Nieuws
AVG/GDPR voor de sport
Gepubliceerd op 19 apr. 2018
Kom in beweging en regel de privacy!
Is uw sportvereniging al voorbereid op de nieuwe Europese Privacywetgeving? Vanaf 25 mei 2018 geldt in de hele EU dezelfde wetgeving voor de bescherming van persoonsgegevens. Aangezien alle sportverenigingen persoonsgegevens gebruiken, is deze wetgeving ook op uw vereniging van toepassing. De boetes op overtreding kunnen oplopen tot in de miljoenen euro’s, dus niets doen is een groot risico. In dit artikel leggen we in vogelvlucht uit waar sportverenigingen aan moeten voldoen vanaf 25 mei 2018.
De nieuwe Europese wetgeving is geregeld in Algemene Verordening Gegevensbescherming (AVG), ook bekend onder de naam General Data Protection Regulation (GDPR). Nederland heeft verdere invulling gegeven aan deze Europese regelgeving in de Uitvoeringswet AVG. De Wet Bescherming Persoonsgegevens (Wbp) wordt ingetrokken per 25 mei 2018.
Wat is een persoonsgegeven?
We spreken van een persoonsgegeven als een gegeven herleidbaar is tot een persoon. De meest voor de hand liggende persoonsgegevens zijn naam, adres en woonplaats. Maar ook de aanduiding als man of vrouw of de naam van een e-mailadres, waaruit de identiteit van de persoon blijkt (bijvoorbeeld j.vanenburg@holla.nl) zijn persoonsgegevens. Denk verder aan wedstrijduitslagen, een lidmaatschapsnummer en sportprestaties.
Foto’s zijn ook persoonsgegevens in de zin van de AVG. Voor gebruik hiervan moeten degenen die op de foto staan expliciet toestemming geven. Deze toestemming moet vrij, ondubbelzinnig en specifiek zijn en mag ieder moment weer ingetrokken worden. Wanneer een sportvereniging foto’s van kinderen wil gebruiken, is daarvoor toestemming nodig van de ouders.
Verwerking van persoonsgegevens
De AVG/GDPR is van toepassing op alle persoonsgegevens die een sportvereniging ‘verwerkt’. U verwerkt een persoonsgegeven, zodra u er iets mee doet. Dat kan zijn: bewaren, een wijziging aanbrengen (bijvoorbeeld een nieuw adres invoeren), doorsturen, een ledenlijst maken enzovoort.
Verwerkingsregister
Vrijwel iedere sportvereniging zal verplicht een verwerkingsregister bij moeten gaan houden. Lees hierover meer in het artikel Het Verwerkingsregister.
Beveiligen van persoonsgegevens
Een sportvereniging is gehouden om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen. Dit gaat zowel over digitale als papieren gegevens. Maar ook over het maken van afspraken met elkaar over de kennis van persoonsgegevens (denk bijvoorbeeld aan een geheimhoudingsplicht).
Rechtsgronden voor verwerking
Een sportvereniging mag alleen persoonsgegevens verwerken als daar een geldige rechtsgrond voor is. De AVG/GDPR kent 6 rechtsgronden. Als geen van deze rechtsgronden aanwezig is, dan mag u de persoonsgegevens niet verwerken. Deze rechtsgronden zijn:
- Toestemming van de betrokken persoon (voor jongeren onder de 16 jaar moet een ouder of voogd toestemming geven).
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
- De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
- De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Meld je aan voor onze nieuwsbrief
Geen juridische updates missen? Maak dan een selectie uit de diverse expertises van Holla legal & tax.