De nieuwe privacywet (GDPR) op maat van je sportclub · Verschillende rollen en...

De nieuwe privacywet

(GDPR) op maat van

je sportclub

Spreker:

Emmanuel Steyaert

Inhoud

I Wat is GDPR en moet ik me in regel stellen?

II Wat zijn mijn verplichtingen?

III Stappenplan

IV Vervolgstappen

V Vragen?

• Is je club vrijgesteld van de privacy-wetgeving en GDPR?

• Vraag je toestemming als je iemand zijn gegevens bijhoudt en

opslaat?

• Leg je uit waarom je bepaalde gegevens opvraagt en hoelang je ze

bewaart?

• Kan iedereen vragen welke gegevens je club van hem/haar

bijhoudt?

• Wat zijn de grootste uitdagingen van de club i.v.m. privacy?

• Doet je club aan 'direct marketing' (versturen van berichten aan een

deel van de bevolking)?

• Geeft je club persoonsgegevens door aan andere organisaties of

personen?

• Worden persoonsgegevens veilig bewaard? Ook elektronische

gegevens?

• Ken je de regels om foto’s op Facebook te plaatsen?

I Wat is GDPR en moet ik me in regel stellen?

Wat is GDPR nu precies?

GDPR staat voor ‘General Data Protection Regulation’

(in het Nederlands: Algemene Verordening Gegevensbescherming)

GDPR is een Europese verordening die regels oplegt rond de bescherming

en de verwerking van persoonsgegevens

persoonsgegevens: gegevens over een identificeerbaar natuurlijke persoon.

bv naam, adres, leeftijd, geslacht, lichamelijke kenmerken, psychische kenmerken,

financiële situatie, kenmerken gezin, geaardheid, vrijetijdsbesteding,

lidmaatschappen, gerechtelijke gegevens, opleiding, beroep, beeldopname,

geluidsopname… zijn persoonsgegevens

verwerking: van het verzamelen, raadplegen, verspreiden, koppelen en

registreren tot het vernietigen van gegevens.

betrokken persoon: leden, deelnemers, sympathisanten, cursisten… wiens

gegevens je verwerkt

• GDPR geldt voor alle organisaties, zowel vzw’s als feitelijke verenigingen, die

persoonsgegevens verwerken (ledenbestanden, deelnemersbestanden, nieuwsbrieven,

mailings, gsm-nummers bijhouden,…).

• Accountability principe:

elke organisatie is verantwoordelijk voor de correcte toepassing

elke organisatie moet verantwoorden hoe ze dat doet

• Wat betekent dit?

Je organisatie neemt zelf initiatief en wacht niet tot er zich een probleem stelt.

Je organisatie houdt al de stappen die ze neemt goed bij (documentatie).

• Voornaamste acties voor je sportclub:

Documenteren

informeren van betrokken personen

Beveiligen van gegevens

Moet mijn sportclub zich ook in regel stellen met GDPR ?

JA

Verschillende rollen en verantwoordelijkheden

verwerkings-

verantwoordelijke

• bepaalt welke gegevens worden verzameld en

verwerkt

• bepaalt doel en middelen gegevensverwerking

• is verantwoordelijk voor informatie aan betrokken

persoon

• vraagt overeenkomsten aan verwerker

• verplicht register van verwerkingsactiviteiten

verwerker

• handelt in opdracht van de

verwerkingsverantwoordelijke

• moet zich aan de (schriftelijke) afspraken houden

• Voorbeelden van verwerker: cloudprovider,

ticketadministratie, …

• Verplicht register van verwerkingsactiviteiten

derde

• ontvangt gegevens van de


• Ontvanger kan gegevens verwerken volgens eigen

bepalingen (en niet volgens jouw instructies)

• Ontvanger moet meedelen aan betrokken persoon dat

hij gegevens heeft ontvangen (tenzij de

verantwoordelijke dit heeft ontvangen)

betrokkene • persoon wiens gegevens je verwerkt

Basisbeginselen

verwerking persoonsgegevens

• Op een rechtmatige, behoorlijke en transparante manier (rechtsgrond en

transparantie)

• Voor specifieke, legitieme, en vooraf bepaalde doeleinden (doelbinding)

