Meestgestelde vragen

Ja, de AVG is van toepassing op tennisverenigingen.

De Autoriteit Persoonsgegevens (AP) treedt binnen Nederland op als privacytoezichthouder. De AP kan boetes uitdelen als organisaties de AVG overtreden. Dit geldt dus ook voor verenigingen.

Volgens de regels kan de AP een boete opleggen van maximaal 20 miljoen euro. Het gaat er om dat je als vereniging al het redelijke doet qua inspanning om te voldoen aan de verplichtingen uit de AVG. 

Sportverenigingen zijn zelfstandig verplicht zorgvuldig om te gaan met persoonsgegevens. De wet stelt daarvoor een aantal concrete eisen. Om te achterhalen welke gevolgen dit heeft voor jouw vereniging, moet je eerst grondig vaststellen hoe de vereniging persoonsgegevens zoal gebruikt. Deze informatie leg je vast in een verwerkingsregister (hierna: "register"). Het bijhouden van een register is wettelijk verplicht.

Een register komt van pas bij het stapsgewijs controleren van het privacybeleid binnen de vereniging. Zo kun je met het register bijvoorbeeld per verwerking nagaan of een gebruik van persoonsgegevens wel of niet is toegestaan en of de gebruikte gegevens niet te lang worden bewaard. 

Het register is een schematisch overzicht met essentiële informatie over de verwerkingen van persoonsgegevens binnen de vereniging. Het register geeft minimaal antwoord op de volgende vragen:

• Wat zijn de verschillende doeleinden waarvoor de vereniging persoonsgegevens verwerkt?
• Om welke persoonsgegevens gaat het?
• Op welke categorie personen hebben de gegevens betrekking (wie zijn de betrokkenen?
• Hoe lang worden de betreffende persoonsgegevens bewaard?
• Verstrekt de vereniging persoonsgegevens aan derden, wie zijn dit en wat is het doel daarvan?
• Wat zijn in algemene bewoordingen de getroffen beveiligingsmaatregelen ter bescherming van de betrokken persoonsgegevens?
• Worden er persoonsgegevens doorgegeven aan of opgeslagen in landen buiten de Europese Economische Ruimte en/of internationale organisaties en, zo ja, welke landen en/of organisaties zijn dit?

Het is aanbevolen per verwerkingsdoel ook de volgende informatie op te nemen:

• Wie zijn binnen de vereniging belast met deze verwerking?
• Welke IT-systemen worden gebruikt bij deze verwerking?
• Hoe zijn betrokkenen geïnformeerd over deze verwerking?

Kijk hier voor een voorbeeld van een onderdeel van het register. *Dit schema dient slechts ter illustratie. 

Persoonsgegevens mogen enkel worden verwerkt indien daarvoor een geldige "grondslag" bestaat. Een sportvereniging moet een verwerking in de praktijk meestal kunnen baseren op minimaal één van onderstaande gronden:

• de verwerking is noodzakelijk voor de uitvoering of de totstandkoming van een overeenkomst met de betrokkene (voorbeeld: het opnemen van een nieuw lid in de ledenadministratie);
• de verwerking is noodzakelijk voor de naleving van een wettelijke plicht (voorbeeld: de algemene fiscale bewaarplicht van zeven jaren);
• de betrokkene geeft toestemming voor de verwerking (voorbeeld: het plaatsen van foto’s van jeugdspelers op sociale media); of
• de verwerking is noodzakelijk vanwege een gerechtvaardigd belang van de vereniging of van een derde partij (voorbeeld: het versturen van nieuwsbrieven aan leden door de vereniging).

Zijn alle toepasselijke grondslagen eenmaal opgenomen in het register, dan kan per verwerking worden vastgesteld of deze grondslag toereikend is of niet. Ontbreekt een geldige grondslag, dan weet je dat de verwerking moet worden gestaakt.

Persoonsgegevens mogen in principe niet langer worden bewaard dan noodzakelijk is voor het beoogde doel, tenzij de wet bepaalt dat zij voor langere tijd moeten worden opgeslagen. Hoe lang je persoonsgegevens bewaart, varieert in de praktijk nogal.  Een structureel overzicht is daarom noodzakelijk. Een register helpt bij het aanbrengen van die structuur.

Voorbeeld bewaartermijn

Persoonsgegevens van een uitgetreden lid bewaar je in principe niet langer dan twee jaren na het einde van het lidmaatschap. Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaren. Overleg dus met de penningmeester binnen de vereniging welke gegevens daaronder vallen. Sommige informatie zal je wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre je de gegevens kunt anonimiseren.

