Privacyregels: waar moet een vereniging rekening mee houden?

CMS

Wie werkt met gegevens van personen, heeft te maken met de regels rond privacy. Ook voor een vereniging is het daarom belangrijk te weten hoe die regels er uit zien en waarmee rekening moet worden gehouden. CMS, sponsor van de KNHB zette de belangrijkste zaken voor verenigingen op een rij in deze whitepaper, te beginnen met een aantal basisprincipes.


Basisprincipes

Laten we eerst eens kijken naar een aantal basisprincipes. Want wat bedoelen we eigenlijk met privacy en om welke persoonsgegevens gaat het?

Privacy: waar hebben we het over?

Privacy is simpel gezegd het recht om met rust gelaten te worden. Onderdeel ervan is de bescherming van persoonsgegevens: er zijn wettelijke regels voor de omgang met informatie over een persoon.

Wat is een ‘persoonsgegeven’?

Een persoonsgegeven is elk gegeven over een levende en identificeerbare persoon, dat wil zeggen: direct of indirect herleidbaar tot een individu. Welk soort gegeven het is maakt niet uit. Een paar traditionele voorbeelden van persoonsgegevens zijn een voor- of achternaam, (e-mail)adres, lidnummer of een teamfoto. Maar ook gegevens over iemands gedrag en voorspellingen daarover (zoals fysieke inspanning of locatie) zijn persoonsgegevens. De persoon op wie een gegeven betrekking heeft, noem je de ‘betrokkene’.

Wanneer ‘verwerk’ je persoonsgegevens?

Ook het begrip ‘verwerken’ is zeer breed. Iedere handeling met een persoonsgegeven is in de praktijk een verwerking. Denk dus aan het verzamelen, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken of vernietigen van persoonsgegevens.

Wanneer mag je als vereniging persoonsgegevens verwerken?

Je mag persoonsgegevens volgens de wet alleen verwerken voor een duidelijk omschreven en rechtmatig doel. Die rechtvaardiging bestaat in het geval van een hockeyvereniging meestal uit:

  • een noodzakelijke verwerking om een gerechtvaardigd belang te dienen;
  • de uitdrukkelijke toestemming van een betrokkene;
  • het uitvoeren van een contract met een betrokkene; of
  • het voldoen aan een wettelijke plicht.


Ledenadministratie

 De ledenadministratie en met name de administrateur van een vereniging krijgt natuurlijk vaak te maken met persoonsgegevens. Hoe ga je daarmee om?

Welke privacyregels gelden er zoal voor de ledenadministratie?

De ledenadministratie van je vereniging bestaat uit allerlei persoonsgegevens. Denk niet alleen aan namen en lidnummers, maar ook aan contact- en betaalgegevens. We bespreken hier kort waar je bij de ledenadministratie zoal op moet letten.

Welke persoonsgegevens mag je opnemen in de administratie?

Je mag uitsluitend persoonsgegevens opnemen voor zover daar een rechtmatig doel voor bestaat. Controleer dus of voor alle gegevens geldige grondslag aanwezig is om ze te verwerken (zoals een gerechtvaardigd belang, toestemming, contractuitvoering of een wettelijke verplichting). Verzamel en bewaar bovendien niet méér persoonsgegevens dan werkelijk nodig is voor het doel dat je nastreeft. Let op: je mag persoonsgegevens niet zomaar voor een ander doel gebruiken dan waarvoor je ze hebt verkregen. Twijfel je of bepaald gebruik is toegestaan, vraag dan om deskundig advies.

Mag je NAW-gegevens en e-mailadressen delen met sponsoren?

