Veelgestelde vragen over de nieuwe privacywet (de AVG)

Sinds 25 mei 2018 gelden er strengere regels op het gebied van privacy. De Wet bescherming persoonsgegevens (Wbp) is toen vervangen door de Algemene Verordening Gegevensbescherming (AVG). Deze AVG geldt voor de hele Europese Unie en heeft gevolgen voor iedere organisatie die persoonsgegevens verwerkt. Dus ook voor alle hockeyverenigingen van de KNHB in Nederland. Om tijdig aan de nieuwe regelgeving te voldoen, moest elke vereniging stappen ondernemen.

Strengere regels

Over het algemeen zijn de privacyregels onder de AVG strenger dan de Wbp. Zo gelden er voor het vragen van toestemming strengere voorwaarden en moet je als organisatie de betrokkene meer informatie verstrekken dan voorheen. De nieuwe regels brengen nieuwe verantwoordelijkheden met zich mee. Elke vereniging moet in kaart brengen hoe zij omgaat met persoonsgegevens. Het gaat daarbij om vragen als: welke gegevens worden verwerkt, wat gebeurt er met die gegevens en wat doet de vereniging om ze te beschermen?

De Autoriteit Persoonsgegevens (AP) treedt binnen Nederland op als privacytoezichthouder. En ja, de AP is daarbij ook bevoegd om boetes uit te delen als organisaties de AVG overtreden. Dit geldt dus ook voor verenigingen.

Volgens de regels kan de AP een boete opleggen van maximaal 20 miljoen euro. In welke vorm er controles uitgevoerd worden is niet bekend. Naleving van de privacywetgeving staat wel hoog op de agenda. Doe je er het maximale aan om aan de AVG te voldoen en privacy te waarborgen, dan is de kans niet groot dat je als vereniging een boete krijgt.

NOC*NSF ontwikkelde in samenwerking met Stichting AVG en in overleg met verschillende sportbonden een online tool (de AVG-tool) die sportverenigingen helpt om de juiste stappen te ondernemen op het vlak van bijvoorbeeld ICT, interne procedures en contracten. Het AVG-programma is opgebouwd als een stappenplan en leidt je stapsgewijs door de (vaak lastige) materie. Je houdt overzicht en je vergeet niets.

Het is een online programma dat je uit kunt voeren wanneer je wilt en tussentijds kun je alles opslaan en een volgende keer verder gaan. Bij alle stappen is er uitleg in tekst, maar zijn er ook instructievideo’s en voorbeelddocumenten.

AVG-verklaring

Heb je alle stappen doorlopen? Dan kun je de AVG-verklaring downloaden die de stichting afgeeft. De verklaring geeft aan dat je alle stappen hebt doorlopen en geeft een samenvatting van de door jou ingevulde antwoorden. De AVG-verklaring is dus een vastlegging van hoe de AVG geregeld is in jouw vereniging. Met deze AVG-verklaring laat je zien dat je bewijsbaar alle inspanningen hebt verricht om te voldoen aan de wet. Maar let op: het stappenplan biedt geen garantie dat je na het doorlopen ervan voldoet aan de AVG.

Toegang aanvragen tot de AVG-tool kon tot en met 28 februari 2019. Aanvragen van de toegang tot de tool is helaas dus niet meer mogelijk. Afhankelijk van het moment waarop je de voucher hebt aangevraagd, was het programma tot uiterlijk 10 december 2019 beschikbaar. Wil je gebruik blijven maken van de AVG-tool, dan kun je als vereniging zelf een abonnement afsluiten. Om de kosten hiervoor zo laag mogelijk te houden, is hierover een afspraak gemaakt met de Stichting AVG voor Verenigingen. Voor een bedrag van €5,- (exclusief btw) per maand kun je je vereniging AVG-proof houden. Dit bedrag is inclusief gratis gebruik van een juridische helpdesk bij vragen. Op deze website staat meer informatie en kun je het abonnement afsluiten.

Afhankelijk van het moment waarop je de vouchercode hebt aangevraagd, had je hiermee tot uiterlijk 10 december 2019 toegang tot de AVG-tool.

De Autoriteit Persoonsgegevens heeft aangegeven dat het van de omstandigheden afhangt of foto’s en video's bijzondere persoonsgegevens zijn. Bij de beoordeling van individuele gevallen rondom ‘verwerking van gevoelige persoonsgegevens’ wordt bekeken in hoeverre er sprake is van zorgvuldigheid en proportionaliteit. In de praktijk betekent dit dat verenigingen er goed aan doen om bij het plaatsen van foto’s en video's altijd af te wegen of het bericht gepast is. Volgens onze privacy-expert heeft een vereniging een gerechtvaardigd belang om foto’s en video's van kampioenschappen en wedstrijdbeelden te publiceren.

