verstrekt de vereniging persoonsgegevens aan derden, wie zijn dit en wat is het doel daarvan?

6 Wat zijn in algemene bewoordingen de getroffen beveiligingsmaatregelen ter bescherming van de betrokken persoonsgegevens?

7 Worden er persoonsgegevens doorgegeven aan of opgeslagen in landen buiten de Europese Economische Ruimte en/of internationale organisaties en, zo ja, welke landen en/of organisaties zijn dit?

Het is aanbevolen per verwerkingsdoel ook de volgende informatie op te nemen:

1  Wie zijn binnen de vereniging belast met deze verwerking?

2  Welke IT-systemen worden gebruikt bij deze verwerking?

3  Hoe zijn betrokkenen geïnformeerd over deze verwerking?


Een onderdeel van het register kan er bijvoorbeeld als volgt uitzien:

Doel Beheer door Betrokkenen Persoonsgegevens Bewaartermijn Betrokken systemen Inschrijving nieuw lid Penningmeester Nieuwe leden - NAW - Geboortedatum - E-mailadres - Tel.nr. - IBAN - Lidnummer - 2 jaren na einde lidmaatschap - 7 jaren voor zover fiscaal verplicht - Webformulier - Online ledenadministratie - Online boekhouding Dit schema dient slechts ter illustratie; een uitgebreider schema kan in de praktijk nodig zijn.

We lichten hierna met twee voorbeelden toe hoe het register kan ondersteunen bij het controleren of de vereniging voldoet aan de privacyregels.

Toepassing van het register (1): is het doel van de verwerking rechtmatig? 
Persoonsgegevens mogen enkel worden verwerkt indien daarvoor een geldige 'grondslag' bestaat. Een sportvereniging moet een verwerking in de praktijk meestal kunnen baseren op minimaal één van onderstaande gronden:

1 de verwerking is noodzakelijk voor de uitvoering of de totstandkoming van een overeenkomst met de betrokkene (voorbeeld: het opnemen van een nieuw lid in de ledenadministratie);

2 de verwerking is noodzakelijk voor de naleving van een wettelijke plicht (voorbeeld: de algemene fiscale bewaarplicht van zeven jaren);

3 de betrokkene geeft toestemming voor de verwerking (voorbeeld: het plaatsen van foto’s van jeugdspelers op sociale media); of

4 de verwerking is noodzakelijk vanwege een gerechtvaardigd belang van de vereniging of van een derde partij (voorbeeld: het versturen van nieuwsbrieven aan leden door de vereniging). 

Zijn alle toepasselijke grondslagen eenmaal opgenomen in het register, dan kan per verwerking worden vastgesteld of deze grondslag toereikend is of niet. Ontbreekt een geldige grondslag, dan weet je dat de verwerking moet worden gestaakt.

Toepassing van het register (2): wordt een juiste bewaartermijn toegepast?

Persoonsgegevens mogen in principe niet langer worden bewaard dan noodzakelijk is voor het beoogde doel, tenzij de wet bepaalt dat zij voor langere tijd moeten worden opgeslagen. Hoe lang je persoonsgegevens bewaart, varieert in de praktijk nogal.  Een structureel overzicht is daarom noodzakelijk. Een register helpt bij het aanbrengen van die structuur.

Voorbeeld bewaartermijn:

Persoonsgegevens van een uitgetreden lid bewaar je in principe niet langer dan twee jaren na het einde van het lidmaatschap. Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaren. Overleg dus met de penningmeester binnen de vereniging welke gegevens daaronder vallen. Sommige informatie zal je wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre je de gegevens kunt anonimiseren.

Welke beveiligingsplicht heeft een vereniging?

Een vereniging moet passende maatregelen treffen om te voorkomen dat persoonsgegevens worden blootgesteld aan onrechtmatige verwerking. Informatiebeveiliging is echter meer dan het beschermen tegen diefstal en virussen. De praktijk leert dat de meeste beveiligingsincidenten het gevolg zijn van niet-opzettelijke nalatigheid. Denk bijvoorbeeld aan het rondslingeren van USB-sticks met leden- en deelnemerslijsten, of een computercrash waarbij persoonsgegevens definitief verloren gaan. Je beschermt persoonsgegevens tegen iedere vorm van verlies van beschikbaarheid, integriteit dan wel vertrouwelijkheid.

Welke maatregelen moet de vereniging treffen?

