Praktische tips om je club AVG-proof te maken + handige downloads

Waarom het wiel zelf uitvinden als je het ook van andere clubs kunt lenen?

Inleiding

Wie hebben toegang tot welke gegevens en welke informatie mag je delen met wie? Hoe beveilig je privacygevoelige informatie en hoe zorg je voor een goede borging van alle procedures? Vrijwilligers van het jaar van de KNHB – Pien Liebregts en Ted Leyen – hebben zich bij hun clubs ingespannen om deze vragen te beantwoorden en zo hun club aan de regels van de Algemene Verordening Gegevensbescherming (AVG) te laten voldoen.

In deze best practice een selectie van aandachtspunten en documenten die je kunnen helpen bij de implementatie van de AVG. Doe er je voordeel mee! Alle downloads die betrekking hebben op dit onderwerp, vind je onderaan deze pagina.

Resultaten

Een AVG-proof hockeyclub!

Aanpak

Aanstellen projectleider/projectteam
Zowel Ted (via z’n werk) als Pien (via haar studie Rechten) hadden al ervaring met de AVG. Voor het implementeren van de AVG lijkt het dan ook logisch eerst te kijken of er op je vereniging mensen zijn die al op de hoogte zijn van de ins en outs van de AVG. Meer algemeen ligt een keuze voor de beheerder van de website en vrijwilliger(s) die zich bezighouden met communicatie voor de hand. Zij zitten immers bovenop het ledeninformatiesysteem LISA / AllUnited en hebben inzage in de informatiestromen naar de verschillende doelgroepen.

  • Andere betrokkenen die het projectteam/de projectleider met specifieke expertise kunnen ondersteunen:
  • De leverancier van het administratiesysteem.
    Tip: Bij LISA en AllUnited is veel kennis over de gevolgen van de AVG. Begin dus met een gesprek bij deze organisaties.
  • De KNHB
  • Iemand die als ‘projectleider’ informatie deelt en er achteraan zit om respons te krijgen (handig als dat de beheerder van de site of één van de communicatieleden is)
  • Rugdekking van de bestuursleden om zaken pragmatisch in te kunnen vullen
  • Contactpersonen bij andere hockeyclubs die al de nodige stappen hebben gezet/ervaring hebben opgedaan (liever kopiëren dan iets nieuws te produceren)
  • Een jurist (liefst met AVG-ervaring) die je af en toe informeel kunt raadplegen
  • Iemand met toegang tot de communicatiemiddelen met de juiste groepen (website, mobiele app, bulk mails naar specifieke groepen etc.). Dit onder meer om cultuur rond AVG te kunnen uitdragen.
  • Voelsprieten in de club om vragen en geluiden rond AVG op te vangen.

Inventarisatie aanwezige informatie
Er is ontzettend veel informatie aanwezig binnen een vereniging. Zowel online als op papier. Door eerst in kaart te brengen welke doelgroep welke informatie nodig heeft, krijg je een goed beeld van welke informatie zich waar bevindt en wie de beschikking moet hebben over deze info. Je kunt dit goed inzichtelijk maken met een matrix.

Medische informatie is gevoelige informatie. Leden die door een blessure niet kunnen spelen moeten daarom in het ledenadministratiesysteem als ‘niet-spelend’ geregistreerd worden en niet als ‘geblesseerd’.

Financiële informatie. Laat de leverancier van het boekhoudprogramma (bijvoorbeeld Exact) een verwerkersverklaring ondertekenen. De Privacyverklaring van de leverancier wordt dan onderdeel van verwerkersverklaring. Hieronder een aantal voorbeelden van partijen die financiële gegevens AVG-proof verwerken:

  • ClubCollect heeft een lidnaam en bankrekening voor de eenmalige lidmaatschap betaling (dus geen teaminformatie)
  • Mollie payments krijgt alleen data als je via MHCX een iDeal-betaling doet (bijv. voor een event), geen lid- of teaminformatie.
  • Exact heeft lidnaam en factuurbedrag (voor de boekhouding), geen lid- en teaminformatie)

Tip: vergeet bij het begin van de grote dataschoonmaak niet de gegevens die bij vrijwilligers op de computer staan. Stuur alle vrijwilligers een mail met verzoek alle informatie van hun computer en andere gegevensdragers te verwijderen die ze niet meer nodig hebben. Vraag daarbij om een reply met daarin de bevestiging dat de gegevens verwijderd zijn.
Er moet ook gelet worden op bestanden opslaan op Dropbox. Dropbox bevindt zich namelijk buiten de EU en derhalve is de AVG daarop niet van toepassing.

Toegang tot ledenadministratiesysteem
Controleer welke rollen/functies binnen LISA of AllUnited toegang hebben tot welke informatie. Vaak staan er veel te veel filters open waardoor veel mensen toegang hebben tot privacygevoelige informatie die niet nodig is voor het uitvoeren van hun functie. Naast het controleren is het ook aan te raden om vast te leggen wie toegang heeft tot welke informatie, zodat aan de door de AVG vereiste verantwoordingsplicht kan worden voldaan. Dit geldt overigens voor ‘alles’ wat er omtrent gegevensbescherming geregeld wordt. Vastleggen en verantwoorden!

Dus: beperk het aantal mensen dat toegang heeft tot de back end van het ledenadministratiesysteem zoveel mogelijk.

Ook zonder het instellen van een filter kun je de privacy regelen door de vrijwilligers die toegang tot het systeem hebben een geheimhoudingsverklaring te laten ondertekenen. Dit is het geval bij DVS:

NB. De praktijk wijst uit dat het vaak al voldoende is als zo’n 9 rollen/functies binnen een vereniging volledige toegang hebben tot het ledenadministratiesysteem. Zij kunnen vervolgens andere commissieleden/vrijwilligers voor specifieke taken toegang geven tot een deel van de ledeninformatie.

