Meestgestelde vragen
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Elke vereniging heeft de verantwoordelijkheid om te voldoen aan de AVG. De KNLTB ondersteunt haar verenigingen hier graag in. Hieronder vind je de meest gestelde vragen.
Op deze pagina vind je meer informatie over:
- De AVG
- Het verwerkingsregister;
- De verwerkersovereenkomst;
- Informatiebeveiliging;
- De privacyverklaring en grondslagen om persoonsgegevens te verwerken;
- Toestemming
- E-mails sturen aan leden
- Contactgegevens delen met sponsoren
- Online publicaties
- De KNLTB en gegevens
De informatie komt mede van de hand van juristen van advocatenkantoor CMS.
De AVG
Ja, de AVG is van toepassing op tennisverenigingen.
De Autoriteit Persoonsgegevens (AP) treedt binnen Nederland op als privacytoezichthouder. De AP kan boetes uitdelen als organisaties straks de AVG overtreden. Dit geldt dus ook voor tennisverenigingen.
Volgens de regels kan de AP een boete opleggen van maximaal 20 miljoen euro. In welke vorm er controles uitgevoerd gaan worden is niet bekend. Het gaat er om dat je je als vereniging al het redelijke doet en inspant om te voldoen aan de verplichtingen uit de AVG.
Het verwerkingsregister
Sportverenigingen zijn zelfstandig verplicht zorgvuldig om te gaan met persoonsgegevens. De wet stelt daarvoor een aantal concrete eisen. Om te achterhalen welke gevolgen dit heeft voor jouw vereniging, moet je eerst grondig vaststellen hoe de vereniging persoonsgegevens zoal gebruikt. Deze informatie leg je vast in eenverwerkingsregister (hierna: "register"). Het bijhouden van een register is wettelijk verplicht.
Een register komt van pas bij het stapsgewijs controleren van het privacybeleid binnen de vereniging. Zo kun je met het register bijvoorbeeld per verwerking nagaan of een gebruik van persoonsgegevens wel of niet is toegestaan en of de gebruikte gegevens niet te lang worden bewaard.
Het register is een schematisch overzicht met essentiële informatie over de verwerkingen van persoonsgegevens binnen de vereniging. Het register geeft minimaal antwoord op de volgende vragen:
- Wat zijn de verschillende doeleinden waarvoor de vereniging persoonsgegevens verwerkt?
- Om welke persoonsgegevens gaat het?
- Op welke categorie personen hebben de gegevens betrekking (wie zijn de betrokkenen?
- Hoe lang worden de betreffende persoonsgegevens bewaard?
- Verstrekt de vereniging persoonsgegevens aan derden, wie zijn dit en wat is het doel daarvan?
- Wat zijn in algemene bewoordingen de getroffen beveiligingsmaatregelen ter bescherming van de betrokken persoonsgegevens?
- Worden er persoonsgegevens doorgegeven aan of opgeslagen in landen buiten de Europese Economische Ruimte en/of internationale organisaties en, zo ja, welke landen en/of organisaties zijn dit?
Het is aanbevolen per verwerkingsdoel ook de volgende informatie op te nemen:
- Wie zijn binnen de vereniging belast met deze verwerking?
- Welke IT-systemen worden gebruikt bij deze verwerking?
- Hoe zijn betrokkenen geïnformeerd over deze verwerking?
Kijk hier voor een voorbeeld van een onderdeel van het register. *Dit schema dient slechts ter illustratie.
Persoonsgegevens mogen enkel worden verwerkt indien daarvoor een geldige "grondslag" bestaat. Een sportvereniging moet een verwerking in de praktijk meestal kunnen baseren op minimaal één van onderstaande gronden:
- de verwerking is noodzakelijk voor de uitvoering of de totstandkoming van een overeenkomst met de betrokkene (voorbeeld: het opnemen van een nieuw lid in de ledenadministratie);
- de verwerking is noodzakelijk voor de naleving van een wettelijke plicht (voorbeeld: de algemene fiscale bewaarplicht van zeven jaren);
- de betrokkene geeft toestemming voor de verwerking (voorbeeld: het plaatsen van foto’s van jeugdspelers op sociale media); of
- de verwerking is noodzakelijk vanwege een gerechtvaardigd belang van de vereniging of van een derde partij (voorbeeld:het versturen van nieuwsbrieven aan leden door de vereniging).
