Terug naar Nieuwsoverzicht

Edese Golfclub druk met voorbereiding op nieuwe privacyregels

18 mei 2018

Nog maar even en dan treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. “We waren ons ervan bewust dat we hiermee aan de slag moesten”, vertelt Peter Ligtvoet van de Edese Golf Club Papendal.

“Begin maart zijn we gestart. We hebben een actielijst opgesteld en de eerste actie was het informeren van het bestuur over deze nieuwe privacywet.” Het bestuur gaf Ligtvoet als secretaris de verantwoordelijk voor dit dossier. Samen met de twee vaste medewerkers van het secretariaat heeft hij inmiddels stap voor stap de benodigde organisatorische en technische acties in gang gezet om persoonsgegevens te beschermen. In aanloop naar 25 mei 2018 worden deze verder uitgewerkt.

Omgang met persoonsgegevens
De meeste aandacht eiste het goed in kaart brengen van de situatie binnen de vereniging. “Welke persoonsgegevens verzamelen we? Waarvoor doen we dat? En wie heeft toegang tot deze informatie? De antwoorden op deze vragen leg je allemaal vast in een verwerkingsregister. We moeten daarnaast aan kunnen tonen dat we toestemming hebben van onze leden om hun gegevens te verwerken. Sommige zaken moeten we ook nog eens goed onderzoeken. Zo willen we onze historie niet kwijtraken, maar ook daarvoor gelden voorschriften.”

Het maken en publiceren van foto’s en video’s is straks eveneens aan voorschriften gebonden, weet Ligtvoet. “Wij maken bijvoorbeeld tijdens onze jaarlijkse Open Dag foto’s, maar dan heb je straks vaak eerst toestemming nodig van de betrokkenen, zeker bij minderjarigen.” Ook de beveiliging van je IT-systeem vormt een belangrijk onderdeel van de privacywet. De club heeft net een nieuw onderhoudscontract met een softwareleverancier. “Daar maken we beveiligingsafspraken mee die we vastleggen in een verwerkersovereenkomst.”

Modelcontracten
Wat kan de secretaris op basis van zijn ervaringen met dit dossier in de afgelopen maanden andere golfclubs adviseren? “Leg al je stappen goed vast, zodat je kunt aantonen dat je aan je inspanningsverplichting hebt voldaan. Benut vooral de expertise die de NGF heeft. Via de bond heb je bovendien toegang tot andere nuttige informatiebronnen. Ga niet zelf experimenteren! Maak daarom ook zoveel mogelijk gebruik van modelcontracten.”

Deze modelcontracten zijn beschikbaar voor een geheimhoudingsverklaring voor personeel, een privacyverklaring van de club, een toestemmingsverklaring voor leden en een zogenaamde verwerkersovereenkomst tussen vereniging en een partij die vanuit zijn rol inzage heeft in persoonlijke gegevens.

‘Neem het serieus’
Denk als golfclub niet dat dit iets is wat wel weer overwaait, benadrukt Ligtvoet. “Je hebt als vereniging al met heel wat verplichtingen te maken, maar neem ook deze wet serieus. Raak niet in paniek, maar begin als je dat nog niet gedaan hebt. Zorg dat je het proces in gang gezet hebt.” Vragen of verzoeken van leden zijn tot nu toe uitgebleven bij de Edese. "Maar we gaan er wel vanuit dat ze komen. We hebben op 25 mei waarschijnlijk nog niet alles helemaal rond, maar we kunnen dan laten zien wat we gedaan hebben en hoe het bij ons geregeld is.”

