Wat betekent de AVG voor verenigingen?

Persoonsgegevens mogen alleen worden verwerkt voor duidelijke doeleinden en er mogen niet meer persoonsgegevens worden verwerkt dan noodzakelijk zijn voor die doeleinden. Dit betekent dat er moet worden nagegaan of er een geldige grondslag is voor de verwerking van de persoonsgegevens (gerechtvaardigd belang, toestemming of uitvoering van een (lidmaatschaps)overeenkomst). Ook is het belangrijk dat enkel gegevens worden verzameld die daadwerkelijk nodig zijn voor het doel waarvoor ze zijn verzameld. Zo zullen voor de ledenadministratie onder andere NAW gegevens, geboortedatum, emailadressen en betaalgegevens van de leden nodig zijn. Wordt er echter ook informatie gevraagd die niet noodzakelijk is voor de uitvoering van het lidmaatschap, dan dient dit achterwege te worden gelaten.

Verenigingen zullen in sommige gevallen de ledenlijst of bijvoorbeeld een lijst met scheidsrechters, wedstrijdleiders, bardienstroosters e.d. willen delen met hun leden. Het delen van de namen en mogelijk ook de contactgegevens van de leden is echter alleen toegestaan als sprake is van een gerechtvaardigd belang om deze informatie te delen. In andere gevallen zal er toestemming voor nodig zijn. Denk daarbij bijvoorbeeld aan het delen van (sport)prestaties van leden (al dan niet door middel van een app) onder een groep leden. Daar zal toestemming voor nodig zijn. Let er bovendien op dat het online publiceren van de informatie plaatsvindt op een voor leden afgeschermde website of applicatie.

Veel verenigingen worstelen met de vraag hoe ze om moeten gaan met het gebruik van beeldmateriaal. Wanneer mogen er nu wel of niet foto’s van activiteiten op de website of social media worden geplaatst? In principe is voor het maken en publiceren van beeldmateriaal toestemming van de betrokkenen nodig. In het geval van jongeren onder de 16 jaar moet deze toestemming door de ouders worden gegeven. Er bestaat wel een uitzondering voor journalistieke doeleinden. Daar zou bijvoorbeeld een foto van een winnend goal onder kunnen vallen. Voor teamfoto’s of foto’s van evenementen zal dit echter niet opgaan en zal toestemming nodig zijn. Veel verenigingen vinden het een uitdaging hoe ze hier praktisch mee om moeten gaan. Gedacht kan worden aan het bij inschrijving vragen van toestemming voor onder andere het wel/niet maken van foto’s, plaatsing op de website of delen op social media.

Hoe zit het vervolgens met het toezenden van nieuwsbrieven aan de leden? Verenigingen mogen gewoon een (digitale) nieuwsbrief aan hun leden toezenden voor zover het gaat om het verspreiden van nieuwsberichten zoals speelschema’s, wedstrijdverslagen of uitnodigingen voor ledenvergaderingen of andere activiteiten. Bevat de nieuwsbrief echter (mede) commerciële berichten zoals advertenties, dan is daar wel toestemming voor nodig.

Sponsors of andere commerciële partijen zijn vaak geïnteresseerd in het ledenbestand van een vereniging. Persoonsgegevens van leden kunnen echter niet zomaar met zulke partijen worden gedeeld. Een vereniging verzamelt en gebruikt persoonsgegevens van leden normaal gesproken om een ledenadministratie te voeren. Als een vereniging persoonsgegevens van leden aan andere bedrijven wil verstrekken voor reclame of sponsoring, zal dit waarschijnlijk een ander doel zijn dan waarvoor de gegevens oorspronkelijk zijn verzameld (voeren van een ledenadministratie). Doorgaans is er dan ook toestemming van de afzonderlijke leden nodig om de gegevens aan sponsors of andere commerciële partijen te verstrekken. Daarbij dient duidelijk te worden gemaakt om welke commerciële partijen het gaat.

Vele verenigingen ontvangen subsidies of fondsen, structureel dan wel op projectbasis. In dat kader zullen soms ook persoonsgegevens moeten worden verstrekt. Stel een gemeente stelt als voorwaarde voor een subsidie dat een bepaald minimum aantal leden in haar gemeente woont, dan zal de gemeente gegevens van de leden nodig hebben om dit te toetsen. In beginsel is het een vereniging dan toegestaan om gegevens over haar leden te verstrekken. Het is echter meestal niet nodig om alle gegevens van de ledenlijst door te geven. Er dient te worden nagegaan welke gegevens de betreffende subsidieverstrekker nodig heeft en enkel die gegevens mogen worden doorgegeven. Zo zal in het genoemde voorbeeld van de gemeente meestal kunnen worden volstaan met het verstrekken van de namen en woonplaatsen van de leden.

