Sponsoren

  • de pol
  • Sponsor van KNBB Doetinchem
  • Taveerne Tolkamer
  • Sponsor van KNBB Doetinchem
  • Sponsor van KNBB Doetinchem
  • Sponsor van KNBB Doetinchem
  • Sponsor van KNBB Doetinchem
  • Sponsor van KNBB Doetinchem
  • Sponsor van KNBB Doetinchem
  • Sponsor van KNBB Doetinchem
  • A1biljarts.nl
  • Sponsor van KNBB Doetinchem
  • Paperclip Silvolde
  • HPU
  • Sponsor van KNBB Doetinchem
Home Algemeen

Privacy reglementen Nieuwsbrief

#1 Privacy en de sportvereniging: belangrijkste basisbegrippen
Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten
Algemene Verordening Gegevensbescherming (AVG). In deze reeks van nieuwsbrieven gaan we in op de
belangrijkste verplichtingen voor sportverenigingen. Ditmaal geven we uitleg over enkele basisbegrippen.
Privacy: wat is dat?
Het recht op privacy kun je eenvoudig omschrijven als iemands recht om met rust te worden gelaten. Dit
betekent ook dat je niet zomaar iemands persoonlijke informatie mag gebruiken. Dit laatste noemen we
het recht op de bescherming van persoonsgegevens.
Als sportvereniging ben je wettelijk verplicht tot het beschermen van de persoonsgegevens van leden,
vrijwilligers, en alle andere personen van wie je persoonsgegevens verwerkt. Privacywetgeving stelt
daarvoor een aantal concrete regels. Om te begrijpen hoe je die regels naleeft, is het handig om enkele
basisbegrippen te kennen. De belangrijkste begrippen lichten we hierna toe.
Wat zijn persoonsgegevens?
Een persoonsgegeven is ieder gegeven over een levende en identificeerbare persoon. Het gaat dus om álle
informatie over een persoon. Het maakt daarbij niet uit of informatie ‘privé’, publiek bekend, oud of
nieuw, relevant of juist volstrekt onbelangrijk is. Een paar voorbeelden van persoonsgegevens zijn
iemands voor- en achternaam, woonplaats en adres, telefoonnummer, lidmaatschapsnummer, leeftijd,
lichaamslengte, dieet, geslacht, seksuele voorkeur, e-mailadres en de herkenbare afbeelding in een foto of
video.
Ook gegevens over iemands gedrag en voorspellingen daarvan kunnen persoonsgegevens zijn. Denk
bijvoorbeeld aan iemands locatiegegeven of een analyse van iemands fysieke inspanning via populaire
wearables en apps. Zulke gegevens zijn natuurlijk privacygevoelig.
Wanneer is iemand identificeerbaar?
We spreken van een persoonsgegeven als een gegeven herleidbaar is tot een persoon. Vaak is informatie
eenvoudig gekoppeld aan een naam of aan een uniek nummer, zodat je een persoon direct kunt
identificeren. Stel dat de secretaris van een vereniging Jan de Vries heet en gebruikmaakt van het emailadres jan.devries@sportvereniging.nl. Dan is dat e-mailadres een persoonsgegeven. Soms is
identificatie weliswaar niet direct, maar wel indirect mogelijk. Denk bijvoorbeeld aan een teamfoto.
Hoewel er misschien geen namen onder de teamfoto staan, kom je daar met een eenvoudige zoekopdracht
via internet soms toch achter. De foto is in dat geval een persoonsgegeven.
Valt er écht niet te achterhalen op wie informatie betrekking heeft, dan is sprake van ‘anonimiteit’. In
theorie is de privacywetgeving dan niet van toepassing, omdat er geen sprake is van een persoonsgegeven.
De ervaring leert echter dat het vaak lastig is om te voorkomen dat informatie alsnog kan wordt gekoppeld
aan een individu. Ga er dus nooit zomaar vanuit dat je privacywetgeving eenvoudig buitenspel zet.
Ter illustratie: een bekend misverstand is het ‘anonimiseren’ door informatie (zoals een deelnemerslijst of
wedstrijduitslagen) te koppelen aan een lidnummer in plaats van een naam. Dat nummer leidt immers
eenvoudig terug naar een achternaam, zodat ook het lidnummer en de daaraan gekoppelde informatie
kwalificeren als persoonsgegevens. Dat slechts de vereniging in staat is tot het leggen van die koppeling,
maakt daarbij niet uit.
Samenvattend: we raden aan om alle gegevens waarvan je vermoedt dat die herleidbaar zijn tot een
persoon te behandelen alsof het persoonsgegevens zijn.
Wanneer ‘verwerk’ je persoonsgegevens?
Om te weten in welke gevallen je rekening moet houden met privacywetgeving, moet je steeds nagaan of
er sprake is van een verwerking van persoonsgegevens.
Het begrip ‘verwerken’ is zeer breed. In feite is iedere handeling met een persoonsgegeven een
verwerking. Denk dus aan het verzamelen, opslaan, bewaren, verplaatsen, wissen, doorsturen of
aanpassen, maar ook aan het kwijtraken van persoonsgegevens. In dat laatste geval spreek je van een
‘datalek’. We komen daar in een aparte nieuwsbrief op terug.
Voorbeelden van verwerkingen
Een sportvereniging neemt de persoonsgegevens van een nieuw lid op in het ledenbestand.
Bepaalde gegevens worden doorgestuurd naar de gelieerde sportbond. De vereniging factureert
het lid jaarlijks voor het lidmaatschapsgeld. Ook stuurt de vereniging regelmatig nieuwsbrieven
aan haar leden. Leden worden gekoppeld met teamindelingen en wedstrijdschema’s. Foto’s en
video’s van wedstrijden worden gepubliceerd op de verenigingswebsite, de verenigingsapp en op
