Publicaties

Nieuwe privacywet AVG vraagt ook veel amateurverenigingen

Sportclubs hebben net als heel veel andere organisaties te maken met het verwerken van persoonsgegevens. Vanaf 25 mei geldt er een nieuwe privacywet. Ook de amateur voetbalvereniging moet daar aan voldoen. En dat is nog best een klus.

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Ook alle sportverenigingen moeten zich aan de nieuwe wet houden.

Wat verandert er?
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen sterkere privacyrechten. Organisaties die persoonsgegevens verwerken – en daar horen ook sportverenigingen toe – krijgen meer verplichtingen. Zo ontkomen clubs er niet meer aan om ‘accountable’ te zijn; er geldt een documentatieplicht: met documenten kunnen aantonen dat u voldoet aan de AVG. Concreet betekent dit: beleid maken en opschrijven hoe u omgaat met persoonsgegevens van uw leden en vrijwilligers.

Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.

Wat kan ik doen?
Als sportclub kunt u nu alvast stappen ondernemen om straks klaar te zijn voor de AVG. Het allerbelangrijkste is beleid te maken en op te schrijven: hoe wilt u omgaan met de persoonsgegevens van uw leden? Is het oké als ieder bestuurslid of commissie zijn eigen excelletje bijhoudt? Of om ledengegevens te delen met sponsoren?

Dit zijn vragen waar u als club over na moet denken en een antwoord op moet formuleren. En dat dus opschrijven.

Dataportabiliteit
Onder de AVG krijgen de mensen van wie uw club persoonsgegevens bijhoudt, betere privacyrechten. Bereid u daarop voor, zodat u op tijd en op de juiste manier op verzoeken reageert. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Maak alvast een overzicht
Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens uw club verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.
U kunt het overzicht ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Realiseer u dat de gegevens van uw leden ook (rechtstreeks) naar de bond gaan en bij eventuele andere databanken belanden, bijvoorbeeld bij NOC*NSF. Dit betekent dat u, als een lid vraagt zijn gegevens te corrigeren of te verwijderen, dit moet doorgeven aan organisaties waarmee u hun gegevens hebt gedeeld.

U krijgt strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan.

Maak beleid
De volgende stap is dat u binnen uw bestuur vaststelt hoe uw club wil omgaan met de privacy van uw leden. Als kader bij deze discussie kunt u de uitgangspunten ‘privacy by design’ en ‘privacy by default’ gebruiken.

Daarvoor gaat u na hoe u deze beginselen binnen uw club kunt invoeren. Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd.

Privacy by default houdt in dat uw technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:

– een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;

– op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;

– als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Functionaris voor de gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dat is bijvoorbeeld het geval als u bijzondere persoonsgegevens verwerkt, aan marketing doet op uw database of meer dan 5000 personen in uw database hebt staan.

Bewerkersovereenkomsten
Vraag u zelf als club af met welke partijen u zaken doet; hebt u een derde ingeschakeld voor bijvoorbeeld het incasseren van de contributie? Check dan wat zij doen met de persoonsgegevens van uw leden, blijven die gegevens van uw club? Geeft die organisatie u voldoende waarborgen dat zij de persoonsgegevens van uw leden veilig verwerken? Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

Het is verplicht beleid te maken wat u doet met persoonsgegevens van leden.

Stappenplan
De Autoriteit Persoonsgegeven heeft een handig stappenplan gemaakt voor alle organisaties die met de AVG te maken krijgen.

1. Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.

2. Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Bereid u daar op voor zodat u op tijd en op de juiste manier op verzoeken reageert.

3. Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt.

4. Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.

5. Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.

6. Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie ook geldt.

7. De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren.
8. Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

9. Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven. ′

Tags:

1 Reactie(s)

Kijk wat anderen zeggen over deze publicatie.

  1. Mag ik bij een verslag van wedstrijd of andere activiteit foto’s publiceren?

    Door MMM de Mol op 11 juni 2018

Laat een reactie achter

Het e-mail adres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met een *.

Op de hoogte blijven van ons laatste nieuws?

Elke maand verstuurt de BAV een nieuwsbrief met het allerlaatste nieuws voor voetbalbestuurders. Zo'n 2.200 mensen hebben zich daar al voor ingeschreven. Vul uw gegevens in en ook u ontvangt ons laatste nieuws in uw mailbox.

'Clubs moeten eerder de juridische hulp van de BAV inschakelen'

'In de totstandkoming van de nieuwe structuur van de KNVB speelt de BAV een belangrijke rol'

'Wie doet de ingewikkelde wetgeving binnen uw club? Daar kan de BAV uitkomst in bieden'

'De positie van de BAV in het voetballandschap zal nadrukkelijker zijn dan in het verleden'