• SPORTVERENIGING DOOR FUSIE STERK OPHEUSDEN

    SPORTVERENIGING DOOR FUSIE STERK OPHEUSDEN

  • Vragen en Antwoorden AVG

     

    Vragen en Antwoorden;

    1 Algemeen

    1.1 Wat zijn persoonsgegevens?

    Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Denk aan gegevens van leden, bestuursleden, medewerkers, vrijwilligers en gegevens van relaties

    Voorbeelden van persoonsgegevens:
     NAW-gegevens
     BSN, kopie identiteitsbewijs
     E-mail adres en telefoonnummer
     Geboorte datum
     Geslacht
     Rekeningnummers
     Foto’s en filmpjes met herkenbare personen
     Medische gegevens, denk ook aan lengte, gewicht en gezondheidsverklaring
     Vastgelegd website bezoek (IP-adressen)
     etc

    Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens. Bijvoorbeeld een e-mailadressen als info@sportvereniging.nl of penningmeester@sportvereniging.nl zijn geen persoonsgegevens.
    Ben terughoudend met het anonimiseren van persoonsgegevens en vervolgens aan te nemen dat je daardoor niet meer hoeft te voldoen aan de AVG. In de meeste gevallen kunnen persoonsgegevens ondanks de poging om deze te anonimiseren alsnog worden herleid tot een bepaalde persoon.

    1.2 Wanneer mag ik als vereniging persoonsgegevens verwerken?

    Je mag alleen persoonsgegevens verwerken voor het doel waarvoor u ze verzamelt en alleen op basis van een van de volgende 6 grondslagen.
    a) Toestemming van de betrokkene;
    b) uitvoering van een overeenkomst;
    c) voldoen aan een wettelijke plicht
    d) bescherming van de belangen van de betrokkene of een andere natuurlijke persoon
    e) uitvoering taak van algemeen belang
    f) behartiging van gerechtvaardigde belangen

    Voor alle gegevens die u verwerkt moet u zich dus afvragen met welk doel je dat doet en op basis van welke van de hierboven genoemde grondslagen. Als sportvereniging zal je vooral gegevens verwerken op basis van de eerste twee grondslagen: uitvoering van de (lidmaatschaps)overeenkomst en toestemming

    Gegevens die je bijvoorbeeld nodig hebt voor de uitvoering van de lidmaatschapsovereenkomst zijn:
    a. adresgegevens voor de ledenadministratie;
    b. adresgegevens voor de oproeping van de algemene ledenvergadering;
    c. bankgegevens voor de afschrijving van de contributie;
    d. geboortejaar/datum voor de indeling in categorieën (datum alleen indien jaar niet voldoende is).
    Wees voorzichtig met het gebruik van de grondslag "behartiging van gerechtvaardigde belangen". Het gebruik van deze grondslag is een grijsvlak. Je moet een belangen afweging maken en uw belang en de gerechtvaardigdheid daarvan goed kunnen onderbouwen.

    1.3 Mogen we persoonsgegevens op computers/laptops gebruiken?

    Dit mag, maar de vereniging blijft wel verantwoordelijk voor de veiligheid van de gegevens. Verplicht de gebruikers in dat geval antivirussoftware installeren en deze regelmatig updaten,
    goede wachtwoorden instellen en deze regelmatig te wijzigen, indien mogelijk opslag op lokale harde schijven te voorkomen (gebruik web-omgevingen, cloud). Zorg er ook voor dat er altijd een goede, recente back-up is. Bij beëindiging van de verenigingstaken moeten de gegevens na overdracht definitief en ontraceerbaar verwijderd worden

    1.4 Mogen we een nieuwsbrief sturen aan onze leden?

    Ja, je moet leden immers regelmatig kunnen informeren (uitnodiging ALV, verenigingsagenda, uitslagen, etc.). Maar let op: neem je advertenties op in de nieuwsbrief dan is wél toestemming nodig.
    Let er op dat je onder iedere nieuwsbrief een uitschrijflink opneemt zodat de ontvanger zich eenvoudig kan afmelden.

