Door deze website te gebruiken gaat u akkoord met het gebruik van cookies op de website.

AVG uitleg

AVG uitleg

1 Algemeen

1.1 Wat zijn persoonsgegevens?

Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Denk aan gegevens van leden, bestuursleden, medewerkers, vrijwilligers en gegevens van relaties.

Voorbeelden van persoonsgegevens:

  • NAW-gegevens
  • BSN, kopie identiteitsbewijs
  • E-mail adres en telefoonnummer
  • Geboorte datum
  • Geslacht
  • Rekeningnummers
  • Foto’s en filmpjes met herkenbare personen
  • Medische gegevens, denk ook aan lengte, gewicht en gezondheidsverklaring
  • Vastgelegd website bezoek (IP-adressen)
  • etc

Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens. Bijvoorbeeld een e-mailadressen als info@vvmeerburg.nl of penningmeester@vvmeerburg.nl zijn geen persoonsgegevens.

We zijn terughoudend met het anonimiseren van persoonsgegevens om vervolgens aan te nemen dat we daardoor niet meer hoeven te voldoen aan de AVG. In de meeste gevallen kunnen persoonsgegevens ondanks de poging om deze te anonimiseren alsnog worden herleid tot een bepaalde persoon.

1.2 Wanneer mag ik als vereniging persoonsgegevens verwerken?

We mogen alleen persoonsgegevens verwerken voor het doel waarvoor we ze verzamelen en alleen op basis van een van de volgende 6 grondslagen.

a) Toestemming van de betrokkene;
b) uitvoering van een overeenkomst;
c) voldoen aan een wettelijke plicht;
d) bescherming van de belangen van de betrokkene of een andere natuurlijke persoon;
e) uitvoering taak van algemeen belang;
f) behartiging van gerechtvaardigde belangen;

Voor alle gegevens die we verwerken moet we ons dus afvragen met welk doel we dat doen en op basis van welke van de hierboven genoemde grondslagen. Als sportvereniging zullen we vooral gegevens verwerken op basis van de eerste twee grondslagen: uitvoering van de (lidmaatschaps) overeenkomst en toestemming.

Gegevens die je bijvoorbeeld nodig hebt voor de uitvoering van de lidmaatschapsovereenkomst
zijn:

a. adresgegevens voor de ledenadministratie;
b. adresgegevens voor de oproeping van de algemene ledenvergadering;
c. bankgegevens voor de afschrijving van de contributie;
d. geboortejaar/datum voor de indeling in categorieën (datum alleen indien jaar niet
voldoende is).

We zijn voorzichtig met het gebruik van de grondslag “behartiging van gerechtvaardigde belangen”. Het gebruik van deze grondslag is een grijs gebied. We moeten een belangen afweging maken en ons belang en de gerechtvaardigdheid daarvan goed kunnen onderbouwen.

1.3 Mogen we persoonsgegevens op computers/laptops gebruiken?

Dit mag, maar als vereniging blijven we wel verantwoordelijk voor de veiligheid van de gegevens. Verplicht de gebruikers in dat geval antivirussoftware installeren en deze regelmatig updaten, goede wachtwoorden instellen en deze regelmatig te wijzigen, indien mogelijk opslag op lokale harde schijven te voorkomen (gebruik web-omgevingen, cloud). Zorg er ook voor dat er altijd een goede, recente back-up is. Bij beëindiging van de verenigingstaken moeten de gegevens na overdracht definitief en ontraceerbaar verwijderd worden

1.4 Mogen we een nieuwsbrief sturen aan onze leden?

Ja, je moet leden immers regelmatig kunnen informeren (uitnodiging ALV, verenigingsagenda, uitslagen, etc.). Maar let op: neem je advertenties op in de nieuwsbrief dan is wél toestemming nodig.

Let er op dat je onder iedere nieuwsbrief een uitschrijflink opneemt zodat de ontvanger zich eenvoudig kan afmelden.

