De volgende, op privacy geënte, verklaringen en protocollen gelden binnen onze vereniging:
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Ook voetbalverenigingen hebben te maken met het verwerken van persoonsgegevens. Organisaties krijgen meer verplichtingen om op een juiste manier om te gaan met gegevens van personen.
Eind mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door een privacywetgeving die geldt in de gehele Europese Unie (EU): de AVG. Deze wet versterkt de positie van de mensen van wie persoonsgegevens worden verwerkt. Organisaties die persoonsgegevens verwerken, waaronder dus voetbalclubs, krijgen meer verplichtingen om op een juiste manier om te gaan met deze gegevens. Concreet houdt dit in dat verenigingen moeten opschrijven hoe zij omgaan met persoonsgegevens van hun leden, vrijwilligers en fans. Met deze documentatieplicht kunnen clubs aantonen dat zij voldoen aan de AVG.
Privacy: wat is dat?
Het recht op privacy kun je eenvoudig omschrijven als iemands recht om met rust te worden gelaten. Dit betekent ook dat je niet zomaar iemands persoonlijke informatie mag gebruiken. Dit laatste noemen we het recht op de bescherming van persoonsgegevens. Als sportvereniging ben je wettelijk verplicht tot het beschermen van de persoonsgegevens van leden, vrijwilligers, en alle andere personen van wie je persoonsgegevens verwerkt. Privacywetgeving stelt daarvoor een aantal concrete regels. Om te begrijpen hoe je die regels naleeft, is het handig om enkele basisbegrippen te kennen. De belangrijkste begrippen lichten we hierna toe.
Wat zijn persoonsgegevens?
Een persoonsgegeven is ieder gegeven over een levende en identificeerbare persoon. Het gaat dus om álle informatie over een persoon. Het maakt daarbij niet uit of informatie ‘privé’, publiek bekend, oud of nieuw, relevant of juist volstrekt onbelangrijk is. Een paar voorbeelden van persoonsgegevens zijn iemands voor- en achternaam, woonplaats en adres, telefoonnummer, lidmaatschapsnummer, leeftijd, lichaamslengte, dieet, geslacht, seksuele voorkeur, e-mailadres en de herkenbare afbeelding in een foto of video. Ook gegevens over iemands gedrag en voorspellingen daarvan kunnen persoonsgegevens zijn. Denk bijvoorbeeld aan iemands locatiegegeven of een analyse van iemands fysieke inspanning via populaire wearables en apps. Zulke gegevens zijn natuurlijk privacygevoelig.
Wanneer is iemand identificeerbaar?
We spreken van een persoonsgegeven als een gegeven herleidbaar is tot een persoon. Vaak is informatie eenvoudig gekoppeld aan een naam of aan een uniek nummer, zodat je een persoon direct kunt identificeren. Stel dat de secretaris van een vereniging Jan de Vries heet en gebruikmaakt van het emailadres [email protected]. Dan is dat e-mailadres een persoonsgegeven. Soms is identificatie weliswaar niet direct, maar wel indirect mogelijk. Denk bijvoorbeeld aan een teamfoto. Hoewel er misschien geen namen onder de teamfoto staan, kom je daar met een eenvoudige zoekopdracht via internet soms toch achter. De foto is in dat geval een persoonsgegeven. Valt er écht niet te achterhalen op wie informatie betrekking heeft, dan is sprake van ‘anonimiteit’. In theorie is de privacywetgeving dan niet van toepassing, omdat er geen sprake is van een persoonsgegeven. De ervaring leert echter dat het vaak lastig is om te voorkomen dat informatie alsnog kan wordt gekoppeld aan een individu. Ga er dus nooit zomaar vanuit dat je privacywetgeving eenvoudig buitenspel zet.
Ter illustratie: een bekend misverstand is het ‘anonimiseren’ door informatie (zoals een deelnemerslijst of wedstrijduitslagen) te koppelen aan een lidnummer in plaats van een naam. Dat nummer leidt immers eenvoudig terug naar een achternaam, zodat ook het lidnummer en de daaraan gekoppelde informatie kwalificeren als persoonsgegevens. Dat slechts de vereniging in staat is tot het leggen van die koppeling, maakt daarbij niet uit.
