De nieuwe privacywet (GDPR) op maat van je sportclub · Verschillende rollen en...
Transcript of De nieuwe privacywet (GDPR) op maat van je sportclub · Verschillende rollen en...
Inhoud
I Wat is GDPR en moet ik me in regel stellen?
II Wat zijn mijn verplichtingen?
III Stappenplan
IV Vervolgstappen
V Vragen?
• Is je club vrijgesteld van de privacy-wetgeving en GDPR?
• Vraag je toestemming als je iemand zijn gegevens bijhoudt en
opslaat?
• Leg je uit waarom je bepaalde gegevens opvraagt en hoelang je ze
bewaart?
• Kan iedereen vragen welke gegevens je club van hem/haar
bijhoudt?
• Wat zijn de grootste uitdagingen van de club i.v.m. privacy?
• Doet je club aan 'direct marketing' (versturen van berichten aan een
deel van de bevolking)?
• Geeft je club persoonsgegevens door aan andere organisaties of
personen?
• Worden persoonsgegevens veilig bewaard? Ook elektronische
gegevens?
• Ken je de regels om foto’s op Facebook te plaatsen?
Wat is GDPR nu precies?
GDPR staat voor ‘General Data Protection Regulation’
(in het Nederlands: Algemene Verordening Gegevensbescherming)
GDPR is een Europese verordening die regels oplegt rond de bescherming
en de verwerking van persoonsgegevens
persoonsgegevens: gegevens over een identificeerbaar natuurlijke persoon.
bv naam, adres, leeftijd, geslacht, lichamelijke kenmerken, psychische kenmerken,
financiële situatie, kenmerken gezin, geaardheid, vrijetijdsbesteding,
lidmaatschappen, gerechtelijke gegevens, opleiding, beroep, beeldopname,
geluidsopname… zijn persoonsgegevens
verwerking: van het verzamelen, raadplegen, verspreiden, koppelen en
registreren tot het vernietigen van gegevens.
betrokken persoon: leden, deelnemers, sympathisanten, cursisten… wiens
gegevens je verwerkt
• GDPR geldt voor alle organisaties, zowel vzw’s als feitelijke verenigingen, die
persoonsgegevens verwerken (ledenbestanden, deelnemersbestanden, nieuwsbrieven,
mailings, gsm-nummers bijhouden,…).
• Accountability principe:
elke organisatie is verantwoordelijk voor de correcte toepassing
elke organisatie moet verantwoorden hoe ze dat doet
• Wat betekent dit?
Je organisatie neemt zelf initiatief en wacht niet tot er zich een probleem stelt.
Je organisatie houdt al de stappen die ze neemt goed bij (documentatie).
• Voornaamste acties voor je sportclub:
Documenteren
informeren van betrokken personen
Beveiligen van gegevens
Moet mijn sportclub zich ook in regel stellen met GDPR ?
JA
Verschillende rollen en verantwoordelijkheden
verwerkings-
verantwoordelijke
• bepaalt welke gegevens worden verzameld en
verwerkt
• bepaalt doel en middelen gegevensverwerking
• is verantwoordelijk voor informatie aan betrokken
persoon
• vraagt overeenkomsten aan verwerker
• verplicht register van verwerkingsactiviteiten
verwerker
• handelt in opdracht van de
verwerkingsverantwoordelijke
• moet zich aan de (schriftelijke) afspraken houden
• Voorbeelden van verwerker: cloudprovider,
ticketadministratie, …
• Verplicht register van verwerkingsactiviteiten
derde
• ontvangt gegevens van de
verwerkingsverantwoordelijke
• Ontvanger kan gegevens verwerken volgens eigen
bepalingen (en niet volgens jouw instructies)
• Ontvanger moet meedelen aan betrokken persoon dat
hij gegevens heeft ontvangen (tenzij de
verantwoordelijke dit heeft ontvangen)
betrokkene • persoon wiens gegevens je verwerkt
Basisbeginselen
verwerking persoonsgegevens
• Op een rechtmatige, behoorlijke en transparante manier (rechtsgrond en
transparantie)
• Voor specifieke, legitieme, en vooraf bepaalde doeleinden (doelbinding)
• Door de hoeveelheid gegevens die u verwerkt waar mogelijk te
minimaliseren (gegevensminimalisatie)
• Door persoonsgegevens regelmatig bij te werken (bijwerking)
• Door de duurtijd van de opslag te beperken (beperkte bewaartermijn)
• Door de integriteit en vertrouwelijkheid te waarborgen (beveiliging, integriteit,
vertrouwelijkheid)
proportionaliteit - legaliteit - transparantie
beveiliging
rechten van betrokkenen
proportionaliteit= enkel noodzakelijke persoonsgegevens opvragen en verzamelen
“Is het echt noodzakelijk in functie van onze doelstelling om…”
• deze gegevens te verzamelen en verder te verwerken,
of zijn er misschien andere manieren?
