AVG voor sportclubs

Ook sportclubs vallen onder de Algemene verordening gegevensbescherming en ook voor hen gelden dus na 25 mei 2018 de verplichtingen van de AVG. Ter ondersteuning voor sportverenigingen stellen wij een stappenplan beschikbaar, waardoor het mogelijk is om de naleving van de AVG te vergemakkelijken.

Voor vragen kunt u altijd contact met ons opnemen.

Toelichting

Stap 1: inventariseer over wie je wat verwerkt

De eerste stap om te kunnen voldoen aan de verplichtingen uit de AVG is het inventariseren van welke persoonsgegevens verwerkt worden binnen de vereniging. Denk daarbij aan off- en online verwerking en maak voor je eigen vereniging inzichtelijk welke gegevens van welke personen op welke manier binnen de vereniging gevraagd en gebruikt worden. In het stappenplan staan een aantal voorbeelden genoemd.

Maak hierbij onderscheid tussen de verschillende persoonsgegevens, en vergeet vooral niet films of foto’s van personen.

Leg deze stap vast – zorg dat je een beschrijving hebt van alle verwerkingen

Stap 2: controleer waarvoor je verwerkt, of dit noodzakelijk is en welke grondslag je hebt

Als alle verwerkingen van persoonsgegevens geinventariseerd zijn, moet nagegaan worden of een geldige reden voor de verwerking bestaat. Het is verstandig om je voorafgaand af te vragen of een bepaalde verwerking voor je vereniging noodzakelijk is: als dat niet zo is, kan het verstandig zijn die verwerking gewoon te stoppen. Doe dit in ieder geval als sprake is van bijzondere persoonsgegevens.

De AVG kent een aantal mogelijke geldige grondslagen voor verwerking. Deze staan in het stappenplan genoemd. Neme niet te snel aan dat een verwerking noodzakelijk voor bijvoorbeeld de uitvoering van een wettelijke verplichting of de uitvoering van het lidmaatschap is – de AVG kent daarvoor strenge eisen. Veelal (maar niet altijd!) zal toestemming nodig zijn.

Kun je geen geldige grondslag vinden? Dan moet er toestemming komen, of moet je de verwerking staken.

Stap 3: verwerk de persoonsgegevens in lijn met de AVG

Door het uitvoeren van stap 1 en 2 verwerk je binnen de club alleen nog maar persoonsgegevens met een geldige grondslag. Maar daarmee ben je er nog niet. De AVG kent meer eisen.

Belangrijk is dat iedere betrokkene bewust is van het belang van persoonsgegevens en de risico’s die het voor je vereniging kan opleveren. Zorg ervoor dat de kring van personen die in aanraking kan komen met de persoonsgegevens, zo klein mogelijk.

Beveilig de persoonsgegevens. Zowel fysiek (in een afgesloten kast, bijvoorbeeld) als technisch (door het treffen van ICT-voorzieningen).

Stel een bewaartermijn vast en houd je daar aan. Leg dit ook vast.

Inventariseer of persoonsgegevens verstrekt worden aan derden, en vraag je af of dit noodzakelijk is. Stop ermee als dat niet zo is, en moet je wel blijven verstrekken, dan moet je ook hiervoor de grondslag onderzoeken en vastleggen. Vraag je daarbij af of een verwerkersovereenkomst nodig is.

Stap 4: leg vast

De AVG vereist de vastlegging van hoe binnen de vereniging omgegaan wordt met persoonsgegevens. De stappen 1 tot en met 3 moet je dus (schriftelijk) vastleggen. Daarnaast noemt het stappenplan nog een aantal documenten die opgesteld moeten worden.