Privacy

Zoekveld

Privacy

 

Privacy
Vanaf 25 mei 2018 gelden er strengere regels op het gebied van privacy. De Wbp (Wet bescherming persoonsgegevens) wordt dan vervangen door de Algemene Verordening Gegevensbescherming (AVG). Deze AVG geldt voor de hele Europese Unie en heeft gevolgen voor iedere organisatie die persoonsgegevens verwerkt. Dus ook voor alle verenigingen van Rugby Nederland. Om tijdig aan de nieuwe regelgeving te voldoen, moet elke vereniging stappen ondernemen. De AVG-tool, ontwikkeld door NOC*NSF in samenwerking met de Stichting AVG en de sportbonden, kan verenigingen hierbij helpen.

Strengere regels
Over het algemeen worden de privacyregels onder de AVG strenger dan de huidige Wet bescherming persoonsgegevens. Zo gelden er voor het vragen van toestemming strengere voorwaarden en moet je als organisatie de betrokkene meer informatie verstrekken dan voorheen. De nieuwe regels brengen nieuwe verantwoordelijkheden met zich mee. Elke vereniging moet in kaart brengen hoe zij omgaat met persoonsgegevens. Het gaat daarbij om vragen als: welke gegevens worden verwerkt, wat gebeurt er met die gegevens en wat doet de vereniging om ze te beschermen?

Hulp nodig? Raadpleeg de online tool
Wij kunnen ons voorstellen dat deze aanpassing vragen oproept. Wellicht ben je op zoek naar hulp met betrekking tot de benodigde aanpassingen en de doorvoering van de nieuwe regels. NOC*NSF ontwikkelde in samenwerking met Stichting AVG en in overleg met verschillende sportbonden een online tool (de AVG-tool) die sportverenigingen helpt om de juiste stappen te ondernemen. Bijvoorbeeld op het vlak van ICT, interne procedures en contracten. De tool maakt onder andere gebruik van instructiefilmpjes, handvatten en goede voorbeelden.

Zorg dat jouw vereniging ‘AVG proof’ is
De afgelopen maanden is er hard aan gewerkt en inmiddels is de tool klaar voor gebruik. Om rugbyverenigingen zo goed mogelijk te ondersteunen, stelt Rugby Nederland voor iedere vereniging gratis een vouchercode beschikbaar. Met die vouchercode kun je als vereniging gebruikmaken van het stappenplan in de online AVG-tool. Let op: per vereniging kan één vouchercode worden aangevraagd.

Meer informatie over de nieuwe privacyregels vind je in onderstaande vijf artikelen. Heb je na het lezen nog vragen? Neem dan contact op met Tijmen Vader via development@rugby.nl

 

#1 Privacy en de sportvereniging: belangrijkste basisbegrippen

Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten Algemene Verordening Gegevensbescherming (AVG). In deze reeks van nieuwsbrieven gaan we in op de belangrijkste verplichtingen voor sportverenigingen. Ditmaal geven we uitleg over enkele basisbegrippen.

Privacy: wat is dat?
Het recht op privacy kun je eenvoudig omschrijven als iemands recht om met rust te worden gelaten. Dit betekent ook dat je niet zomaar iemands persoonlijke informatie mag gebruiken. Dit laatste noemen we het recht op de bescherming van persoonsgegevens.

Als sportvereniging ben je wettelijk verplicht tot het beschermen van de persoonsgegevens van leden, vrijwilligers, en alle andere personen van wie je persoonsgegevens verwerkt. Privacywetgeving stelt daarvoor een aantal concrete regels. Om te begrijpen hoe je die regels naleeft, is het handig om enkele basisbegrippen te kennen. De belangrijkste begrippen lichten we hierna toe.

Wat zijn persoonsgegevens?
Een persoonsgegeven is ieder gegeven over een levende en identificeerbare persoon. Het gaat dus om álle informatie over een persoon. Het maakt daarbij niet uit of informatie ‘privé’, publiek bekend, oud of nieuw, relevant of juist volstrekt onbelangrijk is. Een paar voorbeelden van persoonsgegevens zijn iemands voor- en achternaam, woonplaats en adres, telefoonnummer, lidmaatschapsnummer, leeftijd, lichaamslengte,  dieet, geslacht, seksuele voorkeur, e-mailadres en de herkenbare afbeelding in een foto of video.

Ook gegevens over iemands gedrag en voorspellingen daarvan kunnen persoonsgegevens zijn. Denk bijvoorbeeld aan iemands locatiegegeven of een analyse van iemands fysieke inspanning via populaire wearables en apps. Zulke gegevens zijn natuurlijk privacygevoelig.

Wanneer is iemand identificeerbaar?
We spreken van een persoonsgegeven als een gegeven herleidbaar is tot een persoon. Vaak is informatie eenvoudig gekoppeld aan een naam of aan een uniek nummer, zodat je een persoon direct kunt identificeren. Stel dat de secretaris van een vereniging Jan de Vries heet en gebruikmaakt van het e-mailadres jan.devries@sportvereniging.nl. Dan is dat e-mailadres een persoonsgegeven. Soms is identificatie weliswaar niet direct, maar wel indirect mogelijk. Denk bijvoorbeeld aan een teamfoto. Hoewel er misschien geen namen onder de teamfoto staan, kom je daar met een eenvoudige zoekopdracht via internet soms toch achter. De foto is in dat geval een persoonsgegeven.

Valt er écht niet te achterhalen op wie informatie betrekking heeft, dan is sprake van ‘anonimiteit’. In theorie is de privacywetgeving dan niet van toepassing, omdat er geen sprake is van een persoonsgegeven. De ervaring leert echter dat het vaak lastig is om te voorkomen dat informatie alsnog kan wordt gekoppeld aan een individu. Ga er dus nooit zomaar vanuit dat je privacywetgeving eenvoudig buitenspel zet.

Ter illustratie: een bekend misverstand is het ‘anonimiseren’ door informatie (zoals een deelnemerslijst of wedstrijduitslagen) te koppelen aan een lidnummer in plaats van een naam. Dat nummer leidt immers eenvoudig terug naar een achternaam, zodat ook het lidnummer en de daaraan gekoppelde informatie kwalificeren als persoonsgegevens. Dat slechts de vereniging in staat is tot het leggen van die koppeling, maakt daarbij niet uit.

Samenvattend: we raden aan om alle gegevens waarvan je vermoedt dat die herleidbaar zijn tot een persoon te behandelen alsof het persoonsgegevens zijn.


Wanneer ‘verwerk’ je persoonsgegevens?
Om te weten in welke gevallen je rekening moet houden met privacywetgeving, moet je steeds nagaan of er sprake is van een verwerking van persoonsgegevens.

Het begrip ‘verwerken’ is zeer breed. In feite is iedere handeling met een persoonsgegeven een verwerking. Denk dus aan het verzamelen, opslaan, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken van persoonsgegevens. In dat laatste geval spreek je van een ‘datalek’. We komen daar in een aparte nieuwsbrief op terug.

Voorbeelden van verwerkingen
Een sportvereniging neemt de persoonsgegevens van een nieuw lid op in het ledenbestand. Bepaalde gegevens worden doorgestuurd naar de gelieerde sportbond. De vereniging factureert het lid jaarlijks voor het lidmaatschapsgeld. Ook stuurt de vereniging regelmatig nieuwsbrieven aan haar leden. Leden worden gekoppeld met teamindelingen en wedstrijdschema’s. Foto’s en video’s van wedstrijden worden gepubliceerd op de verenigingswebsite, de verenigingsapp en op sociale media. Nadat het lid is uitgetreden, worden zijn gegevens uit het ledenbestand verwijderd. Dit soort activiteiten zijn voorbeelden van verwerkingen van persoonsgegevens door een sportvereniging.