Uiteindelijk draait informatiebeveiliging om een juiste combinatie van zowel technische als organisatorische maatregelen, waarbij uiteindelijk de zwakste schakel telt. Zo is een complex wachtwoord voor het inloggen op de online ledenadministratie zinloos als datzelfde wachtwoord op een notitieblok rondslingert in het clubhuis.

Voorbeelden van veelvoorkomende beveiligingsmaatregelen Technisch:

1 het versleutelen van bestanden ("encryptie");

2 het regelmatig doen wijzigen van wachtwoorden;

3 het regelmatig maken van back-ups.

Organisatorisch:

1 het invoeren van een geheimhoudingsplicht aan vrijwilligers/bestuurders;

2 het invoeren van een incidentprotocol voor beveiligingsincidenten;

3 het trainen van vrijwilligers/bestuurders om veiligheidsbewustzijn te creëren. 

Welke maatregelen nodig zijn, hangt af van de risico’s die met de verwerking van persoonsgegevens zijn verbonden. Bijzondere risicogebieden waar je als sportvereniging bijvoorbeeld vaak rekening mee houdt zijn:

1 de vertrouwelijkheid en beschikbaarheid van de verenigingsadministratie, met name de ledenadministratie;

2 communicatie met vertrouwenscontactpersonen; en

3 gegevens van jeugdleden.

Tip  De Autoriteit Persoonsgegevens heeft de Beleidsregels beveiliging persoonsgegevens gepubliceerd. Het is aan te raden aan dit document te lezen, nu de autoriteit daarin uitgebreid aangeeft wat zij zoal van een organisatie verwacht.

Wat te doen als een vereniging geen kennis in huis heeft?

Het feit dat een doorsnee sportvereniging meestal weinig tot geen expertise in huis heeft op het gebied van IT/informatiebeveiliging, is geen excuus om het onderwerp links te laten liggen. Verenigingen, groot of klein, worden geacht datgene te doen wat redelijkerwijs van hen kan worden verlangd. Onthoud daarbij dat de kwaliteit van beveiliging niet zozeer draait om geld, maar vooral om het verkrijgen van voldoende kennis en bewustzijn.

Moet de vereniging beveiligingsafspraken maken met leveranciers van (IT-)diensten?

Ja, dat is noodzakelijk als de leverancier toegang krijgt tot persoonsgegevens waarvoor de vereniging verantwoordelijk is. Denk bijvoorbeeld aan leveranciers van online verenigingsapplicaties. De afgesproken beveiligingsniveaus leg je meestal vast in een zogeheten verwerkersovereenkomst (ook wel 'bewerkersovereenkomst' genoemd).

Mogen persoonsgegevens op privéapparatuur worden geplaatst?

Het is niet ongebruikelijk dat bestuurders/vrijwilligers bij de vervulling van verenigingstaken gebruikmaken van privéapparatuur. Dat is in principe mogelijk, maar de vereniging blijft verantwoordelijk voor het veilige verloop van dit gebruik.

Overweeg in ieder geval het invoeren van de volgende regels:

1 de gebruiker moet antivirussoftware installeren en deze regelmatig updaten;

2 de gebruiker moet deugdelijke toegangscodes instellen;

3 vermijd opslag op lokale harde schijven indien gebruik kan worden gemaakt van webomgevingen (bijv. Google Apps, Office 365, online verenigingsadministratie etc.);

4 zorg dat te allen tijde een deugdelijke back-up beschikbaar blijft van de gegevens die op de privéapparatuur worden verwerkt; en

5 beëindigt iemand zijn of haar verenigingstaken, zorg er dan voor dat deze persoon niet langer toegang heeft tot de gegevens.

Wat moet de vereniging doen in geval van een datalek?

Leidt een beveiligingsincident tot de vernietiging, verlies, wijziging of ongeoorloofde verstrekking/toegang, dan is mogelijk sprake van een datalek. Tenzij het datalek waarschijnlijk geen nadelige gevolgen heeft voor de betrokken personen, moet het lek tijdig worden gemeld bij de Autoriteit Persoonsgegevens. Heeft het lek bovendien een hoog risico op nadelige gevolgen voor de personen wiens gegevens het betreft, dan moet het incident ook aan deze personen worden gemeld. Blijkt een datalek achteraf ten onrechte niet tijdig te zijn gemeld, dan kan dit leiden tot oplegging van een fikse boete. 

