Veelgestelde vragen over de nieuwe privacywet (de AVG)

Sinds 25 mei 2018 gelden er strengere regels op het gebied van privacy. De Wet bescherming persoonsgegevens (Wbp) is toen vervangen door de Algemene Verordening Gegevensbescherming (AVG). Elke vereniging moest voor die tijd in kaart brengen hoe zij omgaat met persoonsgegevens. De KNHB ondersteunt haar verenigingen hier graag in. Dit doen wij als volgt:

  • We boden iedere vereniging gratis een vouchercode voor de AVG-tool aan. Deze tool bevat een stappenplan die verenigingen helpt om aan de wetgeving te voldoen. LET OP: aanvragen van de vouchercode was mogelijk tot en met 28 februari 2019. Afhankelijk van het moment waarop je de voucher hebt aangevraagd, was het programma tot uiterlijk 10 december 2019 beschikbaar. Wil je gebruik blijven maken van de AVG-tool, dan kun je als vereniging zelf een abonnement afsluiten. Om de kosten hiervoor zo laag mogelijk te houden, is hierover een afspraak gemaakt met de Stichting AVG voor Verenigingen. Voor een bedrag van €5,- (exclusief btw) per maand kun je je vereniging AVG-proof houden. Dit bedrag is inclusief gratis gebruik van een juridische helpdesk bij vragen. Op deze website staat meer informatie en kun je het abonnement afsluiten.
  • We hebben de meest gestelde vragen die via verenigingen bij ons binnenkomen verzameld en in onderstaand overzicht geplaatst. Staat jouw vraag er (nog) niet tussen? Stuur dan een mail met jouw vraag naar knhb@knhb.nl.

De binnengekomen vragen hebben we gebundeld in vijf thema’s:

  1. De AVG Wet
  2. Gebruik van de AVG-tool
  3. Maken en publiceren van foto’s/video’s
  4. Bewaren en beschermen van persoonsgegevens
  5. De privacyverklaring
  6. De verwerkersovereenkomst

Veelgestelde vragen

De AVG wet

Wat houdt de AVG eigenlijk in?

Sinds 25 mei 2018 gelden er strengere regels op het gebied van privacy. De Wet bescherming persoonsgegevens (Wbp) is toen vervangen door de Algemene Verordening Gegevensbescherming (AVG). Deze AVG geldt voor de hele Europese Unie en heeft gevolgen voor iedere organisatie die persoonsgegevens verwerkt. Dus ook voor alle hockeyverenigingen van de KNHB in Nederland. Om tijdig aan de nieuwe regelgeving te voldoen, moest elke vereniging stappen ondernemen.

Strengere regels

Over het algemeen zijn de privacyregels onder de AVG strenger dan de Wbp. Zo gelden er voor het vragen van toestemming strengere voorwaarden en moet je als organisatie de betrokkene meer informatie verstrekken dan voorheen. De nieuwe regels brengen nieuwe verantwoordelijkheden met zich mee. Elke vereniging moet in kaart brengen hoe zij omgaat met persoonsgegevens. Het gaat daarbij om vragen als: welke gegevens worden verwerkt, wat gebeurt er met die gegevens en wat doet de vereniging om ze te beschermen?

Kun je een boete krijgen als je niet aan de AVG voldoet?

De Autoriteit Persoonsgegevens (AP) treedt binnen Nederland op als privacytoezichthouder. En ja, de AP is daarbij ook bevoegd om boetes uit te delen als organisaties de AVG overtreden. Dit geldt dus ook voor verenigingen.

Volgens de regels kan de AP een boete opleggen van maximaal 20 miljoen euro. In welke vorm er controles uitgevoerd worden is niet bekend. Naleving van de privacywetgeving staat wel hoog op de agenda. Doe je er het maximale aan om aan de AVG te voldoen en privacy te waarborgen, dan is de kans niet groot dat je als vereniging een boete krijgt.