sociale media. Nadat het lid is uitgetreden, worden zijn gegevens uit het ledenbestand verwijderd.
Dit soort activiteiten zijn voorbeelden van verwerkingen van persoonsgegevens door een
sportvereniging.
Verwerkingen vinden in de praktijk niet alleen digitaal plaats, maar ook op papier. Ook als gegevens op
papier worden gezet of geprint om in een bestand te worden opgenomen, is sprake van een verwerking.
Denk bijvoorbeeld aan de papieren leden-, vrijwilligers- en wedstrijdadministratie.
Wie is de ‘betrokkene’?
Een belangrijke figuur in het privacyrecht is de betrokkene. Dit is de persoon op wie een persoonsgegeven
betrekking heeft. Hij of zij is dus degene die door het privacyrecht wordt beschermd.
Voorbeeld van een betrokkene
Een lid wordt opgenomen in het ledenbestand van de sportvereniging. Het lid is betrokkene bij de
verwerkingen van de persoonsgegevens die op hem of haar betrekking hebben, zoals een naam,
lidnummer, adres, geboortedatum en bankrekeningnummer.
Betrokkenen hebben een aantal belangrijke rechten. Zo kan ieder lid of een vrijwilliger vragen om inzage,
aanpassing en verwijdering van zijn of haar persoonsgegevens. Je bent als vereniging meestal verplicht
om aan een dergelijk verzoek mee te werken.
Wie is ‘verwerkingsverantwoordelijke’?
Naast de vraag of privacywetgeving een rol speelt, wil je natuurlijk ook weten wie zich vervolgens aan die
regels moet houden bij een bepaalde verwerking. Dat is hoofdzakelijk één partij, namelijk degene die
beslist over het doel van en de middelen voor die verwerking. We noemen deze partij de
verwerkingsverantwoordelijke (of korter: verantwoordelijke). Je kunt de verantwoordelijke eigenlijk zien
als de baas van een verwerking van persoonsgegevens: de verantwoordelijke bepaalt waarom en hoe
bepaalde gegevens wel of juist niet worden gebruikt.
Voorbeeld van een verantwoordelijke
De sportvereniging is in de praktijk verantwoordelijk voor vrijwel alle verwerkingen die zij
uitvoert met de persoonsgegevens van haar leden. De vereniging bepaalt immers hoe en waarom
bepaalde verwerkingen plaatsvinden (zoals ledenbeheer, facturatie en nieuwsvoorziening van
leden, online publicaties door de vereniging, of de doorgifte van persoonsgegevens aan een
sportbond of een sponsor).
Vaak worden dezelfde persoonsgegevens van een betrokkene door meerdere partijen verwerkt voor
verschillende doeleinden. Deze partijen zijn doorgaans ieder zelfstandig verantwoordelijke voor wat zij
zélf met die persoonsgegevens doen.
Voorbeeld
De persoonsgegevens van een lid (zoals een e-mailadres) zijn vaak niet alleen bekend bij de
sportvereniging, maar ook bij een sportbond of een koepelorganisatie. Deze organisaties streven
vaak een eigen doel na bij het gebruik van die persoonsgegevens. Iedere partij blijft dan
zelfstandig verantwoordelijk voor de naleving van privacywetgeving.
Let op: een sportbond is niet automatisch verantwoordelijke voor verwerkingen die plaatsvinden door
derde partijen die dat doen voor hun eigen doeleinden, ook al heeft deze derde de persoonsgegevens
wellicht verkregen via de sportbond.
Meestal kun je eenvoudig vaststellen wie verantwoordelijke is, maar er zijn ook complexere gevallen.
Soms zijn er bijvoorbeeld meerdere organisaties betrokken bij dezelfde verwerking. Je bent dan
‘gezamenlijk verantwoordelijk’. Doet zo’n situatie zich voor en kun je niet vaststellen wat de rechten en
plichten zijn van de vereniging, vraag dan om deskundig advies.
Onze vereniging maakt gebruik van externe dienstverleners, hoe zit dat?
Sportverenigingen maken tegenwoordig veel gebruik van bijvoorbeeld online ledenadministratie en
marketingmailing-diensten. Daarbij worden vrijwel altijd persoonsgegevens verwerkt. De vereniging
bepaalt in dat geval weliswaar het doel van de verwerking van die persoonsgegevens, maar de
dienstverlener verzorgt de feitelijke uitvoering, zoals het ‘hosten’ van de gegevens. Een dienstverlener is
in dat geval als een ‘verwerker’. Als verantwoordelijke ben je wettelijk verplicht tot het aangaan van een
zogeheten verwerkersovereenkomst met deze verwerker. Je maakt daarin afspraken om ervoor te zorgen
dat de verwerker zorgvuldig omgaat met de persoonsgegevens. Wij komen daar in een latere nieuwsbrief
nog op terug.
Voorbeeld verwerker
De sportvereniging neemt de persoonsgegevens van haar leden op in een online
ledenbeheersysteem. Dit systeem wordt aangeboden en gehost door een ICT-dienstverlener. De
hosting gebeurt ten behoeve van de vereniging (en niet voor eigen doeleinden van de ICTdienstverlener). De ICT-dienstverlener is dus verwerker, en de vereniging is verantwoordelijke
voor de verwerkingen die plaatsvinden met het ledenbeheersysteem. De vereniging moet een
verwerkersovereenkomst sluiten met de ICT-dienstverlener.
Slot
Nu je weet wat de belangrijkste begrippen en partijen zijn binnen het privacyrecht, kun je vaststellen of
een bepaalde verplichting relevant is voor jouw sportvereniging.

Bijlagen bij Privacy reglementen Nieuwsbrief