Heeft de vereniging onvoldoende kennis of mankracht in huis om een incident af te handelen, vraag dan om hulp van een deskundige. CMS is ervaren in het adviseren van sportorganisaties en het afhandelen van beveiligingsincidenten.

I: De privacyverklaring

Waarom een privacyverklaring? Als vereniging ben je verplicht om betrokkenen te informeren over de manier waarop je omgaat met hun persoonsgegevens. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging, die - als het goed is - zijn vastgelegd in het verwerkingsregister van de vereniging (zie een eerder artikel daarover).

Een paar voorbeelden van doelgroepen die je zoal moet informeren:

1 leden (over verwerkingen in verband met het lidmaatschap);

2 websitebezoekers (bijvoorbeeld over de wijze waarop je hun surfgedrag bijhoudt); 

3 sporttalent (bijvoorbeeld over de wijze waarop de vereniging hen monitort).

Wat neem je op in de privacyverklaring? In de privacyverklaring moet onder meer de volgende informatie worden opgenomen:

1 de doeleinden waarvoor de vereniging persoonsgegevens verwerkt;

2 hoe lang persoonsgegevens worden bewaard (of de criteria die de vereniging hanteert voor het vaststellen van de bewaartermijn);

3 aan welke (categorieën) derden persoonsgegevens eventueel worden doorgegeven;

4 de vermelding dat de betrokkene een gegeven toestemming voor een verwerking op ieder moment mag intrekken; en

5 de vermelding dat de betrokkene een verzoek kan indienen tot inzage, correctie, verwijdering van persoonsgegevens, en het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Verkrijg je de persoonsgegevens via een derde in plaats van rechtstreeks via de betrokkene, dan moet je tevens meedelen van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft. 

Tip: wees duidelijk:

 Niemand is geholpen met een vage bewoording dat de vereniging "bepaalde informatie" "mogelijk" voor "kwaliteitsdoeleinden" gebruikt. Het lijkt aantrekkelijk om veel ruimte te creëren voor allerlei vormen van gebruik, maar uiteindelijk wekken dit soort woorden vooral argwaan en leiden ze tot onduidelijkheid.

Hoe stel je de privacyverklaring beschikbaar?

Je informeert de betrokkene in principe voorafgaand aan het vastleggen van zijn of haar persoonsgegevens. We bespreken hier twee veelvoorkomende situaties.

Voorbeeld 1: inschrijving als lid/deelnemer 

Schrijft iemand zich online in als verenigingslid of als deelnemer aan een wedstrijd/evenement, verwijs dan duidelijk op het formulier naar de privacyverklaring met een hyperlink. Bijvoorbeeld: "Onze vereniging verwerkt uw persoonsgegevens conform de privacyverklaring". Schrijft iemand zich ter plaatse in (dus niet online), verwijs dan op het papier naar de privacyverklaring en leg deze klaar voor eventuele raadpleging. 

Voorbeeld 2: de website

Bezoekers van een website kun je eenvoudig informeren door het plaatsen van een link naar de privacyverklaring onderaan elke sub-pagina van de website. Vraag bezoekers (voor bepaalde delen) om zich te registreren met een account, verwijs dan nogmaals uitdrukkelijk naar de privacyverklaring (zie voorbeeld 1).  Let op: voor het verstrekken van informatie over de plaatsing van cookies gelden aparte regels.

Kan de vereniging verwijzen naar één algemene privacyverklaring?

Ja, maar let er op dat de privacyverklaring een zorgvuldige toelichting geeft voor alle verwerkingen waarop de verklaring betrekking heeft. Ter illustratie: gebruik je op de website één privacyverklaring voor zowel websitebezoekers als leden, dan kun je niet volstaan met informatie die slechts betrekking heeft op het gebruik van de website.

II: Toestemming

Wanneer is toestemming nodig voor een verwerking van persoonsgegevens?

Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Eén van deze gevallen is dat de betrokkene uitdrukkelijk toestemming geeft. Toestemming is echter niet nodig voor iedere verwerking. Denk bijvoorbeeld aan verwerkingen die noodzakelijk zijn om als vereniging uitvoering te geven aan de lidmaatschapsovereenkomst met leden.