Maken en publiceren van foto's/video's

Regels rondom het maken en publiceren van beeldmateriaal

Beelmateriaal van een persoon is een persoonsgegeven. Om persoonsgegevens te mogen verwerken geldt op grond van de Algemene Verordening Gegevensbescherming (hierna: AVG) dat er een wettelijke grondslag moet zijn. Er zijn in de AVG verschillende mogelijke grondslagen genoemd, waaronder toestemming.

De hoofdregel is dat foto’s (dit geldt ook voor video’s/ander beeldmateriaal) van personen die herkenbaar in beeld zijn, alleen mogen worden gemaakt en gepubliceerd als deze personen daar uitdrukkelijk schriftelijk toestemming voor hebben gegeven. Dat geldt zowel voor foto’s die via de website worden gepubliceerd of op geprint materiaal worden geplaatst (dus online, of in een flyer of folder of ander kanaal). Indien de vereniging foto’s wil maken en publiceren waarop individuele personen herkenbaar in beeld zijn, dan heeft de vereniging daar dus (in beginsel) uitdrukkelijke voorafgaande schriftelijke toestemming voor nodig.

Deze toestemming moet actief worden gegeven door de betrokkene. In geval de persoon jonger dan 16 jaar is, is toestemming van zijn of haar ouder(s) of wettelijke vertegenwoordigers nodig. Het moet duidelijk zijn waarvoor precies toestemming wordt gegeven en waar de foto gepubliceerd kan worden.

Als een persoon geen toestemming geeft is het niet toegestaan om de foto te maken en te publiceren. Het is dus van belang dit goed in de gaten te houden en de toestemming vast te leggen en te bewaren.

Uitzonderingen
Op de hoofdregel dat volgens de AVG altijd toestemming nodig is voor het verwerken van foto’s zijn enkele uitzonderingen. Als het gaat om beeldmateriaal dat wordt gebruikt in het kader van verslaglegging (voor zuiver journalistieke doeleinden) dan mag een foto ook zonder toestemming worden gemaakt en gepubliceerd. Dit geldt ook als het gaat om minderjarigen. De uitvoeringswet AVG bepaalt namelijk dat bij gebruik van persoonsgegevens voor uitsluitend journalistieke doeleinden geen andere grondslag nodig is.

Een andere uitzondering kan zijn dat er voor de vereniging een andere geldige grondslag is dan toestemming om beeldmateriaal te mogen verwerken. Dit kan bijvoorbeeld zijn dat er met de persoon van wie de foto wordt gemaakt een overeenkomst is gesloten, op grond waarvan het noodzakelijk is beeldmateriaal te maken.

Is er geen sprake van een overeenkomst, dan kan slechts bij hoge uitzondering op grond van “gerechtvaardigd belang" van de vereniging beeldmateriaal van personen worden gemaakt en gepubliceerd. Dit vergt altijd een afweging tussen het belang van de vereniging en de persoon, waarbij het privacybelang van de persoon heel zwaar weegt. Het is goed dat belang te laten bevestigen door de algemene ledenvergadering en dit hoogste orgaan van de vereniging een besluit te laten nemen over het privacybeleid van de vereniging. Je kunt dit ook nog borgen in het huishoudelijk reglement.

In alle genoemde uitzonderingsgevallen waarin dus geen sprake is van expliciete toestemming geldt dat altijd moet worden gekeken of het gebruik van beeldmateriaal niet al te zeer inbreuk maakt op iemands privacy. Bij kwetsbare groepen zal dit eerder het geval zijn. Als geen toestemming is verkregen moet in elk geval worden voorkomen dat één individu prominent in beeld is,  bijvoorbeeld door te kiezen voor overzichtsfoto’s. Bij plaatsing van foto’s op de website kan ook worden gedacht aan het plaatsen van fotomateriaal op een pagina waarop moet worden ingelogd (alleen voor leden/vrijwilligers).