• Door de hoeveelheid gegevens die u verwerkt waar mogelijk te

minimaliseren (gegevensminimalisatie)

• Door persoonsgegevens regelmatig bij te werken (bijwerking)

• Door de duurtijd van de opslag te beperken (beperkte bewaartermijn)

• Door de integriteit en vertrouwelijkheid te waarborgen (beveiliging, integriteit,

vertrouwelijkheid)

proportionaliteit - legaliteit - transparantie

beveiliging

rechten van betrokkenen

proportionaliteit= enkel noodzakelijke persoonsgegevens opvragen en verzamelen

“Is het echt noodzakelijk in functie van onze doelstelling om…”

• deze gegevens te verzamelen en verder te verwerken,

of zijn er misschien andere manieren?

• deze gegevens zo lang te bewaren? (bv deelnemer cursus zit

jarenlang in bestanden)

• al deze gegevens te publiceren? (bv op een website te plaatsen)

• al deze personen toegang te geven tot de gegevens?

transparantie

De betrokken personen (leden, werknemers, doelgroep, deelnemers,

vrijwilligers…) moeten duidelijk geïnformeerd worden over wat met

hun persoonsgegevens gebeurt en dit in een heldere taal.

De transparantie- of informatieplicht geldt ongeacht de wettelijke

doelstelling die je beoogt. Je organisatie moet dus altijd actief

informeren over de verwerking van de persoonsgegevens en de

rechten van de betrokkenen.

Dat moet proactief gebeuren (vooraleer de gegevens verwerkt

worden).

De verantwoordelijke mag dus niet wachten met het geven van de

informatie totdat een betrokkene ernaar vraagt.

Verplicht via privacyverklaring

legaliteit= rechtsgronden waarop je toch persoonsgegevens mag

verwerken

• contractuele basis (noodzakelijk voor uitvoering van overeenkomst, bv

verkoopsovereenkomst, arbeidsovereenkomst, lidmaatschapsovereenkomst,

vrijwilligersovereenkomst…)

• wettelijke verplichting (noodzakelijk voor uitvoering van een wet die van

toepassing is op de organisatie, bv opgelegd in decreet)

• algemeen belang of openbaar gezag (door de wet opgedragen, bv. aan de politie)

• vitaal belang (bv. om dringende medische reden)

• gerechtvaardigd belang (activiteit is anders niet uitvoerbaar), enkel als dit

zwaarder doorweegt dan het belang, de rechten en de redelijke

privacyverwachtingen van de betrokkenen

• ondubbelzinnige toestemming (vrije, actieve en specifieke toestemming van de

betrokken persoon)

beveiliging

organisatorische maatregelen

• afspraken in het team rond verwerking

• rondslingeren deelnemerslijsten

• geen gevoelige bestanden versturen per email

• beperking info op deelnemerslijsten

• afspraken vernietiging (bv CV na sollicitatieronde)

• …

technische maatregelen

• ict

• beveiliging computers

• wachtwoorden, back up, …

• encryptie van bestanden, mails, servers…

• pseudonimiseren

www.safeonweb.be

organisatorisch maatregelen: tips

• beperkte toegang voor bepaalde personen (o.a. door inlog procedure)

• gebruik van paswoorden op bestanden

• wachtwoorden worden verplicht gewijzigd na een bepaalde periode

• communiceer het wachtwoordbeleid aan de medewerkers, onderaannemers en partners

• geef duidelijke instructies naar medewerkers, vrijwilligers en partners omtrent het gebruik

van internet, installeren van software, openen van e-mails

• communiceer hier regelmatig rond

• neem de richtlijnen van gebruik van de informatica-tools van de organisatie op in de

instructies (contracten) naar medewerkers en vrijwilligers.

technische maatregelen: tips

• fysieke beveiliging van archieven (papier, USB sticks, harde schijven,) en informatica-

materiaal (o.a. laptops, tablets, smartphones…)

