Vanaf 2016 is de Algemene Verordening Gegevensbescherming (AVG / GDPR) ingevoerd in Nederland. Dit betekent dat vereniging zich aan deze wet moeten houden. Ter advies staat hieronder een vijfstappenplan beschreven die door Sportaal (https://sportaal.nl/) is opgesteld. Onder 'Bijlagen' is een Engels en Nederlands voorbeeld opgenomen van een privacyverklaring.

Stap 1: Maak inzichtelijk welke gegevens je verwerkt en waarom je dat doet.

Onder de AVG heb je een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat jouw sportorganisatie in overeenstemming met de AVG handelt. Voorbeelden waarbij persoonsgegevens worden verwerkt zijn: 1. Ledenadministratie, 2. Personeels- en salarisadministratie, 3. Leveranciers, 4. Deelnemers toernooien en activiteiten, 5. Contactpersonen sponsors en 6. Inloggegevens bezoekers website.

Stap 2: Toevoegen van extra kenmerken aan de registratie

Voor elke activiteit leg je – naast het doel en de categorieën van gegevens uit stap 1 – ook vast aan wie de persoonsgegevens worden verstrekt (zowel intern als extern) en hoe lang je de gegevens bewaart c.q. wanneer je deze vernietigt. Daarbij geldt dat je persoonsgegevens alleen zo lang mag bewaren als noodzakelijk is gelet op het doel waarvoor de persoonsgegevens worden verwerkt. Dat neemt niet weg dat in sommige gevallen een bewaarplicht kan gelden op grond van bijzondere (meestal fiscale) regelgeving. Deze plicht gaat dan voor. Verder kun je – indien mogelijk – bij elke registratie aangeven welke beveiligingsmaatregelen je hebt getroffen. Denk bijvoorbeeld aan het versleuteld verzenden of ontvangen van gegevens of een beveiligde omgeving binnen jouw website voor alleen leden.

Stap 3: Informeren van uw leden en anderen van wie je de gegevens verwerkt

De AVG schrijft voor dat je de personen van wie je persoonsgegevens verwerkt moet informeren over het gebruik van hun gegevens. Aan deze verplichting kunt je in de meeste gevallen voldoen door een goede privacyverklaring op te stellen en te publiceren op bijvoorbeeld jouw website.

Stap 4: Maak iemand verantwoordelijk voor het onderwerp privacy

Het is van belang dat het onderwerp informatiebeveiliging en privacy een plaats krijgt binnen de bestuurlijke verantwoordelijkheid. Gelet op de wettelijke verplichtingen adviseren wij om het onderwerp regelmatig te bespreken in bestuursvergaderingen en de verantwoordelijkheid voor het opstellen en uitvoeren van de privacyregels toe te wijzen aan één van de bestuurders. Vanuit deze rol kan dan ook worden voldaan aan de verplichting om zogenoemde ‘datalekken’ te melden bij de Autoriteit Persoonsgegevens en eventuele betrokkenen als dat nodig is.

Stap 5: Vervolgacties

Met stap 1 t/m 4 leg je een goede basis en toon je bovendien aan dat je de verantwoordelijkheid met betrekking tot privacy serieus neemt. Let op dat de Europese regels meer vragen dan alleen de registratie- en de informatieverplichting. De goede invulling van deze extra verplichtingen hangt af van de aard en grootte van jouw organisatie, de gegevens die je verwerkt en de wijze waarop je dat doet. Als je bijv. gegevens verstrekt aan andere organisaties (zoals de sportbond of een incassobureau) dan kan het nodig zijn een zogenoemde verwerkersovereenkomst te sluiten. Als je nieuwe technische toepassingen wenst te gebruiken om persoonsgegevens vast te leggen, dan is het van belang dat je van meet af aan rekening houdt met privacyaspecten. Verder is het bij het verwerken van bijzondere persoonsgegevens (bijv. medische informatie) verplicht vooraf een privacy impact assessment te doen. Dergelijke situaties vragen vrijwel altijd om maatwerkoplossingen. Met het doorlopen van stap 1 t/m 4 heb je daarvoor echter al een goed fundament gelegd.

Kijk ook eens naar het document met veel gestelde vragen: https://sportaal.nl/assets/Uploads/Questions-and-Answers-AVG-Sportverenigingen-samengevoegde-versie-juni-..-.pdf

Hier kun je antwoorden vinden op vragen zoals “Mag ik foto’s van leden publiceren?”.