de KNSA

Privacy en gegevensbescherming

Algemeen

De KNSA verkrijgt en verwerkt persoonsgegevens. Een deel van die persoonsgegevens wordt verkregen door tussenkomst van de bij haar aangesloten leden (verenigingen) en een ander deel ontvangt de KNSA rechtstreeks van individuele sportschutters. De KNSA hecht veel waarde aan de bescherming van de privacy en van de persoonsgegevens. De KNSA waarborgt en respecteert die privacy onder andere door naleving van de toepasselijke Wet- en regelgeving; in het bijzonder de Algemene verordening gegevensbescherming die per 25 mei 2018 in werking is getreden.

Met deze AVG wordt ten opzichte van de vroegere Wet bescherming persoonsgegevens (Wbp) de positie van betrokkenen (de mensen van wie gegevens worden verwerkt) versterkt. Deze personen krijgen meer privacy-rechten en hun bestaande rechten zijn sterker geworden. Anderzijds betekent de AVG voor de KNSA dat die bij de verwerking van persoonsgegevens meer verplichtingen krijgt. De nadruk ligt meer op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de Wet (de AVG) houden. De KNSA heeft deze AVG zorgvuldig een rigide geïmplementeerd en reglementen en protocollen.

De KNSA-verenigingen

De KNSA heeft haar verenigingen uitgebreid geïnformeerd over de Algemene verordening gegevensbescherming en ook op haar website een stappenplan voor de verenigingen beschikbaar gesteld. Dit stappenplan leidt verenigingen in 11 stappen naar de vereiste wijze waarop gegevens verkregen en verwerkt moeten worden, en er wordt een groot aantal modellen voor verenigingen verstrekt die zij bij de implementatie kunnen gebruiken.

KNSA Informatiebrochure1

De KNSA heeft teneinde haar verenigingen en individuele sportschutters juist te informeren, een informatiebrochure “Privacy & Gegevensbescherming binnen de KNSA en haar leden” ontwikkeld. Deze informatiebrochure en andere modellen en protocollen zijn ontwikkeld in samenwerking met Deloitte Legal in Amsterdam. De informatiebrochure omschrijft puntsgewijs de wijze waarop persoonsgegevens worden verkregen en verwerkt, welke persoonsgegevens worden verwerkt en met welk doel. Ook wordt in de informatiebrochure omschreven hoe deze persoonsgegevens verzameld worden en of deze bekend gemaakt worden c.q. gedeeld worden met derden. Ten slotte wordt aandacht besteed aan de wijze waarop de persoonsgegevens worden beschermd, beveiligd en de wijze en termijnen voor de bewaring daarvan. Dat is van belang dat zowel de verenigingen als de individuele sportschutters van deze informatiebrochure kennis nemen. Onderaan deze pagina kan de KNSA informatiebrochure gedownload worden.

Privacyverklaring KNSA-website

Verenigingsbestuurders en individuele sportschutters, maar ook andere bezoekers die de KNSA-website raadplegen voor informatie dan wel daar interactief gebruik van maken, bijvoorbeeld door het inschrijven voor wedstrijden of het deelnemen aan opleidingen, verstrekken persoonsgegevens. Dat kan gaan om uitsluitend een e-mailadres maar ook om naam, woonplaats, geboortedatum, enzovoorts. In verband daarmee is op de website een Privacyverklaring  opgenomen waarin het gebruik van die persoonsgegevens wordt omschreven, de informatie over wijziging en bezwaar van de persoonsgegevens en de beveiliging daarvan.

KNSA Register Verwerkingen2

De KNSA verwerkt een groot aantal gegevens voor verschillende doelen. In de eerste plaats is dat natuurlijk de ledenadministratie voor de verenigingen, maar ook uitslagen van wedstrijden, deelname aan opleidingen, een overzicht van kaderlicenties, de KNSA-zwarte lijst, een recordregister, een overzicht kampioenen, enzovoorts. Al deze verwerkingen zijn in één register opgenomen dat onderaan deze pagina te downloaden is. In dat register staat de verwerkingsactiviteit vermeld, de categorieën van personen waarvan gegevens worden verwerkt, de gegevens die worden verwerkt, het doel, de grondslag, of zij gedeeld worden met derden en de bewaartermijnen.