De AVG verplicht je om verwerkersovereenkomsten met organisaties te sluiten die persoonsgegevens voor de vereniging verwerken. Het gaat om organisaties die persoonsgegevens in opdracht van de vereniging verwerken. Denk bijvoorbeeld aan jullie ledenadministratie, KNLTB.Club van LISA of de Club Manager van All United. Ga dus na met welke verwerkers jouw vereniging allemaal samenwerkt en sluit (nieuwe) overeenkomsten af die voldoen aan de AVG. In een verwerkersovereenkomst maak je afspraken hoe de andere organisatie omgaat met de persoonsgegevens, bv. op het gebied van beveiliging, geen doorgifte en het verwijderen van persoonsgegevens.

De verwerkersovereenkomst met LISA of All United kun je raadplegen in het systeem, of in de algemene voorwaarden. Neem daarvoor contact op LISA of All United. 

Nee, er moet geen verwerkersovereenkomst gesloten worden tussen de vereniging en de KNLTB. De KNLTB verwerkt namelijk geen persoonsgegevens in opdracht van de vereniging. De KNLTB en de verenigingen verwerken persoonsgegevens ieder voor een eigen doel en daarmee zijn zij gezamenlijk verantwoordelijke voor de verwerking van persoonsgegevens. De KNLTB verwerkt geen gegevens voor jullie doel, maar voor een eigen doel voor al onze eigen individuele leden. Dat wij gegevens aangeleverd krijgen via de verenigingen doet daar niets aan af. De KNLTB heeft dus een eigen verantwoordelijkheid om zich te houden aan de AVG voor zijn ledenbestand en de tennisverenigingen voor jullie eigen ledenbestand. Net als jullie vereniging sluit de KNLTB verwerkersovereenkomsten met organisaties die in opdracht van de KNLTB persoonsgegevens verwerken, zal de KNLTB een verwerkingsregister opstellen en beschikt de KNLTB over een privacyverklaring.

Iedere sportvereniging is zelfstandig verplicht om persoonsgegevens veilig te behandelen. Als gegevens bijvoorbeeld worden gestolen of ergens rondslingeren, kan dit vervelende gevolgen hebben voor betrokkenen.

Een vereniging moet passende maatregelen treffen om te voorkomen dat persoonsgegevens worden blootgesteld aan onrechtmatige verwerking. Informatiebeveiliging is echter meer dan het beschermen tegen diefstal en virussen. De praktijk leert dat de meeste beveiligingsincidenten het gevolg zijn van niet-opzettelijke nalatigheid. Denk bijvoorbeeld aan het rondslingeren van USB-sticks met leden- en deelnemerslijsten, of een computercrash waarbij persoonsgegevens definitief verloren gaan. Je beschermt persoonsgegevens tegen iedere vorm van verlies van beschikbaarheid, integriteit dan wel vertrouwelijkheid.

Uiteindelijk draait informatiebeveiliging om een juiste combinatie van zowel technische als organisatorische maatregelen, waarbij uiteindelijk de zwakste schakel telt. Zo is een complex wachtwoord voor het inloggen op de online ledenadministratie zinloos als datzelfde wachtwoord op een notitieblok rondslingert in het clubhuis.

Voorbeelden van veelvoorkomende beveiligingsmaatregelen

Technisch:

• het versleutelen van bestanden ("encryptie");
• het regelmatig doen wijzigen van wachtwoorden;
• het regelmatig maken van back-ups.

Organisatorisch:

• het invoeren van een geheimhoudingsplicht aan vrijwilligers/bestuurders;
• het invoeren van een incidentprotocol voor beveiligingsincidenten;
• het trainen van vrijwilligers/bestuurders om veiligheidsbewustzijn te creëren.

Welke maatregelen nodig zijn, hangt af van de risico’s die met de verwerking van persoonsgegevens zijn verbonden. Bijzondere risicogebieden waar je als sportvereniging bijvoorbeeld vaak rekening mee houdt zijn:

• de vertrouwelijkheid en beschikbaarheid van de verenigingsadministratie, met name de ledenadministratie;
• communicatie met vertrouwenscontactpersonen; en
• gegevens van jeugdleden.

Tip

De Autoriteit Persoonsgegevens heeft de Beleidsregels beveiliging persoonsgegevens gepubliceerd. Het is aan te raden aan dit document te lezen, nu de autoriteit daarin uitgebreid aangeeft wat zij zoal van een organisatie verwacht.

Het feit dat een doorsnee sportvereniging meestal weinig tot geen expertise in huis heeft op het gebied van IT/informatiebeveiliging, is geen excuus om het onderwerp links te laten liggen. Verenigingen, groot of klein, worden geacht datgene te doen wat redelijkerwijs van hen kan worden verlangd. Onthoud daarbij dat de kwaliteit van beveiliging niet zozeer draait om geld, maar vooral om het verkrijgen van voldoende kennis en bewustzijn. 

