De nieuwe privacywet GDPR op maat van je sportclub Infosessie Spreker: Veerle Steyaert

Inhoud I Wat is GDPR en moet ik me in regel stellen? II Wat zijn mijn verplichtingen? III Stappenplan IV Vervolgstappen V Vragen?

I Wat is GDPR en moet ik me in regel stellen?

Wat is GDPR nu precies? GDPR staat voor ‘General Data Protection Regulation’ (in het Nederlands: Algemene Verordening Gegevensbescherming) GDPR is een Europese verordening die regels oplegt rond de bescherming en de verwerking van persoonsgegevens verwerking: van het verzamelen, raadplegen, verspreiden, koppelen en registreren tot het vernietigen van gegevens. persoonsgegevens: gegevens over een identificeerbaar natuurlijke persoon. vvoorbeelden van persoonsgegevens: naam, adres, leeftijd, geslacht, lichamelijke kenmerken, psychische kenmerken, financiële situatie, kenmerken gezin, geaardheid, vrijetijdsbesteding, lidmaatschappen, gerechtelijke gegevens, opleiding, beroep, beeldopname, geluidsopname… betrokken persoon: leden, deelnemers, sympathisanten, cursisten… wiens gegevens je verwerkt

Moet mijn sportclub zich ook in regel stellen met GDPR ? JA GDPR geldt voor alle organisaties, zowel vzw’s als feitelijke verenigingen, die persoonsgegevens verwerken (ledenbestanden, deelnemersbestanden, nieuwsbrieven, mailings, gsm-nummers bijhouden,…). Accountability principe: elke organisatie is verantwoordelijk voor de correcte toepassing elke organisatie moet verantwoorden hoe ze dat doet Wat betekent dit? Je organisatie neemt zelf initiatief en wacht niet tot er zich een probleem stelt. Je organisatie houdt al de stappen die ze neemt goed bij (documentatie). Voornaamste acties voor je sportclub: Documenteren informeren van betrokken personen Beveiligen van gegevens

Verschillende rollen en verantwoordelijkheden verwerkings-verantwoordelijke bepaalt welke gegevens worden verzameld en verwerkt bepaalt doel en middelen gegevensverwerking is verantwoordelijk voor informatie aan betrokken persoon vraagt overeenkomsten aan verwerker verplicht register van verwerkingsactiviteiten verwerker handelt in opdracht van de verwerkingsverantwoordelijke moet zich aan de (schriftelijke) afspraken houden Voorbeelden van verwerker: cloudprovider, ticketadministratie, … Verplicht register van verwerkingsactiviteiten derde ontvangt gegevens van de verwerkingsverantwoordelijke Ontvanger kan gegevens verwerken volgens eigen bepalingen (en niet volgens jouw instructies) Ontvanger moet meedelen aan betrokken persoon dat hij gegevens heeft ontvangen (tenzij de verantwoordelijke dit heeft ontvangen) betrokkene persoon wiens gegevens je verwerkt

proportionaliteit - legaliteit - transparantie rechten van betrokkenen Basisbeginselen verwerking persoonsgegevens proportionaliteit - legaliteit - transparantie beveiliging rechten van betrokkenen • Op een rechtmatige, behoorlijke en transparante manier (rechtsgrond en transparantie) • Voor specifieke, legitieme, en vooraf bepaalde doeleinden (doelbinding) • Door de hoeveelheid gegevens die u verwerkt waar mogelijk te minimaliseren (gegevensminimalisatie) • Door persoonsgegevens regelmatig bij te werken (bijwerking) • Door de duurtijd van de opslag te beperken (beperkte bewaartermijn) • Door de integriteit en vertrouwelijkheid te waarborgen (beveiliging, integriteit, vertrouwelijkheid)

proportionaliteit = enkel noodzakelijke persoonsgegevens opvragen en verzamelen “Is het echt noodzakelijk in functie van onze doelstelling om…” transparantie De betrokken personen (leden, deelnemers, vrijwilligers…) moeten duidelijk geïnformeerd worden over wat met hun persoonsgegevens gebeurt en welke rechten ze hebben, en dit in een heldere taal. Dat moet proactief gebeuren (vooraleer de gegevens verwerkt worden). Verplicht via privacyverklaring