Het is lastig om een algemeen antwoord te geven op de vraag of toestemming nodig is voor een verwerking. Om je op weg te helpen, volgen hierna enkele voorbeelden waarvoor een sportvereniging doorgaans toestemming nodig heeft:

1 de verzending van reclame per e-mail aan leden door verenigingssponsoren;

2 het analyseren van iemands online gedrag (bijvoorbeeld door het gebruik van cookies of locatiegegevens);

3 de plaatsing van foto’s van jeugdspelers op een publiek toegankelijke website; en

4 het gebruik van gezondheidsgegevens (denk bijvoorbeeld aan apps en wearables die een hartslag meten).

Waar moet je op letten bij het gebruik van toestemming?

Verwerkt de vereniging persoonsgegevens op basis van toestemming, houd dan altijd rekening met het volgende: - Stilzwijgende toestemming is niet voldoende. Vermijd dus bijvoorbeeld een checkbox die automatisch is aangevinkt. Je hebt een actieve instemming nodig van de betrokkene. - Toestemming is slechts geldig als deze uit vrije wil door de betrokkene is gegeven. Heeft de betrokkene dus feitelijk geen keus, dan is van geldige toestemming geen sprake.

Toestemming voor de verwerking van gegevens van een persoon die nog geen 16 jaar oud is, vraag je aan de ouder/voogd. - Leg een verkregen toestemming vast. De vereniging moet achteraf kunnen aantonen dat een zekere toestemming daadwerkelijk is verleend. - Een betrokkene heeft het recht om een gegeven toestemming op ieder moment in te trekken.

I: Het SPAM-verbod

Het SPAM-verbod houdt in dat je iemand geen ongevraagde elektronische berichten mag sturen, tenzij de ontvanger daar vooraf mee instemt. Daaronder vallen bijvoorbeeld niet enkel typische reclameboodschappen, maar ook nieuwsbrieven.

Mag een vereniging gewone nieuwsbrieven sturen aan eigen leden?

Ja, op het versturen van reguliere nieuwsbrieven aan leden is het SPAM-verbod niet van toepassing. Een vereniging moet leden immers regelmatig kunnen informeren (uitnodiging ALV, verenigingsagenda, uitslagen, etc.).
Maar let op: voor commerciële boodschappen is wél toestemming nodig van de ontvanger, lid of niet. 

Hoe zit het met gemengde nieuwsbrieven aan leden?

Het komt voor dat verenigingen berichten sturen aan leden met daarin zowel verenigingsinformatie als commerciële boodschappen. Denk hierbij aan verenigingsnieuws in combinatie met de vermelding van een kortingsactie van een sponsor. Dit soort situaties zijn een grijs gebied. Het is aanbevolen om voor het sturen van dit soort gemengde berichten vooraf toestemming te vragen. Beschik je daarentegen als vereniging momenteel over adressen van ontvangers die nooit expliciete toestemming hebben gegeven voor commerciële berichten, bied dan in ieder geval een uitschrijfmogelijkheid in iedere nieuwsbrief. 

Moet in iedere nieuwsbrief een uitschrijflink worden opgenomen?

Ja, iedere ontvanger moet zich eenvoudig kunnen afmelden voor het ontvangen van ongevraagde elektronische berichten.

II: Contactgegevens delen met sponsoren

Veel sponsoren willen verenigingsleden individueel kunnen benaderen met commerciële mededelingen en verzoeken de vereniging daarom adresgegevens te verstrekken. Het is voor een sportvereniging onder bepaalde omstandigheden toegestaan om adresgegevens (d.w.z. naam, adres en woonplaats) te delen met sponsoren.

Moeten leden instemmen met het doorgeven van adresgegevens aan sponsoren?

Ja, maar individuele toestemming is niet noodzakelijk. De vereniging kan de doorgifte van adresgegevens namelijk ook in algemene zin laten goedkeuren door de algemene ledenvergadering. Na een dergelijke instemming is individuele toestemming van ieder lid niet langer nodig. Wel moet de vereniging haar leden op voorhand duidelijk meedelen dat ieder lid gedurende een bepaalde periode eenvoudig bezwaar kan maken tegen de verstrekking van zijn of haar eigen adresgegevens. De sportorganisatie kan leden daarover informeren via bijvoorbeeld mail, het clubblad of de eigen website. Bied leden minimaal vier weken de kans voor het kenbaar maken van hun eventuele bezwaren. 

Mag de vereniging naast adresgegevens ook e-mailadressen van leden verstrekken aan sponsoren?