• frequentie van het nemen van back-ups van bestanden

• backups op verschillende plaatsen bewaren

• firewall, antivirus, anti-malware installeren

• voorzie een DLP (Data Loss Prevention) programma

• volg steeds gevraagde updates van de gebruikte software op

• gebruik steeds de laatste versie van de software, toepassingen of apps

• voer testen uit rond herinstallatie van de informatica-infrastructuur

• maak gebruik van encryptie (versleuteling), zeker voor gevoelige gegevens

• maak zoveel mogelijk gebruik van pseudominisatie

beveiliging

rechten betrokken personen

• recht op informatie

• recht op inzage en kopie

• recht op aanpassing (correctie)

• recht op bezwaar

• recht op vergetelheid (verwijderen van gegevens)

• recht op intrekken toestemming

• recht op overdraagbaarheid

• recht op weigering geautomatiseerde individuele

besluitvorming, profilering

• recht op beperking van verwerking

II Wat zijn mijn verplichtingen?

Wanneer is je organisatie in regel

met de wetgeving bescherming persoonsgegevens ?

• Je hebt privacy en GDPR besproken op je bestuur, vrijwilligersvergadering…

• Binnen je organisatie is er iemand verantwoordelijk/aanspreekpunt rond GDPR.

• Je organisatie heeft een register (verplicht) waarin alle verwerkingsactiviteiten

(ledenregistratie, registratie activiteiten…) worden behandeld.

• Je organisatie heeft geschreven overeenkomsten met verwerkers.

• Je organisatie beveiligt (de verwerking van) persoonsgegevens.

• Je organisatie werkt enkel met de noodzakelijke gegevens voor de uitvoering van

haar doeleinden.

• Je organisatie vraagt actief toestemming voor het gebruik van gegevens als dit

nodig blijkt (wetsgronden).

• Je organisatie houdt de persoonsgegevens maar bij tot zolang dit nodig blijkt.

• Je organisatie informeert duidelijk over het gebruik van gegevens, o.a. via een

duidelijke privacyverklaring.

• Je organisatie kan snel reageren bij vragen van leden/deelnemers rond het gebruik

van hun gegevens.

• Je organisatie kan direct reageren bij verlies van persoonsgegevens (een datalek).

III Stappenplan

Handleiding en tools

beschikbaar via

www.dynamoproject.be/documenten

http://www.dynamoproject.be/documenten

Stappenplan

om GDPR compliant te worden

“Ga planmatig te werk en hou alles goed bij!”

1. bewustmaking: agendeer het thema op je bestuur, vrijwilligersoverleg, groepsraad…

2. inventariseer: lijst op wie welke persoonsgegevens waar, waarom en voor hoe lang

bewaart

3. toets je gegevensverwerking aan de GDPR-principes:

Heb je alle gegevens nodig?

Beveilig je de persoonsgegevens en zo ja, hoe?

Op basis van welke wettelijke grond bewaar je gegevens?

4. maak een register op voor elke categorie van verwerkingen (bv ledenregistratie,

activiteitenregistratie…)

5. maak een goede privacyverklaring op (op basis van je inventaris en register)

6. werk procedures uit zodat je de rechten van betrokkenen kan respecteren

7. zorg voor contracten tussen verwerkingsverantwoordelijke en verwerker

8. werk een procedure uit zodat je kan reageren in geval van een datalek

stap 1: bewustmaking

Informeer het bestuur en de medewerkers van je organisatie die

met persoonsgegevens werken over:

• het belang van privacy van je leden, deelnemers…

• de basisbeginselen van gegevensverwerking

(proportionaliteit / legaliteit / transparantie)

• Te nemen stappen om je organisatie in regel te brengen

• Noodzaak van beveiliging van persoonsgegevens

belangrijk om iedereen die persoonsgegevens verwerkt te

informeren en te betrekken

agenderen en verslagen bijhouden (documentatie)

stap 2: opmaak inventaris

• Welke gegevens bewaart je organisatie

(naam, adres, ….

• Waar bewaart je organisatie de

gegevens?

• Hoe lang worden ze bewaard?

• Wie heeft er toegang toe?

• Worden de gegevens beschermd of

beveiligd?

• Waarvoor gebruiken jullie de gegevens?

(bv. uitnodigingen, nieuwsbrief,

bevestigingen deelname, organisatie van

kampen… )

overlopen vragenlijst

stap 3: analyse)

Op basis van de inventaris bekijk je of…

• je de leden, deelnemers, partners duidelijk

informeert (privacyverklaring).