Samenvattend: we raden aan om alle gegevens waarvan je vermoedt dat die herleidbaar zijn tot een persoon te behandelen alsof het persoonsgegevens zijn.
Wanneer ‘verwerk’ je persoonsgegevens?
Om te weten in welke gevallen je rekening moet houden met privacywetgeving, moet je steeds nagaan of er sprake is van een verwerking van persoonsgegevens.
Het begrip ‘verwerken’ is zeer breed. In feite is iedere handeling met een persoonsgegeven een verwerking. Denk dus aan het verzamelen, opslaan, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken van persoonsgegevens. In dat laatste geval spreek je van een ‘datalek’.
Voorbeelden van verwerkingen:
Een sportvereniging neemt de persoonsgegevens van een nieuw lid op in het ledenbestand. Bepaalde gegevens worden doorgestuurd naar de gelieerde sportbond. De vereniging factureert het lid jaarlijks voor het lidmaatschapsgeld. Ook stuurt de vereniging regelmatig nieuwsbrieven aan haar leden. Leden worden gekoppeld met teamindelingen en wedstrijdschema’s. Foto’s en video’s van wedstrijden worden gepubliceerd op de verenigingswebsite, de verenigingsapp en op sociale media. Nadat het lid is uitgetreden, worden zijn gegevens uit het ledenbestand verwijderd. Dit soort activiteiten zijn voorbeelden van verwerkingen van persoonsgegevens door een sportvereniging.
Verwerkingen vinden in de praktijk niet alleen digitaal plaats, maar ook op papier. Ook als gegevens op papier worden gezet of geprint om in een bestand te worden opgenomen, is sprake van een verwerking. Denk bijvoorbeeld aan de papieren leden-, vrijwilligers- en wedstrijdadministratie.
Wie is de ‘betrokkene’?
Een belangrijke figuur in het privacyrecht is de betrokkene. Dit is de persoon op wie een persoonsgegeven betrekking heeft. Hij of zij is dus degene die door het privacyrecht wordt beschermd.
Voorbeeld van een betrokkene:
Een lid wordt opgenomen in het ledenbestand van de sportvereniging. Het lid is betrokkene bij de verwerkingen van de persoonsgegevens die op hem of haar betrekking hebben, zoals een naam, lidnummer, adres, geboortedatum en bankrekeningnummer.
Betrokkenen hebben een aantal belangrijke rechten. Zo kan ieder lid of een vrijwilliger vragen om inzage, aanpassing en verwijdering van zijn of haar persoonsgegevens. Je bent als vereniging meestal verplicht om aan een dergelijk verzoek mee te werken.
Wie is ‘verwerkingsverantwoordelijke’?
Naast de vraag of privacywetgeving een rol speelt, wil je natuurlijk ook weten wie zich vervolgens aan die regels moet houden bij een bepaalde verwerking. Dat is hoofdzakelijk één partij, namelijk degene die beslist over het doel van en de middelen voor die verwerking. We noemen deze partij de verwerkingsverantwoordelijke (of korter: verantwoordelijke). Je kunt de verantwoordelijke eigenlijk zien als de baas van een verwerking van persoonsgegevens: de verantwoordelijke bepaalt waarom en hoe bepaalde gegevens wel of juist niet worden gebruikt.
Voorbeeld van een verantwoordelijke:
De sportvereniging is in de praktijk verantwoordelijk voor vrijwel alle verwerkingen die zij uitvoert met de persoonsgegevens van haar leden. De vereniging bepaalt immers hoe en waarom bepaalde verwerkingen plaatsvinden (zoals ledenbeheer, facturatie en nieuwsvoorziening van leden, online publicaties door de vereniging, of de doorgifte van persoonsgegevens aan een sportbond of een sponsor).