Verwerkingen vinden in de praktijk niet alleen digitaal plaats, maar ook op papier. Ook als gegevens op papier worden gezet of geprint om in een bestand te worden opgenomen, is sprake van een verwerking. Denk bijvoorbeeld aan de papieren leden-, vrijwilligers- en wedstrijdadministratie.

Wie is de ‘betrokkene’?
Een belangrijke figuur in het privacyrecht is de betrokkene. Dit is de persoon op wie een persoonsgegeven betrekking heeft. Hij of zij is dus degene die door het privacyrecht wordt beschermd.

Voorbeeld van een betrokkene
Een lid wordt opgenomen in het ledenbestand van de sportvereniging. Het lid is betrokkene bij de verwerkingen van de persoonsgegevens die op hem of haar betrekking hebben, zoals een naam, lidnummer, adres, geboortedatum en bankrekeningnummer.

Betrokkenen hebben een aantal belangrijke rechten. Zo kan ieder lid of een vrijwilliger vragen om inzage, aanpassing en verwijdering van zijn of haar persoonsgegevens. Je bent als vereniging meestal verplicht om aan een dergelijk verzoek mee te werken.

Wie is ‘verwerkingsverantwoordelijke’?
Naast de vraag of privacywetgeving een rol speelt, wil je natuurlijk ook weten wie zich vervolgens aan die regels moet houden bij een bepaalde verwerking. Dat is hoofdzakelijk één partij, namelijk degene die beslist over het doel van en de middelen voor die verwerking. We noemen deze partij de verwerkingsverantwoordelijke (of korter: verantwoordelijke). Je kunt de verantwoordelijke eigenlijk zien als de baas van een verwerking van persoonsgegevens: de verantwoordelijke bepaalt waarom en hoe bepaalde gegevens wel of juist niet worden gebruikt.

Voorbeeld van een verantwoordelijke
De sportvereniging is in de praktijk verantwoordelijk voor vrijwel alle verwerkingen die zij uitvoert met de persoonsgegevens van haar leden. De vereniging bepaalt immers hoe en waarom bepaalde verwerkingen plaatsvinden (zoals ledenbeheer, facturatie en nieuwsvoorziening van leden, online publicaties door de vereniging, of de doorgifte van persoonsgegevens aan een sportbond of een sponsor).

Vaak worden dezelfde persoonsgegevens van een betrokkene door meerdere partijen verwerkt voor verschillende doeleinden. Deze partijen zijn doorgaans ieder zelfstandig verantwoordelijke voor wat zij zélf met die persoonsgegevens doen.

Voorbeeld
De persoonsgegevens van een lid (zoals een e-mailadres) zijn vaak niet alleen bekend bij de sportvereniging, maar ook bij een sportbond of een koepelorganisatie. Deze organisaties streven vaak een eigen doel na bij het gebruik van die persoonsgegevens. Iedere partij blijft dan zelfstandig verantwoordelijk voor de naleving van privacywetgeving.

Let op: een sportbond is niet automatisch verantwoordelijke voor verwerkingen die plaatsvinden door derde partijen die dat doen voor hun eigen doeleinden, ook al heeft deze derde de persoonsgegevens wellicht verkregen via de sportbond.

Meestal kun je eenvoudig vaststellen wie verantwoordelijke is, maar er zijn ook complexere gevallen. Soms zijn er bijvoorbeeld meerdere organisaties betrokken bij dezelfde verwerking. Je bent dan ‘gezamenlijk verantwoordelijk’. Doet zo’n situatie zich voor en kun je niet vaststellen wat de rechten en plichten zijn van de vereniging, vraag dan om deskundig advies.

Onze vereniging maakt gebruik van externe dienstverleners, hoe zit dat?
Sportverenigingen maken tegenwoordig veel gebruik van bijvoorbeeld online ledenadministratie en marketingmailing-diensten. Daarbij worden vrijwel altijd persoonsgegevens verwerkt. De vereniging bepaalt in dat geval weliswaar het doel van de verwerking van die persoonsgegevens, maar de dienstverlener verzorgt de feitelijke uitvoering, zoals het ‘hosten’ van de gegevens. Een dienstverlener is in dat geval als een ‘verwerker’. Als verantwoordelijke ben je wettelijk verplicht tot het aangaan van een zogeheten verwerkersovereenkomst met deze verwerker. Je maakt daarin afspraken om ervoor te zorgen dat de verwerker zorgvuldig omgaat met de persoonsgegevens. Wij komen daar in een latere nieuwsbrief nog op terug.

Voorbeeld verwerker
De sportvereniging neemt de persoonsgegevens van haar leden op in een online ledenbeheersysteem. Dit systeem wordt aangeboden en gehost door een ICT-dienstverlener. De hosting gebeurt ten behoeve van de vereniging (en niet voor eigen doeleinden van de ICT-dienstverlener). De ICT-dienstverlener is dus verwerker, en de vereniging is verantwoordelijke voor de verwerkingen die plaatsvinden met het ledenbeheersysteem. De vereniging moet een verwerkersovereenkomst sluiten met de ICT-dienstverlener.

Slot
Nu je weet wat de belangrijkste begrippen en partijen zijn binnen het privacyrecht, kun je vaststellen of een bepaalde verplichting relevant is voor jouw sportvereniging.

#2 Privacy & sportvereniging: op weg naar overzicht

Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten Algemene Verordening Gegevensbescherming (AVG). In deze reeks van nieuwsbrieven gaan we in op de belangrijkste verplichtingen voor sportverenigingen. In de vorige editie gaven we uitleg over de belangrijkste basisbegrippen. Ditmaal behandelen we het zogeheten “verwerkingsregister”

Overzicht krijgen met het verwerkingsregister
Sportverenigingen zijn zelfstandig verplicht zorgvuldig om te gaan met persoonsgegevens. De wet stelt daarvoor een aantal concrete eisen. Om te achterhalen welke gevolgen dit heeft voor jouw vereniging, moet je eerst grondig vaststellen hoe de vereniging persoonsgegevens zoal gebruikt. Deze informatie leg je vast in een verwerkingsregister (hierna: "register"). Het bijhouden van een register is vanaf 25 mei 2018 wettelijk verplicht.

Wat is het nut van een register?
Een register komt van pas bij het stapsgewijs controleren van het privacybeleid binnen de vereniging. Zo kun je met het register bijvoorbeeld per verwerking nagaan of een gebruik van persoonsgegevens wel of niet is toegestaan en of de gebruikte gegevens niet te lang worden bewaard.

Welke informatie neem je op in het register?
Het register is een schematisch overzicht met essentiële informatie over de verwerkingen van persoonsgegevens binnen de vereniging. Het register geeft minimaal antwoord op de volgende vragen:
- Wat zijn de verschillende doeleinden waarvoor de vereniging persoonsgegevens verwerkt?
- Om welke persoonsgegevens gaat het?
- Op welke categorie personen hebben de gegevens betrekking (wie zijn de betrokkenen)?
- Hoe lang worden de betreffende persoonsgegevens bewaard?
- Verstrekt de vereniging persoonsgegevens aan derden, wie zijn dit en wat is het doel daarvan?
- Wat zijn in algemene bewoordingen de getroffen beveiligingsmaatregelen ter bescherming van de betrokken persoonsgegevens?
- Worden er persoonsgegevens doorgegeven aan of opgeslagen in landen buiten de Europese Economische Ruimte en/of internationale organisaties en, zo ja, welke landen en/of organisaties zijn dit?

Het is aanbevolen per verwerkingsdoel ook de volgende informatie op te nemen:
- Wie zijn binnen de vereniging belast met deze verwerking?
- Welke IT-systemen worden gebruikt bij deze verwerking?
- Hoe zijn betrokkenen geïnformeerd over deze verwerking?

