4. De privacyverklaring en het vragen van toestemming
I: De privacyverklaring
Waarom een privacyverklaring?
Als vereniging ben je verplicht om betrokkenen te informeren over de manier waarop je omgaat met hun persoonsgegevens. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging, die – als het goed is – zijn vastgelegd in het verwerkingsregister van de vereniging (zie een eerdere nieuwsbrief daarover). Een paar voorbeelden van doelgroepen die je zoal moet informeren:
– leden (over verwerkingen in verband met het lidmaatschap);
– websitebezoekers (bijvoorbeeld over de wijze waarop je hun surfgedrag bijhoudt);
– sporttalent (bijvoorbeeld over de wijze waarop de vereniging hen monitort).
Wat neem je op in de privacyverklaring?
In de privacyverklaring moet onder meer de volgende informatie worden opgenomen:
– de doeleinden waarvoor de vereniging persoonsgegevens verwerkt;
– hoe lang persoonsgegevens worden bewaard (of de criteria die de vereniging hanteert voor het vaststellen van de bewaartermijn);
– aan welke (categorieën) derden persoonsgegevens eventueel worden doorgegeven;
– de vermelding dat de betrokkene een gegeven toestemming voor een verwerking op ieder moment mag intrekken; en
– de vermelding dat de betrokkene een verzoek kan indienen tot inzage, correctie, verwijdering van persoonsgegevens, en het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Verkrijg je de persoonsgegevens via een derde in plaats van rechtstreeks via de betrokkene, dan moet je tevens meedelen van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft.
Tip: wees duidelijk
Niemand is geholpen met een vage bewoording dat de vereniging “bepaalde informatie” “mogelijk” voor “kwaliteitsdoeleinden” gebruikt. Het lijkt aantrekkelijk om veel ruimte te creëren voor allerlei vormen van gebruik, maar uiteindelijk wekken dit soort woorden vooral argwaan en leiden ze tot onduidelijkheid.
Hoe stel je de privacyverklaring beschikbaar?
Je informeert de betrokkene in principe voorafgaand aan het vastleggen van zijn of haar persoonsgegevens. We bespreken hier twee veelvoorkomende situaties.
Voorbeeld 1: inschrijving als lid/deelnemer
Schrijft iemand zich online in als verenigingslid of als deelnemer aan een wedstrijd/evenement, verwijs dan duidelijk op het formulier naar de privacyverklaring met een hyperlink. Bijvoorbeeld: “Onze vereniging verwerkt uw persoonsgegevens conform de privacyverklaring”. Schrijft iemand zich ter plaatse in (dus niet online), verwijs dan op het papier naar de privacyverklaring en leg deze klaar voor eventuele raadpleging.
Voorbeeld 2: de website
Bezoekers van een website kun je eenvoudig informeren door het plaatsen van een link naar de privacyverklaring onderaan elke sub-pagina van de website. Vraag bezoekers (voor bepaalde delen) om zich te registreren met een account, verwijs dan nogmaals uitdrukkelijk naar de privacyverklaring (zie voorbeeld 1).
Let op: voor het verstrekken van informatie over de plaatsing van cookies gelden aparte regels. Deze regels worden niet in deze nieuwsbrief besproken.
Kan de vereniging verwijzen naar één algemene privacyverklaring?
Ja, maar let er op dat de privacyverklaring een zorgvuldige toelichting geeft voor alle verwerkingen waarop de verklaring betrekking heeft. Ter illustratie: gebruik je op de website één privacyverklaring voor zowel websitebezoekers als leden, dan kun je niet volstaan met informatie die slechts betrekking heeft op het gebruik van de website.
II: Toestemming
Wanneer is toestemming nodig voor een verwerking van persoonsgegevens?
Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Eén van deze gevallen is dat de betrokkene uitdrukkelijk toestemming geeft. Toestemming is echter niet nodig voor iedere verwerking. Denk bijvoorbeeld aan verwerkingen die noodzakelijk zijn om als vereniging uitvoering te geven aan de lidmaatschapsovereenkomst met leden.
Het is lastig om een algemeen antwoord te geven op de vraag of toestemming nodig is voor een verwerking. Om je op weg te helpen, volgen hierna enkele voorbeelden waarvoor een sportvereniging doorgaans toestemming nodig heeft:
– de verzending van reclame per e-mail aan leden door verenigingssponsoren;
– het analyseren van iemands online gedrag (bijvoorbeeld door het gebruik van cookies of locatiegegevens);
– de plaatsing van foto’s van jeugdspelers op een publiek toegankelijke website; en
– het gebruik van gezondheidsgegevens (denk bijvoorbeeld aan apps en wearables die een hartslag meten).
Waar moet je op letten bij het gebruik van toestemming?
Verwerkt de vereniging persoonsgegevens op basis van toestemming, houd dan altijd rekening met het volgende:
– Stilzwijgende toestemming is niet voldoende. Vermijd dus bijvoorbeeld een checkbox die automatisch is aangevinkt. Je hebt een actieve instemming nodig van de betrokkene.
– Toestemming is slechts geldig als deze uit vrije wil door de betrokkene is gegeven. Heeft de betrokkene dus feitelijk geen keus, dan is van geldige toestemming geen sprake.
– Toestemming voor de verwerking van gegevens van een persoon die nog geen 16 jaar oud is, vraag je aan de ouder/voogd.
– Leg een verkregen toestemming vast. De vereniging moet achteraf kunnen aantonen dat een zekere toestemming daadwerkelijk is verleend.
– Een betrokkene heeft het recht om een gegeven toestemming op ieder moment in te trekken.