Toetsing aan de GDPR regels

Privacy
Sportclubs
Sportfederaties

Nadat je de inventaris opgemaakt hebt, kan je nagaan hoever je staat met de bescherming van de privacy van je leden en deelnemers. Hierbij is het belangrijk om rekening te houden met het legaliteitsprincipe. Let er onder meer op dat je:

  • iedereen duidelijk informeert (bv. via een privacyverklaring, zie verder)
  • een wettelijke grond hebt om gegevens te verwerken. Er zijn zes rechtsgronden opgenomen in de GDPR- Verordening:
    1. Contractuele grond: de verwerking is noodzakelijk voor de uitvoering van een overeenkomst (bv. een vrijwilligersovereenkomst, een lidmaatschapsovereenkomst, deelname-overeenkomst,…).
    2. Gerechtvaardigd belang: de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde. Zoniet is de activiteit niet uitvoerbaar. Er moet wel een afweging gemaakt worden, met name of het gerechtvaardigd belang zwaarder doorweegt dan de rechten of vrijheden  die de betrokkenen hiervoor  moeten inleveren (bv. het aanbieden en organiseren van sport).
    3. Wettelijke verplichting: de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting, bvb subsidiewetgeving, sociale wetgeving, fiscale wetgeving,…
    4. Toestemming: je hebt ondubbelzinnige en expliciete toestemming verkregen van de persoon. Je hebt deze toestemming dus door een actie van de betrokken persoon gekregen. De gegeven toestemming moet steeds controleerbaar zijn!
    5. Vitaal belang *: de verwerking is noodzakelijk om de vitale belangen van de betrokkene of andere natuurlijke personen te beschermen (bv. omwille van een dringende medische reden)
    6. Algemeen belang *: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (bv. politie)
      * De laatste 2 rechtsgronden zijn normaal niet van toepassing voor een sportorganisatie.
  • enkel de nodige gegevens opvraagt en deze niet langer bewaart dan nodig bijhoudt
  • de gegevens voldoende beveiligt
  • iedere betrokken persoon de mogelijkheid geeft zijn/haar rechten uit te oefenen, onder andere om hun gegevens in te zien, te corrigeren, te laten verwijderen, enz.

Aan de hand van tooltoetsing aan GDPR kan je nagaan hoever je staat met de bescherming van de privacy van je leden en deelnemers. Net zoals de eerste tool, wordt deze tweede tool niet verplicht vanuit de wetgeving.

Afbeelding
GDPR Risk

Risico's in kaart brengen

Een van de basisconcepten in de GDPR-regelgeving is het afwegen van risico’s ten opzichte van het doel van de verwerking. Daarom werd voor een aantal aspecten een verplichte risicoanalyse (DPIA of in het Nederlands GEB of voluit 'Gegevensbeschermingseffectbeoordeling') ingevoerd in de wet. Dit is geldig zowel voor bestaande als voor nieuwe verwerkingen.

Het is niet altijd even eenvoudig na te gaan hoe groot een risico is. Het opstellen van een DPIA voor elke verwerking is niet haalbaar. Daarom kan een Pre-DPIA helpen om makkelijk de grootste risico’s in kaart te brengen. Je kan hiervoor onze tool gebruiken.

Indien je effectief een DPIA moet uitvoeren kan gekozen worden uit verschillende modellen. In eigen land, werkte het d.pia.lab bij de VUB een template uit (in het Engels), en heeft de Vlaamse Toezichtscommissie een Nederlandstalige template hiervan afgeleidt: Sjabloon VTC voor GEB/DPIADe tool die ontwikkeld werd door het Franse CNIL is ook veel gebruikt (tevens beschikbaar in het Nederlands).

Indien de gegevens buiten de EU zullen verwerkt worden door een aangeduide verwerker of derde, is het mogelijk dat ook een DTIA (Data Transfer Impact Assesment) noodzakelijk is. Kijk voor meer informatie hierrond  naar de stap 'Relaties met derden'.

Tools

Gebruik de bijlage voor het uitvoeren van deze stap.

Document niet zichtbaar

Dit document is enkel te downloaden door personen die ingelogd zijn als ambtenaar, student, sportclubbestuurder of medewerker van een federatie die lid is van de Vlaamse Sportfederatie. Of koop een jaarlicentie aan en krijg toegang tot alle documenten en online brochures.

in dit stappenplan
Privacy
Doorloop de verschillende stappen om de werking van je sportorganisatie in kaart te brengen en de documentatie ...
Privacy
Beschrijf je verwerkingen in het verwerkingsregister. Het vormt voor een groot deel de documentatie van je ...
Privacy
Informeer op een een beknopte en gemakkelijk toegankelijke vorm de betrokkenen over de verwerkingen van ...