• deze gegevens zo lang te bewaren? (bv deelnemer cursus zit
jarenlang in bestanden)
• al deze gegevens te publiceren? (bv op een website te plaatsen)
• al deze personen toegang te geven tot de gegevens?
transparantie
De betrokken personen (leden, werknemers, doelgroep, deelnemers,
vrijwilligers…) moeten duidelijk geïnformeerd worden over wat met
hun persoonsgegevens gebeurt en dit in een heldere taal.
De transparantie- of informatieplicht geldt ongeacht de wettelijke
doelstelling die je beoogt. Je organisatie moet dus altijd actief
informeren over de verwerking van de persoonsgegevens en de
rechten van de betrokkenen.
Dat moet proactief gebeuren (vooraleer de gegevens verwerkt
worden).
De verantwoordelijke mag dus niet wachten met het geven van de
informatie totdat een betrokkene ernaar vraagt.
Verplicht via privacyverklaring
legaliteit= rechtsgronden waarop je toch persoonsgegevens mag
verwerken
• contractuele basis (noodzakelijk voor uitvoering van overeenkomst, bv
verkoopsovereenkomst, arbeidsovereenkomst, lidmaatschapsovereenkomst,
vrijwilligersovereenkomst…)
• wettelijke verplichting (noodzakelijk voor uitvoering van een wet die van
toepassing is op de organisatie, bv opgelegd in decreet)
• algemeen belang of openbaar gezag (door de wet opgedragen, bv. aan de politie)
• vitaal belang (bv. om dringende medische reden)
• gerechtvaardigd belang (activiteit is anders niet uitvoerbaar), enkel als dit
zwaarder doorweegt dan het belang, de rechten en de redelijke
privacyverwachtingen van de betrokkenen
• ondubbelzinnige toestemming (vrije, actieve en specifieke toestemming van de
betrokken persoon)
beveiliging
organisatorische maatregelen
• afspraken in het team rond verwerking
• rondslingeren deelnemerslijsten
• geen gevoelige bestanden versturen per email
• beperking info op deelnemerslijsten
• afspraken vernietiging (bv CV na sollicitatieronde)
• …
technische maatregelen
• ict
• beveiliging computers
• wachtwoorden, back up, …
• encryptie van bestanden, mails, servers…
• pseudonimiseren
www.safeonweb.be
organisatorisch maatregelen: tips
• beperkte toegang voor bepaalde personen (o.a. door inlog procedure)
• gebruik van paswoorden op bestanden
• wachtwoorden worden verplicht gewijzigd na een bepaalde periode
• communiceer het wachtwoordbeleid aan de medewerkers, onderaannemers en partners
• geef duidelijke instructies naar medewerkers, vrijwilligers en partners omtrent het gebruik
van internet, installeren van software, openen van e-mails
• communiceer hier regelmatig rond
• neem de richtlijnen van gebruik van de informatica-tools van de organisatie op in de
instructies (contracten) naar medewerkers en vrijwilligers.
technische maatregelen: tips
• fysieke beveiliging van archieven (papier, USB sticks, harde schijven,) en informatica-
materiaal (o.a. laptops, tablets, smartphones…)
• frequentie van het nemen van back-ups van bestanden
• backups op verschillende plaatsen bewaren
• firewall, antivirus, anti-malware installeren
• voorzie een DLP (Data Loss Prevention) programma
• volg steeds gevraagde updates van de gebruikte software op
• gebruik steeds de laatste versie van de software, toepassingen of apps
• voer testen uit rond herinstallatie van de informatica-infrastructuur
• maak gebruik van encryptie (versleuteling), zeker voor gevoelige gegevens
• maak zoveel mogelijk gebruik van pseudominisatie
beveiliging
rechten betrokken personen
• recht op informatie
• recht op inzage en kopie
• recht op aanpassing (correctie)
• recht op bezwaar
• recht op vergetelheid (verwijderen van gegevens)
• recht op intrekken toestemming
• recht op overdraagbaarheid
• recht op weigering geautomatiseerde individuele
besluitvorming, profilering
• recht op beperking van verwerking
Wanneer is je organisatie in regel
met de wetgeving bescherming persoonsgegevens ?
• Je hebt privacy en GDPR besproken op je bestuur, vrijwilligersvergadering…
• Binnen je organisatie is er iemand verantwoordelijk/aanspreekpunt rond GDPR.
• Je organisatie heeft een register (verplicht) waarin alle verwerkingsactiviteiten
(ledenregistratie, registratie activiteiten…) worden behandeld.
• Je organisatie heeft geschreven overeenkomsten met verwerkers.
• Je organisatie beveiligt (de verwerking van) persoonsgegevens.
• Je organisatie werkt enkel met de noodzakelijke gegevens voor de uitvoering van
haar doeleinden.
• Je organisatie vraagt actief toestemming voor het gebruik van gegevens als dit
nodig blijkt (wetsgronden).