Een onderdeel van het register kan er bijvoorbeeld als volgt uitzien:

Doel Beheer door Betrokkenen Persoonsgegevens Bewaartermijn Betrokken systemen
Inschrijving nieuw lid Secretaris Nieuwe leden - NAW
- Geboortedatum
- E-mailadres
- Tel.nr.
- IBAN
- Lidnummer - 2 jaren na einde lidmaatschap
- 7 jaren voor zover fiscaal verplicht - Webformulier
- Online ledenadministratie
- Online boekhouding
Dit schema dient slechts ter illustratie; een uitgebreider schema kan in de praktijk nodig zijn.

We lichten hierna met twee voorbeelden toe hoe het register kan ondersteunen bij het controleren of de vereniging voldoet aan de privacyregels.

Toepassing van het register (1): is het doel van de verwerking rechtmatig?
Persoonsgegevens mogen enkel worden verwerkt indien daarvoor een geldige "grondslag" bestaat. Een sportvereniging moet een verwerking in de praktijk meestal kunnen baseren op minimaal één van onderstaande gronden:
- de verwerking is noodzakelijk voor de uitvoering of de totstandkoming van een overeenkomst met de betrokkene (voorbeeld: het opnemen van een nieuw lid in de ledenadministratie);
- de verwerking is noodzakelijk voor de naleving van een wettelijke plicht (voorbeeld: de algemene fiscale bewaarplicht van zeven jaren);
- de betrokkene geeft toestemming voor de verwerking (voorbeeld: het plaatsen van foto’s van jeugdspelers op sociale media); of
- de verwerking is noodzakelijk vanwege een gerechtvaardigd belang van de vereniging of van een derde partij (voorbeeld: het versturen van nieuwsbrieven aan leden door de vereniging).

Zijn alle toepasselijke grondslagen eenmaal opgenomen in het register, dan kan per verwerking worden vastgesteld of deze grondslag toereikend is of niet. Ontbreekt een geldige grondslag, dan weet je dat de verwerking moet worden gestaakt.

Toepassing van het register (2): wordt een juiste bewaartermijn toegepast?
Persoonsgegevens mogen in principe niet langer worden bewaard dan noodzakelijk is voor het beoogde doel, tenzij de wet bepaalt dat zij voor langere tijd moeten worden opgeslagen. Hoe lang je persoonsgegevens bewaart, varieert in de praktijk nogal.  Een structureel overzicht is daarom noodzakelijk. Een register helpt bij het aanbrengen van die structuur.

Voorbeeld bewaartermijn
Persoonsgegevens van een uitgetreden lid bewaar je in principe niet langer dan twee jaren na het einde van het lidmaatschap. Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaren. Overleg dus met de penningmeester binnen de vereniging welke gegevens daaronder vallen. Sommige informatie zal je wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre je de gegevens kunt anonimiseren.

In de volgende editie gaan we in op de beveiliging van persoonsgegevens.
 

#3 Privacy & sportvereniging: informatiebeveiliging

Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten Algemene Verordening Gegevensbescherming (AVG). In deze reeks van nieuwsbrieven gaan we in op de belangrijkste verplichtingen voor sportverenigingen. Ditmaal behandelen we de verplichting tot het beveiligen van persoonsgegevens.

Inleiding
Iedere sportvereniging is zelfstandig verplicht om persoonsgegevens veilig te behandelen. Als gegevens bijvoorbeeld worden gestolen of ergens rondslingeren, kan dit vervelende gevolgen hebben voor betrokkenen. We bespreken enkele vaak door sportverenigingen gestelde vragen.

Welke beveiligingsplicht heeft een vereniging?
Een vereniging moet passende maatregelen treffen om te voorkomen dat persoonsgegevens worden blootgesteld aan onrechtmatige verwerking. Informatiebeveiliging is echter meer dan het beschermen tegen diefstal en virussen. De praktijk leert dat de meeste beveiligingsincidenten het gevolg zijn van niet-opzettelijke nalatigheid. Denk bijvoorbeeld aan het rondslingeren van USB-sticks met leden- en deelnemerslijsten, of een computercrash waarbij persoonsgegevens definitief verloren gaan. Je beschermt persoonsgegevens tegen iedere vorm van verlies van beschikbaarheid, integriteit dan wel vertrouwelijkheid.

Welke maatregelen moet de vereniging treffen?
Uiteindelijk draait informatiebeveiliging om een juiste combinatie van zowel technische als organisatorische maatregelen, waarbij uiteindelijk de zwakste schakel telt. Zo is een complex wachtwoord voor het inloggen op de online ledenadministratie zinloos als datzelfde wachtwoord op een notitieblok rondslingert in het clubhuis.

Voorbeelden van veelvoorkomende beveiligingsmaatregelen
Technisch:
- het versleutelen van bestanden ("encryptie");
- het regelmatig doen wijzigen van wachtwoorden;
- het regelmatig maken van back-ups.
Organisatorisch:
- het invoeren van een geheimhoudingsplicht aan vrijwilligers/bestuurders;
- het invoeren van een incidentprotocol voor beveiligingsincidenten;
- het trainen van vrijwilligers/bestuurders om veiligheidsbewustzijn te creëren.

Welke maatregelen nodig zijn, hangt af van de risico’s die met de verwerking van persoonsgegevens zijn verbonden. Bijzondere risicogebieden waar je als sportvereniging bijvoorbeeld vaak rekening mee houdt zijn:
- de vertrouwelijkheid en beschikbaarheid van de verenigingsadministratie, met name de ledenadministratie;
- communicatie met vertrouwenscontactpersonen; en
- gegevens van jeugdleden.

Tip
De Autoriteit Persoonsgegevens heeft de Beleidsregels beveiliging persoonsgegevens gepubliceerd. Het is aan te raden aan dit document te lezen, nu de autoriteit daarin uitgebreid aangeeft wat zij zoal van een organisatie verwacht.

Wat te doen als een vereniging geen kennis in huis heeft?
Het feit dat een doorsnee sportvereniging meestal weinig tot geen expertise in huis heeft op het gebied van IT/informatiebeveiliging, is geen excuus om het onderwerp links te laten liggen. Verenigingen, groot of klein, worden geacht datgene te doen wat redelijkerwijs van hen kan worden verlangd. Onthoud daarbij dat de kwaliteit van beveiliging niet zozeer draait om geld, maar vooral om het verkrijgen van voldoende kennis en bewustzijn.

Moet de vereniging beveiligingsafspraken maken met leveranciers van (IT-)diensten?
Ja, dat is noodzakelijk als de leverancier toegang krijgt tot persoonsgegevens waarvoor de vereniging verantwoordelijk is. Denk bijvoorbeeld aan leveranciers van online verenigingsapplicaties. De afgesproken beveiligingsniveaus leg je meestal vast in een zogeheten verwerkersovereenkomst (ook wel "bewerkersovereenkomst" genoemd).

Mogen persoonsgegevens op privéapparatuur worden geplaatst?
Het is niet ongebruikelijk dat bestuurders/vrijwilligers bij de vervulling van verenigingstaken gebruikmaken van privéapparatuur. Dat is in principe mogelijk, maar de vereniging blijft verantwoordelijk voor het veilig verloop van dit gebruik. Overweeg in ieder geval het invoeren van de volgende regels:
- de gebruiker moet antivirussoftware installeren en deze regelmatig updaten;
- de gebruiker moet deugdelijke toegangscodes instellen;
- vermijd opslag op lokale harde schijven indien gebruik kan worden gemaakt van web-omgevingen (bijv. Google Apps, Office 365, online verenigingsadministratie etc.);
- zorg dat te allen tijde een deugdelijke back-up beschikbaar blijft van de gegevens die op de privéapparatuur worden verwerkt; en
- beëindigt iemand zijn of haar verenigingstaken, zorg er dan voor dat deze persoon niet langer toegang heeft tot de gegevens.

