Voetbalvereniging Dalen verwerkt persoonsgegevens. Wij willen je hierover graag duidelijk en transparant informeren.
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze nieuwe privacywet, internationaal de General Data Protection Regulation (GDPR) genoemd, geldt in de hele Europese Unie en gaat onder andere over het bewaren en beschermen van persoonsgegevens. De nieuwe Europese privacywetgeving heeft ook impact op Voetbalvereniging Dalen. Welke gevolgen heeft de wetgeving voor gebruik van persoonsgegevens? Wat verandert er?
In dit privacy statement geven wij antwoord op de belangrijkste vragen over de verwerking van persoonsgegevens door Voetbalvereniging Dalen. Wil je meer lezen over privacy binnen de vereniging? Download dan het privacybeleid.
Wanneer (een combinatie van) gegevens naar een persoon herleid kunnen worden spreken we van persoonsgegevens. Dat geldt voor bijvoorbeeld naam, (e-mail)adres en leeftijd. Maar ook voor bijvoorbeeld een combinatie van voornaam en geboortedatum. En ook foto’s en video’s worden gezien als persoonsgegevens. Wanneer anderen die persoonsgegevens hebben, moeten ze daar zorgvuldig mee omgaan.
Voetbalvereniging Dalen verwerkt persoonsgegevens van mensen met wie de vereniging direct of indirect een relatie heeft, wil krijgen of heeft gehad. Dat zijn bijvoorbeeld gegevens van:
Voetbalvereniging Dalen is verantwoordelijk voor vrijwel alle verwerkingen die zij uitvoert met de persoonsgegevens van de leden. De vereniging bepaalt immers hoe en waarom bepaalde verwerkingen plaatsvinden (zoals ledenbeheer, facturatie en nieuwsvoorziening van leden, online publicaties door de vereniging, of de doorgifte van persoonsgegevens aan een sportbond of een sponsor).
Vaak worden dezelfde persoonsgegevens van een betrokkene door meerdere partijen verwerkt voor verschillende doeleinden. Deze partijen zijn doorgaans ieder zelfstandig verantwoordelijke voor wat zij zélf met die persoonsgegevens doen.
Voetbalvereniging Dalen deelt veel persoonsgegevens met de sportbond KNVB. De KNVB is echter niet automatisch verantwoordelijke voor verwerkingen die plaatsvinden door derde partijen die dat doen voor hun eigen doeleinden, ook al heeft deze derde de persoonsgegevens wellicht verkregen bij de KNVB.
Voetbalvereniging Dalen neemt de persoonsgegevens van de leden op in een online ledenbeheer-systeem. Dit systeem, Sportlink, wordt aangeboden en gehost door een ICT-dienstverlener. De hosting gebeurt ten behoeve van de Voetbalvereniging Dalen (en niet voor eigen doeleinden van de ICT-dienstverlener). De ICT-dienstverlener is dus verwerker, en Voetbalvereniging Dalen is verantwoordelijke voor de verwerkingen die plaatsvinden met het ledenbeheersysteem. Om te voorkomen dat Voetbalvereniging Dalen verantwoordelijk is voor zaken waar geen invloed op kan worden uitgeoefend, moet Voetbalvereniging Dalen een verwerkersovereenkomst sluiten met de ICT-dienstverlener.
Voetbalvereniging Dalen is zelfstandig verplicht zorgvuldig om te gaan met persoonsgegevens. De wet stelt daarvoor een aantal concrete eisen. Om de gevolgen daarvan te achterhalen heeft Voetbalvereniging Dalen eerst grondig vastgesteld hoe de vereniging persoonsgegevens zoal gebruikt. Die informatie is vastgelegd in een verwerkingsregister, zodat we per verwerking eenvoudig kunnen controleren of een gebruik van persoonsgegevens wel of niet is toegestaan en of de gebruikte gegevens niet te lang worden bewaard. Het bijhouden van een verwerkingsregister is vanaf 25 mei 2018 wettelijk verplicht.
Het register is een schematisch overzicht met essentiële informatie over de verwerkingen van persoonsgegevens binnen de vereniging. Het register geeft antwoord op de volgende vragen:
Voetbalvereniging Dalen is zelfstandig verplicht om persoonsgegevens veilig te behandelen. Als gegevens bijvoorbeeld worden gestolen of ergens rondslingeren, kan dit vervelende gevolgen hebben voor betrokkenen.