NB. In de ideale, meest veilige situatie heeft iemand alleen toegang tot de informatie die hij/zij nodig heeft voor het uitvoeren van zijn/haar taak.

Welke informatie achter de inlog en welke niet?
> Teamindelingen met contactgegevens van teamleden staan achter de inlog, alleen de coach/trainer of manager en zijn contactgegevens staan voor de inlog. Zo kunnen andere clubs hun teams snel bereiken.
> Overzichtfoto’s met teamnummers kunnen voor de inlog. Zodra individuele namen verschijnen dan moet dat achter de inlog.

Informeer de verschillende doelgroepen over de omgang met privacygevoelige informatie
Niet alleen binnen de systemen van de club, maar ook op de computers van commissieleden, coaches, trainers, vrijwilligers, leden en ouders van jeugdleden wordt veel privacygevoelige informatie opgeslagen.

Het is goed de verschillende doelgroepen over de privacygevoeligheid van deze informatie te informeren. Omdat niet iedereen beschikt over dezelfde hoeveelheid informatie kan het ‘veiligheidsregime’ per categorie verschillen. Is een mail met uitleg van de regels voor de meeste vrijwilligers voldoende om aan de AVG te voldoen, voor de mensen met toegang tot de backend van het ledeninformatiesysteem is een ondertekende verklaring noodzakelijk.



Halfjaarlijkse reminder en opt-in

Voor een verder beveiliging van privacygevoelige informatie kun je het volgende controlesysteem inbouwen:

  • Bij hockey seizoenwisseling automatische mail naar coaches/trainers om teaminformatie te verwijderen van hun persoonlijke pc’s
  • Bij jaarwisseling en hockeyseizoenwisseling standaard controleren of de juiste “Lisa/AllUnited” gebruikers toegang hebben tot de juiste functies en niet meer dan dat (opt-in).

Hoe ga je om met een sponsor die een mailing wil versturen?
Sponsors zijn noodzakelijk om de begroting van je club rond te krijgen. Maar sponsors willen wel iets terug voor hun bijdrage. Bijvoorbeeld een e-mail met een aanbod versturen naar alle leden. Indien een sponsor leden iets wil mailen dan doet de club dat voor ze. Sponsors krijgen dus geen mailadressen.

Het doen van een relevant aanbod (bijvoorbeeld exclusieve korting op sticks voor leden van je vereniging) is dus alleen mogelijk als de mail door de club wordt verzonden en je je kunt uitschrijven (opt-out). De ervaring leert dat slechts weinig leden hier gebruik van maken.

Aan- en afmelden van leden
Laat nieuwe leden zich tijdens de aanmeldprocedure expliciet akkoord verklaren met de privacyverklaring van de club en het bewaren van hun gegevens.

Bij afmelding blijven persoonsgegevens tot twee jaar bewaard, tenzij anders is overeengekomen. Wil je de gegevens langer bewaren dan kun je dit regelen door op het afmeldingsformulier toestemming te vragen om de bewaartermijn te verlengen (maximaal 5 jaar). Dit met het doel oud-leden op de hoogte te houden van evenementen en overige relevante informatie.

Een eventueel bestaand archief met oud-leden zou op basis van de AVG in principe vernietigd moeten worden omdat zij niet expliciet toestemming hebben gegeven voor het bewaren van hun gegevens. Hoewel het niet helemaal conform de regels is zou je het bestand als een soort ‘overgangsoplossing’ goed afgeschermd (bijv. slechts met wachtwoord toegankelijk voor privacyfunctionaris) kunnen bewaren.

Technische aanpassingen in het leden administratie systeem
Zoals hierboven al gebleken is, kun je bij de implementatie het best zoveel mogelijk eisen van de AVG in de techniek doorvoeren. Hiermee krijg je een eenduidige vastlegging van processen en gegevens en blijft ook bij wisselingen van vrijwilligers de uitvoering van de AVG gelijk. Lukken sommige aanpassingen niet in de techniek dan kun je e.e.a. ook in processen vastleggen.

Mogelijke technische aanpassingen zijn:

  • Verwijzen en actieve opt-in voor accordering van de Privacyverklaring van de club op het aanmeldingsformulier. Niet alleen voor de leden maar ook voor de ouders van minderjarige leden.
  • Op de website geen verjaardagen vermelden, in ieder geval niet het geboortejaar.
  • Bij uitschrijving aangeven dat gegevens 2 jaar bewaard worden, en vragen of contactinformatie langer bewaart mag worden voor bijv. feesten, lustra, etc.
  • Direct verwijderen van IBAN-nummers etc. bij uitschrijving.
  • Zorgen dat interfaces van het ledenadministratiesysteem uit staan naar verwerkers die niet gebruikt worden, vraag hiervan een bevestiging in de verwerkersovereenkomst van Lisa en/of AllUnited.
  • Vraag bewijs dat alleen op Lisa aangelogd kan worden vanuit “whitelist” landen, zodat er geen toegang is vanuit landen die je niet wil of waar het niet mag (buiten Europa). Bijvoorbeeld Indiase programmeurs die remote werken.
  • Optimaal zou zijn als je per lid kunt aangeven of deze al dan niet commerciële uitingen wil ontvangen. Kan dit niet technisch geregeld worden, dan kun je het in de Privacyverklaring regelen.

Werklast implementatie AVG
Het implementeren van de AVG is een behoorlijke klus. Ted en z’n 4 commissieleden hebben er over een periode van 7 maanden de man zo’n 40 uur ingestoken. Pien heeft er het halve jaar tussen haar afstuderen en de start van haar pre-master veel tijd in gestoken.

Bekijk alle best practices

Downloads


Deel deze pagina