Wat moet de vereniging doen in geval van een datalek?
Leidt een beveiligingsincident tot de vernietiging, verlies, wijziging of ongeoorloofde verstrekking/toegang, dan is mogelijk sprake van een datalek. Tenzij het datalek waarschijnlijk geen nadelige gevolgen heeft voor de betrokken personen, moet het lek tijdig worden gemeld bij de Autoriteit Persoonsgegevens. Heeft het lek bovendien een hoog risico op nadelige gevolgen voor de personen wiens gegevens het betreft, dan moet het incident ook aan deze personen worden gemeld. Blijkt een datalek achteraf ten onrechte niet tijdig te zijn gemeld, dan kan dit leiden tot oplegging van een fikse boete.

Heeft de vereniging onvoldoende kennis of mankracht in huis om een incident af te handelen, vraag dan om hulp van een deskundige. CMS is ervaren in het adviseren van sportorganisaties en het afhandelen van beveiligingsincidenten.

In de volgende editie gaan we dieper in op de privacyverklaring en het vragen van toestemming aan een betrokkene.

#4 Privacy & sportvereniging: de privacyverklaring en het vragen van toestemming

Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten Algemene Verordening Gegevensbescherming (AVG). In deze reeks van nieuwsbrieven gaan we in op de belangrijkste verplichtingen voor sportverenigingen. Ditmaal behandelen we twee onderwerpen: de privacyverklaring en het vragen van toestemming.

I: De privacyverklaring

Waarom een privacyverklaring?
Als vereniging ben je verplicht om betrokkenen te informeren over de manier waarop je omgaat met hun persoonsgegevens. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging, die - als het goed is - zijn vastgelegd in het verwerkingsregister van de vereniging (zie een eerdere nieuwsbrief daarover). Een paar voorbeelden van doelgroepen die je zoal moet informeren:
- leden (over verwerkingen in verband met het lidmaatschap);
- websitebezoekers (bijvoorbeeld over de wijze waarop je hun surfgedrag bijhoudt);
- sporttalent (bijvoorbeeld over de wijze waarop de vereniging hen monitort).

Wat neem je op in de privacyverklaring?
In de privacyverklaring moet onder meer de volgende informatie worden opgenomen:
- de doeleinden waarvoor de vereniging persoonsgegevens verwerkt;
- hoe lang persoonsgegevens worden bewaard (of de criteria die de vereniging hanteert voor het vaststellen van de bewaartermijn);
- aan welke (categorieën) derden persoonsgegevens eventueel worden doorgegeven;
- de vermelding dat de betrokkene een gegeven toestemming voor een verwerking op ieder moment mag intrekken; en
- de vermelding dat de betrokkene een verzoek kan indienen tot inzage, correctie, verwijdering van persoonsgegevens, en het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Verkrijg je de persoonsgegevens via een derde in plaats van rechtstreeks via de betrokkene, dan moet je tevens meedelen van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft.

Tip: wees duidelijk
Niemand is geholpen met een vage bewoording dat de vereniging "bepaalde informatie" "mogelijk" voor "kwaliteitsdoeleinden" gebruikt. Het lijkt aantrekkelijk om veel ruimte te creëren voor allerlei vormen van gebruik, maar uiteindelijk wekken dit soort woorden vooral argwaan en leiden ze tot onduidelijkheid.

Hoe stel je de privacyverklaring beschikbaar?
Je informeert de betrokkene in principe voorafgaand aan het vastleggen van zijn of haar persoonsgegevens. We bespreken hier twee veelvoorkomende situaties.

Voorbeeld 1: inschrijving als lid/deelnemer
Schrijft iemand zich online in als verenigingslid of als deelnemer aan een wedstrijd/evenement, verwijs dan duidelijk op het formulier naar de privacyverklaring met een hyperlink. Bijvoorbeeld: "Onze vereniging verwerkt uw persoonsgegevens conform de privacyverklaring". Schrijft iemand zich ter plaatse in (dus niet online), verwijs dan op het papier naar de privacyverklaring en leg deze klaar voor eventuele raadpleging.

Voorbeeld 2: de website
Bezoekers van een website kun je eenvoudig informeren door het plaatsen van een link naar de privacyverklaring onderaan elke sub-pagina van de website. Vraag bezoekers (voor bepaalde delen) om zich te registreren met een account, verwijs dan nogmaals uitdrukkelijk naar de privacyverklaring (zie voorbeeld 1).
Let op: voor het verstrekken van informatie over de plaatsing van cookies gelden aparte regels. Deze regels worden niet in deze nieuwsbrief besproken.

Kan de vereniging verwijzen naar één algemene privacyverklaring?
Ja, maar let er op dat de privacyverklaring een zorgvuldige toelichting geeft voor alle verwerkingen waarop de verklaring betrekking heeft. Ter illustratie: gebruik je op de website één privacyverklaring voor zowel websitebezoekers als leden, dan kun je niet volstaan met informatie die slechts betrekking heeft op het gebruik van de website.

II: Toestemming

Wanneer is toestemming nodig voor een verwerking van persoonsgegevens?
Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Eén van deze gevallen is dat de betrokkene uitdrukkelijk toestemming geeft. Toestemming is echter niet nodig voor iedere verwerking. Denk bijvoorbeeld aan verwerkingen die noodzakelijk zijn om als vereniging uitvoering te geven aan de lidmaatschapsovereenkomst met leden.

Het is lastig om een algemeen antwoord te geven op de vraag of toestemming nodig is voor een verwerking. Om je op weg te helpen, volgen hierna enkele voorbeelden waarvoor een sportvereniging doorgaans toestemming nodig heeft:
- de verzending van reclame per e-mail aan leden door verenigingssponsoren;
- het analyseren van iemands online gedrag (bijvoorbeeld door het gebruik van cookies of locatiegegevens);
- de plaatsing van foto’s van jeugdspelers op een publiek toegankelijke website; en
- het gebruik van gezondheidsgegevens (denk bijvoorbeeld aan apps en wearables die een hartslag meten).

Waar moet je op letten bij het gebruik van toestemming?
Verwerkt de vereniging persoonsgegevens op basis van toestemming, houd dan altijd rekening met het volgende:
- Stilzwijgende toestemming is niet voldoende. Vermijd dus bijvoorbeeld een checkbox die automatisch is aangevinkt. Je hebt een actieve instemming nodig van de betrokkene.
- Toestemming is slechts geldig als deze uit vrije wil door de betrokkene is gegeven. Heeft de betrokkene dus feitelijk geen keus, dan is van geldige toestemming geen sprake.
- Toestemming voor de verwerking van gegevens van een persoon die nog geen 16 jaar oud is, vraag je aan de ouder/voogd.
- Leg een verkregen toestemming vast. De vereniging moet achteraf kunnen aantonen dat een zekere toestemming daadwerkelijk is verleend.
- Een betrokkene heeft het recht om een gegeven toestemming op ieder moment in te trekken.


In de volgende, laatste editie gaan we dieper in op marketing en online publicaties.
 

#5 Privacy en de sportvereniging: marketing en online publicatie

Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten Algemene Verordening Gegevensbescherming (AVG). In deze reeks van nieuwsbrieven gaan we in op de belangrijkste verplichtingen voor sportverenigingen. Ditmaal behandelen we enkele privacyregels rondom marketing en online publicaties.

I: Het SPAM-verbod
Het SPAM-verbod houdt in dat je iemand geen ongevraagde elektronische berichten mag sturen, tenzij de ontvanger daar vooraf mee instemt. Daaronder vallen bijvoorbeeld niet enkel typische reclameboodschappen, maar ook nieuwsbrieven.

Mag een vereniging gewone nieuwsbrieven sturen aan eigen leden?
Ja, op het versturen van reguliere nieuwsbrieven aan leden is het SPAM-verbod niet van toepassing. Een vereniging moet leden immers regelmatig kunnen informeren (uitnodiging ALV, verenigingsagenda, uitslagen, etc.). Maar let op: voor commerciële boodschappen is wél toestemming nodig van de ontvanger, lid of niet.