Sponsoren hebben vaak interesse in NAW-gegevens van leden, zodat zij commerciële boodschappen kunnen versturen. Het doorgeven van NAW-gegevens is echter niet zomaar toegestaan, en vereist in principe uitdrukkelijke toestemming van een lid. Als het versturen van reclame per post door sponsoren aan leden echter in algemene zin is goedgekeurd door de ledenvergadering, dan heb je voor de verstrekking van NAW-gegevens aan een sponsor geen individuele toestemming meer nodig. Zorg wel dat je het voornemen tot doorgifte vooraf via de gebruikelijke wegen (nieuwsbrief, ledenblad) met leden communiceert, en geef leden gedurende een redelijke termijn de kans om zich te verzetten tegen de verstrekking van hun eigen NAW-gegevens aan sponsoren.

Voor de verstrekking van e-mailadressen geldt een strenger regime. Een sponsor mag vanwege de SPAM-regels namelijk geen commerciële berichten versturen zonder uitdrukkelijke toestemming van individuele ontvangers. Heeft de sponsor een dergelijke toestemming niet verkregen (al dan niet via jouw vereniging), dan heb je dus in principe geen legitieme reden om de e-mailadressen te verstrekken.

Ledenlijst

Een vereniging mag in principe een ledenlijst beschikbaar stellen aan eigen leden. Wij raden wel aan om de ledenvergadering eenmalig te verzoeken om daarmee in algemene zin in te stemmen, mocht dit nog niet gebeurd zijn. De Autoriteit Persoonsgegevens is van oordeel dat het online publiceren van een ledenlijst slechts is toegestaan op een voor leden afgeschermde webpagina. Wil je als vereniging dus mogelijk maken dat leden elkaar kunnen zoeken via jouw app of website, zorg dan dat je die informatie uitsluitend aan eigen leden beschikbaar stelt.

Hoelang mag je gegevens uit de ledenadministratie bewaren?

Bewaar persoonsgegevens van een uitgetreden lid in principe niet langer dan twee jaar na einde van het lidmaatschap. Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaar. Overleg met de penningmeester binnen de organisatie welke gegevens daarvoor in aanmerking komen. Sommige informatie zal je wellicht voor statistische, wetenschappelijke of historische doeleinden langer willen bewaren. Dat mag, maar zorg wel dat deze langer bewaarde gegevens niet alsnog voor andere doeleinden worden gebruikt, en onderzoek in hoeverre je de gegevens kunt anonimiseren.

Beveiliging

De ledenadministratie kan een interessant doelwit zijn voor kwaadwillenden. Zorg dus voor goede technische en organisatorische beveiligingsmaatregelen. De Autoriteit Persoonsgegevens heeft daarvoor richtsnoeren gepubliceerd, die je hier kunt raadplegen.


Informatieplicht

Wanneer met je gegevens werkt, ben je verplicht de betrokkenen te laten weten welke gegevens je verwerkt en waarom. Hier lees je er alles over.

Hoe moet de vereniging betrokkenen zoal informeren?

Je bent als vereniging wettelijk verplicht om betrokkenen op eigen initiatief goed te informeren over welke persoonsgegevens je verwerkt, voor welk doel je dit doet, en welke rechten de betrokkene heeft ten aanzien van zijn persoonsgegevens. Je legt deze informatie meestal vast in een privacyverklaring. Informeren is niet alleen een kwestie van de wet naleven, maar een mooie kans om te demonstreren dat jouw vereniging de privacy van leden en anderen respecteert. Onthoud: hoe beter je betrokkenen vooraf informeert over wat je doet met hun persoonsgegevens, des te kleiner de kans dat je ze onaangenaam verrast.

Wanneer en hoe informeer je?

Zorg ten eerste dat een privacyverklaring eenvoudig is te raadplegen op de website van de vereniging. Ons advies is verder om aan te sluiten bij de manier waarop je met de betrokkene in contact staat. Schrijft iemand zich in via een fysiek formulier (bijvoorbeeld als lid of deelnemer), voeg dan de privacyverklaring bij ter kennisgeving. Maak je gebruik van een digitaal inschrijfformulier, verwijs dan met een duidelijk zichtbare hyperlink naar de privacyverklaring. Krijgen deelnemers/leden na hun inschrijving toegang tot een digitale omgeving (zoals een ledenportaal), link dan ook daar naar de privacyverklaring.