• je een wettelijke grond hebt om gegevens te

verwerken.

• je niet te veel gegevens opvraagt en deze

niet te lang bewaart.

• Leden/deelnemers de mogelijkheid hebben om

hun gegevens in te zien, te corrigeren, te laten

verwijderen…

overlopen vragenlijst

• Lijst op hoe je papieren documenten, gegevens in bestanden of

(online) beeldmateriaal technisch (bv paswoorden, foto’s enkel in

beveiligde omgeving) en organisatorisch (bv medische fiches in

gesloten kistje) beveiligt.

• Ga voor de gegevens die je verwerkt na of er risico is op verlies,

diefstal of ongeoorloofde toegang.

• Bekijk welke verbeterstappen je kan / moet zetten. Lijst op wie welke

maatregelen hoe gaat nemen binnen welke timing.

interessante site:

www.safeonweb.be

http://www.safeonweb.be

stap 4: opmaak register

• overzicht van de soorten verwerking van

gegevens, gekoppeld aan de doeleinden (bv

ledenregistratie, registratie van activiteiten en

deelnemers…)

• verplicht instrument om bij controle te voldoen aan

je verantwoordingsplicht als


• wordt continu geactualiseerd en aangevuld (in

tegenstelling tot de inventaris en analyse)

• de informatie uit de inventaris en analyse zijn een

goede basis voor een verdere uitwerking in een

register

verplicht per verwerkingsactiviteit

naam en contactgegevens

verwerker en verwerkings-

verantwoordelijke

categorieën van betrokkenen

verwerkingsdoeleinden

categorieën van

ontvangers en derde

landen of organisaties

categorieën

persoonsgegevensbewaartermijn gegevens

waarborgen bij doorgifte

gegevens aan derde landen

technische en

organisatorische

maatregelen beveiliging

Sportclub

soorten verwerkingsactiviteiten• Ledenadministratie

lidmaatschap

verzekering

• Sportieve voorbereiding (o.a. trainingen, stages)

indeling in categorieën en groepen

uitwisseling tussen leden

trainers

inschrijven stages

• Deelnemen aan competities en tornooien

aansluiting federatie

deelname aan competitie

doorgeven competitieresultaten

deelname tornooien

organisatie recreatief sportevenement

• Organiseren van niet-sportgerelateerde clubevenementen

verwerking gegevens deelname

communicatie met deelnemers

• Promotie, PR en communicatie

Beheer sociale media (o.a. foto’s plaatsen)

Beheren clubwebsite

Register ledenadministratieVerwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewaringstermijn Rechtsgrond Beveiligingsmaatregelen

Waarom worden de gegevens verwerkt?

Van wie zijn de gegevens?

Welk type gegevens zijn het?

Aan wie worden de gegevens verstrekt?

Hoelang worden de gegevens bewaard?

Wat is de wettelijke grondslag voor de verwerking?

Hoe worden de gegevens beveiligd?

clubadministratie: verwerking gegevens i.f.v. lidmaatschap

leden persoonlijke gegevens: naam, adres, telefoonnummer, leeftijd, geboortedatum, geboorteplaats, geslacht

niemand 10 jaar contractuele grond

organisatorische maatregel: enkel bestuurleden met autorisatie kunnen aan de gegevens

persoonlijke gegevens: e-mailadres



persoonlijke gegevens: nationaliteit



persoonlijke gegevens: rijksregisternummer



persoonlijke gegevens: lidnummer



clubadministratie: verwerking gegevens i.f.v. verzekering

leden persoonlijke gegevens: naam, adres, telefoonnummer, leeftijd, geboortedatum, geboorteplaats, geslacht

verzekeraar 1 jaar contractuele grond

organisatorische maatregel: enkel de secretaris kan aan de gegevens

Register sportieve voorbereidingVerwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewarings-

termijnRechtsgrond Beveiligings-

maatregelenWaarom worden de gegevens verwerkt?


