privacyDat kopt 'Het Belang van Limburg' vandaag. Vanaf 25 mei treedt de nieuwe, Europese privacywetgeving in werking die geldt voor iedereen die persoonsgegevens verzamelt en bewaart. Sportclubs, jeugdbewegingen en andere verenigingen zijn er niet op voorbereid, zo blijkt uit een rondvraag. De meesten zijn er nog altijd niet mee bezig. Lees hier het interessante overzichtsartikel en contacteer ons indien u vragen hebt.

Over zeven weken moeten alle dataverzamelaars, groot en klein, onder meer een duidelijke privacyverklaring hebben. Elke vereniging mag enkel nog de persoonsgegevens vragen die ze absoluut nodig hebben. In een register moet verklaard worden waarom die gegevens relevant zijn.

Een boete is niet meteen aan de orde maar het is zaak om zich aan de nieuwe wetgeving te houden. Expert Ilja Van Hespen: “Een sportvereniging of jeugdbeweging beschikt over gevoelige, vaak medische informatie. Bij een datalek, ook al is dat over tien jaar, moeten ze de betrokkene daarvan op de hoogte stellen. Als die een advocaat inschakelt, zal de vereniging moeten bewijzen dat ze zich sinds 25 mei 2018 aan de Europese wet houdt.”

Zeven weken voor de nieuwe Europese privacywetgeving van start gaat, zijn sportclubs, jeugdbewegingen en andere verenigingen daar amper op voorbereid. Nochtans heeft die verordening ook voor hun werking verregaande gevolgen. En hoewel de Privacycommissie zich wellicht niet meteen op die “kleine dataverzamelaars” zal richten, houden ook zij zich maar beter aan de regels. “Jeugdbewegingen en sportclubs beschikken vaak over gevoelige medische informatie. Als die over tien jaar op straat belandt, zullen ze zich flink moeten verantwoorden.”

Wat is de nieuwe privacywet GDPR?

General Data Protection Regulation, afgekort GDPR, is de nieuwe Europese verordening die de privacywetgeving in de Europese Unie moet aanpassen aan de 21ste eeuw. De vorige dateerde immers nog uit 1995. “Het nieuwe uitgangspunt is dat gegevens verzamelen niet mag, tenzij er een goede reden voor is”, zegt Ilja Van Hespen, docent administratief recht en lector op tal van infosessies over GDPR. “Dat betekent wel dat verenigingen enkel die persoonsgegevens mogen vragen die voor hen van belang zijn. Een voetbalclub zal misschien wel graag weten op welke school hun spelertjes zitten, maar zal dat wel moeten verantwoorden in een helder opgestelde privacyverklaring. Vroeger was het voor veel verenigingen een kwestie van willekeurig wat gegevens opvragen, en die bestanden werden dan door zo veel mogelijk bestuursleden bewaard. Dat was allemaal erg gemakkelijk, maar daar komt nu een einde aan.”

Wat zijn de belangrijkste veranderingen?

Elke vereniging mag enkel nog de persoonsgegevens vragen die ze absoluut nodig hebben. In een register moet verklaard worden waarom die gegevens relevant zijn. Die persoonsgegevens moeten voldoende beveiligd worden tegen lekken. Wat dan “voldoende” is, is niet duidelijk. Belangrijk is vooral dat duidelijk nagedacht is over wie toegang heeft tot die ledenlijsten. Raken de data toch op straat, dan moet de vereniging dat binnen de 72 uur na ontdekking melden, ook aan de betrokken leden. Wie dat niet doet, riskeert een boete die ligt tussen 2 en 4 procent van de jaaromzet.

Clubs en verenigingen die hun leden op de hoogte houden met een nieuwsbrief, moeten daarvoor een expliciete toestemming hebben. Voorheen was een impliciete toestemming voldoende, bijvoorbeeld door middel van een op voorhand aangevinkt vakje. Iedereen kan op elk moment aan een vereniging vragen welke gegevens van hem of haar bijgehouden worden. Daarbij heeft het lid ook het recht om vergeten te worden. Let op: foto’s en filmpjes horen ook bij die gegevens. Elke instantie moet ook een nieuwe privacyverklaring opstellen, in een ‘beknopte, begrijpelijke taal’. Daarin moet onder andere vermeld worden waarom men welke persoonsgegevens opvraagt, hoe lang ze bewaard worden en hoe die worden beveiligd.

Wanneer start de GDPR?

Op 25 mei. Al trad de Europese verordening in feite al twee jaar geleden, op 24 mei 2016, in werking. Zo kreeg iedereen de tijd om zich aan te passen. Over zeven weken is de speeltijd echter voorbij, en kan iedereen die persoonsgegevens bewaart, aangesproken worden op de naleving van de GDPR.

Riskeert uw vereniging meteen een boete?

Die kans is klein. Ten eerste omdat de Privacycommissie zelf niet klaar is. Zo moeten er nog een aantal wetten gewijzigd worden, en is er bijvoorbeeld nog geen certificering. “Bedrijven die software ontwikkelen, kunnen die op de markt brengen onder een GDPR-certificaat”, zegt Willem Debeuckelaere, voorzitter van de Privacycommissie. “Maar die certificering is helemaal nog niet klaar.”
De Privacycommissie zal zich bovendien niet richten op de “kleine dataverzamelaars”. Nochtans zit daar net veel gevoelige, vaak medische, informatie, en is de beveiliging minimaal. Net daarom houden clubs en andere verenigingen zich maar beter wel meteen aan de nieuwe regels. “Heel wat informatie die zij hebben, is vijf of tien jaar later nog steeds relevant”, zegt Van Hespen. “Denk maar aan religie, bepaalde blessures, ziektes,… Stel je maar eens voor dat een lid van jouw jeugdbeweging of voetbalclub later topvoetballer wordt, en dat dan info over een oude blessure uitlekt. Dan zal je moeten bewijzen dat je sinds 25 mei 2018 in orde bent met de GDPR. Het is te vergelijken met een rijbewijs dat je verplicht moet hebben, maar dat ze nooit zullen controleren. Behalve als je geflitst wordt, dan moet je plots bewijzen dat je het altijd al gehad hebt.”

Zijn verenigingen daar voldoende op voorbereid?

Nee, zo blijkt uit een rondvraag. “Ik weet van de nieuwe wetgeving, maar we zijn er niet echt mee bezig”, zegt Carlo Maes, voorzitter van tweedeprovincialer Lindelhoeven vv, dat ruim tweehonderd jeugdspelers telt. “Ik had ook op meer initiatief gehoopt van de voetbalbond of het provinciaal comité, maar het is blijkbaar ieder voor zich.”
Hetzelfde geluid bij KVK Beringen. “Momenteel zijn we nog volop tornooien aan het organiseren, en hebben we ons daar nog niet in verdiept”, zegt secretaris Vladimir Wynnyk. “Maar we delen nooit ledenlijsten, dus zo’n probleem zal dat wel niet zijn. Toch?”
Nochtans organiseerde de Vlaamse Sportfederatie de voorbije maanden in elke provinciehoofdstad een infosessie voor sportclubs. “Daar kwamen telkens zo’n 50 à 60 clubs op af”, zegt Emmanuel Steyaert, die er als GDPR-expert optrad. “De komende weken komen nog een aantal kleinere steden aan bod. In totaal zullen we zo wellicht 1.500 clubs bereikt hebben. Dat klinkt niet slecht, maar is in feite nog geen tien procent van het totaal. Ach, de rest zal wel volgen zeker? Ze zullen wel moeten.”
Chiro Nationaal bundelt op haar website wel al alle informatie over de nieuwe wetgeving. Die lijkt echter nog niet doorgesijpeld tot bij de lokale groepen, zo blijkt uit een telefonische rondvraag. “We communiceren daar nochtans over met onze leden, via de website en met rechtstreekse mailings”, zegt woordvoerder Niels De Ceulaer. “De wetgeving is wel een kluwen, maar dat neemt niet weg dat we meer aandacht voor privacy wel een goed idee vinden.”