Zijn alle toepasselijke grondslagen eenmaal opgenomen in het register, dan kan per verwerking worden vastgesteld of deze grondslag toereikend is of niet. Ontbreekt een geldige grondslag, dan weet je dat de verwerking moet worden gestaakt.
Persoonsgegevens mogen in principe niet langer worden bewaard dan noodzakelijk is voor het beoogde doel, tenzij de wet bepaalt dat zij voor langere tijd moeten worden opgeslagen. Hoe lang je persoonsgegevens bewaart, varieert in de praktijk nogal. Een structureel overzicht is daarom noodzakelijk. Een register helpt bij het aanbrengen van die structuur.
Voorbeeld bewaartermijn
Persoonsgegevens van een uitgetreden lid bewaar je in principe niet langer dan twee jaren na het einde van het lidmaatschap. Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaren. Overleg dus met de penningmeester binnen de vereniging welke gegevens daaronder vallen. Sommige informatie zal je wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre je de gegevens kunt anonimiseren.
De verwerkersovereenkomst
De AVG verplicht je om verwerkersovereenkomsten met organisaties te sluiten die persoonsgegevens voor de vereniging verwerken. Het gaat om organisaties die persoonsgegevens in opdracht van de vereniging verwerken. Denk bijvoorbeeld aan jullie ledenadministratie, KNLTB.Club van LISA of de Club Manager van All United. Ga dus na met welke verwerkers jouw vereniging allemaal samenwerkt en sluit (nieuwe) overeenkomsten af die voldoen aan de AVG. In een verwerkersovereenkomst maak je afspraken hoe de andere organisatie omgaat met de persoonsgegevens, bv. op het gebied van beveiliging, geen doorgifte en het verwijderen van persoonsgegevens.
De verwerkersovereenkomst met LISA of All United kun je raadplegen in het systeem, of in de algemene voorwaarden. Neem daarvoor contact op LISA of All United.
Nee, er moet geen verwerkersovereenkomst gesloten worden tussen de vereniging en de KNLTB. De KNLTB verwerkt namelijk geen persoonsgegevens in opdracht van de vereniging. De KNLTB en de verenigingen verwerken persoonsgegevens ieder voor een eigen doel en daarmee zijn zij gezamenlijk verantwoordelijke voor de verwerking van persoonsgegevens. De KNLTB verwerkt geen gegevens voor jullie doel, maar voor een eigen doel voor al onze eigen individuele leden. Dat wij gegevens aangeleverd krijgen via de verenigingen doet daar niets aan af. De KNLTB heeft dus een eigen verantwoordelijkheid om zich te houden aan de AVG voor zijn ledenbestand en de tennisverenigingen voor jullie eigen ledenbestand. Net als jullie vereniging sluit de KNLTB verwerkersovereenkomsten met organisaties die in opdracht van de KNLTB persoonsgegevens verwerken, zal de KNLTB een verwerkingsregister opstellen en beschikt de KNLTB over een privacyverklaring.
Informatiebeveiliging
Iedere sportvereniging is zelfstandig verplicht om persoonsgegevens veilig te behandelen. Als gegevens bijvoorbeeld worden gestolen of ergens rondslingeren, kan dit vervelende gevolgen hebben voor betrokkenen. We bespreken enkele vaak door sportverenigingen gestelde vragen.
Een vereniging moetpassende maatregelen treffen om te voorkomen dat persoonsgegevens worden blootgesteld aan onrechtmatige verwerking. Informatiebeveiliging is echter meer dan het beschermen tegen diefstal en virussen. De praktijk leert dat de meeste beveiligingsincidenten het gevolg zijn van niet-opzettelijke nalatigheid. Denk bijvoorbeeld aan het rondslingeren van USB-sticks met leden- en deelnemerslijsten, of een computercrash waarbij persoonsgegevens definitief verloren gaan. Je beschermt persoonsgegevens tegen iedere vorm van verlies van beschikbaarheid, integriteit dan wel vertrouwelijkheid.
