Inhoud caddie

Is uw club al klaar voor de nieuwe privacywetgeving?

23 november 2017

Golfclubs en -banen hebben net als veel andere organisaties te maken met persoonsgegevens. Op 25 mei 2018 wordt daarvoor Europese wetgeving van kracht. Het is goed om op tijd te starten met de voorbereidingen op de Algemene verordening gegevensbescherming (AVG).

De AVG vervangt de Nederlandse Wet bescherming persoonsgegevens (Wbp). Het doel van de nieuwe privacywetgeving is persoonsgegevens beter te beschermen en die bescherming in de hele EU gelijk te trekken. De verordening sluit beter aan bij de eisen van de huidige, digitale tijd. Burgers krijgen meer zeggenschap over hun data en wat daarmee gebeurt. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen.

Verantwoordingsplicht
De nadruk ligt – meer dan nu het geval is – op de verantwoordelijkheid van organisaties. Uw club heeft onder de nieuwe wet een verantwoordingsplicht. Dat betekent dat u aanspreekbaar bent op de naleving ervan en moet kunnen aantonen dat alle organisatorische en technische inspanningen zijn gedaan om de persoonsgegevens te beschermen. Er geldt daarvoor een documentatieplicht. Zo moet u duidelijk kunnen maken waarom u bepaalde gegevens nodig hebt en waarvoor die gebruikt worden.

Ook golfclubs krijgen meer verplichtingen

Recht op dataportabiliteit
Naast versterking van de bestaande rechten brengt de AVG een aantal aanvullende rechten met zich mee. Uw leden hebben al het recht op inzage en het recht op correctie en verwijdering. Straks kunnen zij daarnaast eisen dat de club de verwijdering doorgeeft aan alle andere partijen die deze gegevens van u hebben gekregen. Ook krijgen leden het recht op dataportabiliteit. Dat betekent dat een club ervoor moet zorgen dat leden hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Strengere eisen aan toestemming
Voor sommige gegevensverwerkingen hebt u reeds toestemming nodig van de betrokkenen. De AVG stelt hier strengere eisen aan. U moet kunnen aantonen dat u geldige toestemming heeft gekregen om persoonsgegevens te verwerken. Het moet verder voor leden net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Privacy by design & privacy by default
Onder de AVG gelden verplichte uitgangspunten als ‘privacy by design’ en ‘privacy by default’. Privacy by design houdt in dat al bij het ontwikkelen van producten en diensten vanaf het begin gezorgd wordt voor goede bescherming van persoonsgegevens. Privacy by default betekent dat de instellingen van een programma, app, website of dienst zodanig zijn dat maximale privacy wordt betracht. Alléén die persoonsgegevens mogen verwerkt worden die noodzakelijk zijn voor het specifieke doel.

Bewerkersovereenkomsten
De verordening stelt meer en hogere eisen aan de inhoud van bewerkersovereenkomsten die u heeft met externe dienstverleners die persoonsgegevens voor u verwerken. Dit heeft mogelijk voor veel van uw huidige bewerkersovereenkomsten tot gevolg dat ze moeten worden herzien of zelfs geheel vervangen.

Voorbereid in 10 stappen
Als club kunt u nu alvast actie ondernemen om straks klaar te zijn voor de AVG. Om u hierbij te helpen, heeft de Autoriteit Persoonsgegevens (AP) de 10 belangrijkste stappen voor u op een rijtje gezet. Meer informatie over de AVG vindt u op www.autoriteitpersoonsgegevens.nl.