Privacy & de sportclub #4: de privacyverklaring en het vragen van toestemming

Laatste update: August 30th, 2023

Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten Algemene Verordening Gegevensbescherming (AVG). In deze reeks artikelen gaan we in op de belangrijkste verplichtingen voor sportclubs. Ditmaal behandelen we twee onderwerpen: de privacyverklaring en het vragen van toestemming.

I: De privacyverklaring

Waarom een privacyverklaring?

Als club ben je verplicht om betrokkenen te informeren over de manier waarop je omgaat met hun persoonsgegevens. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de club, die - als het goed is - zijn vastgelegd in het verwerkingsregister van de club (zie een eerdere nieuwsbrief daarover). Een paar voorbeelden van doelgroepen die je zoal moet informeren:

  • leden (over verwerkingen in verband met het lidmaatschap);
  • websitebezoekers (bijvoorbeeld over de wijze waarop je hun surfgedrag bijhoudt);
  • sporttalent (bijvoorbeeld over de wijze waarop de club hen monitort).

Wat neem je op in de privacyverklaring?

In de privacyverklaring moet onder meer de volgende informatie worden opgenomen:

  • de doeleinden waarvoor de club persoonsgegevens verwerkt;
  • hoe lang persoonsgegevens worden bewaard (of de criteria die de club hanteert voor het vaststellen van de bewaartermijn);
  • aan welke (categorieën) derden persoonsgegevens eventueel worden doorgegeven;
  • de vermelding dat de betrokkene een gegeven toestemming voor een verwerking op ieder moment mag intrekken; en
  • de vermelding dat de betrokkene een verzoek kan indienen tot inzage, correctie, verwijdering van persoonsgegevens, en het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Verkrijg je de persoonsgegevens via een derde in plaats van rechtstreeks via de betrokkene, dan moet je tevens meedelen van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft.

Tip: wees duidelijk

Niemand is geholpen met een vage bewoording dat de club "bepaalde informatie" "mogelijk" voor "kwaliteitsdoeleinden" gebruikt. Het lijkt aantrekkelijk om veel ruimte te creëren voor allerlei vormen van gebruik, maar uiteindelijk wekken dit soort woorden vooral argwaan en leiden ze tot onduidelijkheid.

Hoe stel je de privacyverklaring beschikbaar?

Je informeert de betrokkene in principe voorafgaand aan het vastleggen van zijn of haar persoonsgegevens. We bespreken hier twee veelvoorkomende situaties.

  • Voorbeeld 1: inschrijving als lid/deelnemer

Schrijft iemand zich online in als clublid of als deelnemer aan een wedstrijd/evenement, verwijs dan duidelijk op het formulier naar de privacyverklaring met een hyperlink. Bijvoorbeeld: "Onze club verwerkt uw persoonsgegevens conform de privacyverklaring". Schrijft iemand zich ter plaatse in (dus niet online), verwijs dan op het papier naar de privacyverklaring en leg deze klaar voor eventuele raadpleging.

  • Voorbeeld 2: de website

Bezoekers van een website kun je eenvoudig informeren door het plaatsen van een link naar de privacyverklaring onderaan elke sub-pagina van de website. Vraag bezoekers (voor bepaalde delen) om zich te registreren met een account, verwijs dan nogmaals uitdrukkelijk naar de privacyverklaring (zie voorbeeld 1).

Let op

voor het verstrekken van informatie over de plaatsing van cookies gelden aparte regels. Deze regels worden niet in deze nieuwsbrief besproken.

Kan de club verwijzen naar één algemene privacyverklaring?

Ja, maar let er op dat de privacyverklaring een zorgvuldige toelichting geeft voor alle verwerkingen waarop de verklaring betrekking heeft. Ter illustratie: gebruik je op de website één privacyverklaring voor zowel websitebezoekers als leden, dan kun je niet volstaan met informatie die slechts betrekking heeft op het gebruik van de website.

II: Toestemming

Wanneer is toestemming nodig voor een verwerking van persoonsgegevens?

Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Eén van deze gevallen is dat de betrokkene uitdrukkelijk toestemming geeft. Toestemming is echter niet nodig voor iedere verwerking. Denk bijvoorbeeld aan verwerkingen die noodzakelijk zijn om als club uitvoering te geven aan de lidmaatschapsovereenkomst met leden.

Het is lastig om een algemeen antwoord te geven op de vraag of toestemming nodig is voor een verwerking. Om je op weg te helpen, volgen hierna enkele voorbeelden waarvoor een sportclub doorgaans toestemming nodig heeft:

  • de verzending van reclame per e-mail aan leden door clubsponsoren;
  • het analyseren van iemands online gedrag (bijvoorbeeld door het gebruik van cookies of locatiegegevens);
  • de plaatsing van foto’s van jeugdspelers op een publiek toegankelijke website; en
  • het gebruik van gezondheidsgegevens (denk bijvoorbeeld aan apps en wearables die een hartslag meten).

Waar moet je op letten bij het gebruik van toestemming?

Verwerkt de club persoonsgegevens op basis van toestemming, houd dan altijd rekening met het volgende:

  • Stilzwijgende toestemming is niet voldoende. Vermijd dus bijvoorbeeld een checkbox die automatisch is aangevinkt. Je hebt een actieve instemming nodig van de betrokkene.
  • Toestemming is slechts geldig als deze uit vrije wil door de betrokkene is gegeven. Heeft de betrokkene dus feitelijk geen keus, dan is van geldige toestemming geen sprake.
  • Toestemming voor de verwerking van gegevens van een persoon die nog geen 18 jaar oud is, vraag je aan de ouder/voogd.
  • Leg een verkregen toestemming vast. De club moet achteraf kunnen aantonen dat een zekere toestemming daadwerkelijk is verleend.
  • Een betrokkene heeft het recht om een gegeven toestemming op ieder moment in te trekken.

In de volgende, laatste editie gaan we dieper in op marketing en online publicaties.