Privacy en de AVG
Sinds 25 mei 2018 is de wet Algemene verordening gegevensbescherming (AVG) van kracht en hebben ook sportverenigingen te maken met de strengere regels rond het verwerken van persoonsgegevens. Daardoor is het ook voor jouw vereniging zaak om de zaken rond deze privacywet op orde te hebben. Concreet houdt dit in dat verenigingen moeten registreren hoe zij omgaan met persoonsgegevens van hun leden en vrijwilligers. Met deze documentatieplicht kunnen clubs aantonen dat zij voldoen aan de AVG.
Op deze pagina
Wat dien je als vereniging in te regelen?
De privacywet 'Algemene Verordening Persoonsgegevens' (AVG) vraagt wat van je vereniging. Er dienen enkele zaken ingeregeld en vastgelegd te zijn. Bijvoorbeeld welke persoonsgegevens van leden je registreert en wie deze gegevens allemaal in kunnen zien. Voordat we daarmee aan de slag gaan leggen we eerst enkele veelgebruikte termen uit rondom privacy en AVG.
- Persoonsgegevens: Persoonsgegevens zijn alle gegevens die direct over iemand gaan of die naar iemand te herleiden zijn, zoals naam, adres, telefoonnummer en burgerservicenummer.
- Indirecte persoonsgegevens: Indirecte persoonsgegeven kunnen indirect naar iemand leiden, zoals een kentekennummer, IP-adres, of lidnummer.
- Bijzondere persoonsgegevens: Naast 'gewone' persoonsgegevens bestaan er ook de bijzondere persoonsgegevens. Deze gaan bijvoorbeeld over iemands gezondheid, strafrechtelijke verleden of politieke voorkeur. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij je een wettelijke uitzondering hebt.
- Informatieplicht: Leden en/of deelnemers van je toertocht hebben recht om te weten wat er met hun gegevens gebeurt. Jij hebt daarom de plicht hen hierover te informeren. Dit doe je met een privacyverklaring, hierin omschrijf je in eenvoudige taal waarvoor je bepaalde gegevens gebruikt.
- Recht op vergetelheid: Heb je geen goede reden (meer) om persoonsgegevens te verwerken? Dan moet je deze verwijderen. Ook kan een lid of een deelnemer van een toertocht zelf een verzoek indienen om zijn/haar gegevens te verwijderen. De klant heeft namelijk 'recht op vergetelheid'. Dat betekent dat de organisatie de klant 'vergeet'.
Verwerkingsregister
Een verwerkingsregister is een belangrijk middel om vast te leggen welke persoonsgegevens je gebruikt als verenging en waarom je deze gebruikt. Je noteert in een verwerkingsregister bijvoorbeeld dat je NAW gegevens van je leden verwerkt, je noteert daarbij dat je deze gegevens nodig hebt om leden aan te melden bij de NTFU en wellicht zijn er nog andere redenen. De exacte persoonsgegevens die je verwerkt, zet je niet in het verwerkingsregister. Er staan dus geen namen en adressen van je leden in je verwerkingsregister. Je hoeft het verwerkingsregister niet openbaar te maken. Alleen wanneer de Autoriteit Persoonsgegevens (AP) er om vraagt, moet je het verwerkingsregister laten zien. Als je het verwerkingsregister niet hebt, of dit voldoet niet aan de vereisten, kan de AP je een boete geven.
Wat noteer je?
Voor verenigingen stellen we hieronder een concept-verwerkingsregister beschikbaar die je kunt gebruiken. De volgende gegevens houd je bij voor je vereniging:- Activiteit/situatie: Op welke situatie is de 'verwerking' van toepassing?
- Verwerkingsverantwoordelijke: wie (functie?) is er verantwoordelijk voor de vewerking van deze betreffende gegevens?
- Doel: wat is het doel van de werking? Dit kan bijvoorbeeld het aanmelden zijn van een lid of het incasseren van contributie.
- Soort gegevens: Omschrijf om wat voor gegevens het gaat? Contactgegevens, betaalgegevens, NAW-gegevens, etc.
- Betrokkenen: Voor welke groep verwerk je deze gegevens? Bijvoorbeeld leden of sponsoren.