2 Persoonsgegevens bewaren

2.1 Hoe lang mag ik persoonsgegevens bewaren?

Je mag persoonsgegevens bewaren zolang dat noodzakelijk is voor het doel waarvoor je ze gebruikt, niet langer. Soms geeft de wet een bewaartermijn, bijvoorbeeld om te voldoen aan de fiscale bewaartermijn van 7 jaar. Denk hierbij aan debiteuren- en crediteurenadministratie en de financiële administratie.

Maak daarbij binnen uw vereniging afspraken hoe lang u gegevens bewaard. Neem daarbij in overweging dat u er gelet op de wet het beste aan doet de gegevens zo snel mogelijk te verwijderen. Onder de oude wetgever was het toegestaan om gegevens uit hoofde van het
lidmaatschap twee jaar na beëindiging van de overeenkomst te bewaren. Het advies zou zijn om te kiezen voor een aanzienlijk kortere termijn maar in ieder geval de twee jaar niet te overschrijden.

2.2 Mag ik gegevens van leden die zich als lid hebben afgemeld bewaren?

Dit mag in beginsel maar beperkt zoals bij de beantwoording van de vorige vraag aangegeven. 

2.3 Mag ik persoonsgegevens van oud leden (langer) bewaren voor een later eventueel te organiseren reünie?

Dat mag alleen als je daar toestemming voor hebt. Je kunt dit vragen bij de uitschrijving door bijvoorbeeld een aan te kruisen vakje op het afmeldingsformulier op te nemen

2.4 Mag ik persoonsgegevens bewaren voor onze clubhistorie?

Wil je persoonsgegevens langer bewaren, bijvoorbeeld voor de clubhistorie (bijvoorbeeld foto’s of bijzondere prestaties) dan mag dat op basis van de uitzondering: historisch doel. Zorg er dan wel voor dat je dit doel kunt aantonen en er niet meer gegevens worden bewaard dan nodig. Ook moet je voorkomen dat persoonsgegevens uit het archief later alsnog voor andere dan historische doeleinden worden gebruikt.

2.5 Mag ik persoonsgegevens bewaren voor de statistieken?

Ja, je mag persoonsgegevens langer bewaren voor statistieken. Je moet dan wel duidelijk vastleggen welke persoonsgegevens daarvoor nodig en er voor zorgen dat de niet gegevens alsnog voor andere doeleinden worden gebruikt. Als het kan moet je de gegevens anonimiseren
of pseudonimiseren. Let wel op: Anonimiseren is in veel gevallen lastig. Pseudonimiseren is nog lastiger. Vraag is deze situatie advies aan een privacyjurist.

3 Publicatie van persoonsgegevens

3.1 Mag ik sporters filmen en/of fotograferen? (Dit is nog niet publiceren!)

Dat is alleen toegestaan indien deze beelden nodig (noodzakelijk) zijn voor de uitvoering van de overeenkomst of als de sporter hiervoor toestemming heeft gegeven. Bij uitvoering van de overeenkomst kan de vereniging denken aan het bestuderen en analyseren van beelden om de sportprestaties te verbeteren. Wij adviseren dit in de lidmaatschapsovereenkomst op te nemen.

Indien de vereniging de beelden voor commerciële doeleinden wenst te gebruiken dient de sporter hiervoor expliciet schriftelijk toestemming te geven. Bovendien moet de sporter zijn toestemming op ieder moment weer in kunnen trekken en mag die intrekking geen invloed
hebben op het lidmaatschap (bijvoorbeeld dat de sporter dan niet aan wedstrijden mee mag doen).

De aanwezigheid van de aangebrachte camera´s moet duidelijk aangegeven worden. Mensen moeten hierover geïnformeerd worden vóórdat ze gefilmd worden (denk dus bijvoorbeeld aan een duidelijk bord bij de ingang of op het pad naar de tribunes en vermelding in het
huishoudelijk reglement.).