Waarover informeer je?

Je bent verplicht om minimaal de volgende informatie te verstrekken:

  • De officiële identiteits- en contactgegevens van de vereniging;
  • De soorten persoonsgegevens die worden verwerkt;
  • Voor welke doeleinden die verwerkingen plaatsvinden, en op welke grondslag dit plaatsvindt;
  • Als persoonsgegevens mogelijk worden gedeeld met derde partijen, welke partijen het betreft;
  • Als persoonsgegevens worden opgeslagen buiten de EU, welke maatregelen er zijn getroffen om een passend beschermingsniveau te waarborgen;
  • Welke rechten de betrokkene (onder bepaalde omstandigheden) heeft, namelijk het recht op inzage, correctie, verwijdering, dataportabiliteit, en het recht van verzet tegen een bepaalde verwerking;
  • Hoelang persoonsgegevens worden bewaard (of welke criteria daarvoor gelden);
  • Indien voor bepaalde verwerkingen toestemming wordt gevraagd, de vermelding dat deze te allen tijde mag worden ingetrokken door de betrokkene;
  • Een vermelding dat iedere betrokkene het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens;
  • Als je de persoonsgegevens verwerkt ter uitvoering van een contract of een wettelijke verplichting, vermeldt dit dan, en vermeldt tevens wat de consequentie is als een betrokkene dergelijke persoonsgegevens niet verstrekt (bijvoorbeeld: geen lid kunnen worden van de vereniging);
  • Als je gebruikmaakt van profilering of geautomatiseerde besluitvorming, vermeldt dit dan uitdrukkelijk.

Wees duidelijk

Een betrokkene heeft er niets aan om te lezen dat jij ‘sommige persoonsgegevens’ ‘mogelijk’ voor ‘onderzoek’ gebruikt. Het lijkt misschien aantrekkelijk om jezelf met dit soort vage termen veel ruimte te geven, maar uiteindelijk wek je daarmee vooral argwaan.

Modelverklaring

Nog geen privacyverklaring? Op deze website van CMS kun je via een standaardmodel zelf een verklaring opstellen, die in veel situaties geschikt is om de betrokkene te informeren. Dit model zal binnenkort worden aangepast aan de nieuwe eisen die de AVG stelt.

Informatiepunt

Zorg voor een duidelijk aanspreekpunt waar mensen terecht kunnen met eventuele vragen of opmerkingen over het privacybeleid van de vereniging.


Beeldmateriaal en sociale media:
Waar moet je op letten bij het maken en publiceren van foto’s en video’s?

De nieuwe media zorgen voor steeds meer mogelijkheden als het gaat om bijvoorbeeld gebruik van foto’s en video’s op je website en sociale media. Maar hoe ga je daar verstandig mee om?

Heb je toestemming nodig voor het maken en publiceren van beeldmateriaal?

Foto’s en video’s  met een herkenbaar in beeld gebrachte betrokkene zijn meestal persoonsgegevens. Voor het maken en publiceren ervan heb je daarom meestal toestemming nodig van de betrokkene. Voor veel situaties kun je dit op voorhand oplossen door het opnemen van een algemene toestemmingsbepaling in de lidmaatschapsvoorwaarden of evenementvoorwaarden. Wil je toestemming van een persoon jonger dan 16 jaar? Dan vraag je de ouder/wettelijk vertegenwoordiger om toestemming.

Recht van verzet tegen publicatie

Let op: iemand die toestemming geeft voor het maken van een foto, geeft daarmee niet per definitie toestemming voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. In de regel zal je gehoor moeten geven aan een dergelijk verzoek. Is dit bezwaarlijk en wil je als vereniging niet aan een dergelijk verzet meewerken, vraag dan om deskundig advies.