Vaak worden dezelfde persoonsgegevens van een betrokkene door meerdere partijen verwerkt voor verschillende doeleinden. Deze partijen zijn doorgaans ieder zelfstandig verantwoordelijke voor wat zij zélf met die persoonsgegevens doen.
Voorbeeld:
De persoonsgegevens van een lid (zoals een e-mailadres) zijn vaak niet alleen bekend bij de sportvereniging, maar ook bij een sportbond of een koepelorganisatie. Deze organisaties streven vaak een eigen doel na bij het gebruik van die persoonsgegevens. Iedere partij blijft dan zelfstandig verantwoordelijk voor de naleving van privacywetgeving.
Let op: een sportbond is niet automatisch verantwoordelijke voor verwerkingen die plaatsvinden door derde partijen die dat doen voor hun eigen doeleinden, ook al heeft deze derde de persoonsgegevens wellicht verkregen via de sportbond.
Meestal kun je eenvoudig vaststellen wie verantwoordelijke is, maar er zijn ook complexere gevallen. Soms zijn er bijvoorbeeld meerdere organisaties betrokken bij dezelfde verwerking. Je bent dan ‘gezamenlijk verantwoordelijk’. Doet zo’n situatie zich voor en kun je niet vaststellen wat de rechten en plichten zijn van de vereniging, vraag dan om deskundig advies.
Mocht de vereniging gebruik maken van externe dienstverleners, hoe zit dat?
Sportverenigingen maken tegenwoordig veel gebruik van bijvoorbeeld online ledenadministratie en marketingmailing-diensten. Daarbij worden vrijwel altijd persoonsgegevens verwerkt. De vereniging bepaalt in dat geval weliswaar het doel van de verwerking van die persoonsgegevens, maar de dienstverlener verzorgt de feitelijke uitvoering, zoals het ‘hosten’ van de gegevens. Een dienstverlener is in dat geval als een ‘verwerker’. Als verantwoordelijke ben je wettelijk verplicht tot het aangaan van een zogeheten verwerkersovereenkomst met deze verwerker. Je maakt daarin afspraken om ervoor te zorgen dat de verwerker zorgvuldig omgaat met de persoonsgegevens.
Voorbeeld verwerker:
De sportvereniging neemt de persoonsgegevens van haar leden op in een online ledenbeheersysteem. Dit systeem wordt aangeboden en gehost door een ICT-dienstverlener. De hosting gebeurt ten behoeve van de vereniging (en niet voor eigen doeleinden van de ICTdienstverlener). De ICT-dienstverlener is dus verwerker, en de vereniging is verantwoordelijke voor de verwerkingen die plaatsvinden met het ledenbeheersysteem. De vereniging moet een verwerkersovereenkomst sluiten met de ICT-dienstverlener.
Overzicht krijgen met het verwerkingsregister:
Sportverenigingen zijn zelfstandig verplicht zorgvuldig om te gaan met persoonsgegevens. De wet stelt daarvoor een aantal concrete eisen. Om te achterhalen welke gevolgen dit heeft voor jouw vereniging, moet je eerst grondig vaststellen hoe de vereniging persoonsgegevens zoal gebruikt. Deze informatie leg je vast in een verwerkingsregister (hierna: 'register'). Het bijhouden van een register is vanaf 25 mei 2018 wettelijk verplicht.
Wat is het nut van een register?
Een register komt van pas bij het stapsgewijs controleren van het privacybeleid binnen de vereniging. Zo kun je met het register bijvoorbeeld per verwerking nagaan of een gebruik van persoonsgegevens wel of niet is toegestaan en of de gebruikte gegevens niet te lang worden bewaard.
Welke informatie neem je op in het register?
Het register is een schematisch overzicht met essentiële informatie over de verwerkingen van persoonsgegevens binnen de vereniging. Het register geeft minimaal antwoord op de volgende vragen:
1 Wat zijn de verschillende doeleinden waarvoor de vereniging persoonsgegevens verwerkt?
2 Om welke persoonsgegevens gaat het?
3 Op welke categorie personen hebben de gegevens betrekking (wie zijn de betrokkenen)?
4 Hoe lang worden de betreffende persoonsgegevens bewaard?
5 Verstrekt de vereniging persoonsgegevens aan derden, wie zijn dit en wat is het doel daarvan?
6 Wat zijn in algemene bewoordingen de getroffen beveiligingsmaatregelen ter bescherming van de betrokken persoonsgegevens?
