Clubs

Privacy & de sportclub #1: belangrijkste basisbegrippen

Vanaf 25 mei 2018 geldt er nieuwe, strengere regelgeving op het gebied van privacy, de zogeheten Algemene Verordening Gegevensbescherming (AVG). In deze reeks van nieuwsbrieven gaan we in op de belangrijkste verplichtingen voor sportclubs. Ditmaal geven we uitleg over enkele basisbegrippen.

Privacy: wat is dat?

Het recht op privacy kun je eenvoudig omschrijven als iemands recht om met rust te worden gelaten. Dit betekent ook dat je niet zomaar iemands persoonlijke informatie mag gebruiken. Dit laatste noemen we het recht op de bescherming van persoonsgegevens.

Als sportclub ben je wettelijk verplicht tot het beschermen van de persoonsgegevens van leden, vrijwilligers, en alle andere personen van wie je persoonsgegevens verwerkt. Privacywetgeving stelt daarvoor een aantal concrete regels. Om te begrijpen hoe je die regels naleeft, is het handig om enkele basisbegrippen te kennen. De belangrijkste begrippen lichten we hierna toe.

Wat zijn persoonsgegevens?

Een persoonsgegeven is ieder gegeven over een levende en identificeerbare persoon. Het gaat dus om álle informatie over een persoon. Het maakt daarbij niet uit of informatie ‘privé’, publiek bekend, oud of nieuw, relevant of juist volstrekt onbelangrijk is. Een paar voorbeelden van persoonsgegevens zijn iemands voor- en achternaam, woonplaats en adres, telefoonnummer, lidmaatschapsnummer, leeftijd, lichaamslengte, dieet, geslacht, seksuele voorkeur, e-mailadres en de herkenbare afbeelding in een foto of video.

Ook gegevens over iemands gedrag en voorspellingen daarvan kunnen persoonsgegevens zijn. Denk bijvoorbeeld aan iemands locatiegegeven of een analyse van iemands fysieke inspanning via populaire wearables en apps. Zulke gegevens zijn natuurlijk privacygevoelig.

Wanneer is iemand identificeerbaar?

We spreken van een persoonsgegeven als een gegeven herleidbaar is tot een persoon. Vaak is informatie eenvoudig gekoppeld aan een naam of aan een uniek nummer, zodat je een persoon direct kunt identificeren. Stel dat de secretaris van een club Jan de Vries heet en gebruikmaakt van het e-mailadres jan.devries@sportclub.nl. Dan is dat e-mailadres een persoonsgegeven. Soms is identificatie weliswaar niet direct, maar wel indirect mogelijk. Denk bijvoorbeeld aan een teamfoto. Hoewel er misschien geen namen onder de teamfoto staan, kom je daar met een eenvoudige zoekopdracht via internet soms toch achter. De foto is in dat geval een persoonsgegeven.

Valt er écht niet te achterhalen op wie informatie betrekking heeft, dan is sprake van ‘anonimiteit’. In theorie is de privacywetgeving dan niet van toepassing, omdat er geen sprake is van een persoonsgegeven. De ervaring leert echter dat het vaak lastig is om te voorkomen dat informatie alsnog kan wordt gekoppeld aan een individu. Ga er dus nooit zomaar vanuit dat je privacywetgeving eenvoudig buitenspel zet.

Ter illustratie: een bekend misverstand is het ‘anonimiseren’ door informatie (zoals een deelnemerslijst of wedstrijduitslagen) te koppelen aan een lidnummer in plaats van een naam. Dat nummer leidt immers eenvoudig terug naar een achternaam, zodat ook het lidnummer en de daaraan gekoppelde informatie kwalificeren als persoonsgegevens. Dat slechts de club in staat is tot het leggen van die koppeling, maakt daarbij niet uit.

Samenvattend: we raden aan om alle gegevens waarvan je vermoedt dat die herleidbaar zijn tot een persoon te behandelen alsof het persoonsgegevens zijn.

Wanneer ‘verwerk’ je persoonsgegevens?

Om te weten in welke gevallen je rekening moet houden met privacywetgeving, moet je steeds nagaan of er sprake is van een verwerking van persoonsgegevens.

Het begrip ‘verwerken’ is zeer breed. In feite is iedere handeling met een persoonsgegeven een verwerking. Denk dus aan het verzamelen, opslaan, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken van persoonsgegevens. In dat laatste geval spreek je van een ‘datalek’. We komen daar in een aparte nieuwsbrief op terug.

Voorbeelden van verwerkingen

Een sportclub neemt de persoonsgegevens van een nieuw lid op in het ledenbestand. Bepaalde gegevens worden doorgestuurd naar de gelieerde sportbond. De club factureert het lid jaarlijks voor het lidmaatschapsgeld. Ook stuurt de club regelmatig nieuwsbrieven aan haar leden. Leden worden gekoppeld met teamindelingen en wedstrijdschema’s. Foto’s en video’s van wedstrijden worden gepubliceerd op de clubwebsite, de clubapp en op sociale media. Nadat het lid is uitgetreden, worden zijn gegevens uit het ledenbestand verwijderd. Dit soort activiteiten zijn voorbeelden van verwerkingen van persoonsgegevens door een sportclub.