Zoals gezegd is voor het verzenden van ongevraagde elektronische berichten uitdrukkelijke toestemming nodig van de ontvanger. Beschikt een sponsor niet over dergelijke individuele toestemming, dan mag de vereniging geen e-mailadressen van deze ontvangers verstrekken aan deze sponsor.  

III: Online publicaties

Wat zijn de regels omtrent het maken en publiceren van foto’s en video’s? 

Foto’s en video’s met een herkenbaar in beeld gebrachte betrokkene zijn meestal persoonsgegevens. Voor het maken en publiceren ervan heb je daarom vaak toestemming nodig van de betrokkene, zeker als het gaat om een minderjarig persoon. Toestemming ten aanzien van iemand die nog geen 16 jaar oud is, vraag je aan de ouder/voogd.

Let op: iemand die toestemming geeft voor het maken van een foto, geeft daarmee niet per definitie toestemming voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. In de regel zal je gehoor moeten geven aan een dergelijk verzoek. Is dit bezwaarlijk en wil je als vereniging niet aan een dergelijk bezwaar toegeven, vraag dan om deskundig advies.

Zorg ervoor dat leden en toeschouwers zijn geïnformeerd over eventuele beeldopnamen. Dat kan bijvoorbeeld via het huisreglement of met behulp van een bordje op het terrein.

Mag de vereniging haar ledenlijst online publiceren?

Voor een vereniging is het publiceren van een ledenlijst in principe toegestaan, maar het is verstandig om de algemene ledenvergadering daarmee vooraf te laten instemmen. Wil je behalve namen ook contactgegevens in de lijst opnemen, kaart dit dan expliciet aan gedurende de ledenvergadering. Geef leden bovendien, net zoals bij het verstrekken van adresgegevens aan sponsoren, vooraf gelegenheid om zich tegen publicatie te verzetten. Let erop dat uitsluitend leden toegang hebben tot de gepubliceerde ledenlijst.

Gelden dit soort regels ook op sociale media?

Ja, ook op sociale media ben je als vereniging verantwoordelijk voor het publiceren van persoonsgegevens (zoals foto’s). Bedenk dus welke publicaties wel/niet wenselijk zijn, en maak dit onderwerp van discussie in de ledenvergadering. Overweeg bijvoorbeeld een paragraaf over sociale media-gebruik op te nemen in het huisreglement. De kern is uiteindelijk dat je de privacy borgt van leden/personen die dergelijke publiciteit liever mijden, en dat je adequaat omgaat met eventuele klachten en verzoeken.

Bron: www.knvb.nl

Bewerkt: woensdag 4 april 2018

Privacybeleid

De nieuwe Algemene Verordening Gegevensbescherming vraagt van organisaties een aantal antwoorden die in het privacybeleid moeten worden opgenomen. Onderstaande vragen kunnen je helpen het privacybeleid vorm te geven.

1.    Met welk doel worden persoonsgegevens in een bestand bewaard?

2.    Wie binnen de organisatie zijn verantwoordelijk voor de bescherming van persoonsgegevens (bestuur, directie,…)

3.    Welke persoonsgegevens worden in het bestand opgenomen, is daar een overzicht van?

4.    Worden er bijzondere persoonsgegevens bewaard (godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of politieke partij, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, genetische en biometrische kenmerken. Onder deze laatste vallen vingerafdrukken, stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat)? En welke wettelijke uitzonderingsregel is van toepassing?

5.    Hoe worden de personen geïnformeerd over welke persoonsgegevens worden bewaard?

6.    Wat is er geregeld voor personen om hun eigen persoonsgegevens in te zien?

7.    Hoe worden de persoonsgegevens bewaard (in fysieke mappen, computer, cloud, …)?

8.    Zijn er kopieën of wordt er een back-up van het gegevensbestand gemaakt en hoe wordt die bewaard?

9.    Welke maatregelen heeft de organisaties genomen om te voorkomen dat andere onbedoeld persoonsgegevens kunnen inzien? 

10. Wie binnen de organisatie hebben toegang tot de bestanden met de persoonsgegevens?

11. Is er een functionaris voor de gegevensbescherming in de organisatie?

12. Zijn er afspraken gemaakt met externe partijen die de persoonsgegevens verwerken, is er een verwerkersovereenkomst? 

13. Worden er overeenkomsten afgesloten met derden die de persoonsgegevens gebruiken en staat daar in dat de bestanden na gebruik vernietigd worden?

