Privacy en de AVG

Sinds 25 mei 2018 is de wet Algemene verordening gegevensbescherming (AVG) van kracht en hebben ook sportverenigingen te maken met de strengere regels rond het verwerken van persoonsgegevens. Daardoor is het ook voor jouw vereniging zaak om de zaken rond deze privacywet op orde te hebben. Concreet houdt dit in dat verenigingen moeten registreren hoe zij omgaan met persoonsgegevens van hun leden en vrijwilligers. Met deze documentatieplicht kunnen clubs aantonen dat zij voldoen aan de AVG.

Wat dien je als vereniging in te regelen?

De privacywet 'Algemene Verordening Persoonsgegevens' (AVG) vraagt wat van je vereniging. Er dienen enkele zaken ingeregeld en vastgelegd te zijn.  Bijvoorbeeld welke persoonsgegevens van leden je registreert en wie deze gegevens allemaal in kunnen zien. Voordat we daarmee aan de slag gaan leggen we eerst enkele veelgebruikte termen uit rondom privacy en AVG.

  • Persoonsgegevens: Persoonsgegevens zijn alle gegevens die direct over iemand gaan of die naar iemand te herleiden zijn, zoals naam, adres, telefoonnummer en burgerservicenummer.
  • Indirecte persoonsgegevens: Indirecte persoonsgegeven kunnen indirect naar iemand leiden, zoals een kentekennummer, IP-adres, of lidnummer.
  • Bijzondere persoonsgegevens: Naast 'gewone' persoonsgegevens bestaan er ook de bijzondere persoonsgegevens. Deze gaan bijvoorbeeld over iemands gezondheid, strafrechtelijke verleden of politieke voorkeur. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij je een wettelijke uitzondering hebt.
  • Informatieplicht: Leden en/of deelnemers van je toertocht hebben recht om te weten wat er met hun gegevens gebeurt. Jij hebt daarom de plicht hen hierover te informeren. Dit doe je met een privacyverklaring, hierin omschrijf je in eenvoudige taal waarvoor je bepaalde gegevens gebruikt. 
  • Recht op vergetelheid: Heb je geen goede reden (meer) om persoonsgegevens te verwerken? Dan moet je deze verwijderen. Ook kan een lid of een deelnemer van een toertocht zelf een verzoek indienen om zijn/haar gegevens te verwijderen. De klant heeft namelijk 'recht op vergetelheid'. Dat betekent dat de organisatie de klant 'vergeet'.

Verwerkingsregister

Een verwerkingsregister is een belangrijk middel om vast te leggen welke persoonsgegevens je gebruikt als verenging en waarom je deze gebruikt. Je noteert in een verwerkingsregister bijvoorbeeld dat je NAW gegevens van je leden verwerkt, je noteert daarbij dat je deze gegevens nodig hebt om leden aan te melden bij de NTFU en wellicht zijn er nog andere redenen. De exacte persoonsgegevens die je verwerkt, zet je niet in het verwerkingsregister. Er staan dus geen namen en adressen van je leden in je verwerkingsregister. Je hoeft het verwerkingsregister niet openbaar te maken. Alleen wanneer de Autoriteit Persoonsgegevens (AP) er om vraagt, moet je het verwerkingsregister laten zien. Als je het verwerkingsregister niet hebt, of dit voldoet niet aan de vereisten, kan de AP je een boete geven.

Wat noteer je?

Voor verenigingen stellen we hieronder een concept-verwerkingsregister beschikbaar die je kunt gebruiken. De volgende gegevens houd je bij voor je vereniging:
  • Activiteit/situatie: Op welke situatie is de 'verwerking' van toepassing?
  • Verwerkingsverantwoordelijke: wie (functie?) is er verantwoordelijk voor de vewerking van deze betreffende gegevens?
  • Doel: wat is het doel van de werking? Dit kan bijvoorbeeld het aanmelden zijn van een lid of het incasseren van contributie.
  • Soort gegevens: Omschrijf om wat voor gegevens het gaat? Contactgegevens, betaalgegevens, NAW-gegevens, etc.
  • Betrokkenen: Voor welke groep verwerk je deze gegevens? Bijvoorbeeld leden of sponsoren.
  • Grondslag: de grondslag is een van de belangrijkste onderdelen om te noteren. Hierin leg je vast waarom je de gegevens verwerkt en of de verwerking gerechtvaardigd is. Er zijn zes verschillende grondslagen, je hebt bijvoorbeeld toestemming van de betreffende persoon of je hebt de gegevens nodig om het 'lidmaatschap' uit te voeren. Je leest hier meer over de zes grondslagen. 
  • Bewaartermijn: Hoe lang bewaar je de gegevens? Is er een wettelijk bewaartermijn? Hanteer dan het wettelijke termijn. 
  • Beveiligingsmaatregelen: hoe zorg je ervoor dat de gegevens veilig zijn. Neem hiervoor passende maatregelen bijvoorbeeld het opslaan op een beveiligde omgeving, niet printen van persoonsgegevens, of het gebruiken van een 2-factor-authenticatie.
 

Aan de slag met het verwerkingsregister

Nu je alle informatie hebt kun je aan de slag. Om het makkelijk te maken stellen we aan kant-en-klaar format beschikbaar die je kunt invullen voor jouw vereniging. 

Privacyverklaring

Je hebt als vereniging de plicht om leden en andere klanten te informeren over de (persoons)gegevens die je verwerkt en waarom je dat doet. De privacyverklaring van je vereniging is publiek toegankelijk, bijvoorbeeld via je clubsite. In de privacyverklaring noteer je, net zoals in het verwerkingsregister, welke gegevens verwerkt worden en met welke grondslag. Daarnaast vermeld je in de privacyverklaring ook andere zaken, bijvoorbeeld hoe iemand een klacht kan indienen. Aan de slag met de privacyverklaring, gebruik dan ons handige model

Geheimhoudingsverklaring

Wanneer er vrijwilligers of bestuursleden binnen jouw vereniging werken met persoonsgegevens, dan is het verstandig hen een geheimhoudingsverklaring te laten ondertekenen. Dit om de beveiliging van de gegevens te waarborgen. Let op: geef niet meer mensen toegang tot gegevens dan noodzakelijk. Beëindig de toegang tot gegevens voor mensen die de gegevens niet meer nodig hebben, bijvoorbeeld door het wijzigen van wachtwoorden. Download hier een model-geheimhoudingsverklaring.

Verwerkersovereenkomst

Zijn er externen partijen betrokken bij het verwerken van persoonsgegevens van je vereniging? Bijvoorbeeld het incasseren van contribtie, een externe ledenadministratie of een nieuwsbriefmodule? Dan mag je gegevens niet zomaar delen met deze partij zonder dat er een verwerkersovereenkomst is afgesloten. In zo'n overeenkomst leg je vast hoe de externe verwerker om dient te gaan met de gegevens die je deelt met hen. Een model verwerkersovereenkomst vind je hier

In deze Q&A proberen we antwoord te geven op de meest gestelde vragen rondom de AVG bij verenigingen.

  • 1.
    Je mag persoonsgegevens bewaren zolang dat noodzakelijk is voor het doel waarvoor je ze gebruikt, niet langer. Soms geeft de wet een bewaartermijn, bijvoorbeeld om te voldoen aan de fiscale bewaartermijn van 7 jaar. Denk hierbij aan debiteuren- en crediteurenadministratie en de financiële administratie.