3.2 Mag ik foto’s en filmpjes van sporters en toeschouwers publiceren?

Voor het maken en publiceren van beeldmateriaal moet de sportorganisatie toestemming hebben van herkenbaar in beeld gebrachte betrokkenen, óf een gerechtvaardigd belang hebben. Denk bij een gerechtvaardigd belang bijvoorbeeld aan persvrijheid, direct marketing, promotie van de organisatie of beveiliging. Ook wedstrijdverslaggeving kan gemotiveerd onder het gerechtvaardigd belang vallen. Een sportorganisatie mag in dat geval foto’s en beelden van wedstrijden publiceren of uitzenden, ook als daarbij bijvoorbeeld toeschouwers herkenbaar in beeld komen.

De belangenafweging moet zorgvuldig zijn en de belangen van de vereniging én die van de betrokkenen moeten uitvoerig afgewogen en beschreven. Wil je publiceren op basis van een gerechtvaardigd belang, raadpleeg dan eerst een privacyjurist. De juiste belangenafweging is belangrijk om fouten te voorkomen. Let op bij kinderen: hun privacybelang weegt extra zwaar. Vraag daarom uitdrukkelijk toestemming aan de ouders of voogd voordat je overgaat tot publicatie.

3.3 Wat als een sporter of toeschouwer bezwaar heeft tegen de publicatie van foto´s en/of filmpjes?

Bij bezwaar zal een sporter zijn toestemming (als toestemming de grondslag is) intrekken en mag het beeldmateriaal niet gepubliceerd of verwijderd worden. Wordt het beeldmateriaal niet op basis van toestemming gebruikt. (bijvoorbeeld bij toeschouwers) dan geldt het volgende. Bij beeldmateriaal dat niet in opdracht is gemaakt kan de betrokkene tegen publicatie alleen bezwaar maken op grond van een redelijk belang. Dit kan een privacybelang , maar ook een commercieel belang zijn. Een redelijk belang is iets anders dan een gerechtvaardigd belang zoals genoemd in de AVG.

3.4 Mag ik foto’s van toernooien, feesten of andere bijeenkomsten plaatsen op onze website? Of in een besloten social media groep?

Nee, alleen als de betrokkene hier toestemming voor heeft gegeven. Hetzelfde geldt voor de besloten groep.

3.5 Mag ik een lijst met bijvoorbeeld scheidsrechters of wedstrijdleiders, leden voor bardienst publiceren op onze afgeschermde website zodat deze benaderd kunnen worden door leden?

Nee, dat mag alleen als je hiervoor toestemming hebt of een gerechtvaardigd belang. Gebruik je de grondslag gerechtvaardigd belang dan is het verstandig om de algemene ledenvergadering daarmee vooraf te laten instemmen. Wil je behalve namen ook contactgegevens in de lijst opnemen, breng dit dan expliciet in stemming. Geef leden bovendien vooraf gelegenheid om zich tegen publicatie te verzetten.

Plaats deze persoonsgegevens (ook na toestemming) niet op een voor publiek toegankelijke plek op uw website. Maar bijvoorbeeld alleen achter een login. Zo kunnen alleen diegenen die dat nodig hebben deze persoonsgegevens inzien.

3.6 Mag er een smoelenboek van de leden achter de bar in de kantine liggen?
Nee, tenzij de betrokkenen daar toestemming voor hebben gegeven.

4 Anderen inschakelen, externe dienstverleners

4.1 Soms ontvangen wij persoonsgegevens van derden (bijvoorbeeld een school of andere vereniging), wie moet er dan voor zorgen dat aan de AVG voldaan wordt?

Indien je persoonsgegevens van anderen ontvangt is deze ander de zogenaamde verwerkingsverantwoordelijke. Jouw vereniging is dan de verwerker. Je moet een verwerkersovereenkomst sluiten waarin onder andere staat wat je met welke gegevens van welke soort betrokkene mag doen, voor hoelang en dat je deze moet beveiligen. De verwerkingsverantwoordelijk en de verwerker (in dit geval uw vereniging) kunnen beide een boete krijgen als zij niet voldoen aan de wet.

