PRIVACYVERKLARING S.V. GROL
Begrippenlijst
• Algemene Verordening Gegevensbescherming (AVG): een privacywet die geldt in de hele Europese Unie, waaronder Nederland. De AVG regelt onder andere de bescherming van persoonsgegevens.
• Autoriteit Persoonsgegevens (AP): de Nederlandse gegevensbeschermingsautoriteit. De AP is aangesteld voor het toezicht op het verwerken van persoonsgegevens.
• Persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.
• Bijzonder persoonsgegeven: gevoelige gegevens als iemands ras, godsdienst of gezondheid.
• Verwerken van persoonsgegevens: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Handelingen die er volgens de AVG in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen van gegevens.
• Functionaris gegevensbescherming: iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.
• Verwerkingsregister: een overzicht met informatie over de (bijzondere) persoonsgegevens die verwerkt worden.
INLEIDING
Vanaf 25 mei 2018 geldt er een nieuwe, strengere regelgeving op het gebied van de privacy, de zogeheten Algemene Verordening Gegevensbescherming.
Het recht op privacy kun je eenvoudig omschrijven als het iemands recht om met rust gelaten te laten worden. Dit betekent ook dat je niet zomaar iemands persoonlijke informatie mag gebruiken. Dit noemen we het recht op de bescherming van persoonsgegevens.
Als sportvereniging ben je wettelijk verplicht tot het beschermen van de persoonsgegevens van leden, vrijwilligers en alle andere personen van wie je persoonsgegevens verwerkt.
Een persoonsgegeven (zie begrippenlijst) is ieder gegeven over een levende en identificeerbare persoon. Het gaat dus om àlle informatie over een persoon. Bijvoorbeeld voornaam, achternaam, woonplaats, adres, telefoonnummer, lidmaatschapsnummer, leeftijd, geslacht, lengte, dieet, medicijngegevens, seksuele voorkeur, e-mail adres én ook herkenbare afbeelding in foto, video, social media, website, clubblad, poster, advertentie e.d.
Wanneer is iemand identificeerbaar ?
We spreken van een persoonsgegeven als een gegeven herleidbaar is tot een persoon.
Informatie is vaak eenvoudig gekoppeld aan een naam of uniek nummer, zodat je de persoon direct kunt identificeren. Een e-mail adres met de naam erin is een persoonsgegeven.
Soms is identificatie niet direct maar wel indirect mogelijk, bijvoorbeeld bij een teamfoto zonder namen erbij. Met wat zoeken op internet kom je erachter wie er op staat. Die teamfoto is in dat geval een persoonsgegeven.
Verwerking van persoonsgegevens
De definitie van een persoonsgegeven zegt op zich niet veel want het gaat erom wat je met die gegevens doet. Het gaat om de verwerking van die persoonsgegevens. Want door die verwerking kun je de privacy van een persoon schenden.
Verwerkingen vinden in de praktijk niet alleen digitaal plaats maar ook op papier. En ook als ze in een bestand worden opgenomen, is er sprake van verwerking.
Voorbeelden van verwerkingen bij een sportvereniging : ledenbestand, vrijwilligersbestand, wedstrijdadministratie, contributiebestand, sportlink, spelersvolgsysteem, nieuwsbriefbestand, clubbladbestand, teamlijst op website, foto op website, video, foto op vereningsapp, foto op ander social medium etc.
Wie is de verwerkingsverantwoordelijke ?
Wie moet zich aan de regels houden bij een bepaalde verwerking ? Dat is één partij, namelijk degene die beslist over het doel en de middelen van de verwerking. Deze partij is de verwerkingsverantwoordelijke. Die partij is de baas van een verwerking van persoonsgegevens, de verantwoordelijke bepaalt waarom en hoe bepaalde gegevens wel of juist niet worden gebruikt. Dus is de sportvereniging in de praktijk verantwoordelijk voor vrijwel alle verwerkingen die zij uitvoert met de persoonsgegevens van haar leden. De vereniging bepaalt immers hoe en waarom bepaalde verwerkingen plaatsvinden (ledenadministratie, contributie-inning, nieuwsvoorziening, website-berichten, doorgeven persoonsgegevens aan sportbond e.d.).
Iedere partij is wel zelfstandig verantwoordelijk voor de naleving van de privacy-wetgeving. Dus een sportbond is zelf verantwoordelijk voor de verwerking van gegevens die ze van de verenigingen hebben ontvangen.
Verwerkingsovereenkomst
Met externe partijen die actief persoonsgegevens verwerken die afkomstig zijn van de s.v. Grol , wordt een verwerkingsovereenkomst afgesloten; op initiatief van de verwerker die verantwoordelijk is voor de verwerking van de persoonsgegevens. Voor de voetbalbond KNVB en het gegevensprogramma Sportlink is een verwerkingsovereenkomst niet nodig in de zin van de privacywetgeving.
Welke beveiligingsplicht heeft een vereniging ?
Iedere sportvereniging is zelfstandig verplicht om persoonsgegevens veilig te behandelen. Ze moet passende maatregelen treffen om te voorkomen dat deze gegevens onrechtmatig verwerkt worden. Dat noemt men “informatiebeveiliging”.
Ook met de juiste maatregelen kan er een beveiligingsincident optreden, bijvoorbeeld het verlies van persoonsgegevens, een ongeoorloofde toegang door derden bij verenigingsgegevens, een verkeerde wijziging van persoonsgegevens. Dan is sprake van een “datalek”. Als zo’n lek nadelige gevolgen kan hebben voor betrokken personen, moet dat lek gemeld worden bij de Autoriteit Persoonsgegevens (“de privacy-waakhond”).
Waarom een privacy-verklaring ?
Als vereniging ben je verplicht om betrokkenen te informeren over de manier waarop je omgaat met hun persoonsgegevens. Dat doe je in een zogenaamde “privacy-verklaring”.
Uit die verklaring blijkt in ieder geval :
-waarvoor je de persoonsgegevens verwerkt
-hoelang de persoonsgegevens worden bewaard
-welke persoonsgegevens worden doorgegeven en aan welke derden dat zijn
-dat iedere betrokkene zijn toestemming voor verwerking van zijn persoonsgegevens op elk moment mag intrekken
-dat iedere betrokkene een verzoek mag indienen tot inzage, correctie en verwijdering
-dat iedere betrokkene een klacht mag indienen bij de Autoriteit Persoonsgegevens
Als vereniging kun je volstaan met één privacy-verklaring. Het moet dan wel een toelichting zijn op alle verwerkingen en op alle groepen.
Wanneer geen toestemming nodig voor verwerking van persoonsgegevens ?
Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Toestemming is echter niet nodig voor iedere verwerking. Bijvoorbeeld verwerkingen die noodzakelijk zijn om als vereniging uitvoering te geven aan de lidmaatschapsovereenkomst met leden.
Functionaris Gegevensbescherming
Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en de naleving van de AVG. Bij een sportvereniging is zo’n functionaris niet verplicht. De s.v. Grol heeft wel een Functionaris Gegevensbescherming aangesteld: de heer Marco Frank. Zijn contactgegevens zijn op de website gepubliceerd.
Soorten gewone persoonsgegevens
Achternaam, voornaam, voorletters, titel, adres, woonplaats, provincie, postcode, telefoonnummer, e-mail, geslacht, geboortedatum, geboorteplaats, burgerlijke staat, adres linkedin, adres facebook, adres twitter, werkgever, bankrekeningnummer, inloggegevens website, kenteken voertuig, opleiding, diploma’s.
Soorten bijzondere persoonsgegevens
Etnische afkomst, politieke voorkeur, religie, lid vakbond, genetische en biometrische gegevens, gegevens gezondheid, gegevens seksuele geaardheid, strafrechtelijke gegevens, salarisgegevens, kopie paspoort met foto, BSN-nummer, classificatiecode handicap.
Je mag bijzondere persoonsgegevens verwerken indien :
-de betrokkene toestemming heeft gegeven
-de betrokkene de gegevens zelf openbaar heeft gemaakt
-de verwerking van vitaal belang is voor de betrokkene en het vragen van toestemming onmogelijk blijkt.
PRIVACYBELEID S.V. GROL
Verwerken persoonsgegevens / verwerkingsregister
De s.v. Grol hecht al jarenlang veel waarde aan de bescherming van persoonsgegevens van haar leden, vrijwilligers, sponsoren en werknemers. Persoonsgegevens worden alleen verwerkt met het doel waarvoor deze gegevens zijn verstrekt door betrokken persoon. Er zijn passende technische en organisatorische maatregelen genomen om de beveiliging van persoonsgegevens zo goed mogelijk te waarborgen. Persoonsgegevens worden bij s.v. Grol verwerkt met de volgende doelstellingen :
-uitvoering geven aan de voetbalsport
-activiteiten ter bevordering van het verenigingsgevoel
-communicatie met haar leden, vrijwilligers en sponsoren
-ondersteuning van de vereniging
De s.v. Grol verwerkt de volgende gewone persoonsgegevens die per categorie kunnen verschillen; de s.v. Grol verwerkt bijvoorbeeld andere gegevens van leden dan van sponsoren. Er wordt per categorie niet meer vastgelegd dan noodzakelijk is.