• Je organisatie houdt de persoonsgegevens maar bij tot zolang dit nodig blijkt.
• Je organisatie informeert duidelijk over het gebruik van gegevens, o.a. via een
duidelijke privacyverklaring.
• Je organisatie kan snel reageren bij vragen van leden/deelnemers rond het gebruik
van hun gegevens.
• Je organisatie kan direct reageren bij verlies van persoonsgegevens (een datalek).
Handleiding en tools
beschikbaar via
www.dynamoproject.be/documenten
Stappenplan
om GDPR compliant te worden
“Ga planmatig te werk en hou alles goed bij!”
1. bewustmaking: agendeer het thema op je bestuur, vrijwilligersoverleg, groepsraad…
2. inventariseer: lijst op wie welke persoonsgegevens waar, waarom en voor hoe lang
bewaart
3. toets je gegevensverwerking aan de GDPR-principes:
Heb je alle gegevens nodig?
Beveilig je de persoonsgegevens en zo ja, hoe?
Op basis van welke wettelijke grond bewaar je gegevens?
4. maak een register op voor elke categorie van verwerkingen (bv ledenregistratie,
activiteitenregistratie…)
5. maak een goede privacyverklaring op (op basis van je inventaris en register)
6. werk procedures uit zodat je de rechten van betrokkenen kan respecteren
7. zorg voor contracten tussen verwerkingsverantwoordelijke en verwerker
8. werk een procedure uit zodat je kan reageren in geval van een datalek
stap 1: bewustmaking
Informeer het bestuur en de medewerkers van je organisatie die
met persoonsgegevens werken over:
• het belang van privacy van je leden, deelnemers…
• de basisbeginselen van gegevensverwerking
(proportionaliteit / legaliteit / transparantie)
• Te nemen stappen om je organisatie in regel te brengen
• Noodzaak van beveiliging van persoonsgegevens
belangrijk om iedereen die persoonsgegevens verwerkt te
informeren en te betrekken
agenderen en verslagen bijhouden (documentatie)
stap 2: opmaak inventaris
• Welke gegevens bewaart je organisatie
(naam, adres, ….
• Waar bewaart je organisatie de
gegevens?
• Hoe lang worden ze bewaard?
• Wie heeft er toegang toe?
• Worden de gegevens beschermd of
beveiligd?
• Waarvoor gebruiken jullie de gegevens?
(bv. uitnodigingen, nieuwsbrief,
bevestigingen deelname, organisatie van
kampen… )
overlopen vragenlijst
stap 3: analyse)
Op basis van de inventaris bekijk je of…
• je de leden, deelnemers, partners duidelijk
informeert (privacyverklaring).
• je een wettelijke grond hebt om gegevens te
verwerken.
• je niet te veel gegevens opvraagt en deze
niet te lang bewaart.
• Leden/deelnemers de mogelijkheid hebben om
hun gegevens in te zien, te corrigeren, te laten
verwijderen…
overlopen vragenlijst
• Lijst op hoe je papieren documenten, gegevens in bestanden of
(online) beeldmateriaal technisch (bv paswoorden, foto’s enkel in
beveiligde omgeving) en organisatorisch (bv medische fiches in
gesloten kistje) beveiligt.
• Ga voor de gegevens die je verwerkt na of er risico is op verlies,
diefstal of ongeoorloofde toegang.
• Bekijk welke verbeterstappen je kan / moet zetten. Lijst op wie welke
maatregelen hoe gaat nemen binnen welke timing.
interessante site:
www.safeonweb.be
stap 4: opmaak register
• overzicht van de soorten verwerking van
gegevens, gekoppeld aan de doeleinden (bv
ledenregistratie, registratie van activiteiten en
deelnemers…)
• verplicht instrument om bij controle te voldoen aan
je verantwoordingsplicht als
verwerkingsverantwoordelijke
• wordt continu geactualiseerd en aangevuld (in
tegenstelling tot de inventaris en analyse)
• de informatie uit de inventaris en analyse zijn een
goede basis voor een verdere uitwerking in een
register
verplicht per verwerkingsactiviteit
naam en contactgegevens
verwerker en verwerkings-
verantwoordelijke
categorieën van betrokkenen
verwerkingsdoeleinden
categorieën van
ontvangers en derde
landen of organisaties
categorieën
persoonsgegevensbewaartermijn gegevens
waarborgen bij doorgifte
gegevens aan derde landen
technische en
organisatorische
maatregelen beveiliging
Sportclub
soorten verwerkingsactiviteiten• Ledenadministratie
lidmaatschap
verzekering
• Sportieve voorbereiding (o.a. trainingen, stages)
indeling in categorieën en groepen
uitwisseling tussen leden
trainers
inschrijven stages
• Deelnemen aan competities en tornooien
aansluiting federatie
deelname aan competitie
doorgeven competitieresultaten
deelname tornooien
organisatie recreatief sportevenement
• Organiseren van niet-sportgerelateerde clubevenementen
verwerking gegevens deelname
communicatie met deelnemers
• Promotie, PR en communicatie
Beheer sociale media (o.a. foto’s plaatsen)
Beheren clubwebsite
Register ledenadministratieVerwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewaringstermijn Rechtsgrond Beveiligingsmaatregelen
Waarom worden de gegevens verwerkt?
