Veel gestelde vragen AVG en club leden

Deze veel gestelde vragen gaan over club leden.

Hoe kunnen we op (inschrijf)formulieren vragen om toestemming voor het opslaan/verwerken van persoonsgegevens?
Hiervoor wordt momenteel een voorziening in het systeem ingebouwd. We zullen bericht geven zodra die voorziening beschikbaar is. Hier kunt u de inhoud definiëren dat binnen het huidige tabblad zal worden geplaatst.

Kunnen we (inschrijf)formulieren aanpassen, zodat we alleen gegevens opvragen die voor onze vereniging relevant zijn?
In het AllUnited systeem zijn (inschrijf)formulieren al grotendeels aanpasbaar, maar er is ook een blok gegevens wat nu nog niet aangepast kan worden. Er wordt momenteel een voorziening in het systeem ingebouwd waarmee dat wel kan. We zullen bericht geven zodra die voorziening beschikbaar is.

Krijgen we ook data minimalisatie?
Binnenkort is het mogelijk bepaalde velden weg te halen van scherm, zodat deze niet meer gevraagd worden.
Dit zal echter niet voor ieder veld mogelijk zijn, omdat sommige velden benodigd zijn voor een juiste werking van het systeem.

Kan een lid velden geheim maken?
Momenteel zijn we met een aanpassing bezig, waarmee dit mogelijk wordt. Een lid kan dan van een aantal velden opgeven voor welke groep deze veldinformatie zichtbaar wordt.

Kunnen leden gegevens op geheim zetten?
In AllUnited kan je op verenigingsniveau bepalen welke gegevens er wel of niet worden getoond op de website en in de app. Deze instelling geldt dan voor alle leden.

Daarnaast kan een lid zelf ook bepalen welke gegevens er wel of niet getoond worden. Dit kan een lid aanpassen op hun persoonlijke kaart. Hiervoor dienen zij in te loggen in de website (Club Manager) of het ledenportaal (Club Starter en Club Admin).

Hoe gaan we om met inschrijvingen door minderjarigen?
Ouders/vertegenwoordigers moeten toestemming geven voor het verwerken van persoonsgegevens van kinderen jonger dan 16 jaar.
Dat kan niet simpelweg met een vinkje, of een extra invoerveld, omdat je als club/vereniging zeker wilt weten dat dit door een ouder is gedaan.

Er zijn meerdere opties:

Optie 1:
Je voegt aan de bevestiging van het inschrijf formulier een extra bladzijde toe, die een ouder/vertegenwoordiger moet meegeven aan het kind. Dat blad mag zeer zeker niet alle inschrijvingsgegevens bevatten.

Optie 2:
Geen digitale inschrijvingen van kinderen accepteren en deze altijd op papier verlangen. Daarmee voorkom je dat je data binnenkrijgt en deze weer moet verwijderen. (Als een ouder/vertegenwoordiger niet binnen afzienbare tijd toestemming geeft.)
Nodig de minderjarige uit, en geef een inschrijfformulier mee.

Optie 3:
Hierover zijn we nog aan het nadenken en staan open voor goede ideeën .

Hoe kunnen wij tegemoet komen aan het "recht op vergetelheid" in de AVG?
Oud relaties kunnen niet verwijderd worden zolang er nog financiële koppelingen zijn, bijv. facturen. In onze systemen wordt daarom een voorziening ingebouwd waarmee relatiegegevens “geanonimiseerd” kunnen worden, zodat de gegevens niet meer herleidbaar zijn tot een natuurlijk persoon.

Kan ik ook beeldmateriaal van (jeugd)leden publiceren?
Zie voor jeugleden deze pagina.

Voor volwassen leden geldt:
Beeldmateriaal mag vrij gepubliceerd worden, behalve als de afgebeelde persoon een ‘redelijk belang’ heeft om zich tegen publicatie te verzetten. Dit zal vaak een privacybelang zijn of een financieel belang; wanneer de maker geld verdient met je portret. Leden moeten dan de publicatie kunnen laten verwijderen. (Handig als club/vereniging om dit op te nemen in de privacy verklaring.)