= rechtsgronden waarop je toch persoonsgegevens mag verwerken legaliteit = rechtsgronden waarop je toch persoonsgegevens mag verwerken contractuele basis (noodzakelijk voor uitvoering van overeenkomst, bv verkoopsovereenkomst, arbeidsovereenkomst, lidmaatschapsovereenkomst, vrijwilligersovereenkomst…) wettelijke verplichting (noodzakelijk voor uitvoering van een wet die van toepassing is op de organisatie, bv opgelegd in decreet) algemeen belang of openbaar gezag (door de wet opgedragen, bv. aan de politie) vitaal belang (bv. om dringende medische reden) gerechtvaardigd belang (activiteit is anders niet uitvoerbaar), enkel als dit zwaarder doorweegt dan het belang, de rechten en de redelijke privacyverwachtingen van de betrokkenen ondubbelzinnige toestemming (vrije, actieve en specifieke toestemming van de betrokken persoon)

beveiliging organisatorisch maatregelen: tips beperkte toegang voor bepaalde personen (o.a. door inlogprocedure) gebruik van wachtwoorden op bestanden wachtwoorden worden verplicht gewijzigd na een bepaalde periode communiceer het wachtwoordbeleid aan de medewerkers, onderaannemers en partners geef duidelijke instructies naar medewerkers, vrijwilligers en partners omtrent het gebruik van internet, installeren van software, openen van e-mails communiceer hier regelmatig rond neem de richtlijnen van gebruik van de informatica-tools van de organisatie op in de instructies (contracten) naar medewerkers en vrijwilligers. technische maatregelen: tips fysieke beveiliging van archieven (papier, USB-sticks, harde schijven) en informatica-materiaal (o.a. laptops, tablets, smartphones…) frequentie van het nemen van back-ups van bestanden backups op verschillende plaatsen bewaren firewall, antivirus, anti-malware installeren Gebruik laatste versie en volg steeds gevraagde updates van de gebruikte software op voer testen uit rond herinstallatie van de informatica-infrastructuur maak gebruik van encryptie (versleuteling), zeker voor gevoelige gegevens

rechten betrokken personen • recht op informatie • recht op inzage en kopie • recht op aanpassing (correctie) • recht op bezwaar • recht op vergetelheid (verwijderen van gegevens) • recht op intrekken toestemming • recht op overdraagbaarheid • recht op weigering geautomatiseerde individuele besluitvorming, profilering • recht op beperking van verwerking

II Wat zijn mijn verplichtingen?

Wanneer is je organisatie in regel met de wetgeving bescherming persoonsgegevens? Respecteren basisbeginselen verwerking persoonsgegevens. Je organisatie heeft een register (verplicht) waarin alle verwerkingsactiviteiten (ledenregistratie, registratie activiteiten…) worden behandeld en gedocumenteerd. Je organisatie informeert duidelijk over het gebruik van gegevens, o.a. via een duidelijke privacyverklaring. Je organisatie is voorbereid op vragen van leden/deelnemers rond het gebruik van hun gegevens (betrokken persoon moet zijn rechten kunnen uitoefenen) Je organisatie heeft geschreven overeenkomsten met verwerkers. Je organisatie beveiligt (de verwerking van) persoonsgegevens. Je organisatie vraagt actief toestemming voor het gebruik van gegevens als dit nodig blijkt (rechtsgronden). Je organisatie kan direct reageren bij verlies van persoonsgegevens (een datalek).

III Stappenplan

Handleiding en tools beschikbaar via www.dynamoproject.be/documenten

om GDPR compliant te worden Stappenplan om GDPR compliant te worden “Ga planmatig te werk en hou alles goed bij!” bewustmaking: agendeer het thema op je bestuur, vrijwilligersoverleg, groepsraad… inventariseer: lijst op wie welke persoonsgegevens waar, waarom en voor hoe lang bewaart toets je gegevensverwerking aan de GDPR-principes: Heb je alle gegevens nodig? Beveilig je de persoonsgegevens en zo ja, hoe? Op basis van welke wettelijke grond bewaar je gegevens? maak een register op voor elke categorie van verwerkingen (bv ledenregistratie, activiteitenregistratie…) maak een goede privacyverklaring op (op basis van je inventaris en register) werk procedures uit zodat je de rechten van betrokkenen kan respecteren zorg voor contracten tussen verwerkingsverantwoordelijke en verwerker werk een procedure uit zodat je kan reageren in geval van een datalek

stap 1: bewustmaking Informeer het bestuur en de medewerkers van je organisatie die met persoonsgegevens werken over: het belang van privacy van je leden, deelnemers… de basisbeginselen van gegevensverwerking (proportionaliteit / legaliteit / transparantie) Te nemen stappen om je organisatie in regel te brengen Noodzaak van beveiliging van persoonsgegevens belangrijk om iedereen die persoonsgegevens verwerkt te informeren en te betrekken  agenderen en verslagen bijhouden (documentatie)