Uiteindelijk draait informatiebeveiliging om een juiste combinatie van zowel technische als organisatorische maatregelen, waarbij uiteindelijk de zwakste schakel telt. Zo is een complex wachtwoord voor het inloggen op de online ledenadministratie zinloos als datzelfde wachtwoord op een notitieblok rondslingert in het clubhuis.
Voorbeelden van veelvoorkomende beveiligingsmaatregelen
Technisch:
- het versleutelen van bestanden ("encryptie");
- het regelmatig doen wijzigen van wachtwoorden;
- het regelmatig maken van back-ups.
Organisatorisch:
- het invoeren van een geheimhoudingsplicht aan vrijwilligers/bestuurders;
- het invoeren van een incidentprotocol voor beveiligingsincidenten;
- het trainen van vrijwilligers/bestuurders om veiligheidsbewustzijn te creëren.
Welke maatregelen nodig zijn, hangt af van de risico’s die met de verwerking van persoonsgegevens zijn verbonden. Bijzondere risicogebieden waar je als sportvereniging bijvoorbeeld vaak rekening mee houdt zijn:
- de vertrouwelijkheid en beschikbaarheid van de verenigingsadministratie, met name de ledenadministratie;
- communicatie met vertrouwenscontactpersonen; en
- gegevens van jeugdleden.
Tip
De Autoriteit Persoonsgegevens heeft de Beleidsregels beveiliging persoonsgegevens gepubliceerd. Het is aan te raden aan dit document te lezen, nu de autoriteit daarin uitgebreid aangeeft wat zij zoal van een organisatie verwacht.
Het feit dat een doorsnee sportvereniging meestal weinig tot geen expertise in huis heeft op het gebied van IT/informatiebeveiliging, is geen excuus om het onderwerp links te laten liggen. Verenigingen, groot of klein, worden geacht datgene te doen wat redelijkerwijs van hen kan worden verlangd. Onthoud daarbij dat de kwaliteit van beveiliging niet zozeer draait om geld, maar vooral om het verkrijgen van voldoende kennis en bewustzijn.
Ja, dat is noodzakelijk als de leverancier toegang krijgt tot persoonsgegevens waarvoor de vereniging verantwoordelijk is. Denk bijvoorbeeld aan leveranciers van online verenigingsapplicaties, zoals voor de ledenadministratie. De afgesproken beveiligingsniveaus leg je meestal vast in een zogeheten verwerkersovereenkomst (ook wel "bewerkersovereenkomst" genoemd).
Het is niet ongebruikelijk dat bestuurders/vrijwilligers bij de vervulling van verenigingstaken gebruikmaken van privéapparatuur. Dat is in principe mogelijk, maar de vereniging blijft verantwoordelijk voor het veilig verloop van dit gebruik. Overweeg in ieder geval het invoeren van de volgende regels:
- de gebruiker moet antivirussoftware installeren en deze regelmatig updaten;
- de gebruiker moet deugdelijke toegangscodes instellen;
- vermijd opslag op lokale harde schijven indien gebruik kan worden gemaakt van web-omgevingen (bijv. Google Apps, Office 365, online verenigingsadministratie etc.);
- zorg dat te allen tijde een deugdelijke back-up beschikbaar blijft van de gegevens die op de privéapparatuur worden verwerkt; en
- beëindigt iemand zijn of haar verenigingstaken, zorg er dan voor dat deze persoon niet langer toegang heeft tot de gegevens.
Leidt een beveiligingsincident tot de vernietiging, verlies, wijziging of ongeoorloofde verstrekking/toegang, dan is mogelijk sprake van een datalek. Tenzij het datalek waarschijnlijk geen nadelige gevolgen heeft voor de betrokken personen, moet het lek tijdig worden gemeld bij de Autoriteit Persoonsgegevens. Heeft het lek bovendien een hoog risico op nadelige gevolgen voor de personen wiens gegevens het betreft, dan moet het incident ook aan deze personen worden gemeld. Blijkt een datalek achteraf ten onrechte niet tijdig te zijn gemeld, dan kan dit leiden tot oplegging van een fikse boete.