7 Worden er persoonsgegevens doorgegeven aan of opgeslagen in landen buiten de Europese Economische Ruimte en/of internationale organisaties en, zo ja, welke landen en/of organisaties zijn dit?
Het is aanbevolen per verwerkingsdoel ook de volgende informatie op te nemen:
1 Wie zijn binnen de vereniging belast met deze verwerking?
2 Welke IT-systemen worden gebruikt bij deze verwerking?
3 Hoe zijn betrokkenen geïnformeerd over deze verwerking?
Een onderdeel van het register kan er bijvoorbeeld als volgt uitzien:
Doel Beheer door Betrokkenen Persoonsgegevens Bewaartermijn Betrokken systemen Inschrijving nieuw lid Penningmeester Nieuwe leden - NAW - Geboortedatum - E-mailadres - Tel.nr. - IBAN - Lidnummer - 2 jaren na einde lidmaatschap - 7 jaren voor zover fiscaal verplicht - Webformulier - Online ledenadministratie - Online boekhouding Dit schema dient slechts ter illustratie; een uitgebreider schema kan in de praktijk nodig zijn.
We lichten hierna met twee voorbeelden toe hoe het register kan ondersteunen bij het controleren of de vereniging voldoet aan de privacyregels.
Toepassing van het register (1): is het doel van de verwerking rechtmatig?
Persoonsgegevens mogen enkel worden verwerkt indien daarvoor een geldige 'grondslag' bestaat. Een sportvereniging moet een verwerking in de praktijk meestal kunnen baseren op minimaal één van onderstaande gronden:
1 de verwerking is noodzakelijk voor de uitvoering of de totstandkoming van een overeenkomst met de betrokkene (voorbeeld: het opnemen van een nieuw lid in de ledenadministratie);
2 de verwerking is noodzakelijk voor de naleving van een wettelijke plicht (voorbeeld: de algemene fiscale bewaarplicht van zeven jaren);
3 de betrokkene geeft toestemming voor de verwerking (voorbeeld: het plaatsen van foto’s van jeugdspelers op sociale media); of
4 de verwerking is noodzakelijk vanwege een gerechtvaardigd belang van de vereniging of van een derde partij (voorbeeld: het versturen van nieuwsbrieven aan leden door de vereniging).
Zijn alle toepasselijke grondslagen eenmaal opgenomen in het register, dan kan per verwerking worden vastgesteld of deze grondslag toereikend is of niet. Ontbreekt een geldige grondslag, dan weet je dat de verwerking moet worden gestaakt.
Toepassing van het register (2): wordt een juiste bewaartermijn toegepast?
Persoonsgegevens mogen in principe niet langer worden bewaard dan noodzakelijk is voor het beoogde doel, tenzij de wet bepaalt dat zij voor langere tijd moeten worden opgeslagen. Hoe lang je persoonsgegevens bewaart, varieert in de praktijk nogal. Een structureel overzicht is daarom noodzakelijk. Een register helpt bij het aanbrengen van die structuur.
Voorbeeld bewaartermijn:
Persoonsgegevens van een uitgetreden lid bewaar je in principe niet langer dan twee jaren na het einde van het lidmaatschap. Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaren. Overleg dus met de penningmeester binnen de vereniging welke gegevens daaronder vallen. Sommige informatie zal je wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre je de gegevens kunt anonimiseren.
Welke beveiligingsplicht heeft een vereniging?
