Nieuwe privacywet geldt ook voor Asser Boys

Zoals jullie waarschijnlijk al hebben ervaren, is met ingang van 25 mei 2018 een nieuwe privacy wet in werking getreden. Ook Asser Boys dient te voldoen aan deze wet. Het bestuur heeft gekeken hoe Asser Boys voldoet aan de wet en waar er eventueel extra maatregelen nodig zijn. 

In dit artikel wordt beschreven wat de privacy wet (AVG) betekent voor Asser Boys. 

Wat is de AVG?
De AVG staat voor Algemene Verordening Gegevensbescherming. De AVG vervangt de huidige Wet Bescherming Persoonsgegevens (WBP).
De AVG zorgt onder meer voor:
• Het versterken en uitbreiden van privacy-rechten;
• Meer verplichtingen en verantwoordelijkheden voor organisaties en verenigingen zoals Asser Boys;
• De bevoegdheden voor alle Europese privacy toezichthouders, die met ingang van 25 mei a.s. de bevoegdheid om (o.a.) stevige boetes op te leggen.

Wat gaat er veranderen?
In de huidige wetgeving (de Wet Bescherming Persoonsgegevens) zijn al veel regels van toepassing die ook in de AVG zijn opgenomen, zoals bijvoorbeeld het zorgvuldig omgaan met persoonsgegevens en rechten van burgers als inzagerecht. De AVG heeft vooral voor de rechten van burgers extra verplichtingen opgelegd aan organisaties die persoonsgegevens verwerken. En die verplichtingen gelden daarmee ook voor Asser Boys!

Extra regels en plichten die in de AVG opgenomen zijn:

  • Bewustwording
    Het is belangrijk dat Asser Boys en alle bestuursleden, trainers, leiders en vrijwilligers én fans van Asser Boys - tot op zekere hoogte - weten welke privacyregels belangrijk zijn voor hun rol bij Asser Boys.
  • Rechten van betrokkenen (lees: spelers, ouders / verzorgers, oud-leden, bestuursleden, trainers, leiders, vrijwilligers etc.)
    Burgers krijgen meer rechten, zoals het recht op het opvragen van zijn bewaarde gegevens bij een organisatie om deze vervolgens door te geven aan een andere organisatie. Denk bijvoorbeeld aan het doorgeven van persoons- en adresgegeven van onze leden aan de KNVB.
  • Opstellen van een verwerkingsregister
    Vanaf 25 mei aanstaande is het verplicht om een register bij te houden met verwerkingen van persoonsgegevens.
  • Uitvoeren van Privacy Impact Assessments (PIA)
    Bij het starten van nieuwe (en risicovolle) projecten, zijn we verplicht om voor de start van het project een zogenoemde PIA (Privacy Impact Assessment) uit te voeren, en, als dat nodig is, maatregelen te nemen om de risico’s te verkleinen.
  • Privacy by design / default
    Het is belangrijk om persoonsgegevens goed te beschermen. Privacy by design betekent dat je bij het bedenken van “het hoe, het wat en het waarom” al rekening houdt met de manier waarop persoonsgegevens beschermd gaan worden. Dit betekent ook dat we als Asser Boys heel kritisch moeten nadenken over het gebruik en de interne verspreiding van persoonsgegevens: we moeten alleen gegevens verwerken voor het doel waarvoor ze nodig zijn. Gegevens die niet nodig zijn voor het beoogde doel van de verwerking mogen niet verwerkt of bewaard worden.
  • Aanstellen Data Protection Officer (DPO)
    Organisaties die veel en gevoelige persoonsgegevens verwerken zijn verplicht om een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) aan te stellen. De DPO/FG houdt toezicht en geeft advies op de invulling en de naleving van de AVG. Voor Asser Boys geldt dat we geen DPO hoeven aan te stellen.
  • Grondslag voor verwerking
    Om persoonsgegevens te mogen verwerken en te bewaren is het belangrijk dat een “grondslag” aanwezig is: de gegevens moeten nodig zijn voor een bepaald doel. Voorbeelden van deze “grondslagen” zijn:
    o Noodzakelijk voor de uitvoering van een overeenkomst, bijvoorbeeld een arbeidsovereenkomst met een (jeugd)trainer;
    o Noodzakelijk om te voldoen aan een wettelijke verplichting, bijvoorbeeld de plicht tot loonaangifte;
    o Noodzakelijk voor de gerechtvaardigde belangen van Asser Boys of van een derde, bijvoorbeeld fraude preventie;
    o Toestemming van de betrokkene (spelers, ouders / verzorgers, trainers, leiders of vrijwilligers etc.). De ‘toestemming’ is een speciale grondslag. Want: als deze grondslag wordt gebruikt, mag de betreffende persoon deze toestemming later ook weer intrekken! Dit geldt bijvoorbeeld voor het plaatsen van (team)foto’s en foto’s van wedstrijden op de site van Asser Boys.

