Is uw club klaar voor nieuwe privacywet?
VoV, 04-04-2018. 6:15 uur. Volleybalvereniging hebben net als heel veel andere sportclubs en organisaties te maken met het verwerken van persoonsgegevens. In mei wordt daarvoor Europese wetgeving van kracht. Het is goed om je club daar nu al op voor te bereiden.
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU), voor alle bedrijven, organisaties en (sport)verenigingen. Dus ook voor de volleybalclub met alleen een Dames 1 en Dames 2 team tot aan de club met bijvoorbeeld 800 leden. Zo is er straks bijvoorbeeld toestemming nodig van de ouders als de club teamfoto’s van jeugdteams wil publiceren. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
Wat verandert er? De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen sterkere privacyrechten. Organisaties die persoonsgegevens verwerken, en daar horen ook volleybalclubs toe, krijgen meer verplichtingen. Zo ontkomen de clubs er niet meer aan om ‘accountable’ te zijn; er geldt een documentatieplicht: met documenten kunnen aantonen dat je voldoet aan de AVG. Concreet betekent dit: beleid maken en opschrijven hoe je omgaat met persoonsgegevens van je leden en fans / vrijwilligers. Van clubs, die niet precies op papier hebben staan wie er wel en niet inzage hebben in de persoonsgegevens van de leden, kunnen de bestuurders worden beboet.
Wat kan ik doen? Als volleybalclub moet je stappen ondernemen om straks klaar te zijn voor de AVG. Het allerbelangrijkste is beleid te maken en op te schrijven: hoe je wilt omgaan met de persoonsgegevens van je leden? Is het oké als ieder bestuurslid of commissie zijn eigen spreadsheetje bijhoudt? Of om ledengegevens te delen met sponsoren? Dit zijn vragen waar je als club over na moet denken en een antwoord op moet formuleren. En dat dus op moet schrijven…
Dataportabiliteit: Onder de AVG krijgen de mensen van wie jouw club persoonsgegevens heeft betere privacyrechten. Bereid je daarop voor, zodat je op tijd en op de juiste manier op verzoeken reageert. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
Maak alvast een overzicht: Breng jouw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens jouw club verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.
Je kunt het overzicht ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Realiseer je dat de gegevens van jouw leden ook (rechtstreeks) naar de Nevobo gaan en bij eventuele andere databanken belanden, bijvoorbeeld bij NOC*NSF. Dit betekent dat je, als een lid vraagt zijn gegevens te corrigeren of te verwijderen, dit moet doorgeven aan organisaties, waarmee je hun gegevens hebt gedeeld.
Maak beleid: De volgende stap is dat je binnen je bestuur vaststelt hoe jouw club wil omgaan met de privacy van je leden. Als kader bij deze discussie kun je de uitgangspunten ‘privacy by design’ en ‘privacy by default’ gebruiken.
Daarvoor ga je na hoe je deze beginselen binnen jouw club kunt invoeren. Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd.
Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door:
- als iemand zich op jouw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
Functionaris voor de gegevensbescherming: Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dat is bijvoorbeeld het geval als je bijzondere persoonsgegevens verwerkt, aan marketing doet op je database of meer dan 5.000 personen in je database hebt staan.
Bewerkersovereenkomsten: Vraag je zelf als club af met welke partijen je zaken doet; heb je een derde ingeschakeld voor bijvoorbeeld het incasseren van de contributie? Check dan wat zij doen met de persoonsgegevens van je leden, blijven die gegevens van jouw club? Geeft die organisatie je voldoende waarborgen dat zij de persoonsgegevens van je leden veilig verwerken? Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
Vervolg: Zorg dat jouw club bijtijds klaar is voor de nieuwe wetgeving. Wil je aan de slag, dan heeft bijvoorbeeld de Autoriteit Persoonsgegevens de 10 belangrijkste stappen op een rijtje gezet. Op www.autoriteitpersoonsgegevens.nl vind je ook antwoorden op enkele veelgestelde vragen.
gh @ VoV, foto Rudy van ’t Rood. Bron https://sport.nl/voorclubs/nieuws