Van wie zijn de gegevens?
Welk type gegevens zijn het?
Aan wie worden de gegevens verstrekt?
Hoelang worden de gegevens bewaard?
Wat is de wettelijke grondslag voor de verwerking?
Hoe worden de gegevens beveiligd?
clubadministratie: verwerking gegevens i.f.v. lidmaatschap
leden persoonlijke gegevens: naam, adres, telefoonnummer, leeftijd, geboortedatum, geboorteplaats, geslacht
niemand 10 jaar contractuele grond
organisatorische maatregel: enkel bestuurleden met autorisatie kunnen aan de gegevens
persoonlijke gegevens: e-mailadres
niemand 10 jaar contractuele grond
organisatorische maatregel: enkel bestuurleden met autorisatie kunnen aan de gegevens
persoonlijke gegevens: nationaliteit
niemand 10 jaar contractuele grond
organisatorische maatregel: enkel bestuurleden met autorisatie kunnen aan de gegevens
persoonlijke gegevens: rijksregisternummer
niemand 10 jaar contractuele grond
organisatorische maatregel: enkel bestuurleden met autorisatie kunnen aan de gegevens
persoonlijke gegevens: lidnummer
niemand 10 jaar contractuele grond
organisatorische maatregel: enkel bestuurleden met autorisatie kunnen aan de gegevens
clubadministratie: verwerking gegevens i.f.v. verzekering
leden persoonlijke gegevens: naam, adres, telefoonnummer, leeftijd, geboortedatum, geboorteplaats, geslacht
verzekeraar 1 jaar contractuele grond
organisatorische maatregel: enkel de secretaris kan aan de gegevens
Register sportieve voorbereidingVerwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewarings-
termijnRechtsgrond Beveiligings-
maatregelenWaarom worden de gegevens verwerkt?
Van wie zijn de gegevens?
Welk type gegevens zijn het? Aan wie worden de gegevens verstrekt?
Hoelang worden de gegevens bewaard?
Wat is de wettelijke grondslag voor de verwerking?
Hoe worden de gegevens beveiligd?
clubadministratie: onderlinge uitwisseling van ledengegevens
leden persoonlijke gegevens: naam, adres, telefoonnummer
niemand 2 jaar gerechtvaardigd belang
standaard-maatregelen
persoonlijke gegevens: e-mailadres niemand 2 jaar gerechtvaardigd belang
standaard-maatregelen
competitiegegevens federatie: aansluitingsnummer, klassement
niemand 2 jaar gerechtvaardigd belang
standaard-maatregelen
clubadministratie: leden indelen in categoriën en groepen
leden persoonlijke gegevens: naam, adres niemand 1 jaar gerechtvaardigd belang
standaard-maatregelen
competitiegegevens federatie: aansluitingsnummer, klassement
niemand 1 jaar gerechtvaardigd belang
standaard-maatregelen
clubadministratie: uitwisseling van gegevens van trainers
trainers (intern)
persoonlijke gegevens: naam, adres federatie 1 jaar gerechtvaardigd belang
standaard-maatregelen
competitiegegevens federatie: aansluitingsnummer, klassement
federatie 1 jaar gerechtvaardigd belang
standaard-maatregelen
sportieve administratie: inschrijven stages (zonder overnachting)
deelnemers (leden)
persoonlijke gegevens: naam, adres, telefoonnummer
niemand tot na activiteit
contractuele grond
standaard-maatregelen
persoonlijke gegevens: e-mailadres niemand tot na activiteit
contractuele grond
standaard-maatregelen
competitiegegevens federatie: aansluitingsnummer, klassement
niemand tot na activiteit
contractuele grond
standaard-maatregelen
gegevens van derden: naam, telefoonnummer, e-mailadres van de ouders
niemand tot na activiteit
contractuele grond
standaard-maatregelen
sportieve administratie: inschrijven stages (met overnachting)
deelnemers (leden)
persoonlijke gegevens: naam, adres, telefoonnummer
niemand tot na activiteit
contractuele grond
standaard-maatregelen
persoonlijke gegevens: e-mailadres niemand tot na activiteit
contractuele grond
standaard-maatregelen
persoonlijke gegevens: naam, adres, telefoonnummer, leeftijd, geboortedatum
partner-organisatie
tot na activiteit
contractuele grond
standaard-maatregelen
competitiegegevens federatie: aansluitingsnummer, klassement
niemand tot na activiteit
contractuele grond
standaard-maatregelen
gegevens van derden: naam, telefoonnummer, e-mailadres van de ouders
niemand tot na activiteit
contractuele grond
standaard-maatregelen
Register deelname competities & tornooienVerwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewarings-
termijnRechtsgrond Beveiligings-
maatregelenWaarom worden de gegevens verwerkt?