4.2 Soms verstrekken wij gegevens aan derden (bijvoorbeeld voor onze administratie, incasso van de contributie, website bouwer, in verband met de nieuwsbrief of ter verkrijging van subsidies), wie moet er dan voor zorgen dat aan de AVG voldaan wordt?

Indien je persoonsgegevens verstrekt aan een derde ben jij de zogenaamde verwerkingsverantwoordelijke. Dat betekent dat je ervoor moet zorgen dat aan de derde wordt duidelijk gemaakt hoe deze derde met de verstrekte persoonsgegevens dient om te gaan. Je moet een verwerkersovereenkomst sluiten waarin onder andere staat wat je met welke gegevens van welke soort betrokkene mag doen, voor hoelang en dat u deze moet beveiligen. De verwerkingsverantwoordelijk en de verwerker (in dit geval uw vereniging) kunnen beide een boete krijgen als zij niet voldoen aan de wet. Wie de verwerkersovereenkomst opstelt is niet van belang, als er maar een goede overeenkomst wordt gesloten.

4.3 Mogen bestuursleden, per telefoon of mail, gewijzigde gegevens doorgeven aan de bond en mag de bond dit gelijk verwerken in de bondsadministratie?

Ja, dat mag. Er zijn geen specifieke bepalingen over hoe gegevens vertrekt mogen worden. Wel moet wijze van doorgeven van de gegevens voldoende veilig zijn.

5 Toestemmings-, Geheimhoudings- en Privacyverklaring

5.1 Hoe vraag ik toestemming van een betrokkene?

Wil je gegevens verwerken op basis van de grondslag toestemming dan kun je die toestemming vragen via een toestemmingsformulier. Let hierbij op het volgende:

  1. Toestemming moet actief zijn gegeven. Dus geen vooraf aangevinkt vakje
  2. Toestemming moet voldoende concreet worden gevraagd. Duidelijk moet zijn waar de toestemming voor wordt gevraagd, je mag de      gegevens ook niet voor iets anders gebruiken.
  3. Verzoek moet duidelijk, kort en bondig zijn opgesteld;
  4. Toestemming moet vrijwillig worden gegeven;
  5. Betrokkene moet de toestemming altijd weer eenvoudig kunnen intrekken.
  6. Bij jeugd, jonger dan 16 jaar moet de ouder of voogd toestemming geven. Dit geldt voor aanmelding als lid, maar ook voor inschrijving voor toernooien, kampen, de nieuwsbrief.

5.2 Hoe zit het toestemming van persoonsgegevens van personen die deel uitmaken van een team?

Met ik dan van elk individu toestemming hebben of is het voldoende als de captain toestemming geeft, bijvoorbeeld voor publicatie?
Je moet in dat geval van ieder van wie je persoonsgegevens publiceert toestemming hebben. De captain kan geen vervangende toestemming geven tenzij die gemachtigd is (en je dat kunt aantonen).

5.3 Wie moet ik een geheimhoudingsverklaring laten tekenen?

Om de beveiliging van de gegevens te waarborgen moet iedereen die toeging heeft tot de gegevens een geheimhoudingsverklaring tekenen. Let op: geef niet meer mensen toegang tot gegevens dan noodzakelijk. Beëindig de toegang tot gegevens voor mensen die de gegevens niet
meer nodig hebben, bijvoorbeeld door het wijzigen van wachtwoorden.

5.4 Wanneer moet onze vereniging een privacyverklaring hebben?

Zodra de vereniging persoonsgegevens verwerkt moet zij een privacyverklaring hebben. Hiermee informeer je de betrokkenen over de verwerking van hun gegevens en hun rechten.

5.5 Moet je in je privacyverklaring de organisatie/deelname aan wedstrijden apart in het register vermelden met de persoonsgegevens die je daarvoor verzamelt?

Ja, je kunt opnemen welke persoonsgegevens worden verwerkt bij deelname aan wedstrijden, welke grondslag je daarvoor hebt (uitvoering overeenkomst van deelname), hoelang je de gegevens bewaart en of en aan welke derde je de gegevens verstrekt.

Delen

voeg je eigen gadgets toe aan deze pagina!