    2 Persoonsgegevens bewaren

    2.1 Hoe lang mag ik persoonsgegevens bewaren?

    Je mag persoonsgegevens bewaren zolang dat noodzakelijk is voor het doel waarvoor je ze gebruikt, niet langer. Soms geeft de wet een bewaartermijn, bijvoorbeeld om te voldoen aan de fiscale bewaartermijn van 7 jaar. Denk hierbij aan debiteuren- en crediteurenadministratie en de financiële administratie.
    Maak daarbij binnen uw vereniging afspraken hoe lang u gegevens bewaard. Neem daarbij in overweging dat u er gelet op de wet het beste aan doet de gegevens zo snel mogelijk te verwijderen. Onder de oude wetgever was het toegestaan om gegevens uit hoofde van het lidmaatschap twee jaar na beëindiging van de overeenkomst te bewaren. Het advies zou zijn om te kiezen voor een aanzienlijk kortere termijn maar in ieder geval de twee jaar niet te overschrijden.

    2.2 Mag ik gegevens van leden die zich als lid hebben afgemeld bewaren?

    Dit mag in beginsel maar beperkt zoals bij de beantwoording van de vorige vraag aangegeven. Mocht u gegevens van oud-leden willen bewaren na afloop van het lidmaatschap dan doet u er goed aan persoonsgegevens op te vragen en voor het bewaren hiervan en het doel van het bewaren van deze persoonsgegevens alsnog toestemming te vragen aan het oud-lid.

    2.3 Mag ik persoonsgegevens van oud leden (langer) bewaren voor een later eventueel te organiseren reünie?

    Dat mag alleen als je daar toestemming voor hebt. Je kunt dit vragen bij de uitschrijving door bijvoorbeeld een aan te kruisen vakje op het afmeldingsformulier op te nemen

    2.4 Mag ik persoonsgegevens bewaren voor onze clubhistorie?

    Wil je persoonsgegevens langer bewaren, bijvoorbeeld voor de clubhistorie (bijvoorbeeld foto’s of bijzondere prestaties) dan mag dat op basis van de uitzondering: historisch doel. Zorg er dan wel voor dat je dit doel kunt aantonen en er niet meer gegevens worden bewaard dan nodig. Ook moet je voorkomen dat persoonsgegevens uit het archief later alsnog voor andere dan historische doeleinden worden gebruikt.

    2.5 Mag ik persoonsgegevens bewaren voor de statistieken?

    Ja, je mag persoonsgegevens langer bewaren voor statistieken. Je moet dan wel duidelijk vastleggen welke persoonsgegevens daarvoor nodig en er voor zorgen dat de niet gegevens alsnog voor andere doeleinden worden gebruikt. Als het kan moet je de gegevens anonimiseren of pseudonimiseren. Let wel op: Anonimiseren is in veel gevallen lastig. Pseudonimiseren is nog lastiger. Vraag is deze situatie advies aan een privacyjurist.

    3 Publicatie van persoonsgegevens

    3.1 Mag ik speelschema´s en wedstrijduitslagen publiceren?

    Dat is afhankelijk of de gepubliceerde gegevens te kwalificeren zijn als persoonsgegevens. Indien enkel het team en de vereniging genoemd worden is er geen sprake van persoonsgegevens en is er dus ook geen bezwaar tegen publicatie.
    Indien de naam van de speler of andere individuele gegevens genoemd worden is er wel sprake van persoonsgegevens en dient de vereniging een grondslag voor publicatie te hebben. De meest voor de hand liggende grondslag in dit geval is toestemming via bijvoorbeeld een toestemmingsverklaring.
    Heel soms kun je deze gegevens publiceren op basis van een gerechtvaardigd belang. Je hebt dan geen toestemming nodig. Maak dan altijd een heel zorgvuldige belangenafweging waarin je de belangen van de vereniging én die van de betrokkenen uitvoerig afweegt en beschrijft.