Welk type gegevens zijn het? Aan wie worden de gegevens verstrekt?




clubadministratie: onderlinge uitwisseling van ledengegevens

leden persoonlijke gegevens: naam, adres, telefoonnummer

niemand 2 jaar gerechtvaardigd belang

standaard-maatregelen

persoonlijke gegevens: e-mailadres niemand 2 jaar gerechtvaardigd belang


competitiegegevens federatie: aansluitingsnummer, klassement



clubadministratie: leden indelen in categoriën en groepen

leden persoonlijke gegevens: naam, adres niemand 1 jaar gerechtvaardigd belang





clubadministratie: uitwisseling van gegevens van trainers

trainers (intern)

persoonlijke gegevens: naam, adres federatie 1 jaar gerechtvaardigd belang



federatie 1 jaar gerechtvaardigd belang


sportieve administratie: inschrijven stages (zonder overnachting)

deelnemers (leden)

persoonlijke gegevens: naam, adres, telefoonnummer

niemand tot na activiteit

contractuele grond


persoonlijke gegevens: e-mailadres niemand tot na activiteit

contractuele grond




contractuele grond


gegevens van derden: naam, telefoonnummer, e-mailadres van de ouders


contractuele grond


sportieve administratie: inschrijven stages (met overnachting)

deelnemers (leden)

persoonlijke gegevens: naam, adres, telefoonnummer


contractuele grond


persoonlijke gegevens: e-mailadres niemand tot na activiteit

contractuele grond


persoonlijke gegevens: naam, adres, telefoonnummer, leeftijd, geboortedatum

partner-organisatie

tot na activiteit

contractuele grond




contractuele grond


gegevens van derden: naam, telefoonnummer, e-mailadres van de ouders


contractuele grond


Register deelname competities & tornooienVerwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewarings-


maatregelenWaarom worden de gegevens verwerkt?






sportieve administratie: aansluiting federatie

deelnemers (leden)

persoonlijke gegevens: naam, adres, telefoonnummer, leeftijd, geboortedatum, geboorteplaats, geslacht, e-mailadres



persoonlijke gegevens: nationaliteit en rijksregisternummer


Standaard-maatregelen

sportieve administratie: deelname aan competitie federatie

deelnemers (leden)

persoonlijke gegevens: naam federatie 10 jaar gerechtvaardigd belang





sportieve administratie: doorgeven competitieresultaten federatie

deelnemers (leden)






competitiegegevens federatie: wedstrijdgegevens en -resultaten



sportieve administratie: deelname aan tornooien federatie

deelnemers (leden)






sportieve administratie: doorgeven tornooiresultaten federatie

deelnemers (leden)






competitiegegevens federatie: wedstrijdgegevens en -resultaten



sportieve administratie: organisatie recreatief sportevenement

deelnemers (leden)

persoonlijke gegevens: naam, telefoonnummer, e-mailadres

niemand 1 jaar contractuele grond standaard-maatregelen



deelnemers (niet-leden)

persoonlijke gegevens: naam, adres, telefoonnummer, e-mailadres




Register niet-sportgerelateerde evenementenVerwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewarings-


maatregelenSoort evenement







Extra informatie over het evenement

administratie deelnemers: verwerking gegevens i.f.v. deelname

deelnemers (leden)




Eetfestijn

gevoelige gegevens: gegevens mbtlichamelijke/psychische gezondheid (medische fiches): medisch dossier, medisch verslag, diagnose-informatie, behandeling, dieet, allergieën, handicap







gevoelige gegevens: gegevens mbtlichamelijke/psychische gezondheid (medische fiches): medisch dossier, medisch verslag, diagnose-informatie, behandeling, dieet, allergieën, handicap



communicatie met deelnemers aan organisaties

deelnemers (leden)








administratie deelnemers: verwerking gegevens i.f.v. deelname

deelnemers (leden)




Quiz





Register promotie, PR en communicatieVerwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewarings-

termijnRechtsgrond Beveiligings-maatregelen







beheren social media -sfeerfoto's

leden beeldmateriaal: (digitale) foto's, filmpjes

publiek (publicatie internet/facebook)