Hoe zit het met gemengde nieuwsbrieven aan leden?
Het komt voor dat verenigingen berichten sturen aan leden met daarin zowel verenigingsinformatie als commerciële boodschappen. Denk hierbij aan verenigingsnieuws in combinatie met de vermelding van een kortingsactie van een sponsor. Dit soort situaties zijn een grijs gebied. Het is aanbevolen om voor het sturen van dit soort gemengde berichten vooraf toestemming te vragen. Beschik je daarentegen als vereniging momenteel over adressen van ontvangers die nooit expliciete toestemming hebben gegeven voor commerciële berichten, bied dan in ieder geval een uitschrijfmogelijkheid in iedere nieuwsbrief.

Moet in iedere nieuwsbrief een uitschrijflink worden opgenomen?
Ja, iedere ontvanger moet zich eenvoudig kunnen afmelden voor het ontvangen van ongevraagde elektronische berichten.

II: Contactgegevens delen met sponsoren
Veel sponsoren willen verenigingsleden individueel kunnen benaderen met commerciële mededelingen en verzoeken de vereniging daarom adresgegevens te verstrekken. Het is voor een sportvereniging onder bepaalde omstandigheden toegestaan om adresgegevens (d.w.z. naam, adres en woonplaats) te delen met sponsoren.

Moeten leden instemmen met het doorgeven van adresgegevens aan sponsoren?
Ja, maar individuele toestemming is niet noodzakelijk. De vereniging kan de doorgifte van adresgegevens namelijk ook in algemene zin laten goedkeuren door de algemene ledenvergadering. Na een dergelijke instemming is individuele toestemming van ieder lid niet langer nodig. Wel moet de vereniging haar leden op voorhand duidelijk meedelen dat ieder lid gedurende een bepaalde periode eenvoudig bezwaar kan maken tegen de verstrekking van zijn of haar eigen adresgegevens. De sportorganisatie kan leden daarover informeren via bijvoorbeeld mail, het clubblad of de eigen website. Bied leden minimaal vier weken de kans voor het kenbaar maken van hun eventuele bezwaren.

Mag de vereniging naast adresgegevens ook e-mailadressen van leden verstrekken aan sponsoren?
Zoals gezegd is voor het verzenden van ongevraagde elektronische berichten uitdrukkelijke toestemming nodig van de ontvanger. Beschikt een sponsor niet over dergelijke individuele toestemming, dan mag de vereniging geen e-mailadressen van deze ontvangers verstrekken aan deze sponsor.

III: Online publicaties

Wat zijn de regels omtrent het maken en publiceren van foto’s en video’s?
Foto’s en video’s met een herkenbaar in beeld gebrachte betrokkene zijn meestal persoonsgegevens. Voor het maken en publiceren ervan heb je daarom vaak toestemming nodig van de betrokkene, zeker als het gaat om een minderjarig persoon. Toestemming ten aanzien van iemand die nog geen 16 jaar oud is, vraag je aan de ouder/voogd.

Let op: iemand die toestemming geeft voor het maken van een foto, geeft daarmee niet per definitie toestemming voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. In de regel zal je gehoor moeten geven aan een dergelijk verzoek. Is dit bezwaarlijk en wil je als vereniging niet aan een dergelijk bezwaar toegeven, vraag dan om deskundig advies.

Zorg ervoor dat leden en toeschouwers zijn geïnformeerd over eventuele beeldopnamen. Dat kan bijvoorbeeld via het huisreglement of met behulp van een bordje op het terrein.

Mag de vereniging haar ledenlijst online publiceren?
Voor een vereniging is het publiceren van een ledenlijst in principe toegestaan, maar het is verstandig om de algemene ledenvergadering daarmee vooraf te laten instemmen. Wil je behalve namen ook contactgegevens in de lijst opnemen, kaart dit dan expliciet aan gedurende de ledenvergadering. Geef leden bovendien, net zoals bij het verstrekken van adresgegevens aan sponsoren, vooraf gelegenheid om zich tegen publicatie te verzetten. Let erop dat uitsluitend leden toegang hebben tot de gepubliceerde ledenlijst.

Gelden dit soort regels ook op sociale media?
Ja, ook op sociale media ben je als vereniging verantwoordelijk voor het publiceren van persoonsgegevens (zoals foto’s). Bedenk dus welke publicaties wel/niet wenselijk zijn, en maak dit onderwerp van discussie in de ledenvergadering. Overweeg bijvoorbeeld een paragraaf over sociale media-gebruik op te nemen in het huisreglement. De kern is uiteindelijk dat je de privacy borgt van leden/personen die dergelijke publiciteit liever mijden, en dat je adequaat omgaat met eventuele klachten en verzoeken.

Dit is alweer de laatste editie in de reeks “Sportvereniging en privacy”, waarin we sportverenigingen wegwijs maken in belangrijke privacyregels die van belang zijn voor de praktijk. Helaas is het niet mogelijk alle privacyregels in deze reeks te bespreken. Loop je vast bij de implementatie van privacyregels, overweeg dan het inwinnen van deskundig advies. CMS is ervaren in het adviseren van sportorganisaties op het gebied van privacy.

 

Wie werkt met gegevens van personen, heeft te maken met de regels rond privacy. Ook voor een vereniging is het daarom belangrijk te weten hoe die regels er uit zien en waarmee rekening moet worden gehouden. CMS, zette de belangrijkste zaken voor verenigingen op een rij in deze whitepaper, te beginnen met een aantal basisprincipes.


Basisprincipes
Laten we eerst eens kijken naar een aantal basisprincipes. Want wat bedoelen we eigenlijk met privacy en om welke persoonsgegevens gaat het?

Privacy: waar hebben we het over?

Privacy is simpel gezegd het recht om met rust gelaten te worden. Onderdeel ervan is de bescherming van persoonsgegevens: er zijn wettelijke regels voor de omgang met informatie over een persoon.

Wat is een ‘persoonsgegeven’?

Een persoonsgegeven is elk gegeven over een levende en identificeerbare persoon, dat wil zeggen: direct of indirect herleidbaar tot een individu. Welk soort gegeven het is maakt niet uit. Een paar traditionele voorbeelden van persoonsgegevens zijn een voor- of achternaam, (e-mail)adres, lidnummer of een teamfoto. Maar ook gegevens over iemands gedrag en voorspellingen daarover (zoals fysieke inspanning of locatie) zijn persoonsgegevens. De persoon op wie een gegeven betrekking heeft, noem je de ‘betrokkene’.

Wanneer ‘verwerk’ je persoonsgegevens?

Ook het begrip ‘verwerken’ is zeer breed. Iedere handeling met een persoonsgegeven is in de praktijk een verwerking. Denk dus aan het verzamelen, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken of vernietigen van persoonsgegevens.

Wanneer mag je als vereniging persoonsgegevens verwerken?

Je mag persoonsgegevens volgens de wet alleen verwerken voor een duidelijk omschreven en rechtmatig doel. Die rechtvaardiging bestaat in het geval van een rugbyvereniging meestal uit:

- een noodzakelijke verwerking om een gerechtvaardigd belang te dienen;
- de uitdrukkelijke toestemming van een betrokkene;
- het uitvoeren van een contract met een betrokkene; of
- het voldoen aan een wettelijke plicht.

Ledenadministratie
De ledenadministratie en met name de administrateur van een vereniging krijgt natuurlijk vaak te maken met persoonsgegevens. Hoe ga je daarmee om?

Welke privacyregels gelden er zoal voor de ledenadministratie?

De ledenadministratie van je vereniging bestaat uit allerlei persoonsgegevens. Denk niet alleen aan namen en lidnummers, maar ook aan contact- en betaalgegevens. We bespreken hier kort waar je bij de ledenadministratie zoal op moet letten.

Welke persoonsgegevens mag je opnemen in de administratie?