    3.2 Mag ik sporters filmen en/of fotograferen? (Dit is nog niet publiceren!)

    Dat is alleen toegestaan indien deze beelden nodig (noodzakelijk) zijn voor de uitvoering van de overeenkomst of als de sporter hiervoor toestemming heeft gegeven.
    Bij uitvoering van de overeenkomst kan de vereniging denken aan het bestuderen en analyseren van beelden om de sportprestaties te verbeteren. Wij adviseren dit in de lidmaatschapsovereenkomst op te nemen.
    Indien de vereniging de beelden voor commerciële doeleinden wenst te gebruiken dient de sporter hiervoor expliciet schriftelijk toestemming te geven. Bovendien moet de sporter zijn toestemming op ieder moment weer in kunnen trekken en mag die intrekking geen invloed hebben op het lidmaatschap (bijvoorbeeld dat de sporter dan niet aan wedstrijden mee mag doen).
    De aanwezigheid van de aangebrachte camera´s moet duidelijk aangegeven worden. Mensen moeten hierover geïnformeerd worden vóórdat ze gefilmd worden (denk dus bijvoorbeeld aan een duidelijk bord bij de ingang of op het pad naar de tribunes en vermelding in het huishoudelijk reglement.).

    3.3 Mag ik foto’s en filmpjes van sporters en toeschouwers publiceren?

    Voor het maken en publiceren van beeldmateriaal moet de sportorganisatie toestemming hebben van herkenbaar in beeld gebrachte betrokkenen, óf een gerechtvaardigd belang hebben. Denk bij een gerechtvaardigd belang bijvoorbeeld aan persvrijheid, direct marketing, promotie van de organisatie of beveiliging. Ook wedstrijdverslaggeving kan gemotiveerd onder het gerechtvaardigd belang vallen. Een sportorganisatie mag in dat geval foto’s en beelden van wedstrijden publiceren of uitzenden, ook als daarbij bijvoorbeeld toeschouwers herkenbaar in beeld komen.
    De belangenafweging moet zorgvuldig zijn en de belangen van de vereniging én die van de betrokkenen moeten uitvoerig afgewogen en beschreven.
    Wil je publiceren op basis van een gerechtvaardigd belang, raadpleeg dan eerst een privacyjurist. De juiste belangenafweging is belangrijk om fouten te voorkomen.
    Let op bij kinderen: hun privacybelang weegt extra zwaar. Vraag daarom uitdrukkelijk toestemming aan de ouders of voogd voordat je overgaat tot publicatie.

    3.4 Wat als een sporter of toeschouwer bezwaar heeft tegen de publicatie van foto´s en/of filmpjes?

    Bij bezwaar zal een sporter zijn toestemming (als toestemming de grondslag is) intrekken en mag het beeldmateriaal niet gepubliceerd of verwijderd worden.
    Wordt het beeldmateriaal niet op basis van toestemming gebruikt. (bijvoorbeeld bij toeschouwers) dan geldt het volgende. Bij beeldmateriaal dat niet in opdracht is gemaakt kan de betrokkene tegen publicatie alleen bezwaar maken op grond van een redelijk belang. Dit kan een privacybelang , maar ook een commercieel belang zijn. Een redelijk belang is iets anders dan een gerechtvaardigd belang zoals genoemd in de AVG.

    3.5 Mag ik foto’s van toernooien, feesten of andere bijeenkomsten plaatsen op onze website? Of in een besloten social media groep?

    Nee, alleen als de betrokkene hier toestemming voor heeft gegeven. Hetzelfde geldt voor de besloten groep.

    3.6 Mag ik een lijst met bijvoorbeeld scheidsrechters of wedstrijdleiders, leden voor bardienst publiceren op onze afgeschermde website zodat deze benaderd kunnen worden door leden?

    Nee, dat mag alleen als je hiervoor toestemming hebt of een gerechtvaardigd belang.
    Gebruik je de grondslag gerechtvaardigd belang dan is het verstandig om de algemene ledenvergadering daarmee vooraf te laten instemmen. Wil je behalve namen ook contactgegevens in de lijst opnemen, breng dit dan expliciet in stemming. Geef leden bovendien vooraf gelegenheid om zich tegen publicatie te verzetten.
    Plaats deze persoonsgegevens (ook na toestemming) niet op een voor publiek toegankelijke plek op uw website. Maar bijvoorbeeld alleen achter een login. Zo kunnen alleen diegenen die dat nodig hebben deze persoonsgegevens inzien.

    3.7 Mag er een smoelenboek van de leden achter de bar in de kantine liggen?

    Nee, tenzij de betrokkenen daar toestemming voor hebben gegeven.

