29 november 2017

Nieuwe privacywetgeving in mei 2018, ook voor clubs

Sportclubs hebben net als heel veel andere organisaties te maken met het verwerken van persoonsgegevens. Volgend jaar in mei wordt daarvoor Europese wetgeving van kracht. Het is goed om je club daar nu al op voor te bereiden. De tafeltennisbond houdt hierover contact met NOC*NSF en zorgt er samen voor dat de sport aan deze wetgeving voldoet. Maar ook als club heb je een verantwoordelijkheid.

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Wat verandert er?

De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen sterkere privacyrechten. Organisaties die persoonsgegevens verwerken – en daar horen ook sportverenigingen toe - krijgen meer verplichtingen. Zo ontkomen clubs er niet meer aan om ‘accountable’ te zijn; er geldt een documentatieplicht: met documenten kunnen aantonen dat je voldoet aan de AVG. Concreet betekent dit: beleid maken en opschrijven hoe je omgaat met persoonsgegevens van je leden en fans/vrijwilligers..

Wat kan ik doen?

Als sportclub kun je nu alvast stappen ondernemen om straks klaar te zijn voor de AVG. Het allerbelangrijkste is beleid te maken en op te schrijven: hoe wil je omgaan met de persoonsgegevens van je leden? Is het oké als ieder bestuurslid of commissie zijn eigen excelletje bijhoudt? Of om ledengegevens te delen met sponsoren? Dit zijn vragen waar je als club over na moet denken en een antwoord op moet formuleren. En dat dus opschrijven…

Dataportabiliteit

Onder de AVG krijgen de mensen van wie jouw club persoonsgegevens betere privacyrechten. Bereid je daarop voor, zodat je op tijd en op de juiste manier op verzoeken reageert. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Maak alvast een overzicht

Breng jouw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens jouw club verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.

Je kunt het overzicht ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Realiseer je dat de gegevens van jouw leden ook (rechtstreeks) naar de bond gaan en bij eventuele andere databanken belanden, bijvoorbeeld bij NOC*NSF. Dit betekent dat je, als een lid vraagt zijn gegevens te corrigeren of te verwijderen, dit moet doorgeven aan organisaties waarmee je hun gegevens hebt gedeeld.

Maak beleid

De volgende stap is dat je binnen je bestuur vaststelt hoe jouw club wil omgaan met de privacy van je leden. Als kader bij deze discussie kun je de uitgangspunten ‘privacy by design’ en ‘privacy by default’ gebruiken.Daarvoor ga je na hoe je deze beginselen binnen jouw club kunt invoeren. Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door:

  • een app die je aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
  • op je website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
  • als iemand zich op jouw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Functionaris voor de gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dat is bijvoorbeeld het geval als je bijzondere persoonsgegevens verwerkt, aan marketing doet op je database of meer dan 5000 personen in je database hebt staan. (Dit zal voor de meeste tafeltennisverenigingen niet snel van toepassing zijn; red.)

Bewerkersovereenkomsten

Vraag je zelf als club af met welke partijen je zaken doet; heb je een derde ingeschakeld voor bijvoorbeeld het incasseren van de contributie? Check dan wat zij doen met de persoonsgegevens van je leden, blijven die gegevens van jouw club? Geeft die organisatie je voldoende waarborgen dat zij de persoonsgegevens van je leden veilig verwerken?

Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

Vervolg

In de komende maanden zal op https://sport.nl/voorclubs op een aantal hierboven aangekaarte thema’s uitgebreider aandacht zijn, zodat jouw club bijtijds klaar is voor de nieuwe wetgeving. Wil je al eerder aan de slag, dan heeft bijvoorbeeld de Autoriteit Persoonsgegevens de 10 belangrijkste stappen op een rijtje gezet. Op www.autoriteitpersoonsgegevens.nl vind je ook antwoorden op enkele veelgestelde vragen.

 

 

(Artikel overgenomen van https://sport.nl/voorclubs)

AVG