Een vereniging moet passende maatregelen treffen om te voorkomen dat persoonsgegevens worden blootgesteld aan onrechtmatige verwerking. Informatiebeveiliging is echter meer dan het beschermen tegen diefstal en virussen. De praktijk leert dat de meeste beveiligingsincidenten het gevolg zijn van niet-opzettelijke nalatigheid. Denk bijvoorbeeld aan het rondslingeren van USB-sticks met leden- en deelnemerslijsten, of een computercrash waarbij persoonsgegevens definitief verloren gaan. Je beschermt persoonsgegevens tegen iedere vorm van verlies van beschikbaarheid, integriteit dan wel vertrouwelijkheid.
Welke maatregelen moet de vereniging treffen?
Uiteindelijk draait informatiebeveiliging om een juiste combinatie van zowel technische als organisatorische maatregelen, waarbij uiteindelijk de zwakste schakel telt. Zo is een complex wachtwoord voor het inloggen op de online ledenadministratie zinloos als datzelfde wachtwoord op een notitieblok rondslingert in het clubhuis.
Voorbeelden van veelvoorkomende beveiligingsmaatregelen Technisch:
1 het versleutelen van bestanden ("encryptie");
2 het regelmatig doen wijzigen van wachtwoorden;
3 het regelmatig maken van back-ups.
Organisatorisch:
1 het invoeren van een geheimhoudingsplicht aan vrijwilligers/bestuurders;
2 het invoeren van een incidentprotocol voor beveiligingsincidenten;
3 het trainen van vrijwilligers/bestuurders om veiligheidsbewustzijn te creëren.
Welke maatregelen nodig zijn, hangt af van de risico’s die met de verwerking van persoonsgegevens zijn verbonden. Bijzondere risicogebieden waar je als sportvereniging bijvoorbeeld vaak rekening mee houdt zijn:
1 de vertrouwelijkheid en beschikbaarheid van de verenigingsadministratie, met name de ledenadministratie;
2 communicatie met vertrouwenscontactpersonen; en
3 gegevens van jeugdleden.
Tip De Autoriteit Persoonsgegevens heeft de Beleidsregels beveiliging persoonsgegevens gepubliceerd. Het is aan te raden aan dit document te lezen, nu de autoriteit daarin uitgebreid aangeeft wat zij zoal van een organisatie verwacht.
Wat te doen als een vereniging geen kennis in huis heeft?
Het feit dat een doorsnee sportvereniging meestal weinig tot geen expertise in huis heeft op het gebied van IT/informatiebeveiliging, is geen excuus om het onderwerp links te laten liggen. Verenigingen, groot of klein, worden geacht datgene te doen wat redelijkerwijs van hen kan worden verlangd. Onthoud daarbij dat de kwaliteit van beveiliging niet zozeer draait om geld, maar vooral om het verkrijgen van voldoende kennis en bewustzijn.
Moet de vereniging beveiligingsafspraken maken met leveranciers van (IT-)diensten?
Ja, dat is noodzakelijk als de leverancier toegang krijgt tot persoonsgegevens waarvoor de vereniging verantwoordelijk is. Denk bijvoorbeeld aan leveranciers van online verenigingsapplicaties. De afgesproken beveiligingsniveaus leg je meestal vast in een zogeheten verwerkersovereenkomst (ook wel 'bewerkersovereenkomst' genoemd).
Mogen persoonsgegevens op privéapparatuur worden geplaatst?
Het is niet ongebruikelijk dat bestuurders/vrijwilligers bij de vervulling van verenigingstaken gebruikmaken van privéapparatuur. Dat is in principe mogelijk, maar de vereniging blijft verantwoordelijk voor het veilige verloop van dit gebruik.
Overweeg in ieder geval het invoeren van de volgende regels:
1 de gebruiker moet antivirussoftware installeren en deze regelmatig updaten;
2 de gebruiker moet deugdelijke toegangscodes instellen;
3 vermijd opslag op lokale harde schijven indien gebruik kan worden gemaakt van webomgevingen (bijv. Google Apps, Office 365, online verenigingsadministratie etc.);
4 zorg dat te allen tijde een deugdelijke back-up beschikbaar blijft van de gegevens die op de privéapparatuur worden verwerkt; en
5 beëindigt iemand zijn of haar verenigingstaken, zorg er dan voor dat deze persoon niet langer toegang heeft tot de gegevens.