Hoe zit het met minderjarigen?
Minderjarigen worden geacht te behoren tot een kwetsbare groep zoals hierboven bedoeld. Hoe jonger een persoon is, hoe zwaarder zijn of haar privacy zal wegen bij de belangenafweging. Kinderfoto’s of -video's zijn zelden nieuwswaardig, dus daar zul je eerder moeten blurren, weglaten of bijsnijden. Bij kinderen uit de LG hockey teams is nog meer voorzichtigheid geboden.

Bezwaar voorkomen?
Wil je voorkomen dat er iemand bezwaar maakt tegen publicatie van beeldmateriaal, dan zul je vooraf aan iedereen toestemming moeten vragen.

Wat betreft nieuwe leden kan dat bij de aanmelding (toestemming vragen in een separaat formulier). Voor minderjarigen (iedereen jonger dan 16 jaar) geldt dat de ouders het toestemmingsformulier moeten ondertekenen.

Bewaren en beschermen van persoonsgegevens

Hoe kan ik ledengegevens veilig beschermen tegen diefstal of verlies?

Om persoonsgegevens van de leden van jouw vereniging te beschermen tegen verlies of diefstal moet je zorgen voor een veilige omgeving. Dat geldt voor de omgeving waarin de gegevens worden opgeslagen en vooral ook bij verzending. Dat kan dus digitaal of fysiek zijn. Fysieke documenten met persoonsgegevens moeten achter slot en grendel worden bewaard. Je kunt kiezen voor een sluitend sleutelbeheer met geautoriseerde personen en geheimhoudingsverklaringen.

De meeste digtale systemen voor de ledenadministratie maken op gezette tijden automatisch een back-up, maar dat geldt niet voor allemaal. Controleer dus of de door jullie gebruikte systemen dit wel of niet doen, en of de back-ups veilig worden bewaard.

Verder is het natuurlijk van belang om een goed wachtwoordenbeheer te hebben. Bij toepassing van twee factor authenticatie (2FA) is er een tweede veiligheidslaag voor toegang tot een applicatie. Last but not least is het van belang om de beheerders vooraf te verplichten dat zij bij het einde van hun functie alles overdragen aan de vereniging (inclusief wachtwoorden en inloggegevens).

Mocht er toch sprake zijn van verlies of diefstal van persoonsgegevens (een inbreuk op de beveiliging), dan kan er bij een risico voor de persoonlijke levenssfeer van betrokkenen sprake zijn van de verplichting om dit binnen 72 uur te melden aan de Autoriteit Persoonsgegevens en - bij een hoog risico - aan de betrokkenen.

Hoe lang mag ik gegevens van oud-leden bewaren?

Het uitgangspunt van de AVG is dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van de verwerking, en dat persoonsgegevens zowel digitaal als fysiek (bijv. het aanmeldingsformulier) vernietigd moeten worden als er geen noodzaak meer is.

Met uitzondering van financiële gegevens (die je zeven jaar moet bewaren), geldt op dit moment een standaard bewaartermijn voor gegevens van oud-leden van twee jaar. Het is raadzaam om leden bij opzegging om toestemming te vragen om hun gegevens langer te bewaren, bijvoorbeeld in verband met jubilea, kunnen verstrekken van informatie over de vereniging. Indien toestemming wordt gegeven, moet bij elk bericht ook weer een opt-out worden gegeven met de mogelijkheid om de toestemming in te trekken.

Hoe weet ik of mijn verenigingswebsite veilig is?

De veiligheid van je verenigingswebsite is ook van groot belang. Maar hoe weet je of deze veilig is? Je kunt dit zelf controleren via www.internet.nl. Dit is een initiatief van de Internetgemeenschap en de Nederlandse Overheid. Voer op deze site de url van je verenigingswebsite in en je krijgt onmiddellijk een analyse van de sterke en zwakke punten van de toegangsbeveiliging. Zo kun je eenvoudig checken of de internetverbinding, e-mail en website wel voldoen aan moderne internetstandaarden.