Van wie zijn de gegevens?
Welk type gegevens zijn het? Aan wie worden de gegevens verstrekt?
Hoelang worden de gegevens bewaard?
Wat is de wettelijke grondslag voor de verwerking?
Hoe worden de gegevens beveiligd?
sportieve administratie: aansluiting federatie
deelnemers (leden)
persoonlijke gegevens: naam, adres, telefoonnummer, leeftijd, geboortedatum, geboorteplaats, geslacht, e-mailadres
federatie 10 jaar gerechtvaardigd belang
standaard-maatregelen
persoonlijke gegevens: nationaliteit en rijksregisternummer
federatie 10 jaar gerechtvaardigd belang
Standaard-maatregelen
sportieve administratie: deelname aan competitie federatie
deelnemers (leden)
persoonlijke gegevens: naam federatie 10 jaar gerechtvaardigd belang
standaard-maatregelen
competitiegegevens federatie: aansluitingsnummer, klassement
federatie 10 jaar gerechtvaardigd belang
standaard-maatregelen
sportieve administratie: doorgeven competitieresultaten federatie
deelnemers (leden)
persoonlijke gegevens: naam federatie 10 jaar gerechtvaardigd belang
standaard-maatregelen
competitiegegevens federatie: aansluitingsnummer, klassement
federatie 10 jaar gerechtvaardigd belang
standaard-maatregelen
competitiegegevens federatie: wedstrijdgegevens en -resultaten
federatie 10 jaar gerechtvaardigd belang
standaard-maatregelen
sportieve administratie: deelname aan tornooien federatie
deelnemers (leden)
persoonlijke gegevens: naam federatie 10 jaar gerechtvaardigd belang
standaard-maatregelen
competitiegegevens federatie: aansluitingsnummer, klassement
federatie 10 jaar gerechtvaardigd belang
standaard-maatregelen
sportieve administratie: doorgeven tornooiresultaten federatie
deelnemers (leden)
persoonlijke gegevens: naam federatie 10 jaar gerechtvaardigd belang
standaard-maatregelen
competitiegegevens federatie: aansluitingsnummer, klassement
federatie 10 jaar gerechtvaardigd belang
standaard-maatregelen
competitiegegevens federatie: wedstrijdgegevens en -resultaten
federatie 10 jaar gerechtvaardigd belang
standaard-maatregelen
sportieve administratie: organisatie recreatief sportevenement
deelnemers (leden)
persoonlijke gegevens: naam, telefoonnummer, e-mailadres
niemand 1 jaar contractuele grond standaard-maatregelen
competitiegegevens federatie: aansluitingsnummer, klassement
niemand 1 jaar contractuele grond standaard-maatregelen
deelnemers (niet-leden)
persoonlijke gegevens: naam, adres, telefoonnummer, e-mailadres
niemand 1 jaar contractuele grond standaard-maatregelen
competitiegegevens federatie: aansluitingsnummer, klassement
niemand 1 jaar contractuele grond standaard-maatregelen
Register niet-sportgerelateerde evenementenVerwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewarings-
termijnRechtsgrond Beveiligings-
maatregelenSoort evenement
Waarom worden de gegevens verwerkt?
Van wie zijn de gegevens?
Welk type gegevens zijn het? Aan wie worden de gegevens verstrekt?
Hoelang worden de gegevens bewaard?
Wat is de wettelijke grondslag voor de verwerking?
Hoe worden de gegevens beveiligd?
Extra informatie over het evenement
administratie deelnemers: verwerking gegevens i.f.v. deelname
deelnemers (leden)
persoonlijke gegevens: naam, telefoonnummer, e-mailadres
niemand 2 jaar contractuele grond
standaard-maatregelen
Eetfestijn
gevoelige gegevens: gegevens mbtlichamelijke/psychische gezondheid (medische fiches): medisch dossier, medisch verslag, diagnose-informatie, behandeling, dieet, allergieën, handicap
niemand 2 jaar contractuele grond
standaard-maatregelen
deelnemers (niet-leden)
persoonlijke gegevens: naam, telefoonnummer, e-mailadres
niemand 2 jaar contractuele grond
standaard-maatregelen
gevoelige gegevens: gegevens mbtlichamelijke/psychische gezondheid (medische fiches): medisch dossier, medisch verslag, diagnose-informatie, behandeling, dieet, allergieën, handicap
niemand 2 jaar contractuele grond
standaard-maatregelen
communicatie met deelnemers aan organisaties
deelnemers (leden)
persoonlijke gegevens: naam, telefoonnummer, e-mailadres
niemand 2 jaar contractuele grond
standaard-maatregelen
deelnemers (niet-leden)
persoonlijke gegevens: naam, telefoonnummer, e-mailadres
niemand 2 jaar contractuele grond
standaard-maatregelen
administratie deelnemers: verwerking gegevens i.f.v. deelname
deelnemers (leden)
persoonlijke gegevens: naam, telefoonnummer, e-mailadres
niemand 2 jaar contractuele grond
standaard-maatregelen
Quiz
deelnemers (niet-leden)
persoonlijke gegevens: naam, telefoonnummer, e-mailadres
niemand 2 jaar contractuele grond
standaard-maatregelen
Register promotie, PR en communicatieVerwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewarings-
termijnRechtsgrond Beveiligings-maatregelen
Waarom worden de gegevens verwerkt?