Voetbalvereniging Dalen moet passende maatregelen treffen om te voorkomen dat persoons- gegevens worden blootgesteld aan onrechtmatige verwerking. Informatiebeveiliging is echter meer dan het beschermen tegen diefstal en virussen. De praktijk leert dat de meeste beveiligings-incidenten het gevolg zijn van niet-opzettelijke nalatigheid, zoals bijvoorbeeld het rondslingeren van USB-sticks met leden- en deelnemerslijsten, of een computercrash waarbij persoonsgegevens definitief verloren gaan. Persoonsgegevens moeten worden beschermt tegen iedere vorm van verlies van beschikbaarheid, integriteit dan wel vertrouwelijkheid.
Informatiebeveiliging draait om een juiste combinatie van zowel technische als organisatorische maatregelen, waarbij uiteindelijk de zwakste schakel telt. Een complex wachtwoord voor het inloggen op de online ledenadministratie is bijvoorbeeld zinloos als datzelfde wachtwoord op een notitieblok rondslingert in het clubgebouw.
Voorbeelden van technische maatregelen zijn:
Voorbeelden van organisatorische maatregelen zijn:
Bij de te nemen maatregelen houdt Voetbalvereniging Dalen rekening met de risico’s die met de verwerking van persoonsgegevens zijn verbonden. Bijzondere risicogebieden zijn bijvoorbeeld:
Voetbalvereniging Dalen maakt beveiligingsafspraken met leveranciers van (IT-)diensten die toegang krijgen tot persoonsgegevens waarvoor Voetbalvereniging Dalen verantwoordelijk is. De afgesproken beveiligingsniveaus worden vastgelegd in een zogeheten verwerkersovereenkomst.
Het is niet ongebruikelijk dat bestuurders/vrijwilligers bij de vervulling van verenigingstaken gebruikmaken van privéapparatuur. Dat is in principe mogelijk, maar Voetbalvereniging Dalen blijft verantwoordelijk voor het veilige verloop van dit gebruik. Bij plaatsing van persoonsgegevens op privéapparatuur zijn de volgende regels van toepassing:
Leidt een beveiligingsincident tot de vernietiging, verlies, wijziging of ongeoorloofde verstrekking/toegang, dan is mogelijk sprake van een datalek. Tenzij het datalek waarschijnlijk geen nadelige gevolgen heeft voor de betrokken personen, moet het lek tijdig worden gemeld bij de Autoriteit Persoonsgegevens. Heeft het lek bovendien een hoog risico op nadelige gevolgen voor de personen wiens gegevens het betreft, dan moet het incident ook aan deze personen worden gemeld. Blijkt een datalek achteraf ten onrechte niet tijdig te zijn gemeld, dan kan dit leiden tot oplegging van een fikse boete.
Voetbalvereniging Dalen is verplicht om betrokkenen te informeren over de manier waarop wordt omgegaan met hun persoonsgegevens. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging, die zijn vastgelegd in het verwerkingsregister van de vereniging.
In de privacyverklaring wordt, in duidelijke bewoordingen, onder meer de volgende informatie opgenomen:
Indien de persoonsgegevens via een derde worden verkregen in plaats van rechtstreeks via de betrokkene, wordt tevens meegedeeld van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft.
De betrokkene wordt voorafgaand aan het vastleggen van zijn of haar persoonsgegevens geïnformeerd. Wanneer iemand zich bijvoorbeeld online aanmeldt als verenigingslid wordt deze op het formulier duidelijk naar de privacyverklaring verwezen met een hyperlink, als volgt: “Voetbalvereniging Dalen verwerkt uw persoonsgegevens conform de privacyverklaring”. Gebeurt de aanmelding niet online maar ter plaatse, dan wordt op het papier verwezen naar de privacyverklaring welke dan tevens klaarligt ter raadpleging.
Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Eén van deze gevallen is dat de betrokkene uitdrukkelijk toestemming geeft. Toestemming is echter niet nodig voor iedere verwerking. Denk bijvoorbeeld aan verwerkingen die voor Voetbalvereniging Dalen noodzakelijk zijn om uitvoering te geven aan de lidmaatschapsovereenkomst met leden.
Voorbeelden waarvoor Voetbalvereniging Dalen toestemming nodig heeft zijn:
Wanneer Voetbalvereniging Dalen persoonsgegevens verwerkt op basis van toestemming, moet met het volgende rekening worden gehouden:
Ook ten aanzien van marketing en online publicatie zijn privacyregels van toepassing.
Het SPAM-verbod houdt in dat Voetbalvereniging Dalen iemand geen ongevraagde elektronische berichten mag sturen, tenzij de ontvanger daar vooraf mee instemt. Hieronder vallen bijvoorbeeld niet enkel typische reclameboodschappen, maar ook nieuwsbrieven.