    3.8 Mag ik de verjaardagen van onze leden op onze website publiceren?

    Nee, tenzij de leden daar toestemming voor hebben gegeven.

    4 Anderen inschakelen, externe dienstverleners

    4.1 Soms ontvangen wij persoonsgegevens van derden (bijvoorbeeld een school of andere vereniging), wie moet er dan voor zorgen dat aan de AVG voldaan wordt?

    Indien je persoonsgegevens van anderen ontvangt is deze ander de zogenaamde verwerkingsverantwoordelijke. Jouw vereniging is dan de verwerker.
    Je moet een verwerkersovereenkomst sluiten waarin onder andere staat wat je met welke gegevens van welke soort betrokkene mag doen, voor hoelang en dat je deze moet beveiligen.
    De verwerkingsverantwoordelijk en de verwerker (in dit geval uw vereniging) kunnen beide een boete krijgen als zij niet voldoen aan de wet.

    4.2 Soms verstrekken wij gegevens aan derden (bijvoorbeeld voor onze administratie, incasso van de contributie, website bouwer, in verband met de nieuwsbrief of ter verkrijging van subsidies), wie moet er dan voor zorgen dat aan de AVG voldaan wordt?

    Indien je persoonsgegevens verstrekt aan een derde ben jij de zogenaamde verwerkingsverantwoordelijke. Dat betekent dat je ervoor moet zorgen dat aan de derde wordt duidelijk gemaakt hoe deze derde met de verstrekte persoonsgegevens dient om te gaan.
    Je moet een verwerkersovereenkomst sluiten waarin onder andere staat wat je met welke gegevens van welke soort betrokkene mag doen, voor hoelang en dat u deze moet beveiligen.
    De verwerkingsverantwoordelijk en de verwerker (in dit geval uw vereniging) kunnen beide een boete krijgen als zij niet voldoen aan de wet.
    Wie de verwerkersovereenkomst opstelt is niet van belang, als er maar een goede overeenkomst wordt gesloten.
    Let op! Dit geldt in de meeste gevallen ook als je persoonsgegevens verstrekt aan bijvoorbeeld de nationale (sport)bond.

    5 Toestemmings-, Geheimhoudings- en Privacyverklaring

    5.1 Hoe vraag ik toestemming van een betrokkene?

    Wil je gegevens verwerken op basis van de grondslag toestemming dan kun je die toestemming vragen via een toestemmingsformulier. Let hierbij op het volgende:
    a. Toestemming moet actief zijn gegeven. Dus geen vooraf aangevinkt vakje
    b. Toestemming moet voldoende concreet worden gevraagd. Duidelijk moet zijn waar de toestemming voor wordt gevraagd, je mag de gegevens ook niet voor iets anders gebruiken.
    c. Verzoek moet duidelijk, kort en bondig zijn opgesteld;
    d. Toestemming moet vrijwillig worden gegeven;
    e. Betrokkene moet de toestemming altijd weer eenvoudig kunnen intrekken.
    f. Bij jeugd, jonger dan 16 jaar moet de ouder of voogd toestemming geven. Dit geldt voor aanmelding als lid, maar ook voor inschrijving voor toernooien, kampen, de nieuwsbrief.

    5.2 Wie moet ik een geheimhoudingsverklaring laten tekenen?

    Om de beveiliging van de gegevens te waarborgen moet iedereen die toeging heeft tot de gegevens een geheimhoudingsverklaring tekenen. Let op: geef niet meer mensen toegang tot gegevens dan noodzakelijk. Beëindig de toegang tot gegevens voor mensen die de gegevens niet meer nodig hebben, bijvoorbeeld door het wijzigen van wachtwoorden.

    5.3 Wanneer moet onze vereniging een privacyverklaring hebben?

    Zodra de vereniging persoonsgegevens verwerkt moet zij een privacyverklaring hebben. Hiermee informeer je de betrokkenen over de verwerking van hun gegevens en hun rechten. 

    Gepubliceerd op 4 juli 2018

  • Aanvullende Vragen & Antwoorden Sportverenigingen

    Aanvullende vragen & antwoorden Sportverenigingen
    Algemene Verordening Gegevensbescherming (AVG) ?? versie mei 2018
    Hoe moeten wij als sportvereniging vanaf 25 mei 2018 omgaan met persoonsgegevens?