Als iemand vervolgens bezwaar maakt tegen deze publicatie, is het verstandig daar correct naar te handelen en op verzoek het bericht te verwijderen.

Verenigingen moeten hun leden wel informeren. Dit kan via een privacyverklaring op de site. Bezoekers kunnen worden geïnformeerd door een bordje bij de ingang te plaatsen waarop wordt aangegeven dat er beelden (video's en foto's) kunnen worden gemaakt.

Hoe zit het met minderjarigen?

Hoe jonger een persoon is, hoe zwaarder zijn of haar privacy zal wegen bij de belangenafweging. Kinderfoto’s of -video's zijn zelden nieuwswaardig, dus daar zul je eerder moeten blurren, weglaten of bijsnijden. Bij kinderen uit de LG hockey teams is nog meer voorzichtigheid geboden.

Bezwaar voorkomen?

Wil je voorkomen dat er iemand bezwaar maakt tegen publicatie van beeldmateriaal dan zul je vooraf aan iedereen toestemming moeten vragen.

Wat betreft nieuwe leden kan dat bij de aanmelding (toestemming vragen in een separaat formulier). Voor minderjarigen (iedereen jonger dan 16 jaar) geldt dat de ouders het toestemmingsformulier moeten ondertekenen.

Mbt bestaande leden is het raadzaam de grondslag toestemming verder zo veel mogelijk te vermijden en de grondslag gerechtvaardigd belang te gebruiken. Het is goed dat belang te laten bevestigen door de algemene ledenvergadering en dit hoogste orgaan van de vereniging een besluit te laten nemen over het privacybeleid van de vereniging. Je kunt dit ook nog borgen in het huishoudelijk reglement.

Om persoonsgegevens van de leden van jouw vereniging te beschermen tegen verlies of diefstal moet je back-ups maken. Veilige back-ups, uiteraard. Een paar tips:

-      Zorg dat je regelmatig back-ups maakt

-      De meeste digtale systemen maken op gezette tijden automatisch een back-up, maar dat geldt niet voor allemaal. Controleer dus of de door jullie gebruikte systemen dit wel of niet doen, en of de back-ups veilig worden bewaard

-      Test regelmatig of het werkt en beveilig back-ups altijd met een wachtwoord

-      Gebruik veilige back-ups. Een usb-stick kan makkelijk gestolen of gekopieerd worden en geldt dus niet als veilige back-up. Een externe harde schijf is een betere keuze, mits je deze na iedere back-up loskoppelt van je computer en achter slot en grendel bewaart. Het loskoppelen van een externe harde schijf zorgt er tevens voor dat de gegevens zijn beschermd tegen ransomware. Ransomware (‘gijzelsoftware’) is een soort chantagemiddel op internet dat je computer (of de gegevens die erop staan) blokkeert en geld vraagt om de computer weer te ‘bevrijden’. Door te zorgen voor een veilige back-up bescherm je de gegevens hiertegen

-      Ook papieren documenten met persoonsgegevens moeten achter slot en grendel worden bewaard. Je kunt kiezen voor een sluitend sleutelbeheer met geautoriseerde personen en geheimhoudingsverklaringen

Onder de AVG gelden dezelfde regels omtrent de bewaartermijn als voorheen. Het uitgangspunt blijft dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van de verwerking, en dat persoonsgegevens zowel digitaal (bijv. in Excel) als fysiek (bijv. het aanmeldingsformulier) vernietigd moeten worden. Bij fysieke documenten geldt daarbij dat alleen verscheuren en weggooien is niet voldoende is, maar je de papieren moet versnipperen.

Met uitzondering van financiële gegevens (die je zeven jaar moet bewaren), is op dit moment nog niet duidelijk hoe lang je persoonsgegevens mag of moet bewaren. De Stichting AVG volgt de ontwikkelingen op de voet en zodra er meer bekend is, informeren zij de gebruikers van de AVG-tool hierover. Het advies voor nu luidt om zelf de bewaartermijn van persoonsgegevens te bepalen en als dit niet mogelijk is, in ieder geval de criteria voor het vaststellen van de bewaartermijn vast te leggen. De vastgestelde bewaartermijnen en/of criteria neem je vervolgens op in de privacyverklaring.

De veiligheid van je verenigingswebsite is ook van groot belang. Maar hoe weet je of deze veilig is? Je kunt dit zelf controleren via www.internet.nl. Dit is een initiatief van de Internetgemeenschap en de Nederlandse Overheid. Voer op deze site de url van je verenigingswebsite in en je krijgt onmiddellijk een analyse van de sterke en zwakke punten van de toegangsbeveiliging. Zo kun je eenvoudig checken of de internetverbinding, e-mail en website wel voldoen aan moderne internetstandaarden.

Verplicht voor verenigingen: https in de url

Let op! Als je persoonsgegevens verzamelt via de website, moet je in ieder geval https gebruiken. Dit is al het geval als je een (contact)formulier op de site gebruikt of een optie aanbiedt voor nieuwsbrief-aanmeldingen. Https (beveiliging) voorkomt dat onbevoegde derden mee kunnen lezen met het verkeer naar de website.

Ja, jouw vereniging mag jouw gegevens (zoals je naam, adres en woonplaats) doorgeven aan bepaalde mensen binnen de vereniging. Dit is nodig om de vereniging draaiende te houden. De penningmeester bijvoorbeeld heeft jouw gegevens nodig om de contributie te innen.

Jouw vereniging mag de ledenlijst niet zomaar verstrekken aan alle leden. Dit mag alleen als er een zogeheten gerechtvaardigd belang voor is. Bijvoorbeeld als het noodzakelijk is dat teamleden met elkaar kunnen afspreken om te gaan sporten.

Verstrekt jouw vereniging jouw gegevens aan andere leden? Dan moet de vereniging je daarover informeren.

Ja, dat mag. Maar jouw vereniging moet jou wel daarover informeren. Bijvoorbeeld via de website of het clubblad.

Bovendien moet jouw vereniging je een redelijke tijd de kans geven om verzet aan te tekenen.

Zodra je verzet aantekent, moet jouw vereniging direct stoppen met het doorgeven van jouw gegevens.

Je hoeft niet te zeggen waarom je verzet aantekent. Jouw vereniging mag geen vergoeding vragen om jouw verzoek in behandeling te nemen.

Nee, dat mag niet. Ook niet op een afgeschermd deel van de website van de vereniging dat alleen voor leden toegankelijk is.

Het is niet nodig dat alle leden van de vereniging weten dat iemand zijn of haar contributie niet heeft betaald. De vereniging kan op andere manieren de openstaande contributie innen, die minder ingrijpend zijn voor de privacy van deze persoon. Bijvoorbeeld via een incassobureau.

Een verwijzing in het huishoudelijk reglement is niet verplicht, maar zeker een goede plaats om de leden op de privacyverklaring te wijzen. Opname in de statuten ligt minder voor de hand omdat deze bij notaris gewijzigd moeten worden.
Het gaat er om dat je betrokkenen op eigen initiatief informeert over wat er met hun gegevens gebeurt en wat hun rechten zijn. Dat doe je door de privacyverklaring bijvoorbeeld op de website te zetten. In verschillende uitingen verwijs je vervolgens naar deze privacyverklaring. Denk naast het huishoudelijk reglement aan een vaste tekst onderaan e-mails, op inschrijvingsformulieren en andere uitingen.

Voorbeeldtekst voor in huishoudelijk reglement:

"Het bestuur houdt een register bij waarin de namen, adressen en geboortedata, geslacht alsmede (indien mogelijk) een telefoonnummer en persoonlijk e-mailadres van de leden zijn opgenomen. In het register worden alleen die gegevens bijgehouden die voor het realiseren van het doel van de vereniging noodzakelijk zijn. Het bestuur kan na een voorafgaand besluit van de algemene vergadering geregistreerde gegevens aan derden verstrekken, waaronder sponsors, behalve van het lid dat tegen deze verstrekking bij het bestuur schriftelijk bezwaar heeft gemaakt. Doorgifte van de gegevens zonder een besluit van de algemene vergadering en zonder het recht op bezwaar gebeurt voor de noodzakelijk door de vereniging aan derden te verstrekken gegevens, waaronder aan de bond, en aan overheden of instellingen, onder andere in verband met te verkrijgen subsidies. Gegevens worden niet langer bewaard dan noodzakelijk gelet op het doel of een bestaande wettelijke verplichting."

Alle mensen van wie je persoonsgegevens opslaat moet je daarover goed informeren. Dit doe je in de privacyverklaring. Een privacyverklaring wordt ook weleens privacy policy of privacybeleid genoemd. Hierin vermeld je onder andere:

-      het doel waarvoor je de gegevens opslaat

-      hoe lang de gegevens worden bewaard

-      de manier waarop je met die persoonsgegevens omgaat (worden ze bijvoorbeeld gedeeld met derden en zo ja; hoe en waarom?)

-      en wat hun rechten zijn.

Ja, om aan de AVG wet te voldoen moet iedere organisatie die ledengegevens verwerkt een privacyverklaring (privacy policy, privacybeleid) hebben. Dat geldt dus ook voor alle sportverenigingen.

Stichting AVG heeft een privacy policy (andere benaming voor privacyverklaring) geschreven die alle deelnemers voor de eigen vereniging kunnen gebruiken als basis. Dit voorbeeld vind je in de AVG-tool. (Heeft jouw vereniging nog geen toegang tot de AVG-tool? Vraag die dan alsnog aan!)

De privacy policy van je vereniging moet in ieder geval goed vindbaar zijn. Je website is daarvoor het meest geschikt. Zorg dat de privacy policy een vaste plek in de website krijgt, bijvoorbeeld in de footer. De footer is een goede plek omdat die vanaf alle pagina's op de website bereikbaar is. Het is aan te bevelen om daarnaast ook vanuit documenten, brieven, e-mails en andere correspondentie met leden naar de privacy policy op de website te verwijzen.

In de privacy moet je in ieder geval vermelden:

-      het doel waarvoor je de gegevens opslaat

-      hoe lang de gegevens worden bewaard

-      de manier waarop je met die persoonsgegevens omgaat (worden ze bijvoorbeeld gedeeld met derden en zo ja; hoe en waarom?)

-      en wat hun rechten zijn:

o   inzagerecht

o   recht op rectificatie

o   recht om vergeten te worden

o   recht op beperking van verwerking

o   recht op overdraagbaarheid van gegevens

o   recht van bezwaar

Belangrijk: een persoon heeft dus ALTIJD het recht om zijn persoonsgegevens in te zien. Je kunt deze persoon bijvoorbeeld een kopie van het aanmeldingsformulier met zijn of haar gegevens overhandigen.

In de AVG-tool is een voorbeeld van een standaard privacyverklaring opgenomen.
Ook hebben we op deze site enkele voorbeelddocumenten opgenomen, waaronder een voorbeeld van een privacyverklaring.

De AVG verplicht je om verwerkersovereenkomsten met derden/partners te sluiten. Dit komt bij verenigingen in veel situaties voor, bijvoorbeeld bij het inschakelen van een drukkerij, hostingpartij of digitale nieuwsbriefverzender. Als vereniging mag je persoonsgegevens nooit doorgeven aan een andere partij als je met die partij geen verwerkersovereenkomst hebt.

Ga dus na met welke verwerkers jouw vereniging allemaal samenwerkt en sluit (nieuwe) overeenkomsten af die voldoen aan de AVG. Binnen de overeenkomst moeten onder meer afspraken worden gemaakt over de beveiliging van de gegevens en het verwijderen van de gegevens aan het einde van de opdracht.

Let op: oude verwerkersovereenkomsten moeten herzien worden, omdat de AVG andere eisen stelt.

In de AVG-tool is een voorbeeld van een standaard verwerkersovereenkomst opgenomen. Ook hebben we op deze website enkele voorbeelddocumenten geplaatst. Uiteraard kun je ook zelf afspraken vastleggen binnen eigen documentatie/contracten. Hierin moet je in ieder geval de volgende afspraken vastleggen:

• het onderwerp en de duur van de verwerking
• de aard en het doel van de verwerking
• het soort persoonsgegevens dat verwerkt wordt
• de categorieën van betrokkenen
• de rechten en verplichtingen van de verwerkingsverantwoordelijke

In de AVG-tool vind je een checklist met alle punten waar je rekening mee moet houden, zodat je zeker weet of je verwerkersovereenkomst voldoende is ‘dichtgetimmerd’.

De KNHB sluit geen verwerkersovereenkomst af met de verenigingen (leden), omdat de KNHB zelf verwerkersverantwoordelijke is (degene die beslist over het doel van en de middelen voor die verwerking). De KNHB is verantwoordelijke, want zij bepaalt zelf waarom en hoe bepaalde gegevens wel of juist niet worden gebruikt.

Het criterium is dus niet van wie je de gegevens verkrijgt, maar of je gegevens verwerkt voor eigen doel en met eigen middelen.