GDPR relaties met derden

Privacy
Sportclubs
Sportfederaties

Vaak blijven persoonsgegevens niet binnen één organisatie, maar worden de gegevens aan andere organisaties (derden) doorgegeven. Indien dit het geval is, moet dit in de privacyverklaring opgenomen worden. Afhankelijk van het type derde (derde-verwerker of derde-ontvanger), moet je met volgende zaken rekening houden.

Ook de doorgifte van gegevens tussen sportclub en sportfederatie valt hierbij te analyseren.

Derde-verwerker

In het geval dat je organisatie persoonsgegevens doorgeeft aan derden die deze verder verwerken volgens jouw instructies, spreek je over een “derde-verwerker.” Verwerken moet ruim geïnterpreteerd worden: in geval van louter stockeren van persoonsgegevens in opdracht van een organisatie is er al sprake van verwerken. Een voorbeeld van een verwerker is een ICT partner of cloud-provider.

Wanneer een verwerker dus op jouw instructie persoonsgegevens verwerkt, dan moet je een verwerkingsovereenkomst afsluiten:

Er zijn verschillende mogelijkheden om zo’n overeenkomst vorm te geven.

  1. Bij contracten met ondernemingen kunnen afspraken rond privacy opgenomen worden in de algemene verkoops- of gebruiksvoorwaarden. Van de meeste grote ondernemingen mag je verwachten dat ze zelf initiatief nemen om hun voorwaarden aan te passen en hun klanten te contacteren om de aangepaste voorwaarden te aanvaarden (actief akkoord is vereist).
  2. In eventuele overblijvende gevallen (geen initiatief van de leverancier in aanpassing van de voorwaarden) kan ons model verwerkersovereenkomst gebruikt worden.

Derde-ontvanger

In het geval dat je gegevens doorgeeft aan een derde die ze niet verder op jouw instructie verwerkt, dan spreek je over een “derde-ontvanger”. Op dat moment moet je als organisatie bewijs kunnen leveren dat je weet dat deze derde op een veilige manier zal omgaan met de gegevens. Hiervoor kan je onderstaand kort voorbeeldmailtje gebruiken. Een voorbeeld van een ontvanger: Sport Vlaanderen.

Lijst

Om de relaties met derden goed op te volgen, wordt best een lijst van derden (verwerkers en ontvangers) opgemaakt (zie ook stap 2 inventaris) waarin wordt bijgehouden of de organisatie in kwestie de nodige GDPR-stappen onderneemt en op welke manier de onderlinge afspraken geregeld zijn (contract, voorwaarden etc).

Het arrest "Schrems II" heeft directe en verregaande gevolgen als gegevens naar buiten de EU worden doorgegeven. Is het doorgeven van persoonsgegevens naar de VS (of andere derde landen) nog wel mogelijk?

Door het arrest wordt het moeilijker om met zekerheid te zeggen dat alles in orde voor je organisatie. Je kan met behulp van onze tool hieronder een risico-inschatting maken of deze doorgifte mogelijk is/blijft. Dit noemen we een DTIA (Data Transfer Impact Assessment). 

Lees meer over de gevolgen ervan

Enkele landen zijn echter door Europa erkend als veilige landen (adequaatheidsbesluit), omdat hun reglementering minstens even streng is als deze in de GDPR wetgeving. 

Bekijk de lijst van landen met een adequaatheidsbesluit

Bij het doorgeven van gegevens moet je ervoor zorgen dat dit veilig verloopt. Zorg voor een versleutelde manier van doorgifte.

GDPR Transfer

Dit is stap 7 van het GDPR stappenplan.

Doorloop alle stappen in volgorde:

  1. Bewustmaking
  2. Opmaak inventaris
  3. Toetsing aan de GDPR-regels
  4. Register van gegevensverwerkingen
  5. Privacyverklaring
  6. Antwoorden op vragen van betrokkenen
  7. Relaties met derden
  8. Aanpak gegevenslek
  9. Evaluatie verplichting DPO

Praktisch

  • Twijfel je hoe jouw relatie club-federatie zich verhoudt (wie is eigenaar, wie verwerker, etc)? Neem een kijkje in onze analyse met voorbeeldscenario’s.
    Specifiek voor de relatie tussen een federatie en zijn leden/clubs kunnen afspraken rond het gebruik van persoonsgegevens ook opgenomen worden in interne reglementen (huishoudelijk reglement, toetredingsformulier, etc). Het heeft weinig toegevoegde waarde om met elke club afzonderlijk een contract te gaan beheren, maar er moeten wel duidelijke afspraken zijn. Neem dus best een passage op in een intern reglement waarin de relatie tussen beide organisaties en hun wederzijdse rechten en plichten rond privacy worden beschreven.
    Federaties en hun nationale en internationale koepel kunnen het ook op deze manier vormgeven.
    Deze aanpassing in de interne reglementen hoeft niet actief goedgekeurd te worden door de leden, gezien het statutair bepaald is dat de leden de interne reglementen dienen na te leven. Wel moet er duidelijk over gecommuniceerd te worden zodat iedereen op de hoogte is van de aanpassingen.
  • Voor de verwerkers die zelf geen initiatief nemen om een overeenkomst (onder de vorm van aangepaste voorwaarden of een contract) op te maken, raden we de sportorganisatie aan om zelf contact op te nemen op basis van het voorbeeldmailtje hieronder en om vervolgens
    • De instructies of stappen die de onderneming voorstelt te volgen
    • Of zelf een modelovereenkomst voor te stellen indien dit niet voldoende lijkt

Tools

Gebruik de bijlage voor het uitvoeren van deze stap.

Document niet zichtbaar

Dit document is enkel te downloaden door personen die ingelogd zijn als ambtenaar, student, sportclubbestuurder of medewerker van een federatie die lid is van de Vlaamse Sportfederatie. Of koop een jaarlicentie aan en krijg toegang tot alle documenten en online brochures.

Aanmelden › Registreren ›

Ook interessant

Stappenplan GDPR

Privacy
Doorloop de verschillende stappen om de werking van je sportorganisatie in kaart te brengen en de documentatie ...
Verder lezen ›

Aanpak van een gegevenslek

Privacy
Er is iets fout gelopen met de persoonsgegevens in de sportorganisatie. Wat nu?
Verder lezen ›

Evaluatie verplichting DPO

Privacy
Wanneer ben je verplicht een DPO aan te stellen voor jou organisatie?
Verder lezen ›
Terug naar de kennisbank

Zuiderlaan 13
9000 Gent
09 396 80 60
info@vlaamsesportfederatie.be

© Vlaamse Sportfederatie, 2024

Gebouwd door KobaCanada en Statik.