    Maak daarbij binnen uw vereniging afspraken hoe lang u gegevens bewaard. Neem daarbij in overweging dat u er gelet op de wet het beste aan doet de gegevens zo snel mogelijk te verwijderen. Onder de oude wetgever was het toegestaan om gegevens uit hoofde van het lidmaatschap twee jaar na beëindiging van de overeenkomst te bewaren. Het advies zou zijn om te kiezen voor een aanzienlijk kortere termijn maar in ieder geval de twee jaar niet te overschrijden.
  • 2.
    Dit mag in beginsel maar beperkt zoals bij de beantwoording van de vorige vraag aangegeven. Mocht u gegevens van oud-leden willen bewaren na afloop van het lidmaatschap dan doet u er goed aan voor het bewaren en het doel van het bewaren van deze persoonsgegevens alsnog toestemming te vragen aan het oud-lid. Dit kan bijvoorbeeld in het afmeldingsformulier. Zet er dan bij waarvoor u de gegevens wilt bewaren.
  • 3.
    Dit mag, maar de vereniging blijft wel verantwoordelijk voor de veiligheid van de gegevens. Verplicht de gebruikers in dat geval antivirussoftware installeren en deze regelmatig updaten,goede wachtwoorden instellen en deze regelmatig te wijzigen, indien mogelijk opslag op lokale harde schijven te voorkomen (gebruik web-omgevingen, cloud). Zorg er ook voor dat er altijd een goede, recente back-up is. Bij beëindiging van de verenigingstaken moeten de gegevens na overdracht definitief en ontraceerbaar verwijderd worden.
  • 4.
    Voor het maken en publiceren van beeldmateriaal moet de sportorganisatie toestemming hebben van herkenbaar in beeld gebrachte betrokkenen, óf een gerechtvaardigd belang hebben. Denk bij een gerechtvaardigd belang bijvoorbeeld aan persvrijheid, direct marketing, promotie van de organisatie of beveiliging. Ook wedstrijdverslaggeving kan gemotiveerd onder het gerechtvaardigd belang vallen. Een sportorganisatie mag in dat geval foto’s en beelden van wedstrijden publiceren of uitzenden, ook als daarbij bijvoorbeeld toeschouwers herkenbaar in beeld komen.

    De belangenafweging moet zorgvuldig zijn en de belangen van de vereniging én die van de betrokkenen moeten uitvoerig afgewogen en beschreven.

    Wil je publiceren op basis van een gerechtvaardigd belang, raadpleeg dan eerst een privacyjurist. De juiste belangenafweging is belangrijk om fouten te voorkomen.

    Let op bij kinderen: hun privacybelang weegt extra zwaar. Vraag daarom uitdrukkelijk toestemming aan de ouders of voogd voordat je overgaat tot publicatie.
  • 5.
    Om de beveiliging van de gegevens te waarborgen moet iedereen die toeging heeft tot de gegevens een geheimhoudingsverklaring tekenen. Let op: geef niet meer mensen toegang tot gegevens dan noodzakelijk. Beëindig de toegang tot gegevens voor mensen die de gegevens niet meer nodig hebben, bijvoorbeeld door het wijzigen van wachtwoorden.
  • 6.
    Je mag alleen persoonsgegevens verwerken voor het doel waarvoor u ze verzamelt en alleen op basis van een van de volgende 6 grondslagen.
    1. Toestemming van de betrokkene;
    2. Uitvoering van een overeenkomst;
    3. Voldoen aan een wettelijke plicht
    4. Bescherming van de belangen van de betrokkene of een andere natuurlijke persoon
    5. Uitvoering taak van algemeen belang
    6. Behartiging van gerechtvaardigde belangen
    Voor alle gegevens die je verwerkt moet u zich dus afvragen met welk doel je dat doet en op basis van welke van de hierboven genoemde grondslagen. Als vereniging zal je vooral gegevens verwerken op basis van de eerste twee grondslagen: uitvoering van de (lidmaatschaps)overeenkomst en toestemming.

    Gegevens die je bijvoorbeeld nodig hebt voor de uitvoering van de lidmaatschapsovereenkomst zijn:
    • Adresgegevens voor de ledenadministratie;
    • Adres- en/of contactgegevens voor de oproeping van de algemene ledenvergadering;
    • Bankgegevens voor de afschrijving van de contributie;
    • Geboortejaar/datum voor de indeling in categorieën (datum alleen indien jaar niet voldoende is).
  • 7.
    Wil je persoonsgegevens langer bewaren, bijvoorbeeld voor de clubhistorie (bijvoorbeeld foto’s of bijzondere prestaties) dan mag dat op basis van de uitzondering: historisch doel. Zorg er dan wel voor dat je dit doel kunt aantonen en er niet meer gegevens worden bewaard dan nodig. Ook moet je voorkomen dat persoonsgegevens uit het archief later alsnog voor andere dan historische doeleinden worden gebruikt.
  • 8.
    Nee, dat mag alleen als je hiervoor toestemming hebt of een gerechtvaardigd belang.