Van wie zijn de gegevens?
Welk type gegevens zijn het? Aan wie worden de gegevens verstrekt?
Hoelang worden de gegevens bewaard?
Wat is de wettelijke grondslag voor de verwerking?
Hoe worden de gegevens beveiligd?
beheren social media -sfeerfoto's
leden beeldmateriaal: (digitale) foto's, filmpjes
publiek (publicatie internet/facebook)
10 jaar gerechtvaardigd belang
technische maatregelen : privacyinstellingen
ouders van leden beeldmateriaal: (digitale) foto's, filmpjes
publiek (publicatie internet/facebook)
10 jaar gerechtvaardigd belang
technische maatregelen : privacyinstellingen
deelnemers (leden) beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar gerechtvaardigd belang
technische maatregelen : privacyinstellingen
deelnemers (niet-leden)
beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar gerechtvaardigd belang
technische maatregelen : privacyinstellingen
bestuurders beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar gerechtvaardigd belang
technische maatregelen : privacyinstellingen
contacten bij andere clubs
beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar gerechtvaardigd belang
technische maatregelen : privacyinstellingen
contacten bij de (lokale) overheden
beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar gerechtvaardigd belang
technische maatregelen : privacyinstellingen
beheren social media -gerichte foto's
leden beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar toestemming technische maatregelen : privacyinstellingen
ouders van leden beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar toestemming technische maatregelen : privacyinstellingen
deelnemers (leden) beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar toestemming technische maatregelen : privacyinstellingen
deelnemers (niet-leden)
beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar toestemming technische maatregelen : privacyinstellingen
bestuurders beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar toestemming technische maatregelen : privacyinstellingen
contacten bij andere clubs
beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar toestemming technische maatregelen : privacyinstellingen
contacten bij de (lokale) overheden
beeldmateriaal: (digitale) foto's, filmpjes
bliek (publicatie internet/facebook)
10 jaar toestemming technische maatregelen : privacyinstellingen
beheren clubwebsite bestuurders persoonlijke gegevens: naam, e-mailadres
bliek (publicatie internet/facebook)
tot einde mandaat
gerechtvaardigd belang
organisatorische maatregel: enkel eigen site
persoonlijke gegevens: telefoonnummer
bliek (publicatie internet/facebook)
tot einde mandaat
toestemming organisatorische maatregel: enkel eigen site
stap 5: duidelijk informeren:
de privacyverklaring
De betrokkenen (leden, werknemers, doelgroep,
deelnemers, je vrijwilligers…) moeten duidelijk
geïnformeerd worden over wat er met hun gegevens
gebeurt.
Dat moet proactief gebeuren. De verantwoordelijke mag
dus niet wachten met het geven van de informatie totdat
een betrokkene ernaar vraagt.
Je organisatie moet altijd duidelijk informeren over de
rechten van de betrokkenen en hoe die kunnen
uitgeoefend worden.
Dit moet beknopt, in een duidelijke eenvoudige taal en in
een gemakkelijk toegankelijke vorm. De meest
aangewezen manier is de privacyverklaring op de
website van de vereniging te plaatsen en in
toetredingsdocumenten of inschrijvingsformulieren
hiernaar te verwijzen.
Opgelet: Het is een verklaring, een mededeling van de
organisatie naar het lid/deelnemer. De betrokkene moet
de verklaring niet goedkeuren.
voorbeeld beknopte versie sportclub
Privacy-verklaring
Uw persoonsgegevens worden verwerkt door (Sportclub Gemeente,
naamstraat 20 te 9000 Gemeente, [email protected]), voor
ledenbeheer en organisatie van activiteiten op basis van de contractuele
relatie als gevolg van uw inschrijving en voor direct marketing (om u op
de hoogte te houden van onze activiteiten) op basis van ons
gerechtvaardigd belang om sport aan te bieden.
Indien u niet wil dat wij uw gegevens verwerken met het oog op direct
marketing, volstaat het ons dat mee te delen op ([email protected]). Via
dat adres kan u ook altijd vragen welke gegevens wij over u verwerken en
ze verbeteren of laten wissen, of ze vragen over te dragen. Een meer
uitgebreid overzicht van ons beleid op het vlak van verwerking van
persoonsgegevens vindt u op (https://www.sportclubgemeente.be).
voorbeeld beknopte versie sportclub
Privacy-verklaring
Uw persoonsgegevens worden verwerkt door (Sportclub Gemeente, naamstraat 20 te
9000 Gemeente, [email protected]), voor ledenbeheer en organisatie van activiteiten
op basis van de contractuele relatie als gevolg van uw inschrijving en voor direct
marketing (om u op de hoogte te houden van onze activiteiten) op basis van ons
gerechtvaardigd belang om sport aan te bieden.
Indien u niet wil dat wij uw gegevens verwerken met het oog op direct marketing, volstaat
het ons dat mee te delen op ([email protected]). Via dat adres kan u ook altijd vragen
welke gegevens wij over u verwerken en ze verbeteren of laten wissen, of ze vragen over
te dragen. Een meer uitgebreid overzicht van ons beleid op het vlak van verwerking van
persoonsgegevens vindt u op (https://www.sportclubgemeente.be).
gegevens organisatie doelstelling
wettelijke grond voor verwerking
contact inzage en verwijderen
Voorbeeld uitgebreide versie (1/4)
Contact
Als [NAAM SPORTCLUB] zijn wij verantwoordelijk voor de verwerking van je persoonsgegevens. Indien je na het
doornemen van onze privacyverklaring, of in algemenere zin, vragen heeft hierover of contact met ons wenst op te
nemen kan dit via onderstaande contactgegevens:
[NAAM SPORTCLUB]
Zetel:
Emailadres:
Telefoon:
Waarom verwerken wij persoonsgegevens
Je persoonsgegevens worden door [NAAM SPORTCLUB] verwerkt ten behoeve van de volgende doeleinden en
rechtsgronden:
• Om te kunnen deelnemen aan de activiteiten van [NAAM SPORTCLUB] (uitvoering overeenkomst)
• Het versturen van nieuwsbrieven en uitnodigingen. (gerechtvaardigd belang)
• Het bekomen van subsidiëring door de overheid (wettelijke verplichting)
Wij kunnen de volgende persoonsgegevens van je vragen, opslaan, verzamelen en verwerken voor de volgende
doelstellingen :
• Identificatiegegevens : naam, voornaam, adres, telefoonnummer, e-mail
• Identiteitsgegevens uitgegeven door overheid : identiteitskaartnummer
• Rijksregisternummer
• Persoonlijke kenmerken : geslacht, geboortedatum, geboorteplaats, nationaliteit
We gebruiken de verzamelde gegevens alleen voor de doeleinden waarvoor we de gegevens hebben verkregen.
Voorbeeld uitgebreide versie (2/4)
Verstrekking aan derden
De gegevens die je aan ons geeft kunnen wij aan derde partijen verstrekken indien dit noodzakelijk is voor uitvoering
van de hierboven beschreven doeleinden.
Zo maken wij gebruik van een derde partij voor:
• het verzorgen van de internet omgeving (webhosting);
• het verzorgen van IT-infrastructuur (o.a. IT netwerk, …);
• het verzorgen (en verspreiden) van nieuwsbrieven en uitnodigingen.
Wij geven nooit persoonsgegevens door aan verwerkers (andere partijen) dan diegene waarmee we een
verwerkersovereenkomst hebben afgesloten. Met deze partijen (verwerkers) maken wij hierin uiteraard de nodige
afspraken om de beveiliging van je persoonsgegevens te waarborgen.
Verder zullen wij de verstrekte gegevens niet aan derden doorgeven tenzij dit wettelijk verplicht en/of toegestaan is,
zoals bv. in het kader van een politioneel of gerechtelijk onderzoek.
Tevens kunnen wij persoonsgegevens delen met derden indien je ons hier toestemming voor geeft. Deze toestemming
kan ten allen tijde ingetrokken worden, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking voor de
intrekking daarvan. Wij verstrekken geen persoonsgegevens aan partijen die gevestigd zijn buiten de EU.
Minderjarigen
Wij verwerken alleen persoonsgegevens van personen jonger dan 18 jaar indien daarvoor schriftelijke toestemming is
gegeven door de ouder of wettelijke vertegenwoordiger.
Bewaartermijn
[NAAM SPORTCLUB] bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn
verstrekt dan wel op grond van de wet is vereist. [NAAM SPORTCLUB] verbindt zich ertoe de gegevens niet langer bij
te houden dan …
Voorbeeld uitgebreide versie (3/4)
Beveiliging van de gegevens
Volgende passende technische en organisatorische maatregelen zijn genomen om persoonsgegevens te beschermen
tegen onrechtmatige verwerking:
• Alle personen die namens [NAAM SPORTCLUB] van je gegevens kennis kunnen nemen, zijn gehouden aan
geheimhouding daarvan.
• We hanteren een gebruikersnaam en wachtwoordbeleid op al onze systemen;
• We pseudonimiseren en zorgen voor de encryptie van persoonsgegevens als daar aanleiding toe is;
• Wij maken back-ups van de persoonsgegevens om deze te kunnen herstellen bij fysieke of technische incidenten;
• We testen en evalueren regelmatig onze maatregelen;
• Onze medewerkers zijn geïnformeerd over het belang van de bescherming van persoonsgegevens.
Je rechten omtrent je gegevens
Je hebt recht op inzage, kopie, aanpassing of het wissen van de persoonsgegevens die wij ontvangen hebben. Via het
hoger vermeld adres kun je hier ons hiervoor contacteren.
Tevens kunt je bezwaar indienen tegen de verwerking van je persoonsgegevens (of een deel hiervan) door ons of door
één van onze verwerkers.
Ook heb je het recht om de verstrekte gegevens door ons te laten overdragen aan jezelf of in jouw opdracht direct aan
een andere partij. Wij kunnen je vragen om je te legitimeren voordat wij gehoor kunnen geven aan voornoemde
verzoeken.
Voorbeeld uitgebreide versie (4/4)
Klachten
Mocht u een klacht hebben over de verwerking van uw persoonsgegevens dan vragen wij u hierover direct contact met
ons op te nemen.
U heeft altijd het recht een klacht in te dienen bij de Privacy Commissie, dit is de toezichthoudende autoriteit op het
gebied van privacy bescherming.
Wijziging privacy statement
[NAAM SPORTCLUB] kan de privacyverklaring steeds wijzigen. De laatste wijziging gebeurde op…
stap 6: procedures rechten betrokkenen
De voornaamste rechten van de betrokkenen voor lokale organisaties:
• recht op inzage en kopie
De persoon van wie je gegevens bijhoudt, heeft het recht om bepaalde gegevens
in te zien een gratis kopie van de verwerkte persoonsgegevens binnen de maand
(verlengbaar met 2 maanden).
• recht op aanpassing (rectification)
De persoon van wie je gegevens bijhoudt heeft het recht om onjuiste of
onvolledige persoonsgegevens te verbeteren
• recht op vergetelheid (verwijderen van gegevens)
In een aantal specifieke gevallen kan de persoon van wie je gegevens bijhoudt,
vragen om ‘vergeten te worden’ en te worden verwijderd uit uw database.
Je kan de vraag tot verwijdering ook weigeren in een aantal gevallen
• recht op intrekken toestemming
Waarborg dat de gegevens waarvoor
een partij verantwoordelijk is, door
een andere partij correct verwerkt
worden.
stap 7: contracten
verwerkingsverantwoordelijke –
verwerker
Relatie met verwerker wordt geregeld door een geschreven contract, met daarin…
• onderwerp en duur van de verwerking
• de aard en het doel van de verwerking
• het soort persoonsgegevens en de categorieën van betrokkenen
• omschrijving van de rechten en verplichtingen van de verwerkingsverantwoordelijke
… en met volgende bepalingen:
• persoonsgegevens worden uitsluitend verwerkt op basis van schriftelijke instructies
van de verwerkingsverantwoordelijke (o.a. doorgifte aan een derde land)
• vertrouwelijkheid wordt gewaarborgd
• beveiligingsmaatregelen
• meedelen van onderaannemers van de verwerker
• helpen bij uitoefening van rechten door betrokkenen
• meedelen van inbreuken
• vernietigen van gegevens einde contract
• documentatie
Meldplicht voor datalekken die de betrokkene(n) schade kunnen
berokkenen (bv. financieel verlies, schending geheimhoudingsplicht,
identiteitsdiefstal…).
Elk incident dat impact kan hebben op de veiligheid van je gegevens
(zoals diefstal van een laptop of verlies van een USB-stick) en enige
vorm van schade kan veroorzaken aan de betrokkenen(n), moet
binnen 72 uur gemeld worden aan de privacycommissie.
Bij een hoog risico voor zijn rechten en vrijheden moet dit ook aan
de betrokkene zelf gemeld worden zodat deze de nodige
voorzorgsmaatregelen kan nemen.
stap 8: datalek
• procedure
• duidelijke verantwoordelijke / aanspreekpunt
• informeer alle verwerkers
• datalek-document
• Bijkomende informatie op website privacycommissie.be
Vervolgstappen voor je sportclub
• Alle bestaande activiteiten en verwerkingen toetsen aan de GDPR
• Register gegevensverwerkingen aanvullen, vervolledigen en bewaren
(documentatie)
• Privacyverklaring uitwerken, aanpassen en op website plaatsen (of op
papier beschikbaar houden)
• Overeenkomsten sluiten met de verwerkers
• Beveiliging van gebruikte IT (cloud, netwerk, bestanden…) nakijken en
eventueel aanvullen