stap 2: opmaak inventaris overlopen vragenlijst Welke gegevens bewaart je organisatie (naam, adres, …. Waar bewaart je organisatie de gegevens? Hoe lang worden ze bewaard? Wie heeft er toegang toe? Worden de gegevens beschermd of beveiligd? Waarvoor gebruiken jullie de gegevens? (bv. uitnodigingen, nieuwsbrief, bevestigingen deelname, organisatie van kampen… )

overlopen vragenlijst stap 3: analyse) overlopen vragenlijst Op basis van de inventaris bekijk je of… je de leden, deelnemers, partners duidelijk informeert (privacyverklaring). je een wettelijke grond hebt om gegevens te verwerken. je niet te veel gegevens opvraagt en deze niet te lang bewaart. Leden/deelnemers de mogelijkheid hebben om hun gegevens in te zien, te corrigeren, te laten verwijderen…

stap 4: opmaak register overzicht van de soorten verwerking van gegevens, gekoppeld aan de doeleinden (bv ledenregistratie, registratie van activiteiten en deelnemers…) verplicht instrument om bij controle te voldoen aan je verantwoordingsplicht als verwerkingsverantwoordelijke wordt continu geactualiseerd en aangevuld (in tegenstelling tot de inventaris en analyse) de informatie uit de inventaris en analyse zijn een goede basis voor een verdere uitwerking in een register

verplicht per verwerkingsactiviteit naam en contactgegevens verwerker en verwerkings-verantwoordelijke verwerkingsdoeleinden categorieën van betrokkenen categorieën persoonsgegevens categorieën van ontvangers en derde landen of organisaties bewaartermijn gegevens technische en organisatorische maatregelen beveiliging waarborgen bij doorgifte gegevens aan derde landen

Sportclub soorten verwerkingsactiviteiten Ledenadministratie lidmaatschap verzekering Sportieve voorbereiding (o.a. trainingen, stages) indeling in categorieën en groepen uitwisseling tussen leden trainers inschrijven stages Deelnemen aan competities en tornooien aansluiting federatie deelname aan competitie doorgeven competitieresultaten deelname tornooien organisatie recreatief sportevenement Organiseren van niet-sportgerelateerde clubevenementen verwerking gegevens deelname communicatie met deelnemers Promotie, PR en communicatie Beheer sociale media (o.a. foto’s plaatsen) Beheren clubwebsite

Register ledenadministratie Verwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewaringstermijn Rechtsgrond Beveiligingsmaatregelen Waarom worden de gegevens verwerkt? Van wie zijn de gegevens? Welk type gegevens zijn het? Aan wie worden de gegevens verstrekt? Hoelang worden de gegevens bewaard? Wat is de wettelijke grondslag voor de verwerking? Hoe worden de gegevens beveiligd? clubadministratie: verwerking gegevens i.f.v. lidmaatschap leden persoonlijke gegevens: naam, adres, telefoonnummer, leeftijd, geboortedatum, geboorteplaats, geslacht niemand 10 jaar contractuele grond organisatorische maatregel: enkel bestuurleden met autorisatie kunnen aan de gegevens   persoonlijke gegevens: e-mailadres persoonlijke gegevens: nationaliteit persoonlijke gegevens: rijksregisternummer persoonlijke gegevens: lidnummer clubadministratie: verwerking gegevens i.f.v. verzekering verzekeraar 1 jaar organisatorische maatregel: enkel de secretaris kan aan de gegevens

Register deelname competities & tornooien Verwerkingsdoeleinden Betrokkenen Type gegevens Ontvangers Bewarings-termijn Rechtsgrond Beveiligings-maatregelen Waarom worden de gegevens verwerkt? Van wie zijn de gegevens? Welk type gegevens zijn het? Aan wie worden de gegevens verstrekt? Hoelang worden de gegevens bewaard? Wat is de wettelijke grondslag voor de verwerking? Hoe worden de gegevens beveiligd? sportieve administratie: aansluiting federatie deelnemers (leden) persoonlijke gegevens: naam, adres, telefoonnummer, leeftijd, geboortedatum, geboorteplaats, geslacht, e-mailadres federatie 10 jaar gerechtvaardigd belang standaard-maatregelen   persoonlijke gegevens: nationaliteit en rijksregisternummer Standaard-maatregelen sportieve administratie: deelname aan competitie federatie persoonlijke gegevens: naam competitiegegevens federatie: aansluitingsnummer, klassement sportieve administratie: doorgeven competitieresultaten federatie competitiegegevens federatie: wedstrijdgegevens en -resultaten sportieve administratie: deelname aan tornooien federatie sportieve administratie: doorgeven tornooiresultaten federatie sportieve administratie: organisatie recreatief sportevenement persoonlijke gegevens: naam, telefoonnummer, e-mailadres niemand 1 jaar contractuele grond deelnemers (niet-leden) persoonlijke gegevens: naam, adres, telefoonnummer, e-mailadres

