FBO

In mei 2018 gaat de nieuwe privacy-wetgeving in. En hoewel 2018 nog ver weg lijkt, is het van belang hier als club nu reeds rekening mee te houden. In dit artikel legt Jurriaan van den Berg, (senior juridisch consultant van voormalige FBO-partner USG Legal) uit wat de gevolgen van de wetgeving zijn en waar clubs rekening mee dienen te houden.

Privacy binnen het voetbal?

Heb je als club een (digitaal) spelersbestand, of een supportersbestand? Houd je medische gegevens van spelers bij op een computer? Of ben je van plan dit te gaan doen? Dan heb je als club te maken met privacy. Wat is van belang? In april 2016 heeft de Europese wetgever de Algemene Verordening Gegevensbescherming (‘AVG’) aangenomen. De AVG gaat in per mei 2018, dus het is belangrijk dat je de resterende tijd gebruikt om te voldoen aan de AVG.

Waar gaat de privacy wetgeving over?

Privacy wetgeving gaat over de spelregels die gelden bij de verwerking van persoonsgegevens. Voorbeelden van het verwerken van persoonsgegevens zijn:

• de salarisadministratie, waaronder dat van spelers en trainers;
• het bewaren van gegevens van seizoenkaarthouders of sponsoren;
• het vastleggen van spelersprofielen in een database.

Het doel van de wet is om de privacy van de personen van wie gegevens worden verwerkt, te beschermen. Zo is het bijvoorbeeld verplicht om maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies of verdere verspreiding. Voor bijzondere persoonsgegevens, waaronder gegevens over gezondheid, geldt in beginsel zelfs een verbod om deze te verwerken, tenzij uitdrukkelijke toestemming is verkregen of een uitzondering van toepassing is.

Wat is belangrijk (ook voor voetbalclubs)?

Ook voetbalclubs zijn straks verplicht om aan de toezichthouder te kunnen laten zien dat ze ‘privacy compliant’ zijn. Dit kan door een (intern) privacy beleid te hebben en een administratie bij te houden van alle verwerkingen van persoonsgegevens. Daarbij is het in sommige gevallen zelfs verplicht om – voorafgaand aan de verwerking – een beoordeling te doen van het effect daarvan op de bescherming van persoonsgegevens (een Privacy Impact Assessment of PIA). Denk hierbij bijvoorbeeld aan het verzamelen van data met behulp van tracking systemen om fysieke inspanning te optimaliseren. In sommige gevallen is het ook verplicht om (intern of extern) een functionaris voor de gegevensbescherming aan te wijzen.

Bewerkersovereenkomsten en ICT

Maak je gebruik van een andere partij bij de verwerking van persoonsgegevens, zoals een hosting provider voor opslag van gegevens in de cloud, dan is een bewerkersovereenkomst nodig om afspraken vast te leggen over het beveiligingsniveau. En als je automatisch persoonsgegevens gaat verwerken, dan is het straks verplicht om vooraf passende technische en organisatorische maatregelen te nemen bij de verwerking van persoonsgegevens (privacy by design).

Meldplicht datalekken

Daarnaast geldt een meldplicht voor het geval een datalek wordt geconstateerd. Denk hierbij bijvoorbeeld aan de onthullingen op de website Football Leaks. De maximale boete in de AVG is € 20.000.000,- of 4% van de totale wereldwijde omzet als dat hoger is. Denk daarnaast ook aan de mogelijke imagoschade.

Conclusie

Voetbalclubs doen er goed aan om nu al de privacy wetgeving in acht te nemen. Niet alleen om boetes te voorkomen, maar ook om te laten zien dat supporters en spelers er op kunnen vertrouwen dat hun (bijzondere) persoonsgegevens goed worden beschermd.