Informeren

Zorg ervoor dat leden en toeschouwers op enige manier zijn geïnformeerd over eventuele beeldopnamen. Dat kan bijvoorbeeld in huisreglementen of met behulp van een bordje op het terrein.

Sociale media

Ook op social media ben je als vereniging verantwoordelijk voor het verspreiden van beeldmateriaal namens de vereniging via eigen sociale-media-accounts en pagina’s. Denk als vereniging dus na welk gedrag wenselijk en vooral onwenselijk is, en maak dit onderwerp van discussie in de ledenvergadering. Je kunt bijvoorbeeld overwegen om een paragraaf over social media-gebruik op te nemen in het huisreglement. De kern is uiteindelijk dat je de privacy borgt van leden/personen die dergelijke publiciteit willen vermijden, en dat je adequaat omgaat met hun eventuele klachten en verzoeken.


Aanmelding verwerking bij AP

Moet een vereniging haar verwerkingen aanmelden bij de Autoriteit Persoonsgegevens? Verwerk je persoonsgegevens, dan moet je de Autoriteit Persoonsgegevens daarover meestal informeren. Deze melding wordt dan gepubliceerd in een openbaar register. Deze verplichting is anno 2017 echter vrijwel een dode letter, en verdwijnt definitief in mei 2018 (als de AVG in werking treedt). We gaan er in dit bulletin daarom niet verder op in.


Bewerkers

Verenigingen werken met partijen samen om gegevens te verwerken.

Wat moet onze vereniging regelen met bewerkers, zoals IT-dienstverleners?

Als vereniging maak je vaak gebruik van externe IT-dienstverlening. Denk bijvoorbeeld aan een online ledenadministratie, het beheer van apps en het hosten van websites. Via zulke diensten worden vrijwel altijd persoonsgegevens verwerkt. De IT-dienstverlener verwerkt dan persoonsgegevens ten behoeve van jouw vereniging. Zo’n dienstverlener heet in privacy-termen een bewerker. Je bent als verantwoordelijke verplicht om met deze partij een bewerkersovereenkomst te sluiten. Daarin leg je hoofdzakelijk afspraken vast die borgen dat de IT-dienstverlener zorgvuldig met persoonsgegevens omgaat. Dat is voor jou als vereniging erg belangrijk, want je blijft na inschakeling van dit soort diensten wettelijk verantwoordelijk voor de manier waarop de IT-dienstverlener omgaat met de verstrekte persoonsgegevens.

Maak in de bewerkersovereenkomst ook duidelijke afspraken over beveiliging en de omgang met eventuele datalekken. We spreken van een datalek als er een beveiligingsincident plaatsvindt dat (mogelijk) ernstige gevolgen heeft voor de bescherming van persoonsgegevens. Denk bijvoorbeeld aan diefstal van persoonsgegevens of een infectie met gijzelsoftware, maar ook het per ongeluk wissen van gegevens. In bepaalde gevallen moet je een datalek melden aan de Autoriteit Persoonsgegevens, en soms ook aan de betrokkene. Die melding moet strikt genomen plaatsvinden binnen 72 uur na ontdekking van het incident. Het is dus van groot belang dat je in dit soort situaties juiste en tijdige assistentie krijgt van de IT-dienstverlener, want je bent qua informatievoorziening grotendeels afhankelijk van zijn medewerking. Heb je specifieke vragen over de omgang met datalekken, neem dan contact op met CMS.

Weigert een dienstverlener om een bewerkersovereenkomst te sluiten? Vraag dan wat de achtergrond is voor deze weigering. Als een leverancier beweert dat via haar diensten geen persoonsgegevens worden verwerkt, onderzoek dan goed of dit wel het geval is en vraag desnoods om deskundig advies. Blijkt dat wel degelijk persoonsgegevens worden verwerkt, heroverweeg dan of het verstandig is om met deze leverancier in zee te gaan.