10 jaar gerechtvaardigd belang

technische maatregelen : privacyinstellingen

ouders van leden beeldmateriaal: (digitale) foto's, filmpjes

publiek (publicatie internet/facebook)



deelnemers (leden) beeldmateriaal: (digitale) foto's, filmpjes

bliek (publicatie internet/facebook)




beeldmateriaal: (digitale) foto's, filmpjes




bestuurders beeldmateriaal: (digitale) foto's, filmpjes




contacten bij andere clubs





contacten bij de (lokale) overheden





beheren social media -gerichte foto's

leden beeldmateriaal: (digitale) foto's, filmpjes


10 jaar toestemming technische maatregelen : privacyinstellingen

ouders van leden beeldmateriaal: (digitale) foto's, filmpjes



deelnemers (leden) beeldmateriaal: (digitale) foto's, filmpjes







bestuurders beeldmateriaal: (digitale) foto's, filmpjes



contacten bij andere clubs




contacten bij de (lokale) overheden




beheren clubwebsite bestuurders persoonlijke gegevens: naam, e-mailadres


tot einde mandaat

gerechtvaardigd belang

organisatorische maatregel: enkel eigen site

persoonlijke gegevens: telefoonnummer


tot einde mandaat

toestemming organisatorische maatregel: enkel eigen site

stap 5: duidelijk informeren:

de privacyverklaring

De betrokkenen (leden, werknemers, doelgroep,

deelnemers, je vrijwilligers…) moeten duidelijk

geïnformeerd worden over wat er met hun gegevens

gebeurt.

Dat moet proactief gebeuren. De verantwoordelijke mag

dus niet wachten met het geven van de informatie totdat

een betrokkene ernaar vraagt.

Je organisatie moet altijd duidelijk informeren over de

rechten van de betrokkenen en hoe die kunnen

uitgeoefend worden.

Dit moet beknopt, in een duidelijke eenvoudige taal en in

een gemakkelijk toegankelijke vorm. De meest

aangewezen manier is de privacyverklaring op de

website van de vereniging te plaatsen en in

toetredingsdocumenten of inschrijvingsformulieren

hiernaar te verwijzen.

Opgelet: Het is een verklaring, een mededeling van de

organisatie naar het lid/deelnemer. De betrokkene moet

de verklaring niet goedkeuren.

voorbeeld beknopte versie sportclub

Privacy-verklaring

Uw persoonsgegevens worden verwerkt door (Sportclub Gemeente,

naamstraat 20 te 9000 Gemeente, [email protected]), voor

ledenbeheer en organisatie van activiteiten op basis van de contractuele

relatie als gevolg van uw inschrijving en voor direct marketing (om u op

de hoogte te houden van onze activiteiten) op basis van ons

gerechtvaardigd belang om sport aan te bieden.

Indien u niet wil dat wij uw gegevens verwerken met het oog op direct

marketing, volstaat het ons dat mee te delen op ([email protected]). Via

dat adres kan u ook altijd vragen welke gegevens wij over u verwerken en

ze verbeteren of laten wissen, of ze vragen over te dragen. Een meer

uitgebreid overzicht van ons beleid op het vlak van verwerking van

persoonsgegevens vindt u op (https://www.sportclubgemeente.be).

mailto:[email protected]

https://www.sportclubgemeente.be

voorbeeld beknopte versie sportclub

Privacy-verklaring

Uw persoonsgegevens worden verwerkt door (Sportclub Gemeente, naamstraat 20 te

9000 Gemeente, [email protected]), voor ledenbeheer en organisatie van activiteiten

op basis van de contractuele relatie als gevolg van uw inschrijving en voor direct

marketing (om u op de hoogte te houden van onze activiteiten) op basis van ons

gerechtvaardigd belang om sport aan te bieden.

Indien u niet wil dat wij uw gegevens verwerken met het oog op direct marketing, volstaat

het ons dat mee te delen op ([email protected]). Via dat adres kan u ook altijd vragen

welke gegevens wij over u verwerken en ze verbeteren of laten wissen, of ze vragen over

te dragen. Een meer uitgebreid overzicht van ons beleid op het vlak van verwerking van

persoonsgegevens vindt u op (https://www.sportclubgemeente.be).

gegevens organisatie doelstelling

wettelijke grond voor verwerking

contact inzage en verwijderen

mailto:[email protected]

https://www.sportclubgemeente.be

Voorbeeld uitgebreide versie (1/4)

Contact

Als [NAAM SPORTCLUB] zijn wij verantwoordelijk voor de verwerking van je persoonsgegevens. Indien je na het

doornemen van onze privacyverklaring, of in algemenere zin, vragen heeft hierover of contact met ons wenst op te

nemen kan dit via onderstaande contactgegevens:

[NAAM SPORTCLUB]

Zetel:

Emailadres:

Telefoon:

Waarom verwerken wij persoonsgegevens

Je persoonsgegevens worden door [NAAM SPORTCLUB] verwerkt ten behoeve van de volgende doeleinden en

rechtsgronden:

• Om te kunnen deelnemen aan de activiteiten van [NAAM SPORTCLUB] (uitvoering overeenkomst)

• Het versturen van nieuwsbrieven en uitnodigingen. (gerechtvaardigd belang)

• Het bekomen van subsidiëring door de overheid (wettelijke verplichting)

Wij kunnen de volgende persoonsgegevens van je vragen, opslaan, verzamelen en verwerken voor de volgende

doelstellingen :

• Identificatiegegevens : naam, voornaam, adres, telefoonnummer, e-mail

• Identiteitsgegevens uitgegeven door overheid : identiteitskaartnummer

• Rijksregisternummer

• Persoonlijke kenmerken : geslacht, geboortedatum, geboorteplaats, nationaliteit

We gebruiken de verzamelde gegevens alleen voor de doeleinden waarvoor we de gegevens hebben verkregen.


Verstrekking aan derden

De gegevens die je aan ons geeft kunnen wij aan derde partijen verstrekken indien dit noodzakelijk is voor uitvoering

van de hierboven beschreven doeleinden.

Zo maken wij gebruik van een derde partij voor:

• het verzorgen van de internet omgeving (webhosting);

• het verzorgen van IT-infrastructuur (o.a. IT netwerk, …);

• het verzorgen (en verspreiden) van nieuwsbrieven en uitnodigingen.

Wij geven nooit persoonsgegevens door aan verwerkers (andere partijen) dan diegene waarmee we een

verwerkersovereenkomst hebben afgesloten. Met deze partijen (verwerkers) maken wij hierin uiteraard de nodige

afspraken om de beveiliging van je persoonsgegevens te waarborgen.

Verder zullen wij de verstrekte gegevens niet aan derden doorgeven tenzij dit wettelijk verplicht en/of toegestaan is,

zoals bv. in het kader van een politioneel of gerechtelijk onderzoek.

Tevens kunnen wij persoonsgegevens delen met derden indien je ons hier toestemming voor geeft. Deze toestemming

kan ten allen tijde ingetrokken worden, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking voor de

intrekking daarvan. Wij verstrekken geen persoonsgegevens aan partijen die gevestigd zijn buiten de EU.

Minderjarigen

Wij verwerken alleen persoonsgegevens van personen jonger dan 18 jaar indien daarvoor schriftelijke toestemming is

gegeven door de ouder of wettelijke vertegenwoordiger.

Bewaartermijn

[NAAM SPORTCLUB] bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn

verstrekt dan wel op grond van de wet is vereist. [NAAM SPORTCLUB] verbindt zich ertoe de gegevens niet langer bij

te houden dan …


Beveiliging van de gegevens

Volgende passende technische en organisatorische maatregelen zijn genomen om persoonsgegevens te beschermen

tegen onrechtmatige verwerking:

• Alle personen die namens [NAAM SPORTCLUB] van je gegevens kennis kunnen nemen, zijn gehouden aan

geheimhouding daarvan.

• We hanteren een gebruikersnaam en wachtwoordbeleid op al onze systemen;

• We pseudonimiseren en zorgen voor de encryptie van persoonsgegevens als daar aanleiding toe is;

• Wij maken back-ups van de persoonsgegevens om deze te kunnen herstellen bij fysieke of technische incidenten;

• We testen en evalueren regelmatig onze maatregelen;

• Onze medewerkers zijn geïnformeerd over het belang van de bescherming van persoonsgegevens.

Je rechten omtrent je gegevens

Je hebt recht op inzage, kopie, aanpassing of het wissen van de persoonsgegevens die wij ontvangen hebben. Via het

hoger vermeld adres kun je hier ons hiervoor contacteren.

Tevens kunt je bezwaar indienen tegen de verwerking van je persoonsgegevens (of een deel hiervan) door ons of door

één van onze verwerkers.