Je mag uitsluitend persoonsgegevens opnemen voor zover daar een rechtmatig doel voor bestaat. Controleer dus of voor alle gegevens geldige grondslag aanwezig is om ze te verwerken (zoals een gerechtvaardigd belang, toestemming, contractuitvoering of een wettelijke verplichting). Verzamel en bewaar bovendien niet méér persoonsgegevens dan werkelijk nodig is voor het doel dat je nastreeft. Let op: je mag persoonsgegevens niet zomaar voor een ander doel gebruiken dan waarvoor je ze hebt verkregen. Twijfel je of bepaald gebruik is toegestaan, vraag dan om deskundig advies.

Mag je NAW-gegevens en e-mailadressen delen met sponsoren?

Sponsoren hebben vaak interesse in NAW-gegevens van leden, zodat zij commerciële boodschappen kunnen versturen. Het doorgeven van NAW-gegevens is echter niet zomaar toegestaan, en vereist in principe uitdrukkelijke toestemming van een lid. Als het versturen van reclame per post door sponsoren aan leden echter in algemene zin is goedgekeurd door de ledenvergadering, dan heb je voor de verstrekking van NAW-gegevens aan een sponsor geen individuele toestemming meer nodig. Zorg wel dat je het voornemen tot doorgifte vooraf via de gebruikelijke wegen (nieuwsbrief, ledenblad) met leden communiceert, en geef leden gedurende een redelijke termijn de kans om zich te verzetten tegen de verstrekking van hun eigen NAW-gegevens aan sponsoren.

Voor de verstrekking van e-mailadressen geldt een strenger regime. Een sponsor mag vanwege de SPAM-regels namelijk geen commerciële berichten versturen zonder uitdrukkelijke toestemming van individuele ontvangers. Heeft de sponsor een dergelijke toestemming niet verkregen (al dan niet via jouw vereniging), dan heb je dus in principe geen legitieme reden om de e-mailadressen te verstrekken.

Ledenlijst

Een vereniging mag in principe een ledenlijst beschikbaar stellen aan eigen leden. Wij raden wel aan om de ledenvergadering eenmalig te verzoeken om daarmee in algemene zin in te stemmen, mocht dit nog niet gebeurd zijn. De Autoriteit Persoonsgegevens is van oordeel dat het online publiceren van een ledenlijst slechts is toegestaan op een voor leden afgeschermde webpagina. Wil je als vereniging dus mogelijk maken dat leden elkaar kunnen zoeken via jouw app of website, zorg dan dat je die informatie uitsluitend aan eigen leden beschikbaar stelt.

Hoelang mag je gegevens uit de ledenadministratie bewaren?

Bewaar persoonsgegevens van een uitgetreden lid in principe niet langer dan twee jaar na einde van het lidmaatschap. Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaar. Overleg met de penningmeester binnen de organisatie welke gegevens daarvoor in aanmerking komen. Sommige informatie zal je wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre je de gegevens kunt anonimiseren.

Beveiliging

De ledenadministratie kan een interessant doelwit zijn voor kwaadwillenden. Zorg dus voor goede technische en organisatorische beveiligingsmaatregelen. De Autoriteit Persoonsgegevens heeft daarvoor richtsnoeren gepubliceerd, die je hier kunt raadplegen.


Informatieplicht
Wanneer met je gegevens werkt, ben je verplicht de betrokkenen te laten weten welke gegevens je verwerkt en waarom. Hier lees je er alles over.

Hoe moet de vereniging betrokkenen zoal informeren?

Je bent als vereniging wettelijk verplicht om betrokkenen op eigen initiatief goed te informeren over welke persoonsgegevens je verwerkt, voor welk doel je dit doet, en welke rechten de betrokkene heeft ten aanzien van zijn persoonsgegevens. Je legt deze informatie meestal vast in een privacyverklaring. Informeren is niet alleen een kwestie van de wet naleven, maar een mooie kans om te demonstreren dat jouw vereniging de privacy van leden en anderen respecteert. Onthoud: hoe beter je betrokkenen vooraf informeert over wat je doet met hun persoonsgegevens, des te kleiner de kans dat je ze onaangenaam verrast.

Wanneer en hoe informeer je?

Zorg ten eerste dat een privacyverklaring eenvoudig is te raadplegen op de website van de vereniging. Ons advies is verder om aan te sluiten bij de manier waarop je met de betrokkene in contact staat. Schrijft iemand zich in via een fysiek formulier (bijvoorbeeld als lid of deelnemer), voeg dan de privacyverklaring bij ter kennisgeving. Maak je gebruik van een digitaal inschrijfformulier, verwijs dan met een duidelijk zichtbare hyperlink naar de privacyverklaring. Krijgen deelnemers/leden na hun inschrijving toegang tot een digitale omgeving (zoals een ledenportaal), link dan ook daar naar de privacyverklaring.

Waarover informeer je?

Je bent verplicht om minimaal de volgende informatie te verstrekken:

  • De officiële identiteits- en contactgegevens van de vereniging;
  • De soorten persoonsgegevens die worden verwerkt;
  • Voor welke doeleinden die verwerkingen plaatsvinden, en op welke grondslag dit plaatsvindt;
  • Als persoonsgegevens mogelijk worden gedeeld met derde partijen, welke partijen het betreft;
  • Als persoonsgegevens worden opgeslagen buiten de EU, welke maatregelen er zijn getroffen om een passend beschermingsniveau te waarborgen;
  • Welke rechten de betrokkene (onder bepaalde omstandigheden) heeft, namelijk het recht op inzage, correctie, verwijdering, dataportabiliteit, en het recht van verzet tegen een bepaalde verwerking;
  • Hoelang persoonsgegevens worden bewaard (of welke criteria daarvoor gelden);
  • Indien voor bepaalde verwerkingen toestemming wordt gevraagd, de vermelding dat deze te allen tijde mag worden ingetrokken door de betrokkene;
  • Een vermelding dat iedere betrokkene het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens;
  • Als je de persoonsgegevens verwerkt ter uitvoering van een contract of een wettelijke verplichting, vermeldt dit dan, en vermeldt tevens wat de consequentie is als een betrokkene dergelijke persoonsgegevens niet verstrekt (bijvoorbeeld: geen lid kunnen worden van de vereniging);
  • Als je gebruikmaakt van profilering of geautomatiseerde besluitvorming, vermeldt dit dan uitdrukkelijk.

Wees duidelijk

Een betrokkene heeft er niets aan om te lezen dat jij ‘sommige persoonsgegevens’ ‘mogelijk’ voor ‘onderzoek’ gebruikt. Het lijkt misschien aantrekkelijk om jezelf met dit soort vage termen veel ruimte te geven, maar uiteindelijk wek je daarmee vooral argwaan.

Modelverklaring

Nog geen privacyverklaring? Op deze website van CMS kun je via een standaardmodel zelf een verklaring opstellen, die in veel situaties geschikt is om de betrokkene te informeren. Dit model zal binnenkort worden aangepast aan de nieuwe eisen die de AVG stelt.

Informatiepunt

Zorg voor een duidelijk aanspreekpunt waar mensen terecht kunnen met eventuele vragen of opmerkingen over het privacybeleid van de vereniging.


Beeldmateriaal en sociale media:
Waar moet je op letten bij het maken en publiceren van foto’s en video’s?

De nieuwe media zorgen voor steeds meer mogelijkheden als het gaat om bijvoorbeeld gebruik van foto’s en video’s op je website en sociale media. Maar hoe ga je daar verstandig mee om?

Heb je toestemming nodig voor het maken en publiceren van beeldmateriaal?

Foto’s en video’s  met een herkenbaar in beeld gebrachte betrokkene zijn meestal persoonsgegevens. Voor het maken en publiceren ervan heb je daarom meestal toestemming nodig van de betrokkene. Voor veel situaties kun je dit op voorhand oplossen door het opnemen van een algemene toestemmingsbepaling in de lidmaatschapsvoorwaarden of evenementvoorwaarden. Wil je toestemming van een persoon jonger dan 16 jaar? Dan vraag je de ouder/wettelijk vertegenwoordiger om toestemming.

Recht van verzet tegen publicatie

Let op: iemand die toestemming geeft voor het maken van een foto, geeft daarmee niet per definitie toestemming voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. In de regel zal je gehoor moeten geven aan een dergelijk verzoek. Is dit bezwaarlijk en wil je als vereniging niet aan een dergelijk verzet meewerken, vraag dan om deskundig advies.

Informeren

Zorg ervoor dat leden en toeschouwers op enige manier zijn geïnformeerd over eventuele beeldopnamen. Dat kan bijvoorbeeld in huisreglementen of met behulp van een bordje op het terrein.

Sociale media

Ook op social media ben je als vereniging verantwoordelijk voor het verspreiden van beeldmateriaal namens de vereniging via eigen sociale-media-accounts en pagina’s. Denk als vereniging dus na welk gedrag wenselijk en vooral onwenselijk is, en maak dit onderwerp van discussie in de ledenvergadering. Je kunt bijvoorbeeld overwegen om een paragraaf over social media-gebruik op te nemen in het huisreglement. De kern is uiteindelijk dat je de privacy borgt van leden/personen die dergelijke publiciteit willen vermijden, en dat je adequaat omgaat met hun eventuele klachten en verzoeken.


Aanmelding verwerking bij AP
Moet een vereniging haar verwerkingen aanmelden bij de Autoriteit Persoonsgegevens? Verwerk je persoonsgegevens, dan moet je de Autoriteit Persoonsgegevens daarover meestal informeren. Deze melding wordt dan gepubliceerd in een openbaar register. Deze verplichting is anno 2017 echter vrijwel een dode letter, en verdwijnt definitief in mei 2018 (als de AVG in werking treedt). We gaan er in dit bulletin daarom niet verder op in.


Bewerkers

Verenigingen werken met partijen samen om gegevens te verwerken.

Wat moet onze vereniging regelen met bewerkers, zoals IT-dienstverleners?

Als vereniging maak je vaak gebruik van externe IT-dienstverlening. Denk bijvoorbeeld aan een online ledenadministratie, het beheer van apps en het hosten van websites. Via zulke diensten worden vrijwel altijd persoonsgegevens verwerkt. De IT-dienstverlener verwerkt dan persoonsgegevens ten behoeve van jouw vereniging. Zo’n dienstverlener heet in privacy-termen een bewerker. Je bent als verantwoordelijke verplicht om met deze partij een bewerkersovereenkomst te sluiten. Daarin leg je hoofdzakelijk afspraken vast die borgen dat de IT-dienstverlener zorgvuldig met persoonsgegevens omgaat. Dat is voor jou als vereniging erg belangrijk, want je blijft na inschakeling van dit soort diensten wettelijk verantwoordelijk voor de manier waarop de IT-dienstverlener omgaat met de verstrekte persoonsgegevens.

Maak in de bewerkersovereenkomst ook duidelijke afspraken over beveiliging en de omgang met eventuele datalekken. We spreken van een datalek als er een beveiligingsincident plaatsvindt dat (mogelijk) ernstige gevolgen heeft voor de bescherming van persoonsgegevens. Denk bijvoorbeeld aan diefstal van persoonsgegevens of een infectie met gijzelsoftware, maar ook het per ongeluk wissen van gegevens. In bepaalde gevallen moet je een datalek melden aan de Autoriteit Persoonsgegevens, en soms ook aan de betrokkene. Die melding moet strikt genomen plaatsvinden binnen 72 uur na ontdekking van het incident. Het is dus van groot belang dat je in dit soort situaties juiste en tijdige assistentie krijgt van de IT-dienstverlener, want je bent qua informatievoorziening grotendeels afhankelijk van zijn medewerking. Heb je specifieke vragen over de omgang met datalekken, neem dan contact op met CMS.

Weigert een dienstverlener om een bewerkersovereenkomst te sluiten? Vraag dan wat de achtergrond is voor deze weigering. Als een leverancier beweert dat via haar diensten geen persoonsgegevens worden verwerkt, onderzoek dan goed of dit wel het geval is en vraag desnoods om deskundig advies. Blijkt dat wel degelijk persoonsgegevens worden verwerkt, heroverweeg dan of het verstandig is om met deze leverancier in zee te gaan.

Maakt de IT-dienstverlener (deels) gebruik van servers die zich bevinden buiten de EU, bijvoorbeeld via Amerikaanse serviceproviders? Wees je er dan van bewust dat persoonsgegevens niet zomaar mogen worden verwerkt op servers in landen buiten de EU, tenzij er bijzondere waarborgen zijn getroffen om de persoonsgegevens te beschermen. In de praktijk kan dit meestal goed worden opgelost met bijvoorbeeld ‘EU-modelcontracten’, of inmiddels ook het zogeheten ‘Privacy Shield’. Als de leverancier niet in staat is om een dergelijke oplossing aan te bieden en te garanderen in de bewerkersovereenkomst, vraag dan om deskundig juridisch advies.


Elektronische mailings

Veel verenigingen sturen e-mails naar groepen leden of geïnteresseerden. Maar ook het verzenden van elektronische mailings is aan regels gebonden.

Waar moet je op letten bij het versturen van mailings per e-mail?

Het sturen van elektronische commerciële berichten (bijvoorbeeld via e-mail of persoonlijk bericht via social media) is een vorm van direct marketing. Daarvoor gelden bijzondere regels, ook wel de “SPAM-regels” genoemd. De SPAM-regels gelden voor het versturen van “ongevraagde” berichten, zoals nieuwsbrieven en reclame. Voor het versturen van zulke berichten heb je uitdrukkelijke en voorafgaande toestemming nodig van de ontvanger. Opt-out (je vraagt niet vooraf toestemming, maar biedt wel gelegenheid om uit te schrijven) is dus onvoldoende. Daarnaast geldt: ook al heb je toestemming, je moet ontvangers altijd een eenvoudige gelegenheid bieden tot uitschrijving voor zulke berichten.

Uitzondering voor nieuwsbrieven aan leden

Bij het versturen van nieuwsbrieven door een vereniging aan leden is sprake van een uitzonderingssituatie. Een vereniging moet haar leden namelijk via e-mail kunnen informeren over het reilen en zeilen binnen de vereniging. Denk bijvoorbeeld aan de uitnodiging voor een ledenvergadering of de verenigingsevenementen, wedstrijduitslagen etc. Zolang een nieuwsbrief uitsluitend dergelijke berichten bevat, heb je geen uitdrukkelijke toestemming nodig van een lid. Let op: voor het sturen van reclame (zoals sponsormailings) aan leden heb je wél toestemming nodig.

Gemengde nieuwsberichten

Mogelijk wil je als vereniging berichten sturen aan leden die zowel nieuws/mededelingen als commerciële elementen bevatten. Denk bijvoorbeeld aan een sponsoritem in een nieuwsbrief. In dit soort situaties is sprake van een juridisch grijs gebied: idealiter vraag je voor zulke berichten toestemming aan een lid. Mogelijk beschik je op dit moment nog over adresbestanden waarbij je tot op heden geen expliciete toestemming hebt verkregen voor het versturen van commerciële berichten. Mocht je aan die leden gemengde berichten sturen, zorg dan tenminste dat je een deugdelijke uitschrijfmogelijkheid biedt, en zorg dat de ALV in algemene zin met dergelijke berichten heeft ingestemd.

Twijfel je of een bepaald soort bericht wel of niet door de beugel kan? Vraag dan om deskundig advies.


Vrijwilligers

Verenigingen draaien van oudsher grotendeels op vrijwilligers. Deze vrijwilligers krijgen regelmatig toegang tot persoonsgegevens bij de uitoefening van hun taak. Denk bijvoorbeeld aan de toegang tot leden- en deelnemerslijsten. Je wil met zulke vrijwilligers begrijpelijkerwijs zo soepel mogelijk omgaan. Zo oefen je doorgaans minder uitdrukkelijk gezag uit dan bij werknemers, en zijn werkafspraken vaak minder strikt.

