AVG/GDPR voor de sport

19 april 2018

Sportvereniging AVG

Kom in beweging en regel de privacy!

Is uw sportvereniging al voorbereid op de nieuwe Europese Privacywetgeving? Vanaf 25 mei 2018 geldt in de hele EU dezelfde wetgeving voor de bescherming van persoonsgegevens. Aangezien alle sportverenigingen persoonsgegevens gebruiken, is deze wetgeving ook op uw vereniging van toepassing. De boetes op overtreding kunnen oplopen tot in de miljoenen euro’s, dus niets doen is een groot risico. In dit artikel leggen we in vogelvlucht uit waar sportverenigingen aan moeten voldoen vanaf 25 mei 2018.

De nieuwe Europese wetgeving is geregeld in Algemene Verordening Gegevensbescherming (AVG), ook bekend onder de naam General Data Protection Regulation (GDPR). Nederland heeft verdere invulling gegeven aan deze Europese regelgeving in de Uitvoeringswet AVG. De Wet Bescherming Persoonsgegevens (Wbp) wordt ingetrokken per 25 mei 2018.

Wat is een persoonsgegeven?
We spreken van een persoonsgegeven als een gegeven herleidbaar is tot een persoon. De meest voor de hand liggende persoonsgegevens zijn naam, adres en woonplaats. Maar ook de aanduiding als man of vrouw of de naam van een e-mailadres, waaruit de identiteit van de persoon blijkt (bijvoorbeeld j.vanenburg@holla.nl) zijn persoonsgegevens.  Denk verder aan wedstrijduitslagen, een lidmaatschapsnummer en sportprestaties.
Foto’s zijn ook persoonsgegevens in de zin van de AVG. Voor gebruik hiervan moeten degenen die op de foto staan expliciet toestemming geven. Deze toestemming moet vrij, ondubbelzinnig en specifiek zijn en mag ieder moment weer ingetrokken worden. Wanneer een sportvereniging foto’s van kinderen wil gebruiken, is daarvoor toestemming nodig van de ouders.

Verwerking van persoonsgegevens
De AVG/GDPR is van toepassing op alle persoonsgegevens die een sportvereniging ‘verwerkt’. U verwerkt een persoonsgegeven, zodra u er iets mee doet. Dat kan zijn: bewaren, een wijziging aanbrengen (bijvoorbeeld een nieuw adres invoeren), doorsturen, een ledenlijst maken enzovoort.

Verwerkingsregister
Vrijwel iedere sportvereniging zal verplicht een verwerkingsregister bij moeten gaan houden. Lees hierover meer in het artikel Het Verwerkingsregister.

Beveiligen van persoonsgegevens
Een sportvereniging is gehouden om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen. Dit gaat zowel over digitale als papieren gegevens. Maar ook over het maken van afspraken met elkaar over de kennis van persoonsgegevens (denk bijvoorbeeld aan een geheimhoudingsplicht).

Rechtsgronden voor verwerking
Een sportvereniging mag alleen persoonsgegevens verwerken als daar een geldige rechtsgrond voor is. De AVG/GDPR kent 6 rechtsgronden. Als geen van deze rechtsgronden aanwezig is, dan mag u de persoonsgegevens niet verwerken.  Deze rechtsgronden zijn:

  1. Toestemming van de betrokken persoon (voor jongeren onder de 16 jaar moet een ouder of voogd toestemming geven).
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Informatierecht
Mensen waarvan u persoonsgegevens wilt verwerken, hebben een informatierecht. Deze informatie kunt u opnemen in een – op maat gemaakte – privacystatement.
In heldere en duidelijke taal moet uw vereniging uitleg geven over het doel van de verwerking van de persoonsgegevens en over de bewaartermijn.
Ook moet u informatie geven over de rechten die de mensen hebben waarvan u persoonsgegevens verwerkt. Specifiek gaat het dan om het recht op inzage, rectificatie, wissing (recht op vergetelheid), beperking van de verwerking, bezwaar bij de Autoriteit Persoonsgegevens en gegevensoverdracht.
Wanneer gegevens doorgegeven worden aan een derde of naar het buitenland moeten de betrokken personen hiervan in kennis gesteld worden. Ook moet aangegeven worden hoe de gegevens bij deze doorgifte adequaat beschermd worden.

Wilt u zeker weten dat uw sportvereniging aan de AVG/GDPR voldoet? Of kunt u hulp gebruiken bij het opstellen van een privacystatement? Wij volgen de ontwikkelingen over dit onderwerp op de voet. Wilt u meer weten over dit onderwerp of heeft u vragen over de manier waarop Holla Advocaten u kan begeleiden? Neem contact op met onze specialist sportrecht Jaimy Vanenburg of onze privacyspecialist Anne Coenders.

Dit artikel is geschreven door Peggie van Vugt, medewerker Wetenschappelijk Bureau van Holla Advocaten.

Lees ook onze artikelen over de betekenis van de AVG/GDPR voor werkgevers, het verwerkingsregister, de rol van de OR bij de AVG/GDPR en de DPIA.