Wat betekent deze wet voor Asser Boys?
Het bestuur van Asser Boys is achter de schermen druk bezig om te voldoen aan de nieuwe privacy wetgeving.
Waar staan we nu? We zetten de extra regels en plichten kort op een rij:

  • Bewustwording
    Met deze Nieuwsbrief zorgen we ervoor dat alle spelers, ouders / verzorgers, trainers, leiders, vrijwilligers, oud-leden en fans worden geïnformeerd over de AVG, over de gevolgen van de AVG voor Asser Boys en over de wijze waarop Asser Boys omgaat met deze – deels nieuwe – verplichtingen. Alle trainers, leiders en vrijwilligers worden in een aparte bijeenkomst mondeling bijgepraat.
  • Rechten van betrokkenen (lees: spelers, ouders / verzorgers, trainers, leiders, vrijwilligers etc.)
    Deze rechten worden beschreven in een document dat we in de loop van juli op onze website zullen plaatsen.
  • Opstellen van een verwerkingsregister / grondslag voor verwerking
    We hebben alle verwerkingen van persoonsgegevens binnen Asser Boys in kaart gebracht (de “registers”) en we hebben de grondslag voor die verwerkingen vastgelegd.
  • Uitvoeren van Privacy Impact Assessments (PIA)
    Bij het starten van nieuwe (risicovolle) projecten of verwerkingen zullen we een risicoanalyse gaan opstellen.
  • Privacy by design / default
    We slaan geen gegevens op die we niet nodig zijn, en we zullen gegevens waarvan we weten dat ze volgens de nieuwe privacy wetgeving “over de rand” zijn verwijderen. Dit betekent bijvoorbeeld dat we oude clubbladen waarin adresgegevens en telefoonnummers van nieuwe leden zijn vermeld, verwijderd hebben van onze website.
    Verder zijn we heel kritisch bij de keuze voor softwarepakketten die we binnen Asser Boys gebruiken, en maken we alleen gebruik van pakketten die voldoen aan de AVG, zoals bijvoorbeeld Sportlink van de KNVB.
    Een ander voorbeeld is het aanvullen van het aanmeldformulier voor nieuwe leden, waarin we toestemming gaan vragen voor het plaatsen van de teamfoto en foto’s van wedstrijden op onze website.
  • Aanstellen Data Protection Officer (DPO)
    Het is niet nodig om voor Asser Boys een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) aan te stellen. Eventuele vragen op opmerkingen kunnen worden gericht aan het bestuur van Asser Boys.

 

Zijn we op tijd klaar?
We willen natuurlijk vóór 25 mei 2018 voldoen aan de nieuwe wet en we hebben al veel zaken op orde. Maar we zijn nog niet klaar, en hebben nog het nodige huiswerk.
Als vervolg op het in kaart brengen van de registers en de verwerkingen van persoonsgegevens gaan we met alle trainers, leiders en vrijwilligers die vanuit hun rol te maken hebben met privacy en / of de opslag van gegevens in gesprek om er voor te zorgen dat iedereen weet wat er van hen verwacht wordt op het gebied van de AVG.
Het DB van Asser Boys bewaakt de voortgang van het AVG-project.

Vragen?
Als je meer wilt weten over de AVG of over de gevolgen van de AVG voor Asser Boys en / of voor jezelf of voor jouw team, dan kun je terecht bij het DB van Asser Boys (Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.).

Tot slot
Het is ontzettend belangrijk dat we zorgvuldig blijven omgaan met de persoonsgegevens die aan Asser Boys zijn toevertrouwd, dat kan niet vaak genoeg benadrukt worden. We zijn en blijven samen verantwoordelijk voor het veilig verwerken van alle informatie in de systemen waar we mee werken. Dat betekent dat we er alles aan moeten en zullen doen om te voorkomen dat onbevoegden toegang krijgen tot de gegevens waar wij verantwoordelijk voor zijn. Mocht je iets zien wat je niet vertrouwt, of heb je vraag op tip: laat het ons weten!

Unit4 Multivers

KiKa