KNSA Verwerkersovereenkomst

In sommige gevallen is door de KNSA de verwerking van gegevens aan een derde uitbesteed. Gegevens van KNSA-verenigingen en individuele sportschutters worden zeer sporadisch aan derden ter beschikking gesteld, alleen wanneer daarvoor een grondslag is en zo nodig wordt in dat geval een verwerkersovereenkomst afgesloten. Dat gaat dan om het verzendhuis dat verantwoordelijk is voor de verzending van het bondstijdschrift Schietsport, verzekeraars en andere instanties die diensten voor de KNSA verrichten. Het kan ook zijn dat de KNSA de verwerking van gegevens voor bijvoorbeeld het personeel heeft uitbesteed, zoals bijvoorbeeld de Salarisadministratie en de Arbodienst; ook in die gevallen zijn verwerkingsovereenkomsten gesloten.

Weliswaar verkrijgt en verwerkt de KNSA persoonsgegevens van leden van de bij haar aangesloten verenigingen, maar de KNSA acht het sluiten van een verwerkersovereenkomst met alle KNSA-verenigingen niet opportuun. De KNSA, en met haar de juridische adviseurs op het gebied van de AVG voor de KNSA, te weten Deloitte Legal uit Amsterdam, zijn van mening dat dat niet nodig is omdat de AVG voorschrijft dat een verwerkersovereenkomst verplicht is wanneer een verwerker ten behoeve van een verwerkingsverantwoordelijke, persoonsgegevens verwerkt. De verwerkingsverantwoordelijke is de partij die “het doel van en de middel voor” de verwerking vaststelt.

Voor de persoonsgegevens die de KNSA van individuele sportschutters via haar verenigingen verkrijgt en verwerkt, zijn ‘het doel daarvan en de middelen daarvoor’ door de KNSA zelf vastgesteld. Immers, de KNSA verwerkt die persoonsgegevens ten behoeve van haar eigen activiteiten. Dan gaat het om diensten van de KNSA aan KNSA-verenigingen en individuele sportschutters, zoals verzekeringen, deelname aan opleidingen, deelname aan wedstrijden, het verzenden van het bondstijdschrift, enzovoorts. In die hoedanigheid is de KNSA in dezen de ‘verwerkingsverantwoordelijke’. Het is wel van belang dat individuele schutters (dus leden van KNSA-verenigingen) daarover worden geïnformeerd, en daarom ook is bepaald dat verenigingen aan hun leden het Protocol en de Informatiebrochure, zoals die ter beschikking zijn gesteld, verstrekken.

Voorts heeft ook de KNSA een eigen informatiebrochure waarin staat vermeld welke gegevens de KNSA verkrijgt, welke gegevens de KNSA verwerkt en wat het doel van die verwerking is. In het Register van verwerkingen van de KNSA staat nog gedetailleerder omschreven welke verwerkingsactiviteiten de KNSA pleegt.

Data Protection Impact Assessment (DPIA)

Voor sommige organisaties is het, conform de AVG, verplicht om een zogeheten ‘data protection impact assessment’ (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om die risico’s te verkleinen. Een DPIA moet worden uitgevoerd als de gegevensverwerking een hoog privacy-risico moet zich meebrengt.

In zijn algemeenheid is een DPIA oftewel gegevensbeschemingseffectbeoordeling voor de gegevensverwerking van de KNSA niet van toepassing. Van de criteria die zijn omschreven, zoals: grootschalige verwerking, systematisch monitoren van individuen, gegevens die betrekking hebben op kwetsbare personen, enzovoorts, is alleen het criterium dat de KNSA voor een beperkte groep mensen ‘bijzondere persoonsgegevens’ verwerkt in het overzicht van criteria opgenomen. Omdat ervan wordt uitgegaan dat alleen bij twee (2) of meer van die criteria een DPIA verplicht is, is dat dus in zijn algemeenheid niet nodig.

Desondanks heeft de Autoriteit Persoonsgegevens (AP) vanwege het bijhouden van een zwarte lijst, aan de KNSA verzocht om toch een DPIA uit te voeren. Die DPIA is inmiddels in 2019, in samenwerking met Deloitte Legal uit Amsterdam, uitgevoerd en als gevolg daarvan zijn een aantal aanvullende acties gedefinieerd die inmiddels zijn uitgevoerd.

Protocol KNSA Zwarte lijst3

Overeenkomstig de DPIA en het verzoek van de Autoriteit Persoonsgegevens aan de KNSA, is een Protocol zwarte lijst door de KNSA ontwikkeld. Dit protocol omschrijft de aanleiding voor het bijhouden van een zwarte lijst, de procedure die gevolgd wordt wanneer personen op de zwarte lijst worden geplaatst en de bewaartermijnen. Met dit protocol moeten de bij de KNSA aangesloten sportschutters en diegenen die dat niet meer zijn vanwege vermelding op de zwarte lijst, op een juiste wijze geïnformeerd worden over de wijze waarop de zwarte lijst tot stand is gekomen en de wijze waarop de KNSA met die gegevens omgaat.

In het protocol wordt voorts nog ingegaan op de proportionaliteitstoets van de AVG, alsmede op de subsidiariteitstoets van de AVG. In het protocol wordt ten slotte nog omschreven op welke wijze de organisatie de bevoegdheden en autorisaties voor het verwerken en de inzage heeft geregeld.

KNSA Protocol Meldplicht data-lekken4

Reeds onder de Wbp bestond reeds de zogenaamde meldplicht data-lekken. Dat blijft onder de AVG vrijwel hetzelfde maar de AVG stelt wel strengere eisen voor de registratie van data-lekken die zich in een organisatie hebben voorgedaan. Indien er sprake is van een data-lek dient dat aan de betrokkene(n) (dus diegene(n) waarvan gegevens zijn gelekt) en aan de Autoriteit Persoonsgegevens (AP) gemeld te worden. De KNSA heeft voor een eventueel data-lek een protocol Meldplicht data-lekken opgesteld dat wordt uitgevoerd zodra er zich een data-lek voordoet. Dat protocol is onderaan deze pagina te downloaden.

KNSA Protocol “Omgang met en bescherming persoonsgegevens KNSA”

De KNSA hanteert een rigide en stringent protocol in de omgang met en bescherming van persoonsgegevens binnen de KNSA. Zo zijn er in de digitale systemen van de KNSA verscheidene autorisatie-levels voor het gebruik van de CRM (customer relationship management). Het daarin opgenomen databestand is in verschillende niveaus, afhankelijk van de functie van de medewerker, bereikbaar. Voorts is in dit protocol de geheimhoudingsplicht omschreven van diegenen die inzicht in deze gegevens hebben, en is de beveiliging van de gegevens omschreven. Het KNSA protocol is, om veiligheidsredenen, niet openbaar beschikbaar.

KNSA Functionaris Gegevensbescherming (FG)

In verband met de AVG heeft het KNSA-bestuur op 13 maart 2018 een Functionaris Gegevensbescherming benoemd. Dat is mevrouw M.E.T.C. Stroux. Mevrouw Stroux is reeds werkzaam bij de KNSA als directiesecretaresse en is tevens benoemd tot vertrouwenscontactpersoon van de KNSA. In haar hoedanigheid van functionaris gegevensbescherming zal zij toezien op een juiste naleving van de AVG binnen de KNSA.

Te downloaden documenten:

1. KNSA Informatiebrochure “Privacy & Gegevensbescherming binnen de KNSA en haar leden”

2. KNSA Register Verwerkingen

3. KNSA Protocol "Zwarte lijst"

4. KNSA Protocol “Meldplicht data-lekken”