Natuurlijk geldt voor overige beeldmateriaal dat het rechtenvrij moet zijn.

Let op:
Iemand die toestemming geeft voor het maken van een foto, geeft daarmee niet per definitie toestemming voor de publicatie ervan.
Een teamfoto valt ook onder de persoonsgegevens.

Hoe gaan we om met oud-leden?
Dat is afhankelijk van jullie privacy verklaring. Is er niet specifiek genoemd hoelang jullie de data bewaren,
dan geldt de wettelijke bewaartermijn. (2 jaar voor persoonlijke gegevens, en 7 jaar voor financiële gegevens.)

Een club/vereniging kan oud-leden vragen of ze nog langer in het bestand willen blijven voor lustrum informatie e.d.
Dan is er dus een goedkeuring en mogen de gegevens bewaard blijven tot nader order.

Oud-leden die langer dan de bewaartermijn oud-lid zijn, moeten handmatig geanonimiseerd worden. Hierdoor zijn de persoonsgegevens van zo’n lid niet meer terug te vinden in het systeem. Doordat we de postcode en de geboortedatum aanpassen, kunnen er nog wel statistieken worden gedaan.

Stappenplan:

Oud leden mailen
Je kan een rapportage maken van alle oud-leden (zie handleiding AVG)
Ik zou deze oud-leden vandaag nog e-mailen (dat kan ook met diezelfde rapportage)

Verwerken
De uitslag van deze mail moet handmatig per oud-lid worden verwerkt (want ze hebben zelf geen toegang meer)

Anonimiseren
Als ze geanonimiseerd moeten worden, gebeurt dat niet automatisch maar zal een ledenadministrateur bijv. maandelijks moeten gaan doen. Pas als ze geanonimiseerd zijn, zijn ze daadwerkelijk niet meer te herleiden tot personen.

Het is de verantwoording van de club, om dit na de wettelijke bewaartermijn uit te voeren. (De club kan een andere termijn hebben afgesproken, die dan daarmee de wettelijke termijn wordt.)

Mag ik een ledenlijst/teamlijst/verjaardagskalender op de website hebben?
Een ledenlijst binnen een club/vereniging wordt vaak getoond achter het besloten gedeelte van de website. Alleen ingelogde bezoekers (die dus “iets” hebben met de club/vereniging) kunnen zou kijken welke leden er zijn. Als de club een zo’n overzicht heeft op een openbaar gedeelte, dan worden er momenteel geen namen getoond, tenzij het lid zelf heeft aangegeven dat de naam getoond mag worden.
Ze kunnen kiezen voor het niet tonen van: Geboortedatum, Pasfoto, E-mailadres, Telefoonnummers, Adres

NB: Een ledenadministrateur mag deze privacy gegevens (en andere persoonsgegevens) alleen aanpassen met toestemming van het lid.
Tip: Zelfs een naam van een persoon is een persoonsgegeven.

Mag ik bestuurders op de website hebben?
Een overzicht van bestuurder, commissieleden en andere lijsten waar persoonsgegevens op staan binnen een club/vereniging worden vaak getoond achter het besloten gedeelte van de website. Alleen ingelogde bezoekers (die dus “iets” hebben met de club/vereniging) kunnen zou kijken welke personen er zijn. Als de club een zo’n overzicht heeft op een openbaar gedeelte, dan worden er momenteel geen namen getoond, tenzij het lid zelf heeft aangegeven dat de naam getoond mag worden.
Ze kunnen kiezen voor het niet tonen van: Geboortedatum, Pasfoto, E-mailadres, Telefoonnummers, Adres

NB: Een ledenadministrateur mag deze privacy gegevens (en andere persoonsgegevens) alleen aanpassen met toestemming van het lid.
Tip: Zelfs een naam van een persoon is een persoonsgegeven.

In het verleden kunnen de namen al publiek getoond zijn van sommige mensen, wellicht goed geregeld in een reglement. AllUnited heeft niet de mogelijkheid om dit reglement te lezen en in dit geval is er voor gekozen om deze keuