GDPR relaties met derden

Privacy

Sportclubs

Sportfederaties

Vaak blijven persoonsgegevens niet binnen één organisatie, maar worden ze aan derden (andere organisaties) doorgegeven. Is dat het geval, dan moet je dat in de privacyverklaring opnemen. Afhankelijk van het type derde (derde-verwerker of derde-ontvanger), moet je met bepaalde zaken rekening houden. Ook het doorgeven van gegevens tussen sportclub en sportfederatie valt hieronder!

Derde-verwerker

Geeft je organisatie persoonsgegevens door aan derden, én worden die gegevens verder verwerkt volgens jouw instructies? Dan spreek je over een 'derde-verwerker'. Verwerken moet je dan ruim interpreteren: ook enkel stockeren van persoonsgegevens in opdracht van een organisatie is 'verwerken'. Een voorbeeld van zo'n verwerker is een ICT-partner of cloudprovider.

Wanneer een verwerker dus op jouw instructie persoonsgegevens verwerkt, dan moet je een verwerkingsovereenkomst afsluiten.

Er zijn verschillende mogelijkheden:

Bij contracten met ondernemingen kan je afspraken rond privacy opnemen in de algemene verkoops- of gebruiksvoorwaarden. Van de meeste grote ondernemingen mag je verwachten dat ze zelf initiatief nemen om hun voorwaarden aan te passen en hun klanten te contacteren om de aangepaste voorwaarden te aanvaarden (actief akkoord is vereist).
In andere gevallen (geen initiatief van de leverancier in aanpassing van de voorwaarden) kan je ons model verwerkingsovereenkomst (onderaan deze pagina bij downloads) gebruiken.

Derde-ontvanger

Geeft je organisatie persoonsgegevens door aan derden, én worden die gegevens niet verder verwerkt volgens jouw instructies? Dan spreek je over een 'derde-ontvanger'. Op dat moment moet je als organisatie bewijs kunnen leveren dat je weet dat deze derde op een veilige manier zal omgaan met de gegevens. Een voorbeeld van een ontvanger: Sport Vlaanderen.

Dit is stap 7 van het GDPR-stappenplan. Doorloop alle stappen om de werking van je organisatie in kaart te brengen!

Om de relaties met derden goed op te volgen, maak je best een lijst op van derden: verwerkers en ontvangers (zie ook stap 2 inventaris). Daarin hou je bij:

of de organisatie in kwestie de nodige GDPR-stappen onderneemt
op welke manier de onderlinge afspraken geregeld zijn (contract, voorwaarden enz)

Praktisch

Twijfel je over jouw relatie club-federatie (wie is eigenaar, wie is verwerker, enz.)? Neem een kijkje in onze analyse met voorbeeldscenario’s (onderaan deze pagina bij downloads).

Specifiek voor de relatie tussen een sportfederatie en haar leden/clubs kunnen afspraken rond het gebruik van persoonsgegevens ook opgenomen worden in interne reglementen (huishoudelijk reglement, toetredingsformulier, enz). Het heeft weinig toegevoegde waarde om met elke club afzonderlijk een contract te gaan beheren, maar er moeten wel duidelijke afspraken zijn. Neem dus best een passage op in een intern reglement waarin je de relatie tussen beide organisaties en hun wederzijdse rechten en plichten rond privacy beschrijft.
Federaties en hun nationale en internationale koepel kunnen het ook op die manier vormgeven. Deze aanpassing in de interne reglementen hoeft niet actief goedgekeurd te worden door de leden, gezien het statutair bepaald is dat de leden de interne reglementen moeten naleven. Wel moet er duidelijk over gecommuniceerd worden, zodat iedereen op de hoogte is van de aanpassingen.

Voor de verwerkers die zelf geen initiatief nemen om een overeenkomst (onder de vorm van aangepaste voorwaarden of een contract) op te maken, raden we aan om zelf contact op te nemen op basis van het voorbeeldmailtje hieronder. En om vervolgens:

de instructies of stappen die de onderneming voorstelt te volgen
of zelf een modelovereenkomst voor te stellen, indien ze niet voldoende lijken

Arrest Schrems II

Het Schrems II-arrest heeft directe en verregaande gevolgen wanneer gegevens buiten de EU worden doorgegeven. Is het doorgeven van persoonsgegevens naar de VS (of andere derde landen) nog wel mogelijk? Lees meer over dit arrest.

Door het arrest werd het moeilijker om met zekerheid te zeggen dat alles in orde is voor je organisatie. Sinds 2023 is het mogelijk terug samen te werken met firma's die voldoen aan de nieuwe set van voorwaarden zoals opgegeven in het EU-VS Data Privacy Framework. Via deze link kan je ook opzoeken of de VS-partner die je gebruikt, of in de toekomst wenst te gebruiken, voldoet aan deze voorwaarden.

Je kan met behulp van de tool (onderaan deze pagina bij downloads) een risico-inschatting maken voor een doorgifte van gegevens. Dit noemen we een DTIA (Data Transfer Impact Assessment).

Een aantal andere landen zijn door Europa erkend als veilige landen (adequaatheidsbesluit), omdat hun reglementering minstens even streng is als die in de GDPR-wetgeving. Bekijk de lijst van landen met een adequaatheidsbesluit. Met deze landen kan je op GDPR vlak met een gerust hart samenwerken. Vergeet echter niet aan te duiden in je verwerkingsregister en privacy notice dat je met deze landen samenwerkt.

Downloads

Document niet zichtbaar

Dit document is enkel te downloaden door personen die ingelogd zijn als ambtenaar, student, sportclubbestuurder of medewerker van een federatie die lid is van de Vlaamse Sportfederatie. Of koop een jaarlicentie aan en krijg toegang tot alle documenten en online brochures.

Aanmelden › Registreren ›