14. Heeft een de organisatie een procedure opgesteld voor het melden van datalekken, en staat die op papier?

25-05-2018

Procedure opstellen voor het melden van datalekken.

Elke organisatie die persoonsgegevens opslaat, is verplicht datalekken te melden binnen 72 uur na ontdekking. Om dit zorgvuldig te doen is het handig vooraf procedures af te spreken.

Hierin staat:

·        Wat een datalek is;
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, een gestolen geprinte ledenlijst of cliëntgegevens.
Andere voorbeelden zijn cyberaanvallen, verkeerd verzonden e-mail, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.

·        Bij wie in de organisatie een datalek gemeld moet worden;

·        Wie binnen de organisatie nog meer geïnformeerd moet worden;

·        Wie checkt wat er gelekt is;

·        Hoe in kaart gebracht wordt wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn;

·        Welke gegevens nodig zijn voor de melding. De melding moet in ieder geval bestaan uit:

de aard van de inbreuk;

de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen;

de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;

een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;

de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.

·        Wie de melding doet bij de Autoriteit Persoonsgegevens:

Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit Persoonsgegevens: http://datalekken.autoriteitpersoonsgegevens.nl

25-05-208

AVG V.V. Jistrum

Welke gegevens verwerken wij?

V.V. Jistrum verwerkt persoonsgegevens over u doordat u gebruik maakt van onze dienst en/of omdat u deze zelf aan ons verstrekt. Wij verwerken voor- en achternaam van de leden, geslacht en geboortedatum, adresgegevens, telefoonnummer, e-mailadres, bankrekeningnummer en eventuele overige persoonsgegevens die u actief verstrekt bijvoorbeeld, in correspondentie en telefonisch. Wij verwerken in voorkomende gevallen de volgende bijzondere en/of gevoelige persoonsgegevens van u: gezondheidsgegevens en strafrechtelijk verleden.

Voor welke doeleinden worden gegevens verwerkt?

Bij de aanvraag van een nieuw lid - sponsorovereenkomst - donateur - vrijwilliger - etc. kunnen wij u vragen om persoonsgegevens. Deze gegevens gebruiken wij voor het aangaan van de overeenkomst, het beheren van de daaruit voortvloeiende relaties, het waarborgen van de veiligheid en integriteit van de onze organisatie, medewerkers en cliënten.

Hoe lang bewaren we gegevens?

V.V. Jistrum zal uw persoonsgegevens niet langer bewaren dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld.

Delen met anderen.

V.V. Jistrum deelt uw persoonsgegevens met verschillende derden als dit noodzakelijk is voor het uitvoeren van de overeenkomst. Met bedrijven die uw gegevens verwerken in onze opdracht, sluiten wij een verwerkersovereenkomst om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van uw gegevens. Het is mogelijk dat persoonsgegevens worden doorgegeven aan een ontvanger in een land buiten de Europese Economische Ruimte (b.v. WeTransfer). V.V. Jistrum zal erop toezien dat een dergelijke doorgifte in overeenstemming is met de geldende wet- en regelgeving. V.V. Jistrum blijft verantwoordelijk voor deze verwerkingen.  Betaalachterstanden kunnen wij uit handen geven aan een incassobureau, dat uw gegevens mogelijk ook gebruikt voor een kredietwaardigheidsbeoordeling. Daarnaast verstrekt V.V. Jistrum uw persoonsgegevens niet aan andere derden.

In kaart brengen websitebezoek

V.V. Jistrum maakt geen gebruikt van technische, functionele en analytische cookies op de website: https://www.vvjistrum.nl.

Vastleggen communicatie

Het bewaren van elektronische communicatie en de verwerking daarvan door V.V. Jistrum hebben als doel:

  • Beoordelingsdoeleinden van het volledige dossier;
  • Naslag;

Gegevens inzien, aanpassen of verwijderen

Wij houden graag uw gegevens actueel. Wilt u weten of alle gegevens die wij van u hebben ook juist zijn, dan kunt u daar navraag naar doen. U kunt een verzoek tot inzage, correctie, verwijdering of beperking van de verwerking sturen naar de emailadressen: penningmeester@vvjistrum, secretaris@vvjistrum en/of voorzitter@vvjistrum.nl. Daarnaast kunt u verzoeken om uw gegevens over te dragen, aan uzelf of aan een derde.

