GDPR relaties met derden

Privacy
Sportclubs
Sportfederaties

Vaak blijven persoonsgegevens niet binnen één organisatie, maar worden ze aan derden (andere organisaties) doorgegeven. Is dat het geval, dan moet je dat in de privacyverklaring opnemen. Afhankelijk van het type derde (derde-verwerker of derde-ontvanger), moet je met bepaalde zaken rekening houden. Ook het doorgeven van gegevens tussen sportclub en sportfederatie valt hieronder!

Derde-verwerker

Geeft je organisatie persoonsgegevens door aan derden, én worden die gegevens verder verwerkt volgens jouw instructies? Dan spreek je over een 'derde-verwerker'. Verwerken moet je dan ruim interpreteren: ook enkel stockeren van persoonsgegevens in opdracht van een organisatie is 'verwerken'. Een voorbeeld van zo'n verwerker is een ICT-partner of cloudprovider.

Wanneer een verwerker dus op jouw instructie persoonsgegevens verwerkt, dan moet je een verwerkingsovereenkomst afsluiten.

Er zijn verschillende mogelijkheden:

  • Bij contracten met ondernemingen kan je afspraken rond privacy opnemen in de algemene verkoops- of gebruiksvoorwaarden. Van de meeste grote ondernemingen mag je verwachten dat ze zelf initiatief nemen om hun voorwaarden aan te passen en hun klanten te contacteren om de aangepaste voorwaarden te aanvaarden (actief akkoord is vereist).
  • In andere gevallen (geen initiatief van de leverancier in aanpassing van de voorwaarden) kan je ons model verwerkingsovereenkomst (onderaan deze pagina bij downloads) gebruiken.

Derde-ontvanger

Geeft je organisatie persoonsgegevens door aan derden, én worden die gegevens niet verder verwerkt volgens jouw instructies? Dan spreek je over een 'derde-ontvanger'. Op dat moment moet je als organisatie bewijs kunnen leveren dat je weet dat deze derde op een veilige manier zal omgaan met de gegevens. Een voorbeeld van een ontvanger: Sport Vlaanderen.

Afbeelding
waterpolo

Om de relaties met derden goed op te volgen, maak je best een lijst op van derden: verwerkers en ontvangers (zie ook stap 2 inventaris). Daarin hou je bij:

  • of de organisatie in kwestie de nodige GDPR-stappen onderneemt 
  • op welke manier de onderlinge afspraken geregeld zijn (contract, voorwaarden enz)

Praktisch

Twijfel je over jouw relatie club-federatie (wie is eigenaar, wie is verwerker, enz.)? Neem een kijkje in onze analyse met voorbeeldscenario’s (onderaan deze pagina bij downloads).

  • Specifiek voor de relatie tussen een sportfederatie en haar leden/clubs kunnen afspraken rond het gebruik van persoonsgegevens ook opgenomen worden in interne reglementen (huishoudelijk reglement, toetredingsformulier, enz). Het heeft weinig toegevoegde waarde om met elke club afzonderlijk een contract te gaan beheren, maar er moeten wel duidelijke afspraken zijn. Neem dus best een passage op in een intern reglement waarin je de relatie tussen beide organisaties en hun wederzijdse rechten en plichten rond privacy beschrijft.
     
  • Federaties en hun nationale en internationale koepel kunnen het ook op die manier vormgeven. Deze aanpassing in de interne reglementen hoeft niet actief goedgekeurd te worden door de leden, gezien het statutair bepaald is dat de leden de interne reglementen moeten naleven. Wel moet er duidelijk over gecommuniceerd worden, zodat iedereen op de hoogte is van de aanpassingen.

Voor de verwerkers die zelf geen initiatief nemen om een overeenkomst (onder de vorm van aangepaste voorwaarden of een contract) op te maken, raden we aan om zelf contact op te nemen op basis van het voorbeeldmailtje hieronder. En om vervolgens:

  • de instructies of stappen die de onderneming voorstelt te volgen
  • of zelf een modelovereenkomst voor te stellen, indien ze niet voldoende lijken

Arrest Schrems II

Het Schrems II-arrest heeft directe en verregaande gevolgen wanneer gegevens buiten de EU worden doorgegeven. Is het doorgeven van persoonsgegevens naar de VS (of andere derde landen) nog wel mogelijk?

Door het arrest wordt het moeilijker om met zekerheid te zeggen dat alles in orde is voor je organisatie. Je kan met behulp van de tool (onderaan deze pagina bij downloads) een risico-inschatting maken of de doorgifte mogelijk is en blijft. Dit noemen we een DTIA (Data Transfer Impact Assessment). Lees meer over de gevolgen ervan.

Enkele landen zijn echter door Europa erkend als veilige landen (adequaatheidsbesluit), omdat hun reglementering minstens even streng is als die in de GDPR-wetgeving. Bekijk de lijst van landen met een adequaatheidsbesluit.

Downloads

Document niet zichtbaar

Dit document is enkel te downloaden door personen die ingelogd zijn als ambtenaar, student, sportclubbestuurder of medewerker van een federatie die lid is van de Vlaamse Sportfederatie. Of koop een jaarlicentie aan en krijg toegang tot alle documenten en online brochures.

Ook interessant
Privacy
Doorloop de verschillende stappen om de werking van je sportorganisatie in kaart te brengen en de documentatie ...
Privacy
Er is iets fout gelopen met de persoonsgegevens in je sportorganisatie. Wat nu?
Privacy
Wanneer ben je verplicht een DPO aan te stellen voor jou organisatie?