- Voornaam
- Voorletters
- Tussenvoegsel
- Achternaam
- Adres
- Postcode
- Woonplaats
- Telefoonnummer(s)
- E-mail adres
- E-mail adres ouders/verzorgers (bij jeugdleden tot 16 jaar)
- Geboortedatum
- Geboorteplaats
- Geslacht
- Nationaliteit(en)
- Adres social media
- Adres bedrijf
- Bankgegevens
- Bedrijfsnaam
- Zakelijke gegevens
- Contactpersonen
- Foto op spelerspas
- Foto van team
- Opleiding
- Diploma
- Contractloon bij s.v. Grol
- Vrijwilligersvergoeding
- Kenteken voertuig
De s.v. Grol verwerkt de volgende bijzondere persoonsgegevens :
- Gegevens blessures
- Classificatiecode handicap
De meeste persoonsgegevens worden digitaal verwerkt. Maar fysieke mappen bij de verantwoordelijke voor het beheer van gegevens komen ook nog voor.
Wij verwerken ook persoonsgegevens van minderjarigen (personen jonger dan 16 jaar). Ouders, verzorgers of wettelijke vertegenwoordigers kunnen aan die verwerking hun toestemming onthouden door dit te melden bij de Functionaris Gegevens Bescherming bij de s.v. Grol.
Bezwaar
Iedereen kan bezwaar maken tegen de verwerking van de eigen persoonsgegevens of zelfs toestemming weigeren de gegevens te verwerken. De consequenties voor het functioneren als lid of als relatie zijn voor de bezwaarmaker of weigeraar.
Klacht
Ook een klacht over de verwerking van de eigen persoonsgegevens is mogelijk. Die klacht kan gericht worden aan de Functionaris Gegevens Bescherming. De klacht kan ook direct worden ingediend bij de Autoriteit Persoonsgegevens.
Verwerking
De s.v. Grol verwerkt persoonsgegevens in :
-de ledenadministratie
-de contributie-administratie
-het registratieprogramma Sportlink
-het bestand voor opgave leden aan de KNVB
-de teamindeling
-de wedstrijdadministratie
-het spelersvolgsysteem
-het bestand voor nevenactiviteiten
-het vrijwilligersbestand
-het bestand voor bezorging clubblad
-de website
-het digitale verzendregister per e-mail
-de nieuwsbrieven
-de financiële administratie
-de salarisadministratie
-het bestand voor foto’s en films
Er zijn weinig andere partijen waaraan de persoonsgegevens worden doorgegeven :
-de voetbalbond KNVB
-het gegevensprogramma Sportlink
-de dienst Google Analytics
-de arbodienst
-de sociale dienst van de gemeente
-de toepasselijke gemeentelijke organen
-enkele geselecteerde Betaald Voetbal Organisaties
-de externe salarisadministrateur (alleen van personen met een contractloon)
-de wettelijke instanties (incidenteel van bepaalde personen)
Deze partijen zijn zelf verantwoordelijk voor wettelijk correcte verwerking. Zij zijn verwerkingsverantwoordelijk.
Verder verstrekken wij geen persoonsgegevens aan derde partijen zonder uitdrukkelijke toestemming van betrokkenen of wettelijke vertegenwoordigers.
Persoonsgegevens die de s.v. Grol beheert worden nooit doorverkocht aan derden.
Bewaartermijn
Bij de s.v. Grol worden persoonsgegevens niet langer bewaard dan noodzakelijk is voor het doel waarvoor deze gegevens zijn verstrekt dan wel op grond van een wet vereist is.
Beveiliging
De s.v. Grol heeft gebruikelijke beveiligingsmaatregelen genomen zoals een firewall, een antivirusprogramma en ook afgesloten kasten. Maar de s.v. Grol let vooral op het gedrag van diegenen die persoonsgegevens beheren. Ze mogen niet nalatig zijn, moeten consequent handelen en mogen zeker niet slordig zijn. Zij worden door het verantwoordelijk bestuur op hun verkeerde gedrag aangesproken.