    Definities
    Betrokkene: De (natuurlijke) persoon van wie persoonsgegevens worden verwerkt
    Persoonsgegeven(s): Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
    Verwerken: Alle handelingen die een organisatie kan uitvoeren met persoonsgegevens
    Verwerkings- verantwoordelijke: Degene die het doel van en de middelen voor de werking vaststelt verwerkt
    Verwerker: Degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt

    Inhoudsopgave

    1. Mogen de wedstrijdschema's en notulen van een wedstrijd worden gepubliceerd, waaronder
        individuele rode en gele kaarten (wedstrijd overstijgende sancties)?

    2. Is er een verwerkersovereenkomst nodig tussen de vereniging en de bond?

    3. Is er een verwerkersovereenkomst nodig tussen de vereniging of de bond en
        registratieorganisatie?

    4 Moeten we in het huishoudelijk regelement verwijzen naar onze privacyverklaring?

    1. Mogen de wedstrijdschema's en notulen van een wedstrijd worden gepubliceerd, waaronder individuele rode en gele kaarten (wedstrijd overstijgende sancties)?
    Bevatten de wedstrijdschema’s en/of wedstrijdnotulen persoonsgegevens dan heb je voor publicatie een rechtsgeldige grondslag nodig. Vaak is dat uitvoering van de sportovereenkomst met de betrokkene of een gerechtvaardigd belang
    Uitvoering sportovereenkomst Voor zover de publicatie van wedstrijdschema’s en/of ??notulen noodzakelijk zijn voor de uitvoering van de sportovereenkomst mogen deze gepubliceerd worden. Onbeperkte publicatie op een openbare website is vaak niet noodzakelijk. Meestal is het alleen nodig de informatie beschikbaar te stellen aan een beperkte groep. Bijvoorbeeld de aan de competitie deelnemende sporters en/of teams, arbiters en dergelijke. De informatie mag dan alleen beschikbaar gesteld worden aan deze doelgroep, bijvoorbeeld via een afgeschermde website of applicatie die alleen toegankelijk is via een inlog.
    Gerechtvaardigd belang
    Is publicatie niet noodzakelijk voor de uitvoering van de sportovereenkomst dan valt publicatie misschien onder de grondslag gerechtvaardigd belang. Dat kan ook de promotie van de sport of het evenement zijn. Dit zal bij een groot evenement of hoog sportniveau natuurlijk eerder het geval zijn dan bij recreatiesport. Maak bij het publicaties (met daarin persoonsgegevens), altijd een zorgvuldige belangenafweging en leg dit vast. Weet ook dat de belangen van minderjarigen zwaar worden gewogen.
    Noodzakelijke persoonsgegevens
    Heb je een geldige grondslag dan mogen alleen de noodzakelijke persoonsgegevens worden gepubliceerd. De noodzakelijke gegevens zijn die gegevens die noodzakelijk zijn voor het doel.
    Let op: wedstrijdschema’s en/of wedstrijdnotulen bevatten niet altijd persoonsgegevens.

    2. Is er een verwerkersovereenkomst nodig tussen de vereniging en de bond?

    Wanneer is een verwerkersovereenkomst verplicht?
    Er is een verwerkersovereenkomst nodig als er een verantwoordelijke en een verwerker is. Voor het onderscheid tussen verwerkingsverantwoordelijke en verwerker is bepalend dat een verwerkingsverantwoordelijke degene is die het doel en de middelen voor de gegevensverwerking vaststelt. Een verwerker heeft géén zeggenschap over het doel en de middelen en handelt uitsluitend in opdracht van de verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens, waarbij de verwerking de primaire opdracht is.
    Het bepalen van het doel en de middelen kan ook betekenen dat de verantwoordelijke kiest voor inschakeling van een partij die gegevens op een bepaalde manier verwerkt en niet voor een andere partij.

