Toetsing aan de GDPR-regels

Privacy

Sportclubs

Sportfederaties

Wanneer je zicht hebt op de gegevensverwerking in je organisatie (stap 2 van het GDPR-stappenplan), kan je nagaan hoe ver je staat met de bescherming van de privacy van je leden en deelnemers. Daarbij is het belangrijk om rekening te houden met het legaliteitsprincipe. We zetten de aandachtspunten op een rij!

Zorg ervoor dat je:

iedereen duidelijk informeert (bv. via een privacyverklaring)
een wettelijke grond hebt om gegevens te verwerken.
enkel de nodige gegevens opvraagt en ze niet langer bijhoudt dan nodig
de gegevens voldoende beveiligt
iedere betrokken persoon de mogelijkheid geeft om hun rechten uit te oefenen, onder andere om eigen gegevens in te kijken, te corrigeren, te laten verwijderen, enz.

Gebruik de tool 'toetsing aan GDPR' (onderaan deze pagina bij downloads) om na te gaan hoe ver je staat met de bescherming van de privacy van je leden en deelnemers. Ter info: de wetgeving verplicht je niet om met deze tool aan de slag te gaan.

Zes rechtsgronden

Er zijn in de GDPR-verordening zes wettelijke gronden opgenomen om gegevens te verwerken. We leggen ze je uit:

1. Contractuele grond: de verwerking is noodzakelijk voor de uitvoering van een overeenkomst (bv. een vrijwilligersovereenkomst, een lidmaatschapsovereenkomst, deelname-overeenkomst).

2. Gerechtvaardigd belang: de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde. Zoniet is de activiteit niet uitvoerbaar. Er moet wel een afweging gemaakt worden of het gerechtvaardigd belang zwaarder doorweegt dan de rechten of vrijheden die betrokkenen moeten inleveren (bv. het aanbieden en organiseren van sport).

Dit is stap 3 van het GDPR-stappenplan. Doorloop alle stappen om de werking van je organisatie in kaart te brengen!

3. Wettelijke verplichting: de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting (bv. subsidiewetgeving, sociale wetgeving, fiscale wetgeving)

4. Toestemming: je hebt ondubbelzinnige en expliciete toestemming gekregen van de persoon. Je hebt die toestemming dus door een actie van de betrokken persoon gekregen. De gegeven toestemming moet steeds controleerbaar zijn!

5. Vitaal belang*: de verwerking is noodzakelijk om de vitale belangen van de betrokkene of andere natuurlijke personen te beschermen (bv. omwille van een dringende medische reden).

6. Algemeen belang*: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (bv. de politie).

* De laatste 2 rechtsgronden zijn normaal niet van toepassing voor een sportorganisatie.

Risico's in kaart brengen

Eén van de basisconcepten in de GDPR-regelgeving is het afwegen van risico’s t.o.v. het doel van de verwerking. In de wet is er daarom een verplichte risicioanalyse (DPIA of in het Nederlands GEB of voluit 'gegevensbeschermingseffectbeoordeling') ingevoerd voor een aantal aspecten. Die geldt zowel voor bestaande als voor nieuwe verwerkingen.

Het is niet altijd even eenvoudig na te gaan hoe groot een risico is. Het opstellen van een DPIA voor elke verwerking is niet haalbaar. Daarom kan een Pre-DPIA helpen om makkelijk de grootste risico’s in kaart te brengen. Je kan hiervoor onze tool gebruiken.

Moet je effectief een DPIA uitvoeren, dan kan je kiezen uit verschillende modellen:

een template (in het Engels) van het d.pia.lab bij de VUB
een afgeleide (Nederlandstalige) template van de Vlaamse Toezichtscommissie
een tool ontwikkeld door het Franse CNIL

Downloads

Document niet zichtbaar

Dit document is enkel te downloaden door personen die ingelogd zijn als ambtenaar, student, sportclubbestuurder of medewerker van een federatie die lid is van de Vlaamse Sportfederatie. Of koop een jaarlicentie aan en krijg toegang tot alle documenten en online brochures.

Aanmelden › Registreren ›