Sportwerkgever

Privacy, wat verandert er precies?

Privacy, wat verandert er precies?

De nieuwe privacywetgeving heeft grote gevolgen voor sportorganisaties en kan bij onjuiste toepassing leiden tot hoge boetes. Deze privacywetgeving gaat over wat wel en niet mag bij het verwerken van persoonsgegevens. De regels worden aangescherpt vanaf 25 mei 2018 met de Algemene Verordening Persoonsgegevens en geeft u als sportorganisatie verschillende plichten en verantwoordelijkheden.

ARNHEM - 17 november 2017

In de sportsector zijn deze regels van groot belang voor onder andere wedstrijdadministratie, ledenadministratie, beeldmateriaal van sporters, vrijwilligers en personeel. In dit artikel leest u wat van u verwacht wordt, zodat u tijdig maatregelen kunt treffen om aan deze wetgeving te voldoen.

Toepassing regels
De privacywetgeving is van toepassing wanneer sprake is van verwerking van persoonsgegevens. Is dat niet het geval, dan gelden deze regels ook niet. Wanneer is nu sprake van een persoonsgegeven? Een gegeven is pas een persoonsgegeven wanneer het herleidbaar is tot de persoon, ofwel identificeerbaar. Anonimiseert u persoonsgegevens, dan gelden de privacyregels niet. Verwerking hiervan kan in allerlei vormen plaatsvinden, zoals bewaren, verzamelen, opslaan, verwijderen, bewerken, etc. Feitelijk is iedere handeling met een persoonsgegeven een verwerking, zowel digitaal als schriftelijk.

Doel vereist voor verwerking
Belangrijk in de privacywetgeving is dat u moet kunnen uitleggen waarom uw organisatie bepaalde persoonsgegevens verwerkt. Elke verwerking moet namelijk een doel hebben. Zonder doel mogen in principe geen persoonsgegevens worden verwerkt.

Rechten
De personen van wie u persoonsgegevens verwerkt (zoals werknemers, leden, sporters en vrijwilligers) hebben een aantal rechten waar u als sportwerkgever rekening mee moet houden:
  • recht op inzage: personen mogen vragen welke persoonsgegevens u van hen verwerkt, met welk doel u dit doet, met welke eventuele andere partijen u deze gegevens gedeeld heeft en de wijze waarop u de gegevens verkregen heeft;
  • recht op verbetering, aanvulling en verwijdering: wanneer u beschikt over verouderde, onvolledige of irrelevante persoonsgegevens mogen personen u verzoeken deze te verbeteren, aan te vullen of te verwijderen;
  • recht op verzet: personen kunnen u vragen te stoppen met het verwerken van persoonsgegevens wanneer u daartoe geen goede reden heeft.
Plichten
Met de nieuwe wetgeving wordt u ook een aantal plichten opgelegd, namelijk:
  • informatieplicht: de persoon moet worden geïnformeerd over welke persoonsgegevens worden verwerkt, waarom en hoe;
  • documentatieplicht: u dient een verwerkingsregister bij te houden met daarin informatie over wat wordt verwerkt, van wie, waarom, hoe lang en hoe de beveiliging is ingericht;
  • bewaarplicht: persoonsgegevens mogen worden bewaard zolang ze nodig zijn voor het doel waarvoor ze verkregen zijn, daarna moeten ze worden verwijderd of geanonimiseerd;
  • beveiligingsplicht: bij verwerking van persoonsgegevens moet u zorgdragen voor voldoende en goede beveiligingsmaatregelen;
  • meldplicht bij datalekken: wanneer sprake is van een inbreuk op de beveiliging van persoonsgegevens met ernstige nadelige gevolgen, moet dit worden gemeld aan de Autoriteit Persoonsgegevens en in sommige gevallen zelfs aan de betrokkene zelf.
Doorgifte buiten de EER
Persoonsgegevens mogen niet worden doorgegeven aan ontvangers in landen buiten de Europese Economische Ruimte (EER) waar de betreffende personen een risico lopen om onvoldoende te worden beschermd. Dit mag enkel wanneer hiertoe bepaalde maatregelen zijn getroffen. Dit wordt ook wel het doorgifteverbod genoemd.

Functionaris Gegevensbescherming/Data Protection Officer
Om naleving van de privacywetgeving intern te handhaven en hiertoe een aanspreekpunt te organiseren, kan het zinvol zijn om een Functionaris Gegevensbescherming (FG) aan te stellen. De Functionaris Gegevensbescherming wordt ook wel een Data Protection Officer (DPO) genoemd. De FG/DPO is betrokken bij alle aangelegenheden binnen de organisatie die de privacywetgeving raken en heeft een informerende, inventariserende, adviserende en toezichthoudende rol. In sommige gevallen is de FG/DPO zelfs verplicht. Voor de positie van de FG/DPO gelden specifieke regels die nader zijn toegelicht in richtlijnen van de Autoriteit Persoonsgegevens.

Data Protection Impact Assessment
Om te weten welke risico’s uw organisatie loopt in het kader van de privacywetgeving, kunt u een Data Protection Impact Assessment (DPIA) uit (laten) voeren. Hiermee brengt u processen in uw organisatie in kaart, ziet u waar risico’s liggen en in hoeverre u voldoet aan de privacywetgeving. Wanneer hieruit blijkt dat er bepaalde (grote) risico’s bestaan, dient u maatregelen te treffen om deze te vermijden of beperken. Ook een DPIA is in sommige situaties verplicht.

Verwerker
Maakt u gebruikmaakt van andere partijen om bepaalde persoonsgegevens te verwerken door zogenoemde ‘verwerkers’, dan bent u verplicht een verwerkersovereenkomst met hen te hebben. Het kan hierbij bijvoorbeeld gaan om verwerkers voor salarisadministratie of ICT. In de AVG staan specifieke eisen waaraan de verwerkersovereenkomst moet voldoen.

Boete bij niet-naleving
Handelt u in strijd met de privacywetgeving, dan loopt u risico op hoge boetes. De boetes kunnen oplopen tot wel 20 miljoen euro, of - mits hoger – 4 procent van de wereldwijde jaaromzet van uw organisatie.

Wat betekent de AVG voor uw organisatie?
Na het lezen van dit artikel bent u bekend met de algemene principes van de komende privacywetgeving. De WOS zal een bijeenkomst organiseren waarin u verder wordt bijgepraat ten aanzien van dit thema en u de mogelijkheid heeft om vragen te stellen. Heeft u hierin interesse en zijn er specifieke thema’s die u graag naar voren ziet komen? Laat het ons dan weten via info@sportwerkgever.nl.

Nieuwsarchief

Nieuws

Nieuwsbrieven