Ook heb je het recht om de verstrekte gegevens door ons te laten overdragen aan jezelf of in jouw opdracht direct aan

een andere partij. Wij kunnen je vragen om je te legitimeren voordat wij gehoor kunnen geven aan voornoemde

verzoeken.


Klachten

Mocht u een klacht hebben over de verwerking van uw persoonsgegevens dan vragen wij u hierover direct contact met

ons op te nemen.

U heeft altijd het recht een klacht in te dienen bij de Privacy Commissie, dit is de toezichthoudende autoriteit op het

gebied van privacy bescherming.

Wijziging privacy statement

[NAAM SPORTCLUB] kan de privacyverklaring steeds wijzigen. De laatste wijziging gebeurde op…

stap 6: procedures rechten betrokkenen

De voornaamste rechten van de betrokkenen voor lokale organisaties:

• recht op inzage en kopie

De persoon van wie je gegevens bijhoudt, heeft het recht om bepaalde gegevens

in te zien een gratis kopie van de verwerkte persoonsgegevens binnen de maand

(verlengbaar met 2 maanden).

• recht op aanpassing (rectification)

De persoon van wie je gegevens bijhoudt heeft het recht om onjuiste of

onvolledige persoonsgegevens te verbeteren

• recht op vergetelheid (verwijderen van gegevens)

In een aantal specifieke gevallen kan de persoon van wie je gegevens bijhoudt,

vragen om ‘vergeten te worden’ en te worden verwijderd uit uw database.

Je kan de vraag tot verwijdering ook weigeren in een aantal gevallen

• recht op intrekken toestemming

Waarborg dat de gegevens waarvoor

een partij verantwoordelijk is, door

een andere partij correct verwerkt

worden.

stap 7: contracten

verwerkingsverantwoordelijke –

verwerker

Relatie met verwerker wordt geregeld door een geschreven contract, met daarin…

• onderwerp en duur van de verwerking

• de aard en het doel van de verwerking

• het soort persoonsgegevens en de categorieën van betrokkenen

• omschrijving van de rechten en verplichtingen van de verwerkingsverantwoordelijke

… en met volgende bepalingen:

• persoonsgegevens worden uitsluitend verwerkt op basis van schriftelijke instructies

van de verwerkingsverantwoordelijke (o.a. doorgifte aan een derde land)

• vertrouwelijkheid wordt gewaarborgd

• beveiligingsmaatregelen

• meedelen van onderaannemers van de verwerker

• helpen bij uitoefening van rechten door betrokkenen

• meedelen van inbreuken

• vernietigen van gegevens einde contract

• documentatie

Meldplicht voor datalekken die de betrokkene(n) schade kunnen

berokkenen (bv. financieel verlies, schending geheimhoudingsplicht,

identiteitsdiefstal…).

Elk incident dat impact kan hebben op de veiligheid van je gegevens

(zoals diefstal van een laptop of verlies van een USB-stick) en enige

vorm van schade kan veroorzaken aan de betrokkenen(n), moet

binnen 72 uur gemeld worden aan de privacycommissie.

Bij een hoog risico voor zijn rechten en vrijheden moet dit ook aan

de betrokkene zelf gemeld worden zodat deze de nodige

voorzorgsmaatregelen kan nemen.

stap 8: datalek

• procedure

• duidelijke verantwoordelijke / aanspreekpunt

• informeer alle verwerkers

• datalek-document

• Bijkomende informatie op website privacycommissie.be

IV Vervolgstappen

Vervolgstappen voor je sportclub

• Alle bestaande activiteiten en verwerkingen toetsen aan de GDPR

• Register gegevensverwerkingen aanvullen, vervolledigen en bewaren

(documentatie)

• Privacyverklaring uitwerken, aanpassen en op website plaatsen (of op

papier beschikbaar houden)

• Overeenkomsten sluiten met de verwerkers

• Beveiliging van gebruikte IT (cloud, netwerk, bestanden…) nakijken en

eventueel aanvullen

Vragen en antwoorden

De nieuwe privacywet (GDPR) op maat van je sportclub · Verschillende rollen en...

Documents

Transcript of De nieuwe privacywet (GDPR) op maat van je sportclub · Verschillende rollen en...