Maakt de IT-dienstverlener (deels) gebruik van servers die zich bevinden buiten de EU, bijvoorbeeld via Amerikaanse serviceproviders? Wees je er dan van bewust dat persoonsgegevens niet zomaar mogen worden verwerkt op servers in landen buiten de EU, tenzij er bijzondere waarborgen zijn getroffen om de persoonsgegevens te beschermen. In de praktijk kan dit meestal goed worden opgelost met bijvoorbeeld ‘EU-modelcontracten’, of inmiddels ook het zogeheten ‘Privacy Shield’. Als de leverancier niet in staat is om een dergelijke oplossing aan te bieden en te garanderen in de bewerkersovereenkomst, vraag dan om deskundig juridisch advies.


Elektronische mailings

Veel verenigingen sturen e-mails naar groepen leden of geïnteresseerden. Maar ook het verzenden van elektronische mailings is aan regels gebonden.

Waar moet je op letten bij het versturen van mailings per e-mail?

Het sturen van elektronische commerciële berichten (bijvoorbeeld via e-mail of persoonlijk bericht via social media) is een vorm van direct marketing. Daarvoor gelden bijzondere regels, ook wel de “SPAM-regels” genoemd. De SPAM-regels gelden voor het versturen van “ongevraagde” berichten, zoals nieuwsbrieven en reclame. Voor het versturen van zulke berichten heb je uitdrukkelijke en voorafgaande toestemming nodig van de ontvanger. Opt-out (je vraagt niet vooraf toestemming, maar biedt wel gelegenheid om uit te schrijven) is dus onvoldoende. Daarnaast geldt: ook al heb je toestemming, je moet ontvangers altijd een eenvoudige gelegenheid bieden tot uitschrijving voor zulke berichten.

Uitzondering voor nieuwsbrieven aan leden

Bij het versturen van nieuwsbrieven door een vereniging aan leden is sprake van een uitzonderingssituatie. Een vereniging moet haar leden namelijk via e-mail kunnen informeren over het reilen en zeilen binnen de vereniging. Denk bijvoorbeeld aan de uitnodiging voor een ledenvergadering of de verenigingsevenementen, wedstrijduitslagen etc. Zolang een nieuwsbrief uitsluitend dergelijke berichten bevat, heb je geen uitdrukkelijke toestemming nodig van een lid. Let op: voor het sturen van reclame (zoals sponsormailings) aan leden heb je wél toestemming nodig.

Gemengde nieuwsberichten

Mogelijk wil je als vereniging berichten sturen aan leden die zowel nieuws/mededelingen als commerciële elementen bevatten. Denk bijvoorbeeld aan een sponsoritem in een nieuwsbrief. In dit soort situaties is sprake van een juridisch grijs gebied: idealiter vraag je voor zulke berichten toestemming aan een lid. Mogelijk beschik je op dit moment nog over adresbestanden waarbij je tot op heden geen expliciete toestemming hebt verkregen voor het versturen van commerciële berichten. Mocht je aan die leden gemengde berichten sturen, zorg dan tenminste dat je een deugdelijke uitschrijfmogelijkheid biedt, en zorg dat de ALV in algemene zin met dergelijke berichten heeft ingestemd.

Twijfel je of een bepaald soort bericht wel of niet door de beugel kan? Vraag dan om deskundig advies.


Vrijwilligers

Verenigingen draaien van oudsher grotendeels op vrijwilligers. Deze vrijwilligers krijgen regelmatig toegang tot persoonsgegevens bij de uitoefening van hun taak. Denk bijvoorbeeld aan de toegang tot leden- en deelnemerslijsten. Je wil met zulke vrijwilligers begrijpelijkerwijs zo soepel mogelijk omgaan. Zo oefen je doorgaans minder uitdrukkelijk gezag uit dan bij werknemers, en zijn werkafspraken vaak minder strikt.

