Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten Algemene Verordening Gegevensbescherming (AVG). In deze reeks van artikelen gaan we in op de belangrijkste verplichtingen voor sportverenigingen. In het eerste artikel gaven we uitleg over de belangrijkste basisbegrippen. Ditmaal behandelen we het zogeheten “verwerkingsregister”
Overzicht krijgen met het verwerkingsregister
Sportverenigingen zijn zelfstandig verplicht zorgvuldig om te gaan met persoonsgegevens. De wet stelt daarvoor een aantal concrete eisen. Om te achterhalen welke gevolgen dit heeft voor jouw vereniging, moet je eerst grondig vaststellen hoe de vereniging persoonsgegevens zoal gebruikt. Deze informatie leg je vast in een verwerkingsregister (hierna: “register”). Het bijhouden van een register is vanaf 25 mei 2018 wettelijk verplicht.
Wat is het nut van een register?
Een register komt van pas bij het stapsgewijs controleren van het privacybeleid binnen de vereniging. Zo kun je met het register bijvoorbeeld per verwerking nagaan of een gebruik van persoonsgegevens wel of niet is toegestaan en of de gebruikte gegevens niet te lang worden bewaard.
Welke informatie neem je op in het register?
Het register is een schematisch overzicht met essentiële informatie over de verwerkingen van persoonsgegevens binnen de vereniging. Het register geeft minimaal antwoord op de volgende vragen:
- Wat zijn de verschillende doeleinden waarvoor de vereniging persoonsgegevens verwerkt?
- Om welke persoonsgegevens gaat het?
- Op welke categorie personen hebben de gegevens betrekking (wie zijn de betrokkenen)?
- Hoe lang worden de betreffende persoonsgegevens bewaard?
- Verstrekt de vereniging persoonsgegevens aan derden, wie zijn dit en wat is het doel daarvan?
- Wat zijn in algemene bewoordingen de getroffen beveiligingsmaatregelen ter bescherming van de betrokken persoonsgegevens?
- Worden er persoonsgegevens doorgegeven aan of opgeslagen in landen buiten de Europese Economische Ruimte en/of internationale organisaties en, zo ja, welke landen en/of organisaties zijn dit?
Het is aanbevolen per verwerkingsdoel ook de volgende informatie op te nemen:
- Wie zijn binnen de vereniging belast met deze verwerking?
- Welke IT-systemen worden gebruikt bij deze verwerking?
- Hoe zijn betrokkenen geïnformeerd over deze verwerking?
Een onderdeel van het register kan er bijvoorbeeld als volgt uitzien:
Dit schema dient slechts ter illustratie; een uitgebreider schema kan in de praktijk nodig zijn.
We lichten hierna met twee voorbeelden toe hoe het register kan ondersteunen bij het controleren of de vereniging voldoet aan de privacyregels.
Toepassing van het register (1): is het doel van de verwerking rechtmatig?
Persoonsgegevens mogen enkel worden verwerkt indien daarvoor een geldige “grondslag” bestaat. Een sportvereniging moet een verwerking in de praktijk meestal kunnen baseren op minimaal één van onderstaande gronden:
- de verwerking is noodzakelijk voor de uitvoering of de totstandkoming van een overeenkomst met de betrokkene (voorbeeld: het opnemen van een nieuw lid in de ledenadministratie);
- de verwerking is noodzakelijk voor de naleving van een wettelijke plicht (voorbeeld: de algemene fiscale bewaarplicht van zeven jaren);
- de betrokkene geeft toestemming voor de verwerking (voorbeeld: het plaatsen van foto’s van jeugdspelers op sociale media); of
- de verwerking is noodzakelijk vanwege een gerechtvaardigd belang van de vereniging of van een derde partij (voorbeeld: het versturen van nieuwsbrieven aan leden door de vereniging).
Zijn alle toepasselijke grondslagen eenmaal opgenomen in het register, dan kan per verwerking worden vastgesteld of deze grondslag toereikend is of niet. Ontbreekt een geldige grondslag, dan weet je dat de verwerking moet worden gestaakt.
Toepassing van het register (2): wordt een juiste bewaartermijn toegepast?
Persoonsgegevens mogen in principe niet langer worden bewaard dan noodzakelijk is voor het beoogde doel, tenzij de wet bepaalt dat zij voor langere tijd moeten worden opgeslagen. Hoe lang je persoonsgegevens bewaart, varieert in de praktijk nogal. Een structureel overzicht is daarom noodzakelijk. Een register helpt bij het aanbrengen van die structuur.
Voorbeeld bewaartermijn
Persoonsgegevens van een uitgetreden lid bewaar je in principe niet langer dan twee jaren na het einde van het lidmaatschap. Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaren. Overleg dus met de penningmeester binnen de vereniging welke gegevens daaronder vallen. Sommige informatie zal je wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre je de gegevens kunt anonimiseren.
Stappenplan voor sportclubs
In samenwerking met NOC*NSF en stichting AVG hebben we een AVG-tool ontwikkeld voor sportclubs. Met deze tool worden verenigingen ondersteund in alle te doorlopen stappen om te kunnen voldoen aan de vanaf mei 2018 geldende regels voor privacy. NOB-verenigingen kunnen (tot februari 2019) een gratis vouchercode aanvragen die toegang geeft tot de tool. Lees meer.
In het volgende artikel gaan we in op de beveiliging van persoonsgegevens.
Dit artikel is opgesteld door juristen van CMS in samenwerking met NOC*NSF.