Als er toestemming nodig is, is het belangrijk dat leden vooraf goed worden geïnformeerd waarvoor precies toestemming wordt gevraagd. Belangrijk is dat afzonderlijk toestemming wordt gevraagd voor de verschillende doeleinden (maken/publiceren beeldmateriaal, doorgifte aan sponsors, toezenden nieuwsbrief). Bovendien moet kunnen worden aangetoond dat een lid echt toestemming heeft gegeven. De toestemming zal dus moeten worden gedocumenteerd en de toestemming mag niet impliciet zijn of worden afgeleid uit vooraf aangevinkte vakjes. Dat is onderdeel van de verantwoordingsplicht die geldt voor alle organisaties die persoonsgegevens verwerken. Het is daarom aan te raden om te werken met een toestemmingsformulier. Ook moet het voor leden te allen tijde mogelijk zijn om hun toestemming in te trekken. In dat geval moet direct worden gestopt met die specifieke verwerking van persoonsgegevens.

De leden (en andere betrokkenen) moeten worden geïnformeerd over onder andere de doeleinden en de wettelijke basis van de verwerking van hun gegevens, over bewaartermijnen en over hun specifieke rechten onder de AVG. Ook als een bepaalde verwerking is toegestaan (zoals het doorgeven van gegevens voor een subsidie), moeten de leden daarover worden geïnformeerd. Dit wordt meestal gedaan via een privacyverklaring, die bijvoorbeeld te raadplegen is via de website. Hier kan vervolgens bij inschrijving of bij gebruik van een online omgeving nog specifiek naar worden verwezen.

Persoonsgegevens mogen niet langer worden bewaard dan nodig. Na afloop van een lidmaatschap zullen de persoonsgegevens dan ook uit de ledenbestanden moeten worden verwijderd. Wel zijn er uitzonderingen denkbaar. Zo zou aan leden kunnen worden gevraagd of bepaalde gegevens (bijvoorbeeld naam en adres) langer bewaard mogen worden in verband met bijvoorbeeld het organiseren van reünies. Dergelijke toestemming kan worden gevraagd in het afmeldingsformulier. Voor bepaalde gegevens, zoals gegevens die fiscaal van belang zijn, geldt een specifieke bewaartermijn (zeven jaar voor fiscale gegevens). Bovendien mogen sommige gegevens voor statistische of historische doeleinde langer worden bewaard. Voor zover mogelijk dienen deze gegevens wel te worden geanonimiseerd of gepseudonimiseerd. Waak er bovendien voor dat de gegevens uiteindelijk niet toch voor andere doeleinden worden gebruikt.

Verenigingen verstrekken vaak persoonsgegevens aan een externe dienstverlener die deze gegevens ten behoeve van de vereniging verwerken. Bijvoorbeeld voor het incasseren van de contributie, voor de online ledenadministratie, in verband met de nieuwsbrief of het hosten van de website. Met deze partijen dient een zogeheten verwerkersovereenkomst te worden gesloten. Een verwerkersovereenkomst regelt onder andere van welke persoonsgegevens een verwerker toegang krijgt, met welk doel, hoe de gegevens worden beveiligd en bevat regelingen met betrekking tot datalekken. Wie de overeenkomst opstelt maak in principe niet uit, zolang alle afspraken die de AVG voorschrijft er maar in staan.

Last but not least zullen verenigingen passende technische en organisatorische maatregelen moeten nemen om de persoonsgegevens te beveiligen. Wat betreft de technische beveiliging kan onder andere worden gedacht aan goede toegangsbeveiliging, beveiliging van netwerkverbindingen en het beheer van data kopieën en back-ups. Ook organisatorische beveiliging is echter van groot belang. Niet alleen mogen persoonsgegevens alleen toegankelijk zijn voor personen binnen de vereniging die de gegevens nodig hebben voor de uitvoering van hun taken, ook zullen fysieke dossier op afsluitbare plaatsen moeten worden bewaard, dient er bewustzijn te worden gecreëerd bij medewerkers/vrijwilligers, moeten er duidelijke protocollen zijn voor het behandelen van datalekken en moet er controle zijn op de naleving van de privacyregelgeving.

Al met al komt er veel kijken bij de juiste naleving van de AVG. Belangrijk is dat verenigingen zich inspannen om dit zo goed mogelijk te doen.

Voor vragen kunt u contact opnemen met Natascha van Duuren, advocaat IT, Privacy & Cybersecurity.