Privacywetgeving: de AVG voor golfclubs
De AVG heeft de Nederlandse Wet bescherming persoonsgegevens (Wbp) vervangen. Het doel van de nieuwe privacywetgeving is persoonsgegevens beter te beschermen en die bescherming in de hele EU gelijk te trekken. De verordening sluit beter aan bij de eisen van de huidige, digitale tijd. Burgers krijgen meer zeggenschap over hun data en wat daarmee gebeurt. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen.
Privacy: wat is dat?
Het recht op privacy kun je eenvoudig omschrijven als iemands recht om met rust te worden gelaten. Dit betekent ook dat je niet zomaar iemands persoonlijke informatie mag gebruiken. Dit laatste noemen we het recht op de bescherming van persoonsgegevens.
Sportverenigingen zijn wettelijk verplicht tot het beschermen van de persoonsgegevens van leden, vrijwilligers en alle andere personen van wie zij persoonsgegevens verwerken. Privacywetgeving stelt daarvoor een aantal concrete regels. Om te begrijpen hoe je die regels naleeft, is het handig om enkele basisbegrippen te kennen. De belangrijkste begrippen lichten we hier toe.
Wat zijn persoonsgegevens?
Een persoonsgegeven is ieder gegeven over een levende en identificeerbare persoon. Het gaat dus om álle informatie over een persoon. Het maakt daarbij niet uit of informatie ‘privé’, publiek bekend, oud of nieuw, relevant of juist volstrekt onbelangrijk is. Een paar voorbeelden van persoonsgegevens zijn: voor- en achternaam, woonplaats en adres, telefoonnummer, lidmaatschapsnummer, leeftijd, lichaamslengte, dieet, geslacht, seksuele voorkeur, e-mailadres en de herkenbare afbeelding in een foto of video.
Ook gegevens over iemands gedrag en voorspellingen daarvan kunnen persoonsgegevens zijn. Denk bijvoorbeeld aan iemands locatiegegevens of een analyse van iemands fysieke inspanning via populaire wearables en apps. Zulke gegevens zijn privacygevoelig.
Bij de invoer van nieuwe leden en gegevenswijzigingen van bestaande leden worden soms verkeerde data doorgegeven. Clubs hebben de verantwoordelijkheid om de juiste persoonsgegevens te verwerken. Dit zijn de meest voorkomende fouten bij het invoeren van persoonsgegevens:
- De geboortedatum is niet juist ingevoerd. Clubs zetten soms een standaard waarde neer, namelijk: 1-1-1900.
- Het veld voor de 'voornaam' wordt niet gebruikt voor de naam maar voor voorletters.
- De e-mailadressen van de golfers worden voorzien van de e-mailadressen van de golfclub zelf in plaats van de betrokkenen, het moet een persoonlijke e-mailadres zijn.
- De woonplaatsen worden niet goed geschreven, afgekort of zijn niet volledig. Softwareleveranciers hebben de mogelijkheid een koppeling te maken met een postcode-tool, waardoor straatnamen en woonplaatsen altijd goed geschreven worden.
- Bestaande leden worden gekopieerd en overschreven met nieuwe lidmaatschapsgegevens; soms worden dan niet alle gegevens aangepast, waardoor leden met verkeerde adresgegevens (bijvoorbeeld van een ander persoon) worden geregistreerd.
- De spaties bij naam en voorletters zijn niet correct.
Overgang
Toen de Algemene Verordening Gegevensbescherming (AVG) in 2018 in werking trad, hebben NOC*NSF en sportbonden zoals de NGF afspraken gemaakt met de Stichting AVG en een stappenplan ontwikkeld. Dit ‘Stappenplan AVG voor sportclubs’ legde uit welke acties golfclubs, -banen, -professionals en greenkeepers in 2018 moesten ondernemen om te voldoen aan de AVG, bijvoorbeeld op het vlak van bijvoorbeeld ICT, interne procedures en contracten.
Na het doorlopen van het stappenplan kon men een AVG-verklaring aanvragen bij Stichting AVG. Dit was een 'zelf-verklaring': je verklaart hiermee dat jouw vereniging het stappenplan heeft doorlopen en acties heeft ondernomen. Stichting AVG bekeek alleen of het stappenplan was ingevuld. Zij deed geen inhoudelijk onderzoek of de stappen juist waren gevolgd. De vereniging is zelf verantwoordelijk om aan de AVG te voldoen en om hieraan te blijven voldoen.
Verantwoordingsplicht
De nadruk ligt sinds 2018 – meer dan vroeger – op de verantwoordelijkheid van organisaties. Je golfclub heeft onder de nieuwe wet een verantwoordingsplicht. Dat betekent dat je aanspreekbaar bent op de naleving van de AVG en moet kunnen aantonen dat alle organisatorische en technische inspanningen zijn gedaan om persoonsgegevens te beschermen. Er geldt daarvoor een documentatieplicht. Zo moet je duidelijk kunnen maken waarom je bepaalde gegevens nodig hebt en waarvoor die gebruikt worden.
Privacy by design & privacy by default
Onder de AVG gelden verplichte uitgangspunten als ‘privacy by design’ en ‘privacy by default’. Privacy by design houdt in dat al bij het ontwikkelen van producten en diensten vanaf het begin gezorgd wordt voor goede bescherming van persoonsgegevens. Privacy by default betekent dat de instellingen van een programma, app, website of dienst zodanig zijn dat maximale privacy wordt betracht. Alléén die persoonsgegevens mogen verwerkt worden die noodzakelijk zijn voor het specifieke doel.