    Gebruik je de grondslag gerechtvaardigd belang dan is het verstandig om de algemene ledenvergadering daarmee vooraf te laten instemmen. Wil je behalve namen ook contactgegevens in de lijst opnemen, breng dit dan expliciet in stemming. Geef leden bovendien vooraf gelegenheid om zich tegen publicatie te verzetten.

    Plaats deze persoonsgegevens (ook na toestemming) niet op een voor publiek toegankelijke plek op uw website. Maar bijvoorbeeld alleen achter een login. Zo kunnen alleen diegenen die dat nodig hebben deze persoonsgegevens inzien.
  • 9.
    Ja, je moet leden immers regelmatig kunnen informeren (uitnodiging ALV, verenigingsagenda, uitslagen, etc.). Maar let op: neem je advertenties op in de nieuwsbrief dan is wél toestemming nodig.

    Let er op dat je onder iedere nieuwsbrief een uitschrijflink opneemt zodat de ontvanger zich eenvoudig kan afmelden.
  • 10.
    Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Denk aan gegevens van leden, bestuursleden, medewerkers, vrijwilligers en gegevens van relaties.
    • Voorbeelden van persoonsgegevens:
    • NAW-gegevens
    • BSN, kopie identiteitsbewijs
    • E-mailadres en telefoonnummer
    • Geboorte datum
    • Geslacht
    • Rekeningnummers
    • Foto’s en filmpjes met herkenbare personen
    • Medische gegevens, denk ook aan lengte, gewicht en gezondheidsverklaring
    • Vastgelegd website bezoek (IP-adressen)
    • etc
  • 11.
    Nee, tenzij de betrokkenen daar toestemming voor hebben gegeven.
  • 12.
    Ja, je mag persoonsgegevens langer bewaren voor statistieken. Je moet dan wel duidelijk vastleggen welke persoonsgegevens daarvoor nodig en er voor zorgen dat de niet gegevens alsnog voor andere doeleinden worden gebruikt. Als het kan moet je de gegevens anonimiseren of pseudonimiseren. Let wel op: Anonimiseren is in veel gevallen lastig. Pseudonimiseren is nog lastiger. Vraag is deze situatie advies aan een privacyjurist.
  • 13.
    Wil je gegevens verwerken op basis van de grondslag toestemming dan kun je die toestemming vragen via een toestemmingsformulier. Let hierbij op het volgende:
    1. Toestemming moet actief zijn gegeven. Dus geen vooraf aangevinkt vakje.
    2. Toestemming moet voldoende concreet worden gevraagd. Duidelijk moet zijn waar de toestemming voor wordt gevraagd, je mag de gegevens ook niet voor iets anders gebruiken.
    3. Verzoek moet duidelijk, kort en bondig zijn opgesteld;
    4. Toestemming moet vrijwillig worden gegeven;
    5. Betrokkene moet de toestemming altijd weer eenvoudig kunnen intrekken.
    6. Bij jeugd, jonger dan 16 jaar moet de ouder of voogd toestemming geven. Dit geldt voor aanmelding als lid, maar ook voor inschrijving voor toernooien, kampen, de nieuwsbrief.
  • 14.
    Nee, tenzij de leden daar toestemming voor hebben gegeven.
  • 15.
    Indien je persoonsgegevens verstrekt aan een derde ben jij de zogenaamde verwerkingsverantwoordelijke. Dat betekent dat je ervoor moet zorgen dat aan de derde wordt duidelijk gemaakt hoe deze derde met de verstrekte persoonsgegevens dient om te gaan.

    Je moet een verwerkersovereenkomst sluiten waarin onder andere staat wat je met welke gegevens van welke soort betrokkene mag doen, voor hoelang en dat u deze moet beveiligen.

    De verwerkingsverantwoordelijk en de verwerker (in dit geval uw vereniging) kunnen beide een boete krijgen als zij niet voldoen aan de wet.
    Wie de verwerkersovereenkomst opstelt is niet van belang, als er maar een goede overeenkomst wordt gesloten.