Vergeet echter nooit: vrijwillig betekent niet vrijblijvend! Een gebrek aan controle op vrijwilligers is vanuit privacy-opzicht niet zonder risico. De vereniging is als verantwoordelijke namelijk verplicht om te bewaken dat vrijwilligers persoonsgegevens verwerken op de wijze zoals de vereniging voorschrijft. Schiet een vrijwilliger daarin tekort, dan kan dit in theorie leiden tot aansprakelijkheid van de vereniging en sancties van de toezichthouder. Stel daarom duidelijk beleid op, waarin je vrijwilligers uitlegt hoe zij met informatie van de vereniging moeten omgaan. Controleer bovendien af en toe of het beleid daadwerkelijk wordt nageleefd. Beperk ook de toegang tot persoonsgegevens, zodat vrijwilligers alleen toegang hebben tot gegevens die noodzakelijk zijn voor de uitvoering van hun taak.

Vrijwilligers kunnen soms plots uit beeld raken nadat zij hun taak neerleggen, of eenmalig assistentie hebben verleend. Vergeet dus nooit om tijdig de toegang tot informatie te beëindigen. Zorg ook dat alle persoonsgegevens worden teruggegeven, en waar nodig worden gewist van privéapparatuur van de vrijwilliger.

 

Talentmonitoring

Sommige verenigingen maken gebruik van systemen om talent te monitoren en analyseren, vaak met behulp van computerprogramma’s. Het gaat dan bijvoorbeeld om trainingsschema’s, prestatiemeting, communicatie en blessureoverzichten. Al dit soort gegevens zijn persoonsgegevens, die je in vrijwel alle gevallen niet mag verwerken (en dus ook niet mag delen met derden!) zonder uitdrukkelijke en geïnformeerde toestemming van de betrokkene. Is een talent jonger dan 16 jaar? Vraag dan altijd toestemming aan een ouder of wettelijk vertegenwoordiger van het kind. Zorg ook dat je een gegeven toestemming opslaat.

“Geïnformeerde” toestemming betekent dat je iemand goed uitlegt welke gegevens je verzamelt, voor welke doeleinden je dat doet, en dat je duidelijk vermeldt dat een talent zijn toestemming op ieder moment mag intrekken. Dit soort zaken leg je meestal vast in een privacyverklaring. Zorg dat de betrokkene deze eenvoudig kan raadplegen voordat hij/zij instemt.

Realiseer je dat gegevens van topsporters kunnen rekenen op extra aandacht van de buitenwereld, waaronder zich ook kwaadwillenden kunnen bevinden. Goede beveiliging is dan ook van belang ter voorkoming van datalekken, zeker nu het soms gevoelige gegevens betreft. Als er IT-leveranciers betrokken zijn (bijvoorbeeld door het hosten van een webapplicatie), dan zijn deze partijen bewerker, en moet je daarmee een bewerkersovereenkomst sluiten.


Cookies

Websites, ook verenigingswebsites, en social media kanalen werken met cookies. Het is verplicht eindgebruikers hier op te wijzen.

Waar moet je op letten bij het gebruik van cookies?

Voor het uitlezen en plaatsen van informatie op ‘randapparatuur’, zoals een mobiele telefoon, tablet of computer, zijn specifieke regels opgenomen in de Telecommunicatiewet. Deze regels staan bekend als de ‘cookiewet’, omdat een cookie het bekendste voorbeeld is van het digitaal uitlezen en plaatsen van informatie. Maar let op: de regels gelden ook voor andere technieken waarbij informatie wordt uitgelezen of geplaatst. Het gebruik van dit soort technieken is niet zonder meer toegestaan. Kom je er niet uit? Vraag dan om deskundig juridisch advies.

Soorten cookies

Cookies komen grofweg voor in drie vormen:

  1. Technisch noodzakelijke cookies, ook wel functionele cookies Denk bijvoorbeeld aan cookies die een ‘winkelwagentje’ van een webwinkel mogelijk maken. Zou een order immers spontaan worden vergeten, dan zou het plaatsen van een bestelling al snel onwerkbaar worden.
  2. Kwaliteits- of effectiviteitscookies: Hiermee kunnen de kwaliteit en de effectiviteit van de website worden verbeterd (voor IT-ers: denk aan A/B-testing). Ook affiliate-cookies vallen onder deze categorie: op die manier kan een adverteerder bijvoorbeeld bijhouden welke advertentie daadwerkelijk tot de aankoop van een product heeft geleid.
  3. Tracking cookies: deze cookies volgen het internetgedrag van de gebruiker. Daarmee kunnen ze het interesse-profiel van de gebruiker in kaart brengen. Deze vorm wordt veel gebruikt bij online adverteren.

Toestemming en informatie vereist

Volgens de hoofdregel moet de eindgebruiker toestemming geven voordat cookies mogen worden geplaatst. Daarnaast moet je de eindgebruiker duidelijk informeren over:

  • de naam van de partij die de cookies plaatst;
  • het doel waarvoor de cookies worden gebruikt. Denk bijvoorbeeld aan tracking, gerichte advertenties of het verbeteren van de website;
  • het type cookie dat door of via de website wordt geplaatst;
  • het gebruik van andere relevante technieken. Denk bijvoorbeeld aan Javascript en web beacons; en
  • de eventuele impact die de cookies kunnen hebben op de privacy van de gebruiker.

Uitzondering

Er zijn drie gevallen waarin geen toestemming nodig is, en ook geen informatie hoeft te worden verschaft:

  • De cookies zijn technisch noodzakelijk om elektronische communicatie mogelijk te maken;
  • De cookies zijn nodig om een door de gebruiker gevraagde dienst te leveren; of
  • De cookies zijn bedoeld om informatie te verkrijgen over de kwaliteit of effectiviteit van de website, en hebben bovendien geen of slechts geringe gevolgen voor de privacy van de gebruiker.

In de praktijk betekent dit dat je vrijwel alle technisch noodzakelijke cookies en kwaliteits- of effectiviteitscookies mag plaatsen, zolang dit plaatsvindt binnen het eigen domein van de vereniging. Dit betekent in veel gevallen dat je de zogeheten ‘cookiewalls’ dus kunt vermijden. Vraag bij twijfel echter altijd om deskundig juridisch advies.

Bewerkers

Als er derde partijen betrokken zijn in het faciliteren van de cookie, dat is deze derde mogelijk een bewerker. In dat geval moet er een bewerkersovereenkomst worden gesloten. Dit is onder meer het geval bij het gebruik van Google Analytics. Google stelt je in staat om een bewerkersovereenkomst te sluiten.

FAQ van ACM over cookies

De ACM (Autoriteit Consument & Markt) heeft een paar veelvoorkomende vragen beantwoord over de toepassing van cookieregels. Het document biedt een zeer nuttig inzicht over het gebruik van cookies in allerlei praktijksituaties. Wij bevelen dan ook aan om dit document goed door te lezen.


Algemene Verordening Gegevensbescherming
Hoe zit het nu met die nieuwe Europese privacyregulering? Vanaf 25 mei 2018 geldt in de hele Europese Unie de Algemene Verordening Gegevensbescherming (AVG). De AVG bevat strenge algemene regels voor de verwerking van persoonsgegevens. In deze brochure van CMS kun je alvast lezen welke nieuwe eisen de AVG zoal stelt. De tekst van de Verordening kun je hier raadplegen. De regels die we beschrijven in dit Bulletin, gelden ook onder de AVG.
Over het algemeen worden de privacyregels onder de AVG strenger dan de huidige Wet bescherming persoonsgegevens. Zo gelden er voor het vragen van toestemming strengere voorwaarden, en moet je de betrokkene meer informatie verstrekken dan voorheen. de AVG heeft dus ook een impact op rugbyverenigingen.