Bewerkersovereenkomsten
De verordening stelt eisen aan de inhoud van bewerkersovereenkomsten die je hebt met externe dienstverleners die persoonsgegevens voor je verwerken.
Modelcontracten
De volgende modelcontracten zijn beschikbaar: een geheimhoudingsverklaring voor personeel, een privacyverklaring van de club, een toestemmingsverklaring voor leden en een zogenaamde verwerkersovereenkomst tussen vereniging en een partij die vanuit zijn rol inzage heeft in persoonlijke gegevens.
Meer informatie over de AVG
Hieronder vind je een lijst met antwoorden op veelgestelde vragen en informatie die verstrekt is toen de AVG in 2018 in werking trad. Voor actuele informatie over de AVG, ga naar autoriteitpersoonsgegevens.nl.
Veelgestelde vragen
Dient er een verwerkersovereenkomst tussen de golfclub en de NGF te worden gesloten?
Al in 2012 heeft de NGF onderzoek laten doen of de NGF dient te worden gezien als een verwerker van gegevens die zij van haar Leden ontvangt of dat zij dient te worden gezien als verantwoordelijke in de zin van de Algemene Verordening Persoonsgegevens (AVG). Hieruit is gebleken dat de NGF dient te worden gezien als verantwoordelijke en wel op grond van het volgende. De NGF ontvangt van al haar Leden persoonsgegevens van de bij deze Leden aangesloten golfers. Vervolgens wordt in opdracht van de NGF de (digitale) NGF-pas aan deze golfers toegestuurd, wordt het magazine GOLF.NL onder de golfers verspreid, is de app GOLF.NL middels de NGF toegankelijk voor golfers en is de NGF de uiteindelijke handicapautoriteit. De NGF bepaalt dus het doel van de NGF-pas alsmede het doel voor het verwerken van deze gegevens. Dat de persoonsgegevens zijn/worden aangeleverd door de Leden van de NGF doet hier niet aan af. Dit alles betekent dus dat de NGF, naast de club, als (mede) verantwoordelijke dient te worden gezien voor alle persoonsgegevens die zij ontvangt van haar Leden. Op de NGF rust derhalve een verdergaande verantwoordingsplicht als verantwoordelijke dan als verwerker. Dit houdt in dat ook de NGF moet kunnen aantonen dat ze aan de regels van de AVG voldoet. Daarnaast dient ook de NGF aantoonbaar passende technische en organisatorische maatregelen te nemen om het verwerken van persoonsgegevens volgens de AVG te waarborgen. Een verwerkingsovereenkomst tussen het Lid en de NGF is derhalve niet nodig.
Zorgt de NGF voor een verwerkersovereenkomst tussen haar en TDS?
De NGF heeft een verwerkersovereenkomst gesloten met alle externe partijen die in opdracht van de NGF persoonsgegevens verwerken.
Moet er expliciet toestemming worden gevraagd voor het maken en plaatsen van foto’s van leden voor op de website?
In principe geldt dat er officieel toestemming nodig is van leden voor het maken van en plaatsen op een website van foto’s. Foto’s en video’s met een herkenbaar in beeld gebrachte betrokkene zijn namelijk meestal persoonsgegevens. Voor het maken en publiceren ervan heb je daarom vaak toestemming nodig van de betrokkene, zeker als het gaat om een minderjarig persoon. Toestemming ten aanzien van iemand die nog geen 16 jaar oud is, vraag je aan de ouder/voogd. Overigens geldt dat indien iemand toestemming geeft voor het maken van een foto, deze daarmee niet per definitie toestemming geeft voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. In de regel zal je gehoor moeten geven aan een dergelijk verzoek. Is dit bezwaarlijk en wil je als vereniging niet aan een dergelijk bezwaar toegeven, vraag dan om deskundig advies. We kunnen ons echter voorstellen dat toestemming vragen aan alle leden een te complexe organisatie is voor de club. Indien de club het uitgangspunt hanteert dat de communicatie rondom personen altijd gepast is en de club adequaat handelt bij bezwaar op geplaatste foto’s, dan zal de club weinig risico lopen. Daarnaast is het goed om ervoor te zorgen dat leden en toeschouwers zijn geïnformeerd over eventuele beeldopnamen. Dat kan bijvoorbeeld via het huisreglement of met behulp van een bordje op het terrein.
Wat zijn de bewaartermijnen van ledengegevens?
Tot 2 jaar na einde lidmaatschap, daarna kunnen de daarvoor noodzakelijke persoonsgegevens in het oud-ledenarchief worden opgenomen.
Mogen ledenlijsten beschikbaar worden gesteld aan leden?
Bij sportbonden met individuele leden is het een vereniging in principe toegestaan om aan leden een ledenlijst beschikbaar te stellen. Het is wel aan te bevelen om de ledenvergadering eenmalig te verzoeken om daarmee in algemene zin in te stemmen. Let op! Met de ‘ledenlijst’ bedoelen we niet het integrale ledenbestand/de ledenadministratie waarin zich meer gegevens bevinden (contactgegevens, financiële gegevens etc.). Met ledenlijst bedoelen we slechts een lijst met namen van personen die lid zijn van de vereniging.
Sportorganisaties mogen een ledenlijst niet zomaar online beschikbaar stellen aan het publiek. De Autoriteit Persoonsgegevens is van oordeel dat het online publiceren van een ledenlijst slechts is toegestaan op een webpagina die alleen voor leden toegankelijk is. Als je als sportvereniging mogelijk wilt maken dat sporters elkaar kunnen zoeken in een databank via een door jou aangeboden app of website, zorg dan dat je die informatie uitsluitend aan ingelogde bondsleden beschikbaar stelt.