Op het versturen van reguliere nieuwsbrieven aan leden is het SPAM-verbod niet van toepassing. Voetbalvereniging Dalen moet leden immers regelmatig kunnen informeren (bijvoorbeeld vanwege uitnodiging Algemene Leden Vergadering). Maar, voor commerciële boodschappen is wél toestemming nodig van de ontvangen, lid of niet.
Voetbalvereniging Dalen stuurt geen berichten aan leden met daarin zowel verenigingsinformatie als commerciële boodschappen (zoals bijvoorbeeld een kortingsactie van een sponsor). Mocht dat in de toekomst wel gebeuren, dan zal daartoe vooraf toestemming worden gevraagd.
Ja, iedere ontvanger moet zich eenvoudig kunnen afmelden voor het ontvangen van ongevraagde elektronische berichten.
Mochten sponsoren Voetbalvereniging Dalen verzoeken om adresgegevens van verenigingsleden te verstrekken, omdat zij deze verenigingsleden individueel willen kunnen benaderen met commerciële mededelingen, dan is het de Voetbalvereniging Dalen onder bepaalde omstandigheden toegestaan om adresgegevens (naam, adres, woonplaats) met hen te delen.
Ja, maar individuele toestemming is niet noodzakelijk. Voetbalvereniging Dalen kan de doorgifte van adresgegevens namelijk ook in algemene zin laten goedkeuren door de algemene ledenvergadering. Na een dergelijke instemming is individuele toestemming van ieder lid niet langer nodig. Wel moet Voetbalvereniging Dalen haar leden op voorhand duidelijk meedelen dat ieder lid gedurende een bepaalde periode eenvoudig bezwaar kan maken tegen de verstrekking van zijn of haar eigen adresgegevens. Voetbalvereniging Dalen kan leden daarover informeren via bijvoorbeeld mail of de eigen website. In een voorkomend geval zal Voetbalvereniging Dalen leden vier weken de kans bieden voor het kenbaar maken van hun eventuele bezwaren.
Voor het verzenden van ongevraagde elektronische berichten is uitdrukkelijke toestemming nodig van de ontvanger. Beschikt een sponsor niet over dergelijke individuele toestemming, dan mag Voetbalvereniging Dalen geen e-mailadressen van deze ontvangers verstrekken aan deze sponsor.
Foto’s en video’s met een herkenbaar in beeld gebrachte betrokkene zijn meestal persoons- gegevens. Voor het maken en publiceren ervan heeft Voetbalvereniging Dalen daarom vaak toestemming nodig van de betrokkene, zeker als het gaat om een minderjarig persoon. Toestemming ten aanzien van iemand die nog geen 16 jaar oud is, moet worden gevraagd aan de ouder/voogd.
Let op: iemand die toestemming geeft voor het maken van een foto, geeft daarmee niet per definitie toestemming voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. In de regel zal Voetbalvereniging Dalen gehoor geven aan een dergelijk verzoek.
Voetbalvereniging Dalen zorgt ervoor dat leden en toeschouwers zijn geïnformeerd over eventuele beeldopnamen.
Voor een vereniging is het publiceren van een ledenlijst in principe toegestaan, maar dan wel bij voorkeur met instemming van de algemene ledenvergadering daaraan vooraf. Wanneer de wens bestaat om behalve namen ook contactgegevens in de lijst op te nemen, moet dit expliciet worden aangekaart gedurende de ledenvergadering. Leden moeten bovendien vooraf in de gelegenheid worden gesteld om zich tegen publicatie te verzetten. En ten slotte mogen uitsluitend leden toegang hebben tot de gepubliceerde lijst.
Ook op sociale media is Voetbalvereniging Dalen verantwoordelijk voor het publiceren van persoons- gegevens (zoals foto’s). Voetbalvereniging Dalen zal derhalve goed overwegen welke publicaties wel/niet wenselijk zijn, en dit indien van toepassing onderwerp van discussie maken in de leden- vergadering. Voetbalvereniging Dalen neemt een paragraaf over sociale media-gebruik op in het huisreglement. De kern is uiteindelijk dat de privacy is geborgd van leden/personen die dergelijke publiciteit liever mijden, en dat Voetbalvereniging Dalen adequaat omgaat met eventuele klachten en verzoeken.
Voor vragen over Privacy bij Voetbalvereniging Dalen kun je terecht bij secretaris Derk Lennips, telefoon 06 2099 7705. Of stuur een e-mail naar privacy@vvdalen.nl.