Datalek
Het kan natuurlijk voorkomen – zeker in een vrijwilligersorganisatie als de s.v. Grol – dat persoonsgegevens per ongeluk op een verkeerde plek terecht komen. Dat noemt men een “datalek”. Een datalek zal worden gemeld aan de nationale Autoriteit Persoonsgegevens. De s.v. Grol zal zo spoedig mogelijk de oorzaak van het datalek proberen te achterhalen en tot een herstelactie over gaan. Betrokkene(n) zal/zullen worden geïnformeerd over het datalek.
Iedereen die een vermoeden heeft van een datalek, kan daarvan melding doen bij de Functionaris Gegevensbescherming.
Datalekken worden digitaal gemeld bij het meldloket van de Autoriteit Persoonsgegevens.
Inzagerecht
Iedere belanghebbende heeft op elk moment het recht de persoonsgegevens die bij de s.v. Grol geregistreerd zijn in te zien. Het verzoek kan worden gedaan aan de Functionaris Gegevens Bescherming.
Cookies of vergelijkbare technieken
De s.v. Grol zet geen cookies of vergelijkbare technieken op haar website in.
De website van de s.v. Grol (www.svgrol.nl) maakt gebruik van Google Analytics. Op basis van de richtlijnen van de Algemene Verordening Gegevensbescherming is deze anoniem gemaakt. Er is een aangepaste verwerkingsovereenkomst met Google afgesloten. IP-adressen en User ID’s zijn gemaskeerd en daardoor niet te traceren. Er worden geen gegevens en data doorgestuurd voor aanvullende Google-diensten.
Cameratoezicht
Op het sportpark bevinden zich camera’s om de veiligheid op het sportpark te bevorderen. De beelden die worden opgenomen, worden twee weken bewaard. Dit cameratoezicht valt onder deze Privacyverklaring c.q. onder de Algemene Verordening Gegevensbescherming.
De Functionaris Gegevensbescherming hanteert een protocol dat wordt gevolgd indien derden verzoeken om informatie te verstrekken die voortvloeit uit het cameratoezicht.
Foto- en video-opnames
Op het sportpark worden foto’s en video-opnames gemaakt. De s.v. Grol doet dit of laat dit doen voor verhalen en rapportages over wedstijden en activiteiten. De verhalen en rapportages zijn vooral bedoeld voor leden, vrijwilligers en sponsoren. Foto’s en video-opnamen zijn daarbij ondersteunend. De verhalen en rapportages worden gepubliceerd op de mediakanalen van de s.v. Grol en in de lokale weekbladen. De mediakanalen van de s.v. Grol zijn met name de website, de social media, het clubblad, de presentatiegids en de videoschermen in het clubgebouw.
Daarnaast worden er in opdracht van de trainers van de teams video-opnames gemaakt van geselecteerde wedstrijden voor een wedstrijd-analyse. Deze beelden worden alleen integraal beschikbaar gesteld aan het desbetreffende team en eventueel personen die verantwoordelijk zijn voor het voetbaltechnisch beleid van de vereniging. De beelden zijn niet openbaar. Alleen fragmenten uit de opnames worden eventueel gebruikt voor PR-doeleinden via de eigen media-kanalen van de s.v. Grol.
Iedere belanghebbende kan bezwaar maken tegen de opnames. In de eerste plaats bij de maker. De maker moet rekening houden met het bezwaar. Gebeurt dit naar het oordeel van de belanghebbende onvoldoende, dan kan belanghebbende de Functionaris Gegevens Bescherming inschakelen of één van de leden van het bestuur van de s.v. Grol. Zij zijn bereikbaar via het wedstrijdsecretariaat of in het clubgebouw. Het bezwaar zal zoveel mogelijk maar wel in redelijkheid worden gehonoreerd.
Disclaimer
Deze Privacyverklaring is afdoende voor een vrijwilligersorganisatie. De verklaring gaat niet zover als bij professionele organisaties. De s.v. Grol houdt de jurisprudentie inzake de Algemene Verordening Gegevensbescherming bij. Indien wettelijk noodzakelijk zal de s.v. Grol deze privacyverklaring aanpassen.
Hoofdbestuur s.v. Grol
December 2018 (bijgewerkt Februari 2019)
Grol Formulieren