V.V. Jistrum zal zo snel mogelijk, maar binnen vier weken, op uw verzoek reageren.

Klacht

Indien u niet tevreden bent over de afwikkeling van uw verzoek of over de gegevensverwerking in het algemeen, dan kunt u een klacht indienen. Uw klacht zal zo snel mogelijk, maar binnen vier weken, worden behandeld.

Beveiliging

V.V. Jistrum neemt de bescherming van uw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan telefonisch contact met ons op of kom langs bij onze vereniging.

Website beveiligd 

Ook de clubwebsite is beter beveiligd met het verplichte groene slotje op de adresbalk zodat je kunt zien dat het de website van de vereniging is en eventuele ingevoerde persoonlijke data niet gekaapt kan worden en encrypted wordt verzonden, etc.

Media, foto's etc.

Leden kunnen zelf kiezen of zij alleen met hun naam, alleen met hun foto of met beide zichtbaar op bijvoorbeeld het wedstrijdformulier komen te staan, webiste: op de teampagina’s. V.V. Jistrum plaats al geen pasfoto's meer op de website (wel van teamfoto's). Daarnaast maakt V.V. Jistrum gebruik van een kabelkrant-ClubTV in de kantine. Wanneer men een foto wil laten verwijderen van de kabelkrant dan dit graag direct melden bij het bestuur.

Het delen van foto’s en video’s van (mede-)spelers door ouders, bestuur, commmissies of andere leden van de voetbalvereniging is niet altijd een probleem en is meestal goedbedoeld. Maar wat als een ouder klaagt over het plaatsen van een foto of video van zijn kind op de clubwebsite of op een ander mediakanaal? Vervelend, maar als voetbalvereniging zijn wij verplicht om gehoor te geven aan de klacht.

Verwijderen op grond van privacy-wetgeving

Een foto of video waarop een speler te zien is, zegt iets over de afkomst van die speler. Uit de huidskleur of het uiterlijk kan veel worden afgeleid. Deze informatie is bijzonder gevoelig. Daarom is het vanuit het oogpunt van privacy belangrijk dat de afgebeelde persoon (of zijn ouders) toestemming geeft voor het publiceren van die foto.

Sportlink, V.V. Jistrum en Privacy

Sportlink verwerkt jouw gegevens als bewerker in opdracht van de KNVB of V.V. Jistrum waarbij je je hebt aangemeld. In het kader van deze verwerkingen waarborgt en respecteert Sportlink jouw privacy, onder andere door naleving van de Wet bescherming persoonsgegevens en van toepassing zijnde gedragscodes.

Privacy niveaus binnen Sportlink

Een privacy niveau is persoonlijk. Het privacy niveau bepaalt welke van jouw persoonsgegevens met anderen gedeeld worden. Elk individu heeft een eigen persoonlijk privacy niveau.
Personen die gebruik maken van de Voetbal.nl app of de KNVB Wedstrijdzaken app hebben de keuze uit 3 niveaus: Afgeschermd, Normaal en Beperkt.

  • Afgeschermd. Met dit privacy niveau worden personen als Afgeschermd getoond. Personen kunnen niet worden gevonden bij zoekopdrachten. Uitzondering op deze situatie is de ondersteuning van officiële processen als het Digitaal Wedstrijdformulier. Persoonsgegevens die nodig zijn om iemand tijdens het proces te legitimeren worden zijn beschikbaar voor de gebruiker.
  • Normaal. Met dit privacy niveau worden alle persoonsgegevens van een persoon beschikbaar gesteld aan anderen.
  • Beperkt. Met dit privacy niveau maken personen zich in de app bekend aan anderen. Personen kunnen worden gezocht en gevonden. Van deze personen is geen foto beschikbaar voor anderen.

Nieuwe ontwikkelingen

De tekst van dit privacy statement kan door ons worden aangepast gelet op nieuwe ontwikkelingen, bijvoorbeeld in het kader van onze activiteiten. Het verdient daarom aanbeveling deze tekst met enige regelmaat te raadplegen wanneer u onze site bezoekt.

Mocht er onverhoeds toch een schending van uw privacy rechten zijn, schroom dan niet ons te informeren.

25-05-208


Delen

voeg je eigen gadgets toe aan deze pagina!