Vergeet echter nooit: vrijwillig betekent niet vrijblijvend! Een gebrek aan controle op vrijwilligers is vanuit privacy-opzicht niet zonder risico. De vereniging is als verantwoordelijke namelijk verplicht om te bewaken dat vrijwilligers persoonsgegevens verwerken op de wijze zoals de vereniging voorschrijft. Schiet een vrijwilliger daarin tekort, dan kan dit in theorie leiden tot aansprakelijkheid van de vereniging en sancties van de toezichthouder. Stel daarom duidelijk beleid op, waarin je vrijwilligers uitlegt hoe zij met informatie van de vereniging moeten omgaan. Controleer bovendien af en toe of het beleid daadwerkelijk wordt nageleefd. Beperk ook de toegang tot persoonsgegevens, zodat vrijwilligers alleen toegang hebben tot gegevens die noodzakelijk zijn voor de uitvoering van hun taak.

Vrijwilligers kunnen soms plots uit beeld raken nadat zij hun taak neerleggen, of eenmalig assistentie hebben verleend. Vergeet dus nooit om tijdig de toegang tot informatie te beëindigen. Zorg ook dat alle persoonsgegevens worden teruggegeven, en waar nodig worden gewist van privéapparatuur van de vrijwilliger.

 

Talentmonitoring

Sommige verenigingen maken gebruik van systemen om talent te monitoren en analyseren, vaak met behulp van computerprogramma’s. Het gaat dan bijvoorbeeld om trainingsschema’s, prestatiemeting, communicatie en blessureoverzichten. Al dit soort gegevens zijn persoonsgegevens, die je in vrijwel alle gevallen niet mag verwerken (en dus ook niet mag delen met derden!) zonder uitdrukkelijke en geïnformeerde toestemming van de betrokkene. Is een talent jonger dan 16 jaar? Vraag dan altijd toestemming aan een ouder of wettelijk vertegenwoordiger van het kind. Zorg ook dat je een gegeven toestemming opslaat.

“Geïnformeerde” toestemming betekent dat je iemand goed uitlegt welke gegevens je verzamelt, voor welke doeleinden je dat doet, en dat je duidelijk vermeldt dat een talent zijn toestemming op ieder moment mag intrekken. Dit soort zaken leg je meestal vast in een privacyverklaring. Zorg dat de betrokkene deze eenvoudig kan raadplegen voordat hij/zij instemt.

Realiseer je dat gegevens van topsporters kunnen rekenen op extra aandacht van de buitenwereld, waaronder zich ook kwaadwillenden kunnen bevinden. Goede beveiliging is dan ook van belang ter voorkoming van datalekken, zeker nu het soms gevoelige gegevens betreft. Als er IT-leveranciers betrokken zijn (bijvoorbeeld door het hosten van een webapplicatie), dan zijn deze partijen bewerker, en moet je daarmee een bewerkersovereenkomst sluiten.


Cookies

Websites, ook verenigingswebsites, en social media kanalen werken met cookies. Het is verplicht eindgebruikers hier op te wijzen.

Waar moet je op letten bij het gebruik van cookies?

Voor het uitlezen en plaatsen van informatie op ‘randapparatuur’, zoals een mobiele telefoon, tablet of computer, zijn specifieke regels opgenomen in de Telecommunicatiewet. Deze regels staan bekend als de ‘cookiewet’, omdat een cookie het bekendste voorbeeld is van het digitaal uitlezen en plaatsen van informatie. Maar let op: de regels gelden ook voor andere technieken waarbij informatie wordt uitgelezen of geplaatst. Het gebruik van dit soort technieken is niet zonder meer toegestaan. Kom je er niet uit? Vraag dan om deskundig juridisch advies.

Soorten cookies

Cookies komen grofweg voor in drie vormen:

  1. Technisch noodzakelijke cookies, ook wel functionele cookies Denk bijvoorbeeld aan cookies die een ‘winkelwagentje’ van een webwinkel mogelijk maken. Zou een order immers spontaan worden vergeten, dan zou het plaatsen van een bestelling al snel onwerkbaar worden.
  2. Kwaliteits- of effectiviteitscookies: Hiermee kunnen de kwaliteit en de effectiviteit van de website worden verbeterd (voor IT-ers: denk aan A/B-testing). Ook affiliate-cookies vallen onder deze categorie: op die manier kan een adverteerder bijvoorbeeld bijhouden welke advertentie daadwerkelijk tot de aankoop van een product heeft geleid.
  3. Tracking cookies: deze cookies volgen het internetgedrag van de gebruiker. Daarmee kunnen ze het interesse-profiel van de gebruiker in kaart brengen. Deze vorm wordt veel gebruikt bij online adverteren.

Toestemming en informatie vereist

Volgens de hoofdregel moet de eindgebruiker toestemming geven voordat cookies mogen worden geplaatst. Daarnaast moet je de eindgebruiker duidelijk informeren over:

  • de naam van de partij die de cookies plaatst;
  • het doel waarvoor de cookies worden gebruikt. Denk bijvoorbeeld aan tracking, gerichte advertenties of het verbeteren van de website;
  • het type cookie dat door of via de website wordt geplaatst;
  • het gebruik van andere relevante technieken. Denk bijvoorbeeld aan Javascript en web beacons; en
  • de eventuele impact die de cookies kunnen hebben op de privacy van de gebruiker.

Uitzondering

Er zijn drie gevallen waarin geen toestemming nodig is, en ook geen informatie hoeft te worden verschaft:

  • De cookies zijn technisch noodzakelijk om elektronische communicatie mogelijk te maken;
  • De cookies zijn nodig om een door de gebruiker gevraagde dienst te leveren; of
  • De cookies zijn bedoeld om informatie te verkrijgen over de kwaliteit of effectiviteit van de website, en hebben bovendien geen of slechts geringe gevolgen voor de privacy van de gebruiker.

In de praktijk betekent dit dat je vrijwel alle technisch noodzakelijke cookies en kwaliteits- of effectiviteitscookies mag plaatsen, zolang dit plaatsvindt binnen het eigen domein van de vereniging. Dit betekent in veel gevallen dat je de zogeheten ‘cookiewalls’ dus kunt vermijden. Vraag bij twijfel echter altijd om deskundig juridisch advies.

Bewerkers

Als er derde partijen betrokken zijn in het faciliteren van de cookie, dat is deze derde mogelijk een bewerker. In dat geval moet er een bewerkersovereenkomst worden gesloten. Dit is onder meer het geval bij het gebruik van Google Analytics. Google stelt je in staat om een bewerkersovereenkomst te sluiten.

FAQ van ACM over cookies

De ACM (Autoriteit Consument & Markt) heeft een paar veelvoorkomende vragen beantwoord over de toepassing van cookieregels. Het document biedt een zeer nuttig inzicht over het gebruik van cookies in allerlei praktijksituaties. Wij bevelen dan ook aan om dit document goed door te lezen.


Algemene Verordening Gegevensbescherming

Hoe zit het nu met die nieuwe Europese privacyregulering? Vanaf 25 mei 2018 geldt in de hele Europese Unie de Algemene Verordening Gegevensbescherming (AVG). De AVG bevat strenge algemene regels voor de verwerking van persoonsgegevens. In deze brochure van CMS kun je alvast lezen welke nieuwe eisen de AVG zoal stelt. De tekst van de Verordening kun je hier raadplegen. De regels die we beschrijven in dit Bulletin, gelden ook onder de AVG.
Over het algemeen worden de privacyregels onder de AVG strenger dan de huidige Wet bescherming persoonsgegevens. Zo gelden er voor het vragen van toestemming strengere voorwaarden, en moet je de betrokkene meer informatie verstrekken dan voorheen. de AVG heeft dus ook een impact op hockeyverenigingen.

  • Whitepaper
Bekijk alle whitepapers

Deel deze pagina