    Situatie 1

    De sporter is bij lidmaatschap van de vereniging ("automatisch") ook lid van de bond.
    Bij veel verenigingen zijn leden "automatisch" lid van de bond. Wordt iemand lid van de vereniging dan wordt diegene ook direct lid van de bond. De verenging meldt de sporter bij de bond aan en draagt ook de bondscontributie af. Vaak is dit in de statuten of het huishoudelijk reglement van de vereniging geregeld.
    Aanvullende Q&A AVG Sportverenigingen opgesteld door DAS Pagina 4 van 6
    Er is dan een overeenkomst tussen (1) de sporter en de vereniging en (2) tussen de sporter en de bond. Onderdeel van de overeenkomst met de vereniging is dat de sporter lid wordt van de bond, dat de vereniging hem aanmeldt en de bondscontributie voor hem afdraagt.
    TIP: Het is verstandig op het aanmeldformulier van de vereniging duidelijk op te nemen dat de sporter bij lidmaatschap van de vereniging ook lid van de bond wordt. Ook is het verstandig op te nemen dat de vereniging zorgt voor aanmelding en contributieafdracht aan de bond. Zo gaat het lid bewust beide lidmaatschappen aan en is het goed op de hoogte.
    De vereniging levert de persoonsgegevens van de sporter aan bij de bond als zij deze bij de bond aanmeldt. Het betreft verstrekking van gegevens aan een derde (de bond) ter uitvoering van de sportovereenkomst met de vereniging.
    Als sporters lid zijn van de vereniging én lid zijn van de bond zijn verenging en bond beiden verwerkingsverantwoordelijke in de zin van de AVG. Beiden moeten dan een eigen grondslag hebben voor de verwerkingen die zij doen. Vaak Uitvoering van de (eigen) overeenkomst of Gerechtvaardigd belang. In deze situatie is géén verwerkersovereenkomst tussen vereniging en bond vereist.
    Als bond en vereniging sámen de doelen en de middelen van de verwerking bepalen zijn zij gezamenlijk verantwoordelijk voor de gegevens die zij samen verwerken. Dit geldt bijvoorbeeld als zij voor bepaalde gegevens gebruik maken van dezelfde registraties.
    Vereniging en bond hoeven ook in deze situatie geen verwerkersovereenkomst te sluiten, maar moeten wel afspraken maken over hun verantwoordelijkheden vanuit de AVG. Bijvoorbeeld wie voldoet aan een verzoek van een betrokkene (sporter), bijvoorbeeld om inzage in de gegevens die verwerkt worden, schrapping of wijziging van gegevens. Ook moeten bond en vereniging afspraken maken over wie de sporter informeert over de gegevensverwerking (privacyverklaring).
    Deze afspraken over wie waarvoor verantwoordelijke is (wie-doet-wat) kunnen opgenomen worden in het huishoudelijk reglement van de bond zodat bond en vereniging hieraan gebonden zijn.
    Let op: bij wijziging van deze voorwaarden (het huishoudelijk reglement van de bond) moeten de verenigingen akkoord gaan (Algemene Vergadering). Staat er een eenzijdig wijzigingsbeding in het huishoudelijk regelement dan kan dat anders zijn.
    Let op: Als de bond de persoonsgegevens voor de vereniging verwerkt, en de bond dus niet zelf doel en middelen bepaalt dan is de bond verwerker. Bijvoorbeeld voor de ledenadministratie van de vereniging. Dan is er wel een verwerkersovereenkomst nodig.

    Situatie 2

    Sporter is lid van de vereniging NIET lid van de bond Er is geen overeenkomst van het lid met de bond. Uitgangspunt is dat de bond geen persoonsgegevens over het lid krijgt.
    Verstrekt de vereniging wel persoonsgegevens van de sporter aan de bond ter verwerking, dan is de bond verwerker. De vereniging is verantwoordelijke. De bond verwerkt de gegevens van de sporter in opdracht van de vereniging, de vereniging bepaald doel en middelen. Er is een verwerkersovereenkomst nodig tussen de vereniging en de bond.

    Let op! Als de vereniging niet het doel en de middelen van de verwerking bepaalt, dan is de bond is een derde, niet verwerker: De vereniging moet dan een geldige grondslag hebben voor het delen van de persoonsgegevens met de bond. De bond moet een geldige grondslag hebben voor de verwerking van de gegevens van de sporter.

