Sportclubs hebben net als heel veel andere organisaties te maken met het verwerken van persoonsgegevens. Volgend jaar in mei wordt daarvoor Europese wetgeving van kracht. Het is goed om je club daar nu al op voor te bereiden.
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
Wat verandert er?
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen sterkere privacyrechten. Organisaties die persoonsgegevens verwerken – en daar horen ook sportverenigingen toe – krijgen meer verplichtingen. Zo ontkomen clubs er niet meer aan om ‘accountable‘ te zijn; er geldt een documentatieplicht: met documenten kunnen aantonen dat je voldoet aan de AVG. Concreet betekent dit: beleid maken en opschrijven hoe je omgaat met persoonsgegevens van je leden en fans/vrijwilligers.
Wat kan ik doen?
Als sportclub kun je nu alvast stappen ondernemen om straks klaar te zijn voor de AVG. Het allerbelangrijkste is beleid te maken en op te schrijven: hoe wil je omgaan met de persoonsgegevens van je leden? Is het oké als ieder bestuurslid of commissie zijn eigen Excel-bestand bijhoudt? Of om ledengegevens te delen met sponsoren? Dit zijn vragen waar je als club over na moet denken en een antwoord op moet formuleren. En dat dus opschrijven…
Dataportabiliteit
Onder de AVG krijgen de mensen van wie jouw club persoonsgegevens heeft betere privacyrechten. Bereid je daarop voor, zodat je op tijd en op de juiste manier op verzoeken reageert. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
Maak alvast een overzicht
Breng jouw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens jouw club verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.
Je kunt het overzicht ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Realiseer je dat de gegevens van jouw leden ook (rechtstreeks) naar de bond gaan en bij eventuele andere databanken belanden, bijvoorbeeld bij NOC*NSF. Dit betekent dat je, als een lid vraagt zijn gegevens te corrigeren of te verwijderen, dit moet doorgeven aan organisaties waarmee je hun gegevens hebt gedeeld.
Maak beleid
De volgende stap is dat je binnen je bestuur vaststelt hoe jouw club wil omgaan met de privacy van je leden. Als kader bij deze discussie kun je de uitgangspunten ‘privacy by design‘ en ‘privacy by default‘ gebruiken.
Daarvoor ga je na hoe je deze beginselen binnen jouw club kunt invoeren. Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd.
Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door:
- een app die je aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
- op je website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
- als iemand zich op jouw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dat is bijvoorbeeld het geval als je bijzondere persoonsgegevens verwerkt, aan marketing doet op je database of meer dan 5000 personen in je database hebt staan.
Bewerkersovereenkomsten
Vraag jezelf als club af met welke partijen je zaken doet; heb je een derde ingeschakeld voor bijvoorbeeld het incasseren van de contributie? Check dan wat zij doen met de persoonsgegevens van je leden, blijven die gegevens van jouw club? Geeft die organisatie je voldoende waarborgen dat zij de persoonsgegevens van je leden veilig verwerken?
Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
Meer weten?
De Autoriteit Persoonsgegevens heeft de 10 belangrijkste stappen op een rijtje gezet. Op www.autoriteitpersoonsgegevens.nl vind je ook antwoorden op enkele veelgestelde vragen.
Kijk op sport.nl/voorclubs voor meer informatie over de AVG.
Dit artikel verscheen eerder op sport.nl/voorclubs.
-
Bekijk meer artikelen uit deze thema's
- Vier adviezen om coronabesmettingen bij de club te voorkomen
- Als bestuurder aan de slag met een veilig schaats- en skateklimaat
- Deadline UBO-registratieplicht gemist, wat nu?
- Wat kun je als vereniging doen bij hoge temperaturen?
- Phishing: Wat kun je als er club tegen doen?
Heb je gevonden wat je zocht?