Wat moet de vereniging doen in geval van een datalek?
Leidt een beveiligingsincident tot de vernietiging, verlies, wijziging of ongeoorloofde verstrekking/toegang, dan is mogelijk sprake van een datalek. Tenzij het datalek waarschijnlijk geen nadelige gevolgen heeft voor de betrokken personen, moet het lek tijdig worden gemeld bij de Autoriteit Persoonsgegevens. Heeft het lek bovendien een hoog risico op nadelige gevolgen voor de personen wiens gegevens het betreft, dan moet het incident ook aan deze personen worden gemeld. Blijkt een datalek achteraf ten onrechte niet tijdig te zijn gemeld, dan kan dit leiden tot oplegging van een fikse boete.
Heeft de vereniging onvoldoende kennis of mankracht in huis om een incident af te handelen, vraag dan om hulp van eendeskundige. CMS is ervaren in het adviseren van sportorganisaties en het afhandelen van beveiligingsincidenten.
I: De privacyverklaring
Waarom een privacyverklaring? Als vereniging ben je verplicht om betrokkenen te informeren over de manier waarop je omgaat met hun persoonsgegevens. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging, die - als het goed is - zijn vastgelegd in het verwerkingsregister van de vereniging (zie een eerder artikel daarover).
Een paar voorbeelden van doelgroepen die je zoal moet informeren:
1 leden (over verwerkingen in verband met het lidmaatschap);
2 websitebezoekers (bijvoorbeeld over de wijze waarop je hun surfgedrag bijhoudt);
3 sporttalent (bijvoorbeeld over de wijze waarop de vereniging hen monitort).
Wat neem je op in de privacyverklaring? In de privacyverklaring moet onder meer de volgende informatie worden opgenomen:
1 de doeleinden waarvoor de vereniging persoonsgegevens verwerkt;
2 hoe lang persoonsgegevens worden bewaard (of de criteria die de vereniging hanteert voor het vaststellen van de bewaartermijn);
3 aan welke (categorieën) derden persoonsgegevens eventueel worden doorgegeven;
4 de vermelding dat de betrokkene een gegeven toestemming voor een verwerking op ieder moment mag intrekken; en
5 de vermelding dat de betrokkene een verzoek kan indienen tot inzage, correctie, verwijdering van persoonsgegevens, en het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Verkrijg je de persoonsgegevens via een derde in plaats van rechtstreeks via de betrokkene, dan moet je tevens meedelen van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft.
Tip: wees duidelijk:
Niemand is geholpen met een vage bewoording dat de vereniging "bepaalde informatie" "mogelijk" voor "kwaliteitsdoeleinden" gebruikt. Het lijkt aantrekkelijk om veel ruimte te creëren voor allerlei vormen van gebruik, maar uiteindelijk wekken dit soort woorden vooral argwaan en leiden ze tot onduidelijkheid.
Hoe stel je de privacyverklaring beschikbaar?
Je informeert de betrokkene in principe voorafgaand aan het vastleggen van zijn of haar persoonsgegevens. We bespreken hier twee veelvoorkomende situaties.
Voorbeeld 1: inschrijving als lid/deelnemer
Schrijft iemand zich online in als verenigingslid of als deelnemer aan een wedstrijd/evenement, verwijs dan duidelijk op het formulier naar de privacyverklaring met een hyperlink. Bijvoorbeeld: "Onze vereniging verwerkt uw persoonsgegevens conform de privacyverklaring". Schrijft iemand zich ter plaatse in (dus niet online), verwijs dan op het papier naar de privacyverklaring en leg deze klaar voor eventuele raadpleging.
Voorbeeld 2: de website
Bezoekers van een website kun je eenvoudig informeren door het plaatsen van een link naar de privacyverklaring onderaan elke sub-pagina van de website. Vraag bezoekers (voor bepaalde delen) om zich te registreren met een account, verwijs dan nogmaals uitdrukkelijk naar de privacyverklaring (zie voorbeeld 1). Let op: voor het verstrekken van informatie over de plaatsing van cookies gelden aparte regels.
Kan de vereniging verwijzen naar één algemene privacyverklaring?
Ja, maar let er op dat de privacyverklaring een zorgvuldige toelichting geeft voor alle verwerkingen waarop de verklaring betrekking heeft. Ter illustratie: gebruik je op de website één privacyverklaring voor zowel websitebezoekers als leden, dan kun je niet volstaan met informatie die slechts betrekking heeft op het gebruik van de website.
II: Toestemming
Wanneer is toestemming nodig voor een verwerking van persoonsgegevens?
Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Eén van deze gevallen is dat de betrokkene uitdrukkelijk toestemming geeft. Toestemming is echter niet nodig voor iedere verwerking. Denk bijvoorbeeld aan verwerkingen die noodzakelijk zijn om als vereniging uitvoering te geven aan de lidmaatschapsovereenkomst met leden.
Het is lastig om een algemeen antwoord te geven op de vraag of toestemming nodig is voor een verwerking. Om je op weg te helpen, volgen hierna enkele voorbeelden waarvoor een sportvereniging doorgaans toestemming nodig heeft:
1 de verzending van reclame per e-mail aan leden door verenigingssponsoren;
2 het analyseren van iemands online gedrag (bijvoorbeeld door het gebruik van cookies of locatiegegevens);
3 de plaatsing van foto’s van jeugdspelers op een publiek toegankelijke website; en
4 het gebruik van gezondheidsgegevens (denk bijvoorbeeld aan apps en wearables die een hartslag meten).
Waar moet je op letten bij het gebruik van toestemming?
Verwerkt de vereniging persoonsgegevens op basis van toestemming, houd dan altijd rekening met het volgende: - Stilzwijgende toestemming is niet voldoende. Vermijd dus bijvoorbeeld een checkbox die automatisch is aangevinkt. Je hebt een actieve instemming nodig van de betrokkene. - Toestemming is slechts geldig als deze uit vrije wil door de betrokkene is gegeven. Heeft de betrokkene dus feitelijk geen keus, dan is van geldige toestemming geen sprake.
Toestemming voor de verwerking van gegevens van een persoon die nog geen 16 jaar oud is, vraag je aan de ouder/voogd. - Leg een verkregen toestemming vast. De vereniging moet achteraf kunnen aantonen dat een zekere toestemming daadwerkelijk is verleend. - Een betrokkene heeft het recht om een gegeven toestemming op ieder moment in te trekken.
I: Het SPAM-verbod
Het SPAM-verbod houdt in dat je iemand geen ongevraagde elektronische berichten mag sturen, tenzij de ontvanger daar vooraf mee instemt. Daaronder vallen bijvoorbeeld niet enkel typische reclameboodschappen, maar ook nieuwsbrieven.
Mag een vereniging gewone nieuwsbrieven sturen aan eigen leden?
Ja, op het versturen van reguliere nieuwsbrieven aan leden is het SPAM-verbod niet van toepassing. Een vereniging moet leden immers regelmatig kunnen informeren (uitnodiging ALV, verenigingsagenda, uitslagen, etc.).
Maar let op: voor commerciële boodschappen is wél toestemming nodig van de ontvanger, lid of niet.
Hoe zit het met gemengde nieuwsbrieven aan leden?
Het komt voor dat verenigingen berichten sturen aan leden met daarin zowel verenigingsinformatie als commerciële boodschappen. Denk hierbij aan verenigingsnieuws in combinatie met de vermelding van een kortingsactie van een sponsor. Dit soort situaties zijn een grijs gebied. Het is aanbevolen om voor het sturen van dit soort gemengde berichten vooraf toestemming te vragen. Beschik je daarentegen als vereniging momenteel over adressen van ontvangers die nooit expliciete toestemming hebben gegeven voor commerciële berichten, bied dan in ieder geval een uitschrijfmogelijkheid in iedere nieuwsbrief.
Moet in iedere nieuwsbrief een uitschrijflink worden opgenomen?
Ja, iedere ontvanger moet zich eenvoudig kunnen afmelden voor het ontvangen van ongevraagde elektronische berichten.
II: Contactgegevens delen met sponsoren
Veel sponsoren willen verenigingsleden individueel kunnen benaderen met commerciële mededelingen en verzoeken de vereniging daarom adresgegevens te verstrekken. Het is voor een sportvereniging onder bepaalde omstandigheden toegestaan om adresgegevens (d.w.z. naam, adres en woonplaats) te delen met sponsoren.
Moeten leden instemmen met het doorgeven van adresgegevens aan sponsoren?
Ja, maar individuele toestemming is niet noodzakelijk. De vereniging kan de doorgifte van adresgegevens namelijk ook in algemene zin laten goedkeuren door de algemene ledenvergadering. Na een dergelijke instemming is individuele toestemming van ieder lid niet langer nodig. Wel moet de vereniging haar leden op voorhand duidelijk meedelen dat ieder lid gedurende een bepaalde periode eenvoudig bezwaar kan maken tegen de verstrekking van zijn of haar eigen adresgegevens. De sportorganisatie kan leden daarover informeren via bijvoorbeeld mail, het clubblad of de eigen website. Bied leden minimaal vier weken de kans voor het kenbaar maken van hun eventuele bezwaren.
Mag de vereniging naast adresgegevens ook e-mailadressen van leden verstrekken aan sponsoren?
Zoals gezegd is voor het verzenden van ongevraagde elektronische berichten uitdrukkelijke toestemming nodig van de ontvanger. Beschikt een sponsor niet over dergelijke individuele toestemming, dan mag de vereniging geen e-mailadressen van deze ontvangers verstrekken aan deze sponsor.
III: Online publicaties
Wat zijn de regels omtrent het maken en publiceren van foto’s en video’s?
Foto’s en video’s met een herkenbaar in beeld gebrachte betrokkene zijn meestal persoonsgegevens. Voor het maken en publiceren ervan heb je daarom vaak toestemming nodig van de betrokkene, zeker als het gaat om een minderjarig persoon. Toestemming ten aanzien van iemand die nog geen 16 jaar oud is, vraag je aan de ouder/voogd.
Let op: iemand die toestemming geeft voor het maken van een foto, geeft daarmee niet per definitie toestemming voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. In de regel zal je gehoor moeten geven aan een dergelijk verzoek. Is dit bezwaarlijk en wil je als vereniging niet aan een dergelijk bezwaar toegeven, vraag dan om deskundig advies.
Zorg ervoor dat leden en toeschouwers zijn geïnformeerd over eventuele beeldopnamen. Dat kan bijvoorbeeld via het huisreglement of met behulp van een bordje op het terrein.
Mag de vereniging haar ledenlijst online publiceren?
Voor een vereniging is het publiceren van een ledenlijst in principe toegestaan, maar het is verstandig om de algemene ledenvergadering daarmee vooraf te laten instemmen. Wil je behalve namen ook contactgegevens in de lijst opnemen, kaart dit dan expliciet aan gedurende de ledenvergadering. Geef leden bovendien, net zoals bij het verstrekken van adresgegevens aan sponsoren, vooraf gelegenheid om zich tegen publicatie te verzetten. Let erop dat uitsluitend leden toegang hebben tot de gepubliceerde ledenlijst.
Gelden dit soort regels ook op sociale media?
Ja, ook op sociale media ben je als vereniging verantwoordelijk voor het publiceren van persoonsgegevens (zoals foto’s). Bedenk dus welke publicaties wel/niet wenselijk zijn, en maak dit onderwerp van discussie in de ledenvergadering. Overweeg bijvoorbeeld een paragraaf over sociale media-gebruik op te nemen in het huisreglement. De kern is uiteindelijk dat je de privacy borgt van leden/personen die dergelijke publiciteit liever mijden, en dat je adequaat omgaat met eventuele klachten en verzoeken.
Bron: www.knvb.nl
