AVG - Wat houdt het in?
Het recht op privacy kun je eenvoudig omschrijven als iemands recht om met rust te worden gelaten. Dit betekent ook dat je niet zomaar iemands persoonlijke informatie mag gebruiken. Dit laatste noemen we het recht op de bescherming van persoonsgegevens.
Als sportvereniging ben je wettelijk verplicht tot het beschermen van de persoonsgegevens van leden, vrijwilligers en alle andere personen van wie je persoonsgegevens verwerkt. Privacywetgeving stelt daarvoor een aantal concrete regels. Om te begrijpen hoe je die regels naleeft, is het handig om enkele basisbegrippen te kennen. De belangrijkste begrippen lichten we hierna toe.
Wat zijn persoonsgegevens?
Een persoonsgegeven is ieder gegeven over een levende en identificeerbare persoon. Het gaat dus om álle informatie over een persoon. Het maakt daarbij niet uit of informatie ‘privé’, publiek bekend, oud of nieuw, relevant of juist volstrekt onbelangrijk is. Een paar voorbeelden van persoonsgegevens zijn iemands voor- en achternaam, woonplaats en adres, telefoonnummer, lidmaatschapsnummer, leeftijd, lichaamslengte, dieet, geslacht, seksuele voorkeur, e-mailadres en de herkenbare afbeelding in een foto of video.
Ook gegevens over iemands gedrag en voorspellingen daarvan kunnen persoonsgegevens zijn. Denk bijvoorbeeld aan iemands locatie gegeven of een analyse van iemands fysieke inspanning via populaire wearables en apps. Zulke gegevens zijn natuurlijk privacygevoelig.
Wanneer is iemand identificeerbaar?
We spreken van een persoonsgegeven als een gegeven herleidbaar is tot een persoon. Vaak is informatie eenvoudig gekoppeld aan een naam of aan een uniek nummer, zodat je een persoon direct kunt identificeren. Stel dat de secretaris van een vereniging Jan de Vries heet en gebruikmaakt van het e-mailadres jan.devries@sportvereniging.nl. Dan is dat e-mailadres een persoonsgegeven. Soms is identificatie weliswaar niet direct, maar wel indirect mogelijk. Denk bijvoorbeeld aan een teamfoto. Hoewel er misschien geen namen onder de teamfoto staan, kom je daar met een eenvoudige zoekopdracht via internet soms toch achter. De foto is in dat geval een persoonsgegeven.
Valt er écht niet te achterhalen op wie informatie betrekking heeft, dan is sprake van ‘anonimiteit’. In theorie is de privacywetgeving dan niet van toepassing, omdat er geen sprake is van een persoonsgegeven. De ervaring leert echter dat het vaak lastig is om te voorkomen dat informatie alsnog kan wordt gekoppeld aan een individu. Ga er dus nooit zomaar vanuit dat je privacywetgeving eenvoudig buitenspel zet.
Ter illustratie: een bekend misverstand is het ‘anonimiseren’ door informatie (zoals een deelnemerslijst of wedstrijduitslagen) te koppelen aan een lidnummer in plaats van een naam. Dat nummer leidt immers eenvoudig terug naar een achternaam, zodat ook het lidnummer en de daaraan gekoppelde informatie kwalificeren als persoonsgegevens. Dat slechts de vereniging in staat is tot het leggen van die koppeling, maakt daarbij niet uit.
Samenvattend: we raden aan om alle gegevens waarvan je vermoedt dat die herleidbaar zijn tot een persoon te behandelen alsof het persoonsgegevens zijn.
Wanneer ‘verwerk’ je persoonsgegevens?
Om te weten in welke gevallen je rekening moet houden met privacywetgeving, moet je steeds nagaan of er sprake is van een verwerking van persoonsgegevens.
Het begrip ‘verwerken’ is zeer breed. In feite is iedere handeling met een persoonsgegeven een verwerking. Denk dus aan het verzamelen, opslaan, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken van persoonsgegevens. In dat laatste geval spreek je van een ‘datalek’.
Voorbeelden van verwerkingen
Een sportvereniging neemt de persoonsgegevens van een nieuw lid op in het ledenbestand. Bepaalde gegevens worden doorgestuurd naar de gelieerde sportbond. De vereniging factureert het lid jaarlijks voor het lidmaatschapsgeld. Ook stuurt de vereniging regelmatig nieuwsbrieven aan haar leden. Leden worden gekoppeld met teamindelingen en wedstrijdschema’s. Foto’s en video’s van wedstrijden worden gepubliceerd op de verenigingswebsite, de verenigingsapp en op sociale media. Nadat het lid is uitgetreden, worden zijn gegevens uit het ledenbestand verwijderd. Dit soort activiteiten zijn voorbeelden van verwerkingen van persoonsgegevens door een sportvereniging.