stap 5: duidelijk informeren: de privacyverklaring De betrokkenen (leden, werknemers, doelgroep, deelnemers, je vrijwilligers…) moeten duidelijk geïnformeerd worden over wat er met hun gegevens gebeurt. Dat moet proactief gebeuren. De verantwoordelijke mag dus niet wachten met het geven van de informatie totdat een betrokkene ernaar vraagt. Je organisatie moet altijd duidelijk informeren over de rechten van de betrokkenen en hoe die kunnen uitgeoefend worden. Dit moet beknopt, in een duidelijke eenvoudige taal en in een gemakkelijk toegankelijke vorm. De meest aangewezen manier is de privacyverklaring op de website van de vereniging te plaatsen en in toetredingsdocumenten of inschrijvingsformulieren hiernaar te verwijzen. Opgelet: Het is een verklaring, een mededeling van de organisatie naar het lid/deelnemer. De betrokkene moet de verklaring niet goedkeuren.

voorbeeld beknopte versie sportclub Privacyverklaring Uw persoonsgegevens worden verwerkt door (Sportclub Gemeente, naamstraat 20 te 9000 Gemeente, info@sportclub.be), voor ledenbeheer en organisatie van activiteiten op basis van de contractuele relatie als gevolg van uw inschrijving en om u op de hoogte te houden van onze activiteiten (direct marketing) op basis van ons gerechtvaardigd belang om sport aan te bieden. Indien u niet wil dat wij uw gegevens verwerken met het oog op direct marketing, volstaat het ons dat mee te delen op (info@sportclub.be). Via dat adres kan u ook altijd vragen welke gegevens wij over u verwerken en ze verbeteren of laten wissen, of vragen om ze over te dragen. Een meer uitgebreid overzicht van ons beleid op het vlak van verwerking van persoonsgegevens vindt u op (https://www.sportclubgemeente.be).

stap 6: procedures rechten betrokkenen De voornaamste rechten van de betrokkenen voor lokale sportclubs: • recht op inzage en kopie De persoon van wie je gegevens bijhoudt, heeft het recht om inzage te krijgen in de persoonsgegevens die je van hem/haar verwerkt, en daar een gratis kopie van te ontvangen binnen de maand (verlengbaar met 2 maanden). recht op aanpassing (verbeteren) De persoon van wie je gegevens bijhoudt heeft het recht om onjuiste of onvolledige persoonsgegevens te verbeteren recht op vergetelheid (verwijderen van gegevens) In een aantal specifieke gevallen kan de persoon van wie je gegevens bijhoudt, vragen om ‘vergeten te worden’ en te worden verwijderd uit uw database. Je kan de vraag tot verwijdering ook weigeren in een aantal gevallen recht op intrekken toestemming

stap 7: contracten verwerkingsverantwoordelijke – verwerker Waarborg dat de gegevens waarvoor een partij verantwoordelijk is, door een andere partij correct verwerkt worden.

stap 8: datalek Meldplicht voor datalekken die de betrokkene(n) schade kunnen berokkenen (bv. financieel verlies, schending geheimhoudingsplicht, identiteitsdiefstal…). Elk incident dat impact kan hebben op de veiligheid van je gegevens (zoals diefstal van een laptop of verlies van een USB-stick) en enige vorm van schade kan veroorzaken aan de betrokkenen(n), moet binnen 72 uur gemeld worden aan de privacycommissie. Bij een hoog risico voor zijn rechten en vrijheden moet dit ook aan de betrokkene zelf gemeld worden zodat deze de nodige voorzorgsmaatregelen kan nemen. procedure duidelijke verantwoordelijke / aanspreekpunt informeer alle verwerkers datalek-document Bijkomende informatie op website privacycommissie.be

IV Vervolgstappen

Vervolgstappen voor je sportclub Alle bestaande activiteiten en verwerkingen toetsen aan de GDPR Register gegevensverwerkingen aanvullen, vervolledigen en bewaren (documentatie) Privacyverklaring uitwerken, aanpassen en op website plaatsen (of op papier beschikbaar houden) Overeenkomsten sluiten met de verwerkers Beveiliging van gebruikte IT (cloud, netwerk, bestanden…) nakijken en eventueel aanvullen

Vragen en antwoorden