Nederlandse Bowling Federatie
 
Bowlen.nl  
  Home » Voor leden » Verenigingsondersteuning » de privacyverklaring Nederlandse Bowling Federatie Nederlandse Bowling Federatie YouTube LinkedIn Facebook Twitter Instagram Mobiele App
 
Privacy & sportvereniging: de privacyverklaring
 
Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten Algemene Verordening Gegevensbescherming (AVG). In deze reeks van artikelen gaan we in op de belangrijkste verplichtingen voor sportverenigingen. Ditmaal behandelen we twee onderwerpen: de privacyverklaring en het vragen van toestemming.
 
I: De privacyverklaring
 
Waarom een privacyverklaring?
Als vereniging ben je verplicht om betrokkenen te informeren over de manier waarop je omgaat met hun persoonsgegevens. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging, die - als het goed is - zijn vastgelegd in het verwerkingsregister van de vereniging. Een paar voorbeelden van doelgroepen die je zoal moet informeren:
  • leden (over verwerkingen in verband met het lidmaatschap);
  • websitebezoekers (bijvoorbeeld over de wijze waarop je hun surfgedrag bijhoudt);
  • deelnemers aan toertochten, wedstrijden e.d.;
  • sporttalent (bijvoorbeeld over de wijze waarop de vereniging hen monitort).
Wat neem je op in de privacyverklaring?
In de privacyverklaring moet onder meer de volgende informatie worden opgenomen:
  • de doeleinden waarvoor de vereniging persoonsgegevens verwerkt;
  • hoe lang persoonsgegevens worden bewaard (of de criteria die de vereniging hanteert voor het vaststellen van de bewaartermijn);
  • aan welke (categorieën) derden persoonsgegevens eventueel worden doorgegeven;
  • de vermelding dat de betrokkene een gegeven toestemming voor een verwerking op ieder moment mag intrekken; en
  • de vermelding dat de betrokkene een verzoek kan indienen tot inzage, correctie, verwijdering van persoonsgegevens, en het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
 
Verkrijg je de persoonsgegevens via een derde in plaats van rechtstreeks via de betrokkene, dan moet je tevens meedelen van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft.
 
Tip: wees duidelijk
Niemand is geholpen met een vage bewoording dat de vereniging "bepaalde informatie" "mogelijk" voor "kwaliteitsdoeleinden" gebruikt. Het lijkt aantrekkelijk om veel ruimte te creëren voor allerlei vormen van gebruik, maar uiteindelijk wekken dit soort woorden vooral argwaan en leiden ze tot onduidelijkheid.
 
In de AVG-tool vind je een standaard privacybeleid op basis waarop je het beleid van je vereniging kunt baseren. 
 
Hoe stel je de privacyverklaring beschikbaar?
Je informeert de betrokkene in principe voorafgaand aan het vastleggen van zijn of haar persoonsgegevens. We bespreken hier twee veelvoorkomende situaties.
 
Voorbeeld 1: inschrijving als lid/deelnemer
Schrijft iemand zich online in als verenigingslid of als deelnemer aan een wedstrijd/evenement, verwijs dan duidelijk op het formulier naar de privacyverklaring met een hyperlink. Bijvoorbeeld: "Onze vereniging verwerkt uw persoonsgegevens conform de privacyverklaring". Schrijft iemand zich ter plaatse in (dus niet online), verwijs dan op het papier naar de privacyverklaring en leg deze klaar voor eventuele raadpleging.
 
Voorbeeld 2: de website
Bezoekers van een website kun je eenvoudig informeren door het plaatsen van een link naar de privacyverklaring onderaan elke sub-pagina van de website. Vraag bezoekers (voor bepaalde delen) om zich te registreren met een account, verwijs dan nogmaals uitdrukkelijk naar de privacyverklaring (zie voorbeeld 1).
Let op: voor het verstrekken van informatie over de plaatsing van cookies gelden aparte regels. Deze regels worden niet in dit artikel besproken.
 
Kan de vereniging verwijzen naar één algemene privacyverklaring?
Ja, maar let er op dat de privacyverklaring een zorgvuldige toelichting geeft voor alle verwerkingen waarop de verklaring betrekking heeft. Ter illustratie: gebruik je op de website één privacyverklaring voor zowel websitebezoekers als leden, dan kun je niet volstaan met informatie die slechts betrekking heeft op het gebruik van de website.
 
II: Toestemming
 
Wanneer is toestemming nodig voor een verwerking van persoonsgegevens?
Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Eén van deze gevallen is dat de betrokkene uitdrukkelijk toestemming geeft. Toestemming is echter niet nodig voor iedere verwerking. Denk bijvoorbeeld aan verwerkingen die noodzakelijk zijn om als vereniging uitvoering te geven aan de lidmaatschapsovereenkomst met leden.
 
Het is lastig om een algemeen antwoord te geven op de vraag of toestemming nodig is voor een verwerking. Om je op weg te helpen, volgen hierna enkele voorbeelden waarvoor een sportvereniging doorgaans toestemming nodig heeft:
  • de verzending van reclame per e-mail aan leden door verenigingssponsoren;
  • het analyseren van iemands online gedrag (bijvoorbeeld door het gebruik van cookies of locatiegegevens);
  • de plaatsing van foto’s van jeugdspelers op een publiek toegankelijke website; en
  • het gebruik van gezondheidsgegevens (denk bijvoorbeeld aan apps en wearables die een hartslag meten).
 
Waar moet je op letten bij het gebruik van toestemming?
Verwerkt de vereniging persoonsgegevens op basis van toestemming, houd dan altijd rekening met het volgende:
  • Stilzwijgende toestemming is niet voldoende. Vermijd dus bijvoorbeeld een checkbox die automatisch is aangevinkt. Je hebt een actieve instemming nodig van de betrokkene.
  • Toestemming is slechts geldig als deze uit vrije wil door de betrokkene is gegeven. Heeft de betrokkene dus feitelijk geen keus, dan is van geldige toestemming geen sprake.
  • Toestemming voor de verwerking van gegevens van een persoon die nog geen 16 jaar oud is, vraag je aan de ouder/voogd.
  • Leg een verkregen toestemming vast. De vereniging moet achteraf kunnen aantonen dat een zekere toestemming daadwerkelijk is verleend.
  • Een betrokkene heeft het recht om een gegeven toestemming op ieder moment in te trekken.
 
Stappenplan voor sportclubs
In samenwerking met NOC*NSF en stichting AVG hebben we een AVG-tool ontwikkeld voor sportclubs. Met deze tool worden verenigingen ondersteund in alle te doorlopen stappen om te kunnen voldoen aan de vanaf mei 2018 geldende regels voor privacy. NBF-verenigingen kunnen een gratis vouchercode aanvragen die toegang geeft tot de tool. Lees meer

 
In de volgende, laatste editie gaan we dieper in op marketing en online publicaties
 
Dit artikel is opgesteld door juristen van CMS in samenwerking met NOC*NSF.