Verwerkingen vinden in de praktijk niet alleen digitaal plaats, maar ook op papier. Ook als gegevens op papier worden gezet of geprint om in een bestand te worden opgenomen, is sprake van een verwerking. Denk bijvoorbeeld aan de papieren leden-, vrijwilligers- en wedstrijdadministratie.

Wie is de ‘betrokkene’?

Een belangrijke figuur in het privacyrecht is de betrokkene. Dit is de persoon op wie een persoonsgegeven betrekking heeft. Hij of zij is dus degene die door het privacyrecht wordt beschermd.

Voorbeeld van een betrokkene

Een lid wordt opgenomen in het ledenbestand van de sportclub. Het lid is betrokkene bij de verwerkingen van de persoonsgegevens die op hem of haar betrekking hebben, zoals een naam, lidnummer, adres, geboortedatum en bankrekeningnummer.

Betrokkenen hebben een aantal belangrijke rechten. Zo kan ieder lid of een vrijwilliger vragen om inzage, aanpassing en verwijdering van zijn of haar persoonsgegevens. Je bent als club meestal verplicht om aan een dergelijk verzoek mee te werken.

Wie is ‘verwerkingsverantwoordelijke’?

Naast de vraag of privacywetgeving een rol speelt, wil je natuurlijk ook weten wie zich vervolgens aan die regels moet houden bij een bepaalde verwerking. Dat is hoofdzakelijk één partij, namelijk degene die beslist over het doel van en de middelen voor die verwerking. We noemen deze partij de verwerkingsverantwoordelijke (of korter: verantwoordelijke). Je kunt de verantwoordelijke eigenlijk zien als de baas van een verwerking van persoonsgegevens: de verantwoordelijke bepaalt waarom en hoe bepaalde gegevens wel of juist niet worden gebruikt.

Voorbeeld van een verantwoordelijke

De sportclub is in de praktijk verantwoordelijk voor vrijwel alle verwerkingen die zij uitvoert met de persoonsgegevens van haar leden. De club bepaalt immers hoe en waarom bepaalde verwerkingen plaatsvinden (zoals ledenbeheer, facturatie en nieuwsvoorziening van leden, online publicaties door de club, of de doorgifte van persoonsgegevens aan een sportbond of een sponsor).

Vaak worden dezelfde persoonsgegevens van een betrokkene door meerdere partijen verwerkt voor verschillende doeleinden. Deze partijen zijn doorgaans ieder zelfstandig verantwoordelijke voor wat zij zélf met die persoonsgegevens doen.

Voorbeeld

De persoonsgegevens van een lid (zoals een e-mailadres) zijn vaak niet alleen bekend bij de sportclub, maar ook bij een sportbond of een koepelorganisatie. Deze organisaties streven vaak een eigen doel na bij het gebruik van die persoonsgegevens. Iedere partij blijft dan zelfstandig verantwoordelijk voor de naleving van privacywetgeving.

Let op: een sportbond is niet automatisch verantwoordelijke voor verwerkingen die plaatsvinden door derde partijen die dat doen voor hun eigen doeleinden, ook al heeft deze derde de persoonsgegevens wellicht verkregen via de sportbond.

Meestal kun je eenvoudig vaststellen wie verantwoordelijke is, maar er zijn ook complexere gevallen. Soms zijn er bijvoorbeeld meerdere organisaties betrokken bij dezelfde verwerking. Je bent dan ‘gezamenlijk verantwoordelijk’. Doet zo’n situatie zich voor en kun je niet vaststellen wat de rechten en plichten zijn van de club, vraag dan om deskundig advies.

Onze club maakt gebruik van externe dienstverleners, hoe zit dat?

Sportclubs maken tegenwoordig veel gebruik van bijvoorbeeld online ledenadministratie en marketingmailing-diensten. Daarbij worden vrijwel altijd persoonsgegevens verwerkt. De club bepaalt in dat geval weliswaar het doel van de verwerking van die persoonsgegevens, maar de dienstverlener verzorgt de feitelijke uitvoering, zoals het ‘hosten’ van de gegevens. Een dienstverlener is in dat geval als een ‘verwerker’. Als verantwoordelijke ben je wettelijk verplicht tot het aangaan van een zogeheten verwerkersovereenkomst met deze verwerker. Je maakt daarin afspraken om ervoor te zorgen dat de verwerker zorgvuldig omgaat met de persoonsgegevens. Wij komen daar in een latere nieuwsbrief nog op terug.

Voorbeeld verwerker

De sportclub neemt de persoonsgegevens van haar leden op in een online ledenbeheersysteem. Dit systeem wordt aangeboden en gehost door een ICT-dienstverlener. De hosting gebeurt ten behoeve van de club (en niet voor eigen doeleinden van de ICT-dienstverlener). De ICT-dienstverlener is dus verwerker, en de club is verantwoordelijke voor de verwerkingen die plaatsvinden met het ledenbeheersysteem. De club moet een verwerkersovereenkomst sluiten met de ICT-dienstverlener.

Slot

Nu je weet wat de belangrijkste begrippen en partijen zijn binnen het privacyrecht, kun je vaststellen of een bepaalde verplichting relevant is voor jouw sportclub.