Verplicht voor verenigingen: https in de url

Let op! Als je persoonsgegevens verzamelt via de website, moet je in ieder geval https gebruiken. Dit is al het geval als je een (contact)formulier op de site gebruikt of een optie aanbiedt voor nieuwsbrief-aanmeldingen. Https (beveiliging) voorkomt dat onbevoegde derden mee kunnen lezen met het verkeer naar de website.

Mag de vereniging mijn persoonsgegevens aan andere leden doorgeven?

Ja, jouw vereniging mag jouw gegevens (zoals je naam, adres en woonplaats) doorgeven aan bepaalde mensen binnen de vereniging. Dit is nodig om de vereniging draaiende te houden. De penningmeester bijvoorbeeld heeft jouw gegevens nodig om de contributie te innen.

Jouw vereniging mag de ledenlijst niet zomaar verstrekken aan alle leden. Dit mag alleen als er een zogeheten gerechtvaardigd belang voor is. Bijvoorbeeld als het noodzakelijk is dat teamleden met elkaar kunnen afspreken om te gaan sporten.

Verstrekt jouw vereniging jouw gegevens aan andere leden? Dan moet de vereniging je daarover informeren.

Mag de vereniging mijn persoonsgegevens aan bedrijven doorgeven voor reclame of sponsoring?

Ja, dat mag. Maar jouw vereniging moet jou wel daarover informeren. Bijvoorbeeld via de website of het clubblad.

Bovendien moet jouw vereniging je een redelijke tijd de kans geven om verzet aan te tekenen.

Zodra je verzet aantekent, moet jouw vereniging direct stoppen met het doorgeven van jouw gegevens.

Je hoeft niet te zeggen waarom je verzet aantekent. Jouw vereniging mag geen vergoeding vragen om jouw verzoek in behandeling te nemen.

Mag de vereniging een lijst op de website publiceren met leden die hun contributie nog niet hebben betaald?

Nee, dat mag niet. Ook niet op een afgeschermd deel van de website van de vereniging dat alleen voor leden toegankelijk is.

Het is niet nodig dat alle leden van de vereniging weten dat iemand zijn of haar contributie niet heeft betaald. De vereniging kan op andere manieren de openstaande contributie innen, die minder ingrijpend zijn voor de privacy van deze persoon. Bijvoorbeeld via een incassobureau.

Moet de vereniging in haar statuten of huishoudelijk reglement iets opnemen over het verwerken van persoonsgegevens door de vereniging?

Een verwijzing in de statuten of het huishoudelijk reglement is niet verplicht, maar zeker een goede plaats om de leden op de privacyverklaring te wijzen. Opname in de statuten heeft wel als nadeel dat een wijziging van de tekst door middel van een notariële akte moet gebeuren. Opname in de statuten zal om dat te voorkomen dan ook betekenen dat de tekst vrij algemeen moet worden gehouden.

Het gaat er om dat je betrokkenen op eigen initiatief informeert over wat er met hun gegevens gebeurt en wat hun rechten zijn. Dat doe je door de privacyverklaring bijvoorbeeld op de website te zetten. In verschillende uitingen verwijs je vervolgens naar deze privacyverklaring. Bijvoorbeeld onderaan e-mails, op inschrijvingsformulieren en andere uitingen.

Voorbeeldtekst voor in de statuten of het huishoudelijk reglement:
"Het bestuur houdt een register bij waarin de namen, adressen en geboortedata, geslacht alsmede (indien mogelijk) een telefoonnummer en persoonlijk e-mailadres van de leden zijn opgenomen. In het register worden alleen die gegevens bijgehouden die voor het realiseren van het doel van de vereniging noodzakelijk zijn. Het bestuur kan na een voorafgaand besluit van de algemene vergadering geregistreerde gegevens aan derden verstrekken, waaronder sponsors, behalve van het lid dat tegen deze verstrekking bij het bestuur schriftelijk bezwaar heeft gemaakt. Doorgifte van de gegevens zonder een besluit van de algemene vergadering en zonder het recht op bezwaar gebeurt voor de noodzakelijk door de vereniging aan derden te verstrekken gegevens, waaronder aan de bond, en aan overheden of instellingen, onder andere in verband met te verkrijgen subsidies. Gegevens worden niet langer bewaard dan noodzakelijk gelet op het doel of een bestaande wettelijke verplichting."