Ja, dat is noodzakelijk als de leverancier toegang krijgt tot persoonsgegevens waarvoor de vereniging verantwoordelijk is. Denk bijvoorbeeld aan leveranciers van online verenigingsapplicaties, zoals voor de ledenadministratie. De afgesproken beveiligingsniveaus leg je meestal vast in een zogeheten verwerkersovereenkomst (ook wel "bewerkersovereenkomst" genoemd).

Het is niet ongebruikelijk dat bestuurders/vrijwilligers bij de vervulling van verenigingstaken gebruikmaken van privéapparatuur. Dat is in principe mogelijk, maar de vereniging blijft verantwoordelijk voor het veilig verloop van dit gebruik. Overweeg in ieder geval het invoeren van de volgende regels:

• de gebruiker moet antivirussoftware installeren en deze regelmatig updaten;
• de gebruiker moet deugdelijke toegangscodes instellen;
• vermijd opslag op lokale harde schijven indien gebruik kan worden gemaakt van web-omgevingen (bijv. Google Apps, Office 365, online verenigingsadministratie etc.);
• zorg dat te allen tijde een deugdelijke back-up beschikbaar blijft van de gegevens die op de privéapparatuur worden verwerkt; en
• beëindigt iemand zijn of haar verenigingstaken, zorg er dan voor dat deze persoon niet langer toegang heeft tot de gegevens.

Leidt een beveiligingsincident tot de vernietiging, verlies, wijziging of ongeoorloofde verstrekking/toegang, dan is mogelijk sprake van een datalek. Tenzij het datalek waarschijnlijk geen nadelige gevolgen heeft voor de betrokken personen, moet het lek tijdig worden gemeld bij de Autoriteit Persoonsgegevens. Heeft het lek bovendien een hoog risico op nadelige gevolgen voor de personen wiens gegevens het betreft, dan moet het incident ook aan deze personen worden gemeld. Blijkt een datalek achteraf ten onrechte niet tijdig te zijn gemeld, dan kan dit leiden tot oplegging van een fikse boete. 

Heeft de vereniging onvoldoende kennis of mankracht in huis om een incident af te handelen, vraag dan om hulp van een deskundige.

Het SPAM-verbod houdt in dat je iemand geen ongevraagde elektronische berichten mag sturen, tenzij de ontvanger daar vooraf mee instemt. We hebben het hier dus over e-mail. Daaronder vallen bijvoorbeeld niet enkel typische reclameboodschappen, maar ook nieuwsbrieven.

Ja, op het versturen van reguliere nieuwsbrieven aan leden is het SPAM-verbod niet van toepassing. Een vereniging moet leden immers regelmatig kunnen informeren (uitnodiging ALV, verenigingsagenda, uitslagen, etc.). Maar let op: voor commerciële boodschappen is wél toestemming nodig van de ontvanger, lid of niet. 

Ja, iedere ontvanger moet zich eenvoudig kunnen afmelden voor het ontvangen van ongevraagde elektronische berichten.

Zoals gezegd is voor het verzenden van ongevraagde elektronische berichten, e-mails dus, uitdrukkelijke toestemming nodig van de ontvanger. Een lid moet een opt-in hebben gegeven. Beschikt een sponsor niet over dergelijke individuele toestemming, dan mag de vereniging geen e-mailadressen van deze ontvangers verstrekken aan deze sponsor.  

Veel sponsoren willen verenigingsleden individueel kunnen benaderen met commerciële mededelingen en verzoeken de vereniging daarom adresgegevens te verstrekken. Het is voor een sportvereniging onder bepaalde omstandigheden toegestaan om adresgegevens (d.w.z. naam, adres en woonplaats en/of telefoonnummers) te delen met sponsoren. We raden je aan om hierover de website van de Autoriteit Persoonsgegevens te raadplegen hoe je hier als vereniging invulling aan kan geven.

Voor een vereniging is het (achter een inlog) publiceren van een ledenlijst in principe toegestaan, maar het is verstandig om de algemene ledenvergadering daarmee vooraf te laten instemmen. Wil je behalve namen ook contactgegevens (dus e-mailadres, telefoonnummers) in de lijst opnemen, kaart dit dan expliciet aan gedurende de ledenvergadering. Geef leden bovendien, net zoals bij het verstrekken van adresgegevens aan sponsoren, vooraf gelegenheid om zich tegen publicatie van contactgegevens (e-mailadres, telefoonnummer) te verzetten. Let er dus op dat uitsluitend leden toegang hebben tot de gepubliceerde ledenlijst. 