Verwerkingen vinden in de praktijk niet alleen digitaal plaats, maar ook op papier. Ook als gegevens op papier worden gezet of geprint om in een bestand te worden opgenomen, is sprake van een verwerking. Denk bijvoorbeeld aan de papieren leden-, vrijwilligers- en wedstrijdadministratie.
Wie is de ‘betrokkene’?
Een belangrijke figuur in het privacy recht is de betrokkene. Dit is de persoon op wie een persoonsgegeven betrekking heeft. Hij of zij is dus degene die door het privacy recht wordt beschermd.
Voorbeeld van een betrokkene
Een lid wordt opgenomen in het ledenbestand van de sportvereniging. Het lid is betrokkene bij de verwerkingen van de persoonsgegevens die op hem of haar betrekking hebben, zoals een naam, lidnummer, adres, geboortedatum en bankrekeningnummer.
Betrokkenen hebben een aantal belangrijke rechten. Zo kan ieder lid of een vrijwilliger vragen om inzage, aanpassing en verwijdering van zijn of haar persoonsgegevens. Je bent als vereniging meestal verplicht om aan een dergelijk verzoek mee te werken.
Wie is ‘verwerkingsverantwoordelijke’?
Naast de vraag of privacywetgeving een rol speelt, wil je natuurlijk ook weten wie zich vervolgens aan die regels moet houden bij een bepaalde verwerking. Dat is hoofdzakelijk één partij, namelijk degene die beslist over het doel van en de middelen voor die verwerking. We noemen deze partij de verwerkingsverantwoordelijke (of korter: verantwoordelijke). Je kunt de verantwoordelijke eigenlijk zien als de baas van een verwerking van persoonsgegevens: de verantwoordelijke bepaalt waarom en hoe bepaalde gegevens wel of juist niet worden gebruikt.
Voorbeeld van een verantwoordelijke
De sportvereniging is in de praktijk verantwoordelijk voor vrijwel alle verwerkingen die zij uitvoert met de persoonsgegevens van haar leden. De vereniging bepaalt immers hoe en waarom bepaalde verwerkingen plaatsvinden (zoals ledenbeheer, facturatie en nieuwsvoorziening van leden, online publicaties door de vereniging, of de doorgifte van persoonsgegevens aan een sportbond of een sponsor).
Vaak worden dezelfde persoonsgegevens van een betrokkene door meerdere partijen verwerkt voor verschillende doeleinden. Deze partijen zijn doorgaans ieder zelfstandig verantwoordelijke voor wat zij zélf met die persoonsgegevens doen.
Voorbeeld
De persoonsgegevens van een lid (zoals een e-mailadres) zijn vaak niet alleen bekend bij de sportvereniging, maar ook bij een sportbond of een koepelorganisatie. Deze organisaties streven vaak een eigen doel na bij het gebruik van die persoonsgegevens. Iedere partij blijft dan zelfstandig verantwoordelijk voor de naleving van privacywetgeving.
Let op: een sportbond is niet automatisch verantwoordelijke voor verwerkingen die plaatsvinden door derde partijen die dat doen voor hun eigen doeleinden, ook al heeft deze derde de persoonsgegevens wellicht verkregen via de sportbond.
Meestal kun je eenvoudig vaststellen wie verantwoordelijke is, maar er zijn ook complexere gevallen. Soms zijn er bijvoorbeeld meerdere organisaties betrokken bij dezelfde verwerking. Je bent dan ‘gezamenlijk verantwoordelijk’. Doet zo’n situatie zich voor en kun je niet vaststellen wat de rechten en plichten zijn van de vereniging, vraag dan om deskundig advies.
Onze vereniging maakt gebruik van externe dienstverleners, hoe zit dat?
Sportverenigingen maken tegenwoordig veel gebruik van bijvoorbeeld online ledenadministratie en marketingmailing-diensten. Daarbij worden vrijwel altijd persoonsgegevens verwerkt. De vereniging bepaalt in dat geval weliswaar het doel van de verwerking van die persoonsgegevens, maar de dienstverlener verzorgt de feitelijke uitvoering, zoals het ‘hosten’ van de gegevens. Een dienstverlener is in dat geval als een ‘verwerker’. Als verantwoordelijke ben je wettelijk verplicht tot het aangaan van een zogeheten verwerkersovereenkomst met deze verwerker. Je maakt daarin afspraken om ervoor te zorgen dat de verwerker zorgvuldig omgaat met de persoonsgegevens.
Voorbeeld verwerker
De sportvereniging neemt de persoonsgegevens van haar leden op in een online ledenbeheersysteem. Dit systeem wordt aangeboden en gehost door een ICT-dienstverlener. De hosting gebeurt ten behoeve van de vereniging (en niet voor eigen doeleinden van de ICT-dienstverlener). De ICT-dienstverlener is dus verwerker, en de vereniging is verantwoordelijke voor de verwerkingen die plaatsvinden met het ledenbeheersysteem. De vereniging moet een verwerkersovereenkomst sluiten met de ICT-dienstverlener.