Algemene verordening gegevensbescherming (AVG)
Op 25 mei 2018 is van toepassing de Algemene verordening gegevensbescherming. Deze Privacywet die geldt in de hele Europese Unie, vervangt in Nederland de Wet bescherming persoonsgegevens (Wbp). De AVG versterkt de positie van betrokkenen (dus van de mensen van wie de gegevens worden verwerkt) en deze krijgen nieuwe privacy-rechten en hun bestaande rechten worden sterker.
De ledenadministratie van schietsportverenigingen valt onder de AVG (Algemene verordening gegevensbescherming). Verenigingen verkrijgen immers persoonsgegevens en verwerken die, van introducés, van aspiranten en van nieuwe leden. Onder persoonsgegevens wordt verstaan: elk gegeven dat betrekking heeft op een identificeerbaar natuurlijk persoon. Dat begrip wordt zeer ruim uitgelegd. De soort en aard van deze persoonsgegevens variëren sterk. Binnen de AVG wordt een onderscheid gemaakt in algemene persoonsgegevens, zoals naam, adres, geboortedatum (eigenlijk al die persoonsgegevens die als basis dienen voor de verwerking in de ledenadministratie van een schietsportvereniging). Daarnaast kennen wij binnen de AVG de zogenaamde bijzondere persoonsgegevens, zoals dat ook in de vroegere Wbp het geval was.
De KNSA en haar verenigingen verkrijgen vooral bij aanmelding van nieuwe leden, ‘bijzondere’ persoonsgegevens. Dat zijn gegevens omtrent de medische en psychische gesteldheid en het eventuele strafrechtelijk verleden van betrokkene(n).
Op grond van de AVG is het verplicht om het doel van de verwerking, zoals bijvoorbeeld het voeren van een ledenadministratie, vast te leggen. Bij een schietsportvereniging is het doel van de administratie vaak gericht op het interne functioneren van de vereniging en het verkeer tussen haar leden. Gegevens uit de administratie mogen niet worden verstrekt aan derden, tenzij de leden hier uitdrukkelijk (schriftelijk) toestemming voor hebben gegeven. Adresgegevens mogen verder uitsluitend verstrekt worden ten behoeve van de uitvoering van de schietsportactiviteiten in het verband van de schietvereniging. De adressen mogen in geen geval voor commerciële doelen worden aangewend en in geen geval aan derden, niet zijnde een lid van het verenigingsbestuur, worden verstrekt.
De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de eisen uit de AVG en is in voorkomende gevallen bevoegd om handhavende maatregelen toe te passen.
Voor de verwerking van persoonsgegevens die verband houden met de screening en monitoring van introducés en aspirant (nieuwe) leden van een schietvereniging is voor alle KNSA-verenigingen een collectieve melding door de KNSA gedaan bij de Autoriteit Persoonsgegevens. Deze meldingen zijn geregistreerd onder de meldingsnummers 1557881 en 1557893.
In verband met het voldoen aan de Algemene verordening gegevensbescherming is het van belang om alle daarin opgenomen voorwaarden die van toepassing zijn op een schietsportvereniging puntsgewijs na te lopen en te bezien of de vereniging aan alles wat nodig is voldoet. Daarvoor is een stappenplan ontwikkeld dat luidt als volgt:
Stap 1: Bewustwording | Zorg ervoor dat alle relevante personen in uw schietsportvereniging op de hoogte zijn van de nieuwe AVG privacyregels. De KNSA heeft daarvoor een model Informatiebrochure1 ‘Privacy & Gegevensbescherming binnen de KNSA en de bij haar aangesloten schietsportverenigingen’ ontwikkeld die u kunt gebruiken om te verstrekken aan de leden en vrijwilligers van uw vereniging, die te maken hebben met de AVG. |
Stap 2: Informatieverstrekking | Informeer betrokkenen, zoals introducés, aspiranten, leden, vrijwilligers enzovoorts, met betrekking tot die gegevens die u van hen verwerkt. Daarvoor kunt u gebruik maken van de model Informatiebrochure. Indien uw vereniging over een website beschikt moet u de bezoekers daaraan ook wijzen op het verkrijgen en verwerken van persoonsgegevens. Dat doet u met een Privacyverklaring op uw website, en daarvoor kunt u het model Privacyverklaring2 voor schietsportverenigingen downloaden. |
Stap 3: Beveiliging gegevens | Het is de plicht van degene die gegevens verkrijgt en verwerkt (zowel digitaal als in hardcopy) om deze goed te beveiligen. Verenigingen moeten dus zorgen voor een computer die voorzien is van virusscan en hack-beveiliging, een niet te eenvoudig achterhalen wachtwoord en een computersysteem dat niet voor iedereen toegankelijk is. De hardcopy-gegevens (en dat zijn in het bijzonder ‘bijzondere’ persoonsgegevens) moeten in een goed afsluitbare kast bewaard worden, die eveneens niet voor iedereen toegankelijk is. |
Stap 4: Rechten van betrokkenen | Onder de AVG krijgen de personen van wie uw vereniging persoonsgegevens verwerkt (dus introducés, aspiranten en leden) privacyrechten. U moet daarbij denken aan ‘recht op inzage’ en ‘recht op correctie en verwijdering’. Die rechten zijn opgenomen in het model Protocol3 ‘Omgang met en bescherming van persoonsgegevens binnen de schietsportverenigingen’. Dat KNSA-model kunt u downloaden en daarin dan uw eigen verenigingsgegevens verwerken. |