- Grondslag: de grondslag is een van de belangrijkste onderdelen om te noteren. Hierin leg je vast waarom je de gegevens verwerkt en of de verwerking gerechtvaardigd is. Er zijn zes verschillende grondslagen, je hebt bijvoorbeeld toestemming van de betreffende persoon of je hebt de gegevens nodig om het 'lidmaatschap' uit te voeren. Je leest hier meer over de zes grondslagen.
- Bewaartermijn: Hoe lang bewaar je de gegevens? Is er een wettelijk bewaartermijn? Hanteer dan het wettelijke termijn.
- Beveiligingsmaatregelen: hoe zorg je ervoor dat de gegevens veilig zijn. Neem hiervoor passende maatregelen bijvoorbeeld het opslaan op een beveiligde omgeving, niet printen van persoonsgegevens, of het gebruiken van een 2-factor-authenticatie.
Aan de slag met het verwerkingsregister
Nu je alle informatie hebt kun je aan de slag. Om het makkelijk te maken stellen we aan kant-en-klaar format beschikbaar die je kunt invullen voor jouw vereniging.Privacyverklaring
Je hebt als vereniging de plicht om leden en andere klanten te informeren over de (persoons)gegevens die je verwerkt en waarom je dat doet. De privacyverklaring van je vereniging is publiek toegankelijk, bijvoorbeeld via je clubsite. In de privacyverklaring noteer je, net zoals in het verwerkingsregister, welke gegevens verwerkt worden en met welke grondslag. Daarnaast vermeld je in de privacyverklaring ook andere zaken, bijvoorbeeld hoe iemand een klacht kan indienen. Aan de slag met de privacyverklaring, gebruik dan ons handige model.
Downloads
Geheimhoudingsverklaring
Wanneer er vrijwilligers of bestuursleden binnen jouw vereniging werken met persoonsgegevens, dan is het verstandig hen een geheimhoudingsverklaring te laten ondertekenen. Dit om de beveiliging van de gegevens te waarborgen. Let op: geef niet meer mensen toegang tot gegevens dan noodzakelijk. Beëindig de toegang tot gegevens voor mensen die de gegevens niet meer nodig hebben, bijvoorbeeld door het wijzigen van wachtwoorden. Download hier een model-geheimhoudingsverklaring.
Downloads
Verwerkersovereenkomst
Zijn er externen partijen betrokken bij het verwerken van persoonsgegevens van je vereniging? Bijvoorbeeld het incasseren van contribtie, een externe ledenadministratie of een nieuwsbriefmodule? Dan mag je gegevens niet zomaar delen met deze partij zonder dat er een verwerkersovereenkomst is afgesloten. In zo'n overeenkomst leg je vast hoe de externe verwerker om dient te gaan met de gegevens die je deelt met hen. Een model verwerkersovereenkomst vind je hier.
Downloads
Veelgestelde vragen
-
1.Hoe lang mag ik persoonsgegevens bewaren?
-
2.Mag ik gegevens van leden die zich als lid hebben afgemeld bewaren?
-
3.Mogen we persoonsgegevens op computers/laptops gebruiken?
-
4.Mag ik foto’s en filmpjes van sporters en toeschouwers publiceren?
-
5.Wie moet ik een geheimhoudingsverklaring laten tekenen?
-
6.Wanneer mag ik als vereniging persoonsgegevens verwerken?
-
7.Mag ik persoonsgegevens bewaren voor onze clubhistorie?
-
8.Mag ik een lijst met bijvoorbeeld instructeurs, wegkapiteins en leden voor bardienst publiceren op onze afgeschermde website zodat deze benaderd kunnen worden door leden?
-
9.Mogen we een nieuwsbrief sturen aan onze leden?
-
10.Wat zijn persoonsgegevens?
-
11.Mag er een smoelenboek van de leden achter de bar in de kantine liggen?
-
12.Mag ik persoonsgegevens bewaren voor de statistieken?
-
13.Hoe vraag ik toestemming van een betrokkene?
-
14.Mag ik de verjaardagen van onze leden op onze website publiceren?
-
15.Soms verstrekken wij gegevens aan derden (bijvoorbeeld voor onze administratie, incasso van de contributie, website bouwer, in verband met de nieuwsbrief of ter verkrijging van subsidies), wie moet er dan voor zorgen dat aan de AVG voldaan wordt?