    3. Is er een verwerkersovereenkomst nodig tussen de vereniging of de bond en registratieorganisatie?

    Situatie 1

    De registratieorganisatie is direct verwerker voor zowel de vereniging als de bond.
    De bond sluit een overeenkomst met een registratieorganisatie en laat persoonsgegevens die onder haar verantwoordelijkheid vallen verwerken door de registratieorganisatie. Bijvoorbeeld met als doel het voeren van de ledenadministratie van de bond. Er bestaat dan een rechtstreekse relatie (overeenkomst) tussen de bond en de registratieorganisatie. De bond is verantwoordelijke, de registratieorganisatie is verwerker. De bond en de registratieorganisatie moeten een verwerkersovereenkomst sluiten.
    De vereniging sluit zelf een overeenkomst met een registratieorganisatie laat persoonsgegevens die onder haar verantwoordelijkheid vallen verwerken door die registratieorganisatie. Bijvoorbeeld met als doel het voeren van de ledenadministratie van de vereniging. Er bestaat dan een rechtstreekse relatie (overeenkomst) tussen de vereniging en de registratieorganisatie. De vereniging en de registratieorganisatie moeten ook een verwerkersovereenkomst sluiten.

    Situatie 2 Registratie gefaciliteerd door de bond (zoals bij Sportlink)

    Uitgangspunten
    De bond heeft met een registratieorganisatie (bv Sportlink) voor alle aangesloten verenigingen collectieve afspraken gemaakt over gebruik van een module van de registratieorganisatie (bijvoorbeeld voor het ledenpakket).
    Verenigingen sluiten daarnaast zelf ook aanvullende modules bij de registratieorganisatie af (bijvoorbeeld boekhouding, vrijwilligersmodule ed).

    De vereniging voert de gegevens van sporters in het registratiesysteem in, de bond vult de gegevens aan en/of wijzigt deze gegevens. De gegevens worden verwerkt ten gunste van de vereniging én ten gunste van de bond. Beiden zijn verantwoordelijke in de zin van de AVG. (Zie ook uitleg bij de vraag: Is er een verwerkersovereenkomst nodig tussen de vereniging of de bond en de registratieorganisatie?)
    Zowel de bond als de vereniging raadplegen de gegevens. Beiden kunnen alleen die gegevens raadplegen waarvoor zij zelf verantwoordelijke zijn.

    Antwoord
    De vereniging laat persoonsgegevens die onder haar verantwoordelijkheid vallen verwerken door de registratieorganisatie (de verwerker). Er moet een verwerkersovereenkomst gesloten worden tussen de vereniging en de registratieorganisatie. Voor de verwerking van persoonsgegevens in de aanvullende modules moet de vereniging ook een verwerkersovereenkomst met de registratieorganisatie sluiten.

    Sportlink heeft alle elementen van de verwerkersovereenkomst opgenomen in haar algemene voorwaarden. Deze voorwaarden moet een vereniging accepteren voor zij van de dienst van Sportlink gebruik kan maken. Dit geldt zowel voor de basis als de aanvullende modules. De voorwaarden en de elementen van de verwerkersovereenkomst zijn daarmee van toepassing op de relatie tussen vereniging (verantwoordelijke) en Sportlink (verwerker). Dat is voldoende. Dat Sportlink door de bond gecontracteerd en betaald wordt maakt dat niet anders.

    4. Moeten we in het huishoudelijk regelement verwijzen naar onze privacyverklaring?
    Een verwijzing in het huishoudelijk reglement is niet verplicht maar zeker een goede plaats om de leden op de privacyverklaring te wijzen. Opname in de statuten ligt minder voor de hand omdat deze bij notaris gewijzigd moeten worden en deze minder actief gelezen worden. Het gaat er om dat je betrokkenen op eigen initiatief informeert over wat er met hun gegevens gebeurt en wat hun rechten zijn. Dat doe je door de privacyverklaring bijvoorbeeld op de website te zetten. In verschillende uitingen verwijs je vervolgens naar deze privacyverklaring. Denk naast het huishoudelijk reglement aan een vaste tekst onderaan e-mails, op inschrijvingsformulieren en andere uitingen.

     

    Gepubliceerd op 29 augustus 2018