Ja, ook op sociale media ben je als vereniging verantwoordelijk voor het publiceren van persoonsgegevens (zoals foto’s). Bedenk dus welke publicaties wel/niet wenselijk zijn, en maak dit onderwerp van discussie in de ledenvergadering. Overweeg bijvoorbeeld een paragraaf over sociale media-gebruik op te nemen in het huisreglement. De kern is uiteindelijk dat je de privacy borgt van leden/personen die dergelijke publiciteit liever mijden, en dat je adequaat omgaat met eventuele klachten en verzoeken.

Als vereniging ben je verplicht om betrokkenen te informeren over de manier waarop je omgaat met hun persoonsgegevens. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging, die - als het goed is - zijn vastgelegd in het verwerkingsregister van de vereniging. Een paar voorbeelden van doelgroepen die je zoal moet informeren:

• leden (over verwerkingen in verband met het lidmaatschap);
• websitebezoekers (bijvoorbeeld over de wijze waarop je hun surfgedrag bijhoudt).

In de privacyverklaring moet onder meer de volgende informatie worden opgenomen:

• de doeleinden waarvoor de vereniging persoonsgegevens verwerkt;
• hoe lang persoonsgegevens worden bewaard (of de criteria die de vereniging hanteert voor het vaststellen van de bewaartermijn);
• aan welke (categorieën) derden persoonsgegevens eventueel worden doorgegeven;
• de vermelding dat de betrokkene een gegeven toestemming voor een verwerking op ieder moment mag intrekken; en
• de vermelding dat de betrokkene een verzoek kan indienen tot inzage, correctie, verwijdering van persoonsgegevens, en het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Verkrijg je de persoonsgegevens via een derde in plaats van rechtstreeks via de betrokkene, dan moet je tevens meedelen van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft.

Tip: wees duidelijk

Niemand is geholpen met een vage bewoording dat de vereniging "bepaalde informatie" "mogelijk" voor "kwaliteitsdoeleinden" gebruikt. Het lijkt aantrekkelijk om veel ruimte te creëren voor allerlei vormen van gebruik, maar uiteindelijk wekken dit soort woorden vooral argwaan en leiden ze tot onduidelijkheid.

Bekijk een model privacyverklaring hier.

Je informeert de betrokkene in principe voorafgaand aan het vastleggen van zijn of haar persoonsgegevens. We bespreken hier twee veelvoorkomende situaties.

Voorbeeld 1: inschrijving als lid/deelnemer

Schrijft iemand zich online in als verenigingslid of als deelnemer aan een wedstrijd/evenement, verwijs dan duidelijk op het formulier naar de privacyverklaring met een hyperlink. Bijvoorbeeld: "Onze vereniging verwerkt uw persoonsgegevens conform de privacyverklaring". Schrijft iemand zich ter plaatse in (dus niet online), verwijs dan op het papier naar de privacyverklaring en leg deze klaar voor eventuele raadpleging.

Voorbeeld 2: de website

Bezoekers van een website kun je eenvoudig informeren door het plaatsen van een link naar de privacyverklaring onderaan elke sub-pagina van de website. Vraag bezoekers (voor bepaalde delen) om zich te registreren met een account, verwijs dan nogmaals uitdrukkelijk naar de privacyverklaring (zie voorbeeld 1).

Let op: voor het verstrekken van informatie over de plaatsing van cookies gelden aparte regels. Deze regels worden niet in deze nieuwsbrief besproken.

Ja, maar let er op dat de privacyverklaring een zorgvuldige toelichting geeft voor alle verwerkingen waarop de verklaring betrekking heeft. Ter illustratie: gebruik je op de website één privacyverklaring voor zowel websitebezoekers als leden, dan kun je niet volstaan met informatie die slechts betrekking heeft op het gebruik van de website. 

Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Er zijn verschillende grondslagen om persoonsgegevens te verwerken. De meest voorkomende grondslagen zijn: een gerechtvaardigd belang, toestemming, contractuitvoering of wettelijke plicht.

Er wordt nu verder ingegaan op de grondslag toestemming. Toestemming is niet nodig voor iedere verwerking. Denk bijvoorbeeld aan verwerkingen die noodzakelijk zijn om als vereniging uitvoering te geven aan de lidmaatschapsovereenkomst met leden.

Het is lastig om een algemeen antwoord te geven op de vraag of toestemming nodig is voor een verwerking. Om je op weg te helpen, volgen hierna enkele voorbeelden waarvoor een sportvereniging doorgaans toestemming nodig heeft:

• de verzending van reclame per e-mail aan leden door verenigingssponsoren (e-mail van commerciële aard);
• het analyseren van iemands online gedrag (bijvoorbeeld door het gebruik van cookies of locatiegegevens);
• de plaatsing van foto’s van jeugdspelers op een publiek toegankelijke website; en
• het gebruik van gezondheidsgegevens (denk bijvoorbeeld aan apps en wearables die een hartslag meten).

Verwerkt de vereniging persoonsgegevens op basis van toestemming, houd dan altijd rekening met het volgende:

• Stilzwijgende toestemming is niet voldoende. Vermijd dus bijvoorbeeld een checkbox die automatisch is aangevinkt. Je hebt een actieve instemming nodig van de betrokkene.
• Toestemming is slechts geldig als deze uit vrije wil door de betrokkene is gegeven. Heeft de betrokkene dus feitelijk geen keus, dan is van geldige toestemming geen sprake.
• Toestemming voor de verwerking van gegevens van een persoon die nog geen 16 jaar oud is, vraag je aan de ouder/voogd.
• Leg een verkregen toestemming vast. De vereniging moet achteraf kunnen aantonen dat een zekere toestemming daadwerkelijk is verleend.
• Een betrokkene heeft het recht om een gegeven toestemming op ieder moment in te trekken.

De KNLTB verwerkt onder andere persoonsgegevens om uitvoering te geven aan het lidmaatschap bij de KNLTB. Hoe de KNLTB omgaat met persoonsgegevens is terug te lezen in het Privacy Statement.

De KNLTB maakt in dit traject gebruik van een gespecialiseerd adviesbureau. Ook wij moeten namelijk voldoen aan de verplichtingen uit de AVG en bv. een verwerkingsregister hebben, onze bewerkersovereenkomsten updaten naar verwerkersovereenkomsten met de partijen waar wij een samenwerking mee hebben voor onze dienstverlening etc. Daarnaast proberen wij onze verenigingen ook goed voor te lichten over de AVG.

Leden van de KNLTB verengingen zijn rechtstreeks lid van de KNLTB en niet getrapt via hun vereniging. De leden zijn dus zowel leden van de vereniging als dat het onze leden zijn. Alle leden worden vertegenwoordigd door de Ledenraad van de KNLTB en alle leden zijn dus gebonden aan besluiten van de Ledenraad.  

De grondslag voor het delen van persoonsgegevens met partners van de KNLTB is gebaseerd op een gerechtvaardigd belang, dat is ontstaan door de beslissing die de Ledenraad hierover heeft genomen in december 2017. Individuele toestemming van een lid is hierdoor geen vereiste meer. 

Update februari 2020: in afwachting van de procedure bij de Autoriteit Persoonsgegevens (en mogelijk bij de rechter) deelt de KNLTB geen NAW-gegevens van leden met partners.

De KNLTB gaat samenwerkingen aan met partners om leden een voordeel te bieden (bijvoorbeeld een lid kan gebruik maken van een voordelig abonnement op gebied van media (krant/televisie)). Daarnaast bieden deze partnerships mogelijkheden voor de tennissport in Nederland doordat inkomsten gebruikt kunnen worden om bijvoorbeeld initiatieven als Tenniskids Blauw gratis aan te bieden (verenigingen hoeven geen afdracht te betalen aan de KNLTB voor de allerjongsten). Zowel jij als lid als de tennisvereniging kunnen daardoor voordeel hebben bij deze samenwerkingen. De inkomsten uit partnerships vloeien direct terug naar de tennissport, zodat we tennis voor leden en verenigingen toegankelijk en betaalbaar houden. 

Update februari 2020: in afwachting van de procedure bij de Autoriteit Persoonsgegevens (en mogelijk bij de rechter) deelt de KNLTB geen NAW-gegevens van leden met partners.  

Het is niet mogelijk om het bezwaar namens jullie leden in te dienen, dit is een individueel recht van het betreffende lid. Hoe de KNLTB omgaat met gegevens van de leden is veelvuldig gecommuniceerd en dat zullen we ook blijven doen zodat leden weten waar zij aan toe zijn. Uiteraard zouden jullie jullie leden hier zelf ook op kunnen wijzen (bv. middels een nieuwsbrief), zodat het betreffende lid hier zelf een afweging in kan maken. Leden die geen acties of aanbiedingen van partners van de KNLTB wensen te ontvangen kunnen dat aangeven via het online formulier. 

Update februari 2020: in afwachting van de procedure bij de Autoriteit Persoonsgegevens (en mogelijk bij de rechter) deelt de KNLTB geen NAW-gegevens van leden met partners.