Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten Algemene Verordening Gegevensbescherming (AVG). In deze reeks artikelen gaan we in op de belangrijkste verplichtingen voor sportclubs. In de vorige editie gaven we uitleg over de belangrijkste basisbegrippen. Ditmaal behandelen we het zogeheten 'verwerkingsregister'.
Overzicht krijgen met het verwerkingsregister
Sportclubs zijn zelfstandig verplicht zorgvuldig om te gaan met persoonsgegevens. De wet stelt daarvoor een aantal concrete eisen. Om te achterhalen welke gevolgen dit heeft voor jouw club, moet je eerst grondig vaststellen hoe de club persoonsgegevens zoal gebruikt. Deze informatie leg je vast in een verwerkingsregister (hierna: "register"). Het bijhouden van een register is vanaf 25 mei 2018 wettelijk verplicht.
Wat is het nut van een register?
Een register komt van pas bij het stapsgewijs controleren van het privacybeleid binnen de club. Zo kun je met het register bijvoorbeeld per verwerking nagaan of een gebruik van persoonsgegevens wel of niet is toegestaan en of de gebruikte gegevens niet te lang worden bewaard.
Welke informatie neem je op in het register?
Het register is een schematisch overzicht met essentiële informatie over de verwerkingen van persoonsgegevens binnen de club. Het register geeft minimaal antwoord op de volgende vragen:
- Wat zijn de verschillende doeleinden waarvoor de club persoonsgegevens verwerkt?
- Om welke persoonsgegevens gaat het?
- Op welke categorie personen hebben de gegevens betrekking (wie zijn de betrokkenen)?
- Hoe lang worden de betreffende persoonsgegevens bewaard?
- Verstrekt de club persoonsgegevens aan derden, wie zijn dit en wat is het doel daarvan?
- Wat zijn in algemene bewoordingen de getroffen beveiligingsmaatregelen ter bescherming van de betrokken persoonsgegevens?
- Worden er persoonsgegevens doorgegeven aan of opgeslagen in landen buiten de Europese Economische Ruimte en/of internationale organisaties en, zo ja, welke landen en/of organisaties zijn dit?
Het is aanbevolen per verwerkingsdoel ook de volgende informatie op te nemen:
- Wie zijn binnen de club belast met deze verwerking?
- Welke IT-systemen worden gebruikt bij deze verwerking?
- Hoe zijn betrokkenen geïnformeerd over deze verwerking?
Een onderdeel van het register kan er bijvoorbeeld als volgt uitzien:
| Doel | Beheer | Betrokkenen | Persoonsgegevens | Bewaartermijn | Betrokken systemen |
|---|---|---|---|---|---|
| Inschrijving nieuw lid | Secretaris | Nieuwe leden |
|
|
|
Dit schema dient slechts ter illustratie; een uitgebreider schema kan in de praktijk nodig zijn.
We lichten hierna met twee voorbeelden toe hoe het register kan ondersteunen bij het controleren of de club voldoet aan de privacyregels.
Toepassing van het register (1): is het doel van de verwerking rechtmatig?
Persoonsgegevens mogen enkel worden verwerkt indien daarvoor een geldige "grondslag" bestaat. Een sportclub moet een verwerking in de praktijk meestal kunnen baseren op minimaal één van onderstaande gronden:
- De verwerking is noodzakelijk voor de uitvoering of de totstandkoming van een overeenkomst met de betrokkene (voorbeeld: het opnemen van een nieuw lid in de ledenadministratie);
- De verwerking is noodzakelijk voor de naleving van een wettelijke plicht (voorbeeld: de algemene fiscale bewaarplicht van zeven jaren);
- De betrokkene geeft toestemming voor de verwerking (voorbeeld: het plaatsen van foto’s van jeugdspelers op sociale media); of
- De verwerking is noodzakelijk vanwege een gerechtvaardigd belang van de club of van een derde partij (voorbeeld: het versturen van nieuwsbrieven aan leden door de club).
Zijn alle toepasselijke grondslagen eenmaal opgenomen in het register, dan kan per verwerking worden vastgesteld of deze grondslag toereikend is of niet. Ontbreekt een geldige grondslag, dan weet je dat de verwerking moet worden gestaakt.
Toepassing van het register (2): wordt een juiste bewaartermijn toegepast?
Persoonsgegevens mogen in principe niet langer worden bewaard dan noodzakelijk is voor het beoogde doel, tenzij de wet bepaalt dat zij voor langere tijd moeten worden opgeslagen. Hoe lang je persoonsgegevens bewaart, varieert in de praktijk nogal. Een structureel overzicht is daarom noodzakelijk. Een register helpt bij het aanbrengen van die structuur.
Voorbeeld bewaartermijn
Persoonsgegevens van een uitgetreden lid bewaar je in principe niet langer dan twee jaren na het einde van het lidmaatschap. Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaren. Overleg dus met de penningmeester binnen de club welke gegevens daaronder vallen. Sommige informatie zal je wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre je de gegevens kunt anonimiseren.
In de volgende editie gaan we in op de beveiliging van persoonsgegevens.