Veelgestelde vragen

Reeds in 2012 heeft de NGF onderzoek laten doen of de NGF dient te worden gezien als een verwerker van gegevens die zij van haar Leden ontvangt of dat zij dient te worden gezien als verantwoordelijke in de zin van de Algemene Verordening Persoonsgegevens (AVG). Hieruit is gebleken dat de NGF dient te worden gezien als verantwoordelijke en wel op grond van het volgende. De NGF ontvangt van al haar Leden persoonsgegevens van de bij deze Leden aangesloten golfers. Vervolgens wordt in opdracht van de NGF de NGF-pas aan deze golfers toegestuurd, wordt het Golf.nl Magazine onder de golfers verspreid, is de Golf.nl app middels de NGF toegankelijk voor de golfers en is de NGF de uiteindelijke handicap-autoriteit. De NGF bepaalt dus het doel van de NGF-pas alsmede het doel voor het verwerken van deze gegevens. Dat de persoonsgegevens zijn/worden aangeleverd door de Leden van de NGF doet hier niet aan af. Dit alles betekent dus dat de NGF, naast de club, als (mede) verantwoordelijke dient te worden gezien voor alle persoonsgegevens die zij ontvangt van haar Leden. Op de NGF rust derhalve een verdergaande verantwoordingsplicht als verantwoordelijke dan als verwerker. Dit houdt in dat ook de NGF moet kunnen aantonen dat ze aan de regels van de AVG voldoet. Daarnaast dient ook de NGF aantoonbaar passende technische en organisatorische maatregelen te nemen om het verwerken van persoonsgegevens volgens de AVG te waarborgen. Een verwerkingsovereenkomst tussen het Lid en de NGF is derhalve niet nodig.

In principe geldt dat er officieel toestemming nodig is van leden voor het maken van en plaatsen op een website van foto’s. Foto’s en video’s met een herkenbaar in beeld gebrachte betrokkene zijn namelijk meestal persoonsgegevens. Voor het maken en publiceren ervan heb je daarom vaak toestemming nodig van de betrokkene, zeker als het gaat om een minderjarig persoon. Toestemming ten aanzien van iemand die nog geen 16 jaar oud is, vraag je aan de ouder/voogd. Overigens geldt dat indien iemand toestemming geeft voor het maken van een foto, deze daarmee niet per definitie toestemming geeft voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. In de regel zal je gehoor moeten geven aan een dergelijk verzoek. Is dit bezwaarlijk en wil je als vereniging niet aan een dergelijk bezwaar toegeven, vraag dan om deskundig advies. Ik kan me echter voorstellen dat toestemming vragen aan alle leden een te complexe organisatie is voor de club. Indien de club het uitgangspunt hanteert dat de communicatie rondom personen altijd gepast is en de club adequaat handelt bij bezwaar op geplaatste foto’s, dan zal de club weinig risico lopen. Daarnaast is het goed om ervoor te zorgen dat leden en toeschouwers zijn geïnformeerd over eventuele beeldopnamen. Dat kan bijvoorbeeld via het huisreglement of met behulp van een bordje op het terrein.

Bij sportbonden met individuele leden is het een vereniging in principe toegestaan om aan leden een ledenlijst beschikbaar de stellen. Het is wel aan te bevelen om de ledenvergadering eenmalig te verzoeken om daarmee in algemene zin in te stemmen. Let op! Met de ‘ledenlijst’ bedoelen we niet het integrale ledenbestand/de ledenadministratie waarin zich meer gegevens bevinden (contactgegevens, financiële gegevens etc.). Met ledenlijst bedoelen we slechts een lijst met namen van personen die lid zijn van de vereniging. Online publicatie van de ledenlijst: Sportorganisaties mogen een ledenlijst niet zomaar online beschikbaar stellen aan het publiek. De Autoriteit Persoonsgegevens is van oordeel dat het online publiceren van een ledenlijst slechts is toegestaan op een voor leden afgeschermde webpagina. Als je als sportvereniging mogelijk wilt maken dat sporters elkaar kunnen zoeken in een databank via een door jou aangeboden app of website, zorg dan dat je die informatie uitsluitend aan ingelogde bondsleden beschikbaar stelt.

Privacy en sportvereniging

Privacy en sportvereniging

Privacy en sportvereniging

Privacy en sportvereniging

Privacy en sportvereniging