Stap 5: Overzicht verwerkingen | Schietverenigingen verwerken (persoons)gegevens niet alleen in de ledenadministratie maar ook in andere registers. U moet daarbij denken aan het Introducéregister voor kandiaat-leden, het Presentieregister voor uw huidige leden, het competitiesysteem, uw website wanneer die interactief is, enzovoorts. Een overzicht van de gegevensverwerkingen moet u als vereniging in kaart brengen. Per verwerking moet u aangeven met welk doel u dat doet, waar deze gegevens vandaan komen en met wie u deze gegevens eventueel deelt. U kunt daarvoor downloaden een KNSA model Register Verwerkingen4 schietsportverenigingen waarin een overzicht van al die gegevensverwerkingen is opgenomen die volgens onze informatie bij schietsportverenigingen gebruikt worden of gebruikt kunnen worden, met het doel daarbij vermeld, waar de gegevens vandaan komen en met wie die eventueel gedeeld worden. In het overzicht wordt, per categorie, eventueel ook de wettelijke grondslag van die verwerking genoemd. |
Stap 6: Data protection impact assessment (DPIA) | Verenigingen en andere organisaties kunnen, vanwege de AVG, verplicht worden om een zogeheten Data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Een dergelijke DPIA moet worden uitgevoerd wanneer de beoogde gegevensverwerking waarschijnlijk en hoog privacyrisico met zich meebrengt. De KNSA heeft met haar juridische experts op het gebied van de AVG, beoordeeld dat dat voor schietsportverenigingen niet aan de orde is. |
Stap 7: Privacy by design & privacy by default | In deze stap is het van belang dat u als vereniging voortdurend bij al uw activiteiten voor ogen houdt de verplichte uitgangspunten die vallen onder de AVG. ‘Privacy by design’ houdt in dat u bij het ontwerpen van producten en diensten, ervoor zorgt dat de persoonsgegevens goed worden beschermd. Denk daarbij dan aan een nieuw systeem voor de ledenadministratie, een nieuw competitiesysteem of een nieuwe website die interactief is en waarop uw leden kunnen inloggen. ‘Privacy by default’ houdt in dat u technische en organisatorische maatregelen moet nemen, om ervoor te zorgen dat u alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Om die reden is het van belang dat u aan uw leden en aan uw aspiranten verstrekt de Informatiebrochure1 die in model bij de KNSA te downloaden is voor schietsportverenigingen. |
Stap 8: Functionaris voor de gegevensbescherming | Onder de AVG kunnen organisaties verplicht zijn om een Functionaris voor gegevensbescherming (FG) aan te stellen. De KNSA heeft met haar juridische experts vastgesteld dat dat voor de KNSA en voor de bij haar aangesloten schietsportverenigingen niet nodig is. De KNSA heeft er wel vrijwillig voor gekozen om een FG aan te stellen die toeziet op een juiste verwerking van persoonsgegevens, en die binnen de organisatie als aanspreekpunt dient. |
Stap 9: Meldplicht datalekken | Reeds onder de Wbp bestond een zogenaamde “meldplicht datalekken”. Dat blijft onder de AVG vrijwel hetzelfde, maar de AVG stelt wel strengere eisen voor de registratie van datalekken die zich in een organisatie hebben voorgedaan. Uw vereniging moet dus het datalekken, wanneer dat zich voordoet, of wanneer er een vermoeden bestaat dat dit zich voordoet, documenteren. Indien er sprake is van een datalek, dient dat bij de betrokkene en bij de Autoriteit Persoonsgegevens (AP) gemeld te worden. Er bestaat een mogelijkheid dat de Autoriteit Persoonsgegevens daarop controleert en beziet of u wel aan die meldplicht hebt voldaan. Een KNSA model Protocol Meldplicht Datalekken5 is beschikbaar voor verenigingen om te downloaden. |
Stap 10: Verwerkersovereenkomsten | Heeft u uw gegevensverwerking uitbesteed aan een verwerker (bijvoorbeeld een beheerder van uw ledenadministratie, een provider van uw website) dan moet u met die partij een ‘Verwerkersovereenkomst’ afsluiten. De KNSA heeft daarvoor een model Verwerkersovereenkomst6 ontwikkeld dat u kunt downloaden en waarin u uw eigen gegevens kunt verwerken, zodat die passend is voor uw eigen vereniging. |
Stap 11: Toestemming | Voor sommige gegevensverwerkingen heeft uw vereniging toestemming nodig van betrokkenen, zoals aspiranten, introducés en leden. Indien u gebruik maakt van het model Aanmeldingsformulier aspirant SSV7 en 8, zoals de KNSA dat beschikbaar stelt met de daarbij gevoegde “Eigen Verklaring”, dan wordt tegelijk toestemming gevraagd en verleend bij/met de ondertekening van het formulier, om de gegevens te verkrijgen en te verwerken. Het is dus van belang om dat model te allen tijde te gebruiken bij de inschrijving van aspiranten/nieuwe leden. |
Overzicht downloads:
- model Informatiebrochure ‘Privacy & Gegevensbescherming binnen de KNSA en de bij haar aangesloten schietsportverenigingen’
- model Privacyverklaring voor schietsportverenigingen
- model Protocol ‘Omgang met en bescherming van persoonsgegevens binnen de schietsportverenigingen’
- model Register Verwerkingen schietsportverenigingen
- model Protocol Meldplicht Datalekken schietsportverenigingen
- model Verwerkersovereenkomst schietsportverenigingen
- model Aanmeldingsformulier en Eigen Verklaring aspirant SSV en toelichting
- model Aanmeldingsformulier en Eigen Verklaring junioren aspirant SSV en toelichting