De privacyverklaring

Wat is een privacyverklaring en waar dient die voor?

Alle personen van wie je persoonsgegevens verwerkt moet je daarover goed informeren. Dat is een eis vanuit de AVG. Dit doe je het beste met een privacyverklaring. Een privacyverklaring wordt ook weleens privacystatement genoemd. Hierin vermeld je onder andere:

  • het doel waarvoor je de gegevens opslaat
  • hoe lang de gegevens worden bewaard
  • de manier waarop je met die persoonsgegevens omgaat (worden ze bijvoorbeeld gedeeld met derden en zo ja; hoe en waarom?)
  • en wat de rechten zijn van de personen van wie je gegevens verwerkt.

De privacyverklaring kun je plaatsen op de website van de vereniging.

Moet mijn vereniging ook een privacyverklaring hebben?

Ja, om aan de AVG wet te voldoen moet iedere organisatie die ledengegevens verwerkt een privacyverklaring (privacy policy, privacybeleid) hebben. Dat geldt dus ook voor alle sportverenigingen.

Waar moet een privacyverklaring aan voldoen?

In een privacyverklaring vermeld je onder andere:

  • het doel waarvoor je de gegevens opslaat
  • hoe lang de gegevens worden bewaard
  • de manier waarop je met die persoonsgegevens omgaat (worden ze bijvoorbeeld gedeeld met derden en zo ja; hoe en waarom?) en
  • wat de rechten zijn van de personen van wie je gegevens verwerkt.

De privacyverklaring kun je plaatsen op de website van de vereniging.

Is er een voorbeeld van een privacyverklaring dat ik kan gebruiken?

Je kunt een voorbeeld tekst voor een privacyverklaring aanvragen bij de KNHB: mail naar privacy@knhb.nl.

De verwerkersovereenkomst

Wat is een verwerkersovereenkomst en wanneer heb ik die nodig?

De AVG verplicht je om verwerkersovereenkomsten met derden/partners te sluiten als die derden/partners de persoonsgegevens die je verstrekt onder jouw verantwoordelijk verwerken. Dit komt bij verenigingen in veel situaties voor, bijvoorbeeld bij het inschakelen van een drukkerij, hostingpartij of digitale nieuwsbriefverzender. Maar niet iedere derde is een verwerker. Dit geldt bijvoorbeeld niet voor accountants, notarissen en advocaten. Zijn hebben een eigen verantwoordelijkheid, ook als het om gegevens gaat die door de vereniging worden verstrekt.

Ga dus na met welke verwerkers jouw vereniging allemaal samenwerkt en sluit (nieuwe) overeenkomsten af die voldoen aan de AVG. Binnen de overeenkomst moeten onder meer afspraken worden gemaakt over de beveiliging van de gegevens en het verwijderen van de gegevens aan het einde van de opdracht.

Is er een voorbeeld van een verwerkersovereenkomst beschikbaar dat ik kan gebruiken?

Je kunt een voorbeeld tekst voor een verwerkersovereenkomst aanvragen bij de KNHB: mail naar privacy@knhb.nl.

Moeten wij als vereniging een verwerkersovereenkomst met de KNHB sluiten?

De KNHB sluit geen verwerkersovereenkomst af met de verenigingen (leden), omdat de KNHB zelf verwerkersverantwoordelijke is (degene die beslist over het doel van en de middelen voor die verwerking). De KNHB is verantwoordelijke, want zij bepaalt zelf waarom en hoe bepaalde gegevens wel of juist niet worden gebruikt.

Het criterium is dus niet van wie je de gegevens verkrijgt, maar of je gegevens verwerkt voor eigen doel en met eigen middelen.

 

Deel deze pagina

Official partners Koninklijke Nederlandse Hockey Bond

KNHB
Direct naar
Over KNHB.nl
Zoeken