Heeft de vereniging onvoldoende kennis of mankracht in huis om een incident af te handelen, vraag dan om hulp van een deskundige.
E-mails sturen aan leden
Het SPAM-verbod houdt in dat je iemand geen ongevraagde elektronische berichten mag sturen, tenzij de ontvanger daar vooraf mee instemt. We hebben het hier dus over e-mail. Daaronder vallen bijvoorbeeld niet enkel typische reclameboodschappen, maar ook nieuwsbrieven.
Ja, op het versturen van regulierenieuwsbrieven aan leden is het SPAM-verbod niet van toepassing. Een vereniging moet leden immers regelmatig kunnen informeren (uitnodiging ALV, verenigingsagenda, uitslagen, etc.). Maar let op: voor commerciële boodschappen is wél toestemming nodig van de ontvanger, lid of niet.
Het komt voor dat verenigingen berichten sturen aan leden met daarin zowel verenigingsinformatie als commerciële boodschappen. Denk hierbij aan verenigingsnieuws in combinatie met de vermelding van een kortingsactie van een sponsor. Dit soort situaties zijn een grijs gebied. Het is aanbevolen om voor het sturen van dit soort gemengde berichten vooraf toestemming te vragen. Beschik je daarentegen als vereniging momenteel over adressen van ontvangers die nooit expliciete toestemming hebben gegeven voor commerciële berichten, bied dan in ieder geval een uitschrijfmogelijkheid in iedere nieuwsbrief.
Ja, iedere ontvanger moet zich eenvoudig kunnen afmelden voor het ontvangen van ongevraagde elektronische berichten.
Zoals gezegd is voor het verzenden van ongevraagde elektronische berichten, e-mails dus, uitdrukkelijke toestemming nodig van de ontvanger. Een lid moet een opt-in hebben gegeven. Beschikt een sponsor niet over dergelijke individuele toestemming, dan mag de vereniging geen e-mailadressen van deze ontvangers verstrekken aan deze sponsor.
Contactgegevens delen met sponsoren
Veel sponsoren willen verenigingsleden individueel kunnen benaderen met commerciële mededelingen en verzoeken de vereniging daarom adresgegevens te verstrekken. Het is voor een sportvereniging onder bepaalde omstandigheden toegestaan om adresgegevens (d.w.z. naam, adres en woonplaats en/of telefoonnummers) te delen met sponsoren. We raden je aan om hierover de website van de Autoriteit Persoonsgegevens te raadplegen hoe je hier als vereniging invulling aan kan geven.
Online publicaties
Op grond van de AVG moet er een geldige grondslag zijn voor het verwerken van (bijzondere) persoonsgegevens zoals foto's of videobeelden. Er zijn verschillende grondslagen waarop het maken van foto’s en videobeelden is toegestaan, namelijk toestemming of het gerechtvaardigd belang. Beide grondslagen zullen hierna uitgelegd worden.
- Toestemming vooraf is een geldige grondslag. Toestemming moet ieder geval aan de volgende voorwaarden voldoen:
- Toestemming moet vrijwillig en niet onder druk gegeven zijn.
- Toestemming moet ondubbelzinnig en actief zijn gegeven (niet via een vooraf aangevinkt vakje).
- Toestemming moet worden gevraagd voor een specifieke verwerking en een specifiek doel. De toestemming worden aangetoond (handtekening op papier, of digitale registratie). Verder moet het makkelijk zijn om de toestemming weer in te trekken.
Een andere grondslag zou kunnen zijn een eigen gerechtvaardigd belang, bijvoorbeeld de vrijheid van meningsuiting in het kader van artistieke of journalistieke doeleinden. Bijvoorbeeld, het plaatsen van foto’s van deelnemers aan een toernooi of tennisevenement, ter promotie van de tennissport. Foto's van mensen mogen worden gepubliceerd (zonder toestemming vooraf), zolang er rekening wordt gehouden met de privacy van de betreffende persoon. Wanneer er vervelende of gênante details op de foto staan, kunnen die bijvoorbeeld worden weggehaald of kunnen die foto's beter niet worden gebruikt. Ook wanneer er één persoon of een specifiek groepje zeer lang of vaak in beeld wordt gebracht en de video daarna als campagne gebruikt of stilstaande beelden op posters dan kan iemand dat ook niet prettig vinden in verband met privacy of omdat diegene er mogelijk geld voor had kunnen krijgen. Kortom, bij video beelden of foto's van evenementen is het vooral van belang dat die beelden van allerlei mensen korte normale beelden bevatten en dat de video beelden of foto's niet voor allerlei grote (commerciële) campagnes gebruikt worden. Als dat zo is, hoeft er geen toestemming te worden gevraagd ook niet aan ouders van minderjarigen. Feit is wel dat ouders bezwaar kunnen hebben tegen het gebruik van beelden van hun kinderen. Het is daarom goed dat het beleid ten aanzien van publicatie van foto’s en video’s wordt vastgelegd bij de club en dat er door middel van bijvoorbeeld bordjes, of e-mailcommunicatie (tijdens een evenement) wordt aangegeven dat er gefilmd wordt of foto’s gemaakt kunnen worden op de club.
Over het algemeen is er een gerechtvaardigd belang aanwezig, maar houd daarbij altijd rekening met de persoonlijke belangen (de privacy) van een lid. Ongeacht de grondslag, foto's en filmpjes moeten verwijderd worden als iemand daar later om vraagt.
Foto’s en video’s met een herkenbaar in beeld gebrachte betrokkene zijn meestal persoonsgegevens. Voor het maken en publiceren ervan heb je daarom vaak toestemming nodig van de betrokkene, zeker als het gaat om een minderjarig persoon. Toestemming ten aanzien van iemand die nog geen 16 jaar oud is, vraag je aan de ouder/voogd.
Let op: iemand die toestemming geeft voor het maken van een foto, geeft daarmee niet per definitie toestemming voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. In de regel zal je gehoor moeten geven aan een dergelijk verzoek. Is dit bezwaarlijk en wil je als vereniging niet aan een dergelijk bezwaar toegeven, vraag dan om deskundig advies.
Zorg ervoor dat leden en toeschouwers zijn geïnformeerd over eventuele beeldopnamen. Dat kan bijvoorbeeld via het huisreglement of met behulp van een bordje op het terrein. Lees hier meer over opdeze pagina.
Voor een vereniging is het(achter een inlog) publiceren van een ledenlijst in principe toegestaan, maar het is verstandig om de algemene ledenvergadering daarmee vooraf te laten instemmen. Wil je behalve namen ook contactgegevens (dus e-mailadres, telefoonnummers) in de lijst opnemen, kaart dit dan expliciet aan gedurende de ledenvergadering. Geef leden bovendien, net zoals bij het verstrekken van adresgegevens aan sponsoren, vooraf gelegenheid om zich tegen publicatie van contactgegevens (e-mailadres, telefoonnummer) te verzetten. Let er dus op dat uitsluitend leden toegang hebben tot de gepubliceerde ledenlijst.
Ja, ook op sociale media ben je als vereniging verantwoordelijk voor het publiceren van persoonsgegevens (zoals foto’s). Bedenk dus welke publicaties wel/niet wenselijk zijn, en maak dit onderwerp van discussie in de ledenvergadering. Overweeg bijvoorbeeld een paragraaf over sociale media-gebruik op te nemen in het huisreglement. De kern is uiteindelijk dat je de privacy borgt van leden/personen die dergelijke publiciteit liever mijden, en dat je adequaat omgaat met eventuele klachten en verzoeken.
Privacyverklaring en grondslagen om persoonsgegevens te verwerken
Als vereniging ben je verplicht om betrokkenen te informeren over de manier waarop je omgaat met hun persoonsgegevens. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging, die - als het goed is - zijn vastgelegd in het verwerkingsregister van de vereniging. Een paar voorbeelden van doelgroepen die je zoal moet informeren:
- leden (over verwerkingen in verband met het lidmaatschap);
- websitebezoekers (bijvoorbeeld over de wijze waarop je hun surfgedrag bijhoudt);
- sporttalent (bijvoorbeeld over de wijze waarop de vereniging hen monitort).
In de privacyverklaring moet onder meer de volgende informatie worden opgenomen:
- de doeleinden waarvoor de vereniging persoonsgegevens verwerkt;
- hoe lang persoonsgegevens worden bewaard (of de criteria die de vereniging hanteert voor het vaststellen van de bewaartermijn);
- aan welke (categorieën) derden persoonsgegevens eventueel worden doorgegeven;
- de vermelding dat de betrokkene een gegeven toestemming voor een verwerking op ieder moment mag intrekken; en
- de vermelding dat de betrokkene een verzoek kan indienen tot inzage, correctie, verwijdering van persoonsgegevens, en het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Verkrijg je de persoonsgegevens via een derde in plaats van rechtstreeks via de betrokkene, dan moet je tevens meedelen van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft.
Tip: wees duidelijk
Niemand is geholpen met een vage bewoording dat de vereniging "bepaalde informatie" "mogelijk" voor "kwaliteitsdoeleinden" gebruikt. Het lijkt aantrekkelijk om veel ruimte te creëren voor allerlei vormen van gebruik, maar uiteindelijk wekken dit soort woorden vooral argwaan en leiden ze tot onduidelijkheid.
Bekijk een model privacyverklaring hier.
Je informeert de betrokkene in principe voorafgaand aan het vastleggen van zijn of haar persoonsgegevens. We bespreken hier twee veelvoorkomende situaties.
Voorbeeld 1: inschrijving als lid/deelnemer
Schrijft iemand zich online in als verenigingslid of als deelnemer aan een wedstrijd/evenement, verwijs dan duidelijk op het formulier naar de privacyverklaring met een hyperlink. Bijvoorbeeld: "Onze vereniging verwerkt uw persoonsgegevens conform de privacyverklaring". Schrijft iemand zich ter plaatse in (dus niet online), verwijs dan op het papier naar de privacyverklaring en leg deze klaar voor eventuele raadpleging.
Voorbeeld 2: de website
Bezoekers van een website kun je eenvoudig informeren door het plaatsen van een link naar de privacyverklaring onderaan elke sub-pagina van de website. Vraag bezoekers (voor bepaalde delen) om zich te registreren met een account, verwijs dan nogmaals uitdrukkelijk naar de privacyverklaring (zie voorbeeld 1).
Let op: voor het verstrekken van informatie over de plaatsing van cookies gelden aparte regels. Deze regels worden niet in deze nieuwsbrief besproken.
Ja, maar let er op dat de privacyverklaring een zorgvuldige toelichting geeft vooralle verwerkingen waarop de verklaring betrekking heeft. Ter illustratie: gebruik je op de website één privacyverklaring voor zowel websitebezoekers als leden, dan kun je niet volstaan met informatie die slechts betrekking heeft op het gebruik van de website.
Toestemming
Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Er zijn verschillende grondslagen om persoonsgegevens te verwerken. De meest voorkomende grondslagen zijn: een gerechtvaardigd belang, toestemming, contractuitvoering of wettelijke plicht.
Er wordt nu verder ingegaan op de grondslag toestemming. Toestemming is niet nodig voor iedere verwerking. Denk bijvoorbeeld aan verwerkingen die noodzakelijk zijn om als vereniging uitvoering te geven aan de lidmaatschapsovereenkomst met leden.
Het is lastig om een algemeen antwoord te geven op de vraag of toestemming nodig is voor een verwerking. Om je op weg te helpen, volgen hierna enkele voorbeelden waarvoor een sportvereniging doorgaans toestemming nodig heeft:
- de verzending van reclame per e-mail aan leden door verenigingssponsoren (e-mail van commerciële aard);
- het analyseren van iemands online gedrag (bijvoorbeeld door het gebruik van cookies of locatiegegevens);
- de plaatsing van foto’s van jeugdspelers op een publiek toegankelijke website; en
- het gebruik van gezondheidsgegevens (denk bijvoorbeeld aan apps en wearables die een hartslag meten).
Verwerkt de vereniging persoonsgegevens op basis van toestemming, houd dan altijd rekening met het volgende:
- Stilzwijgende toestemming is niet voldoende. Vermijd dus bijvoorbeeld een checkbox die automatisch is aangevinkt. Je hebt een actieve instemming nodig van de betrokkene.
- Toestemming is slechts geldig als deze uit vrije wil door de betrokkene is gegeven. Heeft de betrokkene dus feitelijk geen keus, dan is van geldige toestemming geen sprake.
- Toestemming voor de verwerking van gegevens van een persoon die nog geen 16 jaar oud is, vraag je aan de ouder/voogd.
- Leg een verkregen toestemming vast. De vereniging moet achteraf kunnen aantonen dat een zekere toestemming daadwerkelijk is verleend.
- Een betrokkene heeft het recht om een gegeven toestemming op ieder moment in te trekken.
De KNLTB en gegevens
De KNLTB verwerkt onder andere persoonsgegevens om uitvoering te geven aan het lidmaatschap bij de KNLTB. Hoe de KNLTB omgaat met persoonsgegevens is terug te lezen in hetPrivacy Statement.
De KNLTB is zich al geruime tijd aan het voorbereiden op de komst van de AVG. De KNLTB maakt in dit traject gebruik van een gespecialiseerd adviesbureau. Ook wij moeten namelijk voldoen aan de verplichtingen uit de AVG en bv. een verwerkingsregister hebben, onze bewerkersovereenkomsten updaten naar verwerkersovereenkomsten met de partijen waar wij een samenwerking mee hebben voor onze dienstverlening etc. Daarnaast proberen wij onze verenigingen ook goed voor te bereiden op de komst van de AVG.
Leden van de KNLTB verengingen zijn rechtstreeks lid van de KNLTB en niet getrapt via hun vereniging. De leden zijn dus zowel leden van de vereniging als dat het onze leden zijn. Alle leden worden vertegenwoordigd door de Ledenraad van de KNLTB en alle leden zijn dus gebonden aan besluiten van de Ledenraad.
De grondslag voor het delen van persoonsgegevens met partners van de KNLTB is gebaseerd op een gerechtvaardigd belang, dat is ontstaan door de beslissing die de Ledenraad hierover heeft genomen in december 2017. Individuele toestemming van een lid is hierdoor geen vereiste meer.
De KNLTB gaat samenwerkingen aan met partners om leden een voordeel te bieden (bijvoorbeeld een lid kan gebruik maken van een voordelig abonnement op gebied van media (krant/televisie)). Daarnaast bieden deze partnerships mogelijkheden voor de tennissport in Nederland doordat inkomsten gebruikt kunnen worden om bijvoorbeeld initiatieven als Tenniskids Blauw gratis aan te bieden (verenigingen hoeven geen afdracht te betalen aan de KNLTB voor de allerjongsten). Zowel jij als lid als de tennisvereniging kunnen daardoor voordeel hebben bij deze samenwerkingen. De inkomsten uit partnerships vloeien direct terug naar de tennissport, zodat we tennis voor leden en verenigingen toegankelijk en betaalbaar houden.
Update februari 2020: in afwachting van de procedure bij de Autoriteit Persoonsgegevens (en mogelijk bij de rechter) deelt de KNLTB geen NAW-gegevens van leden met partners.
Het is niet mogelijk om het bezwaar namens jullie leden in te dienen, dit is een individueel recht van het betreffende lid. Hoe de KNLTB omgaat met gegevens van de leden is veelvuldig gecommuniceerd en dat zullen we ook blijven doen zodat leden weten waar zij aan toe zijn. Uiteraard zouden jullie jullie leden hier zelf ook op kunnen wijzen (bv. middels een nieuwsbrief), zodat het betreffende lid hier zelf een afweging in kan maken. Leden die geen acties of aanbiedingen van partners van de KNLTB wensen te ontvangen kunnen dat aangeven via het online formulier.
Update februari 2020: in afwachting van de procedure bij de Autoriteit Persoonsgegevens (en mogelijk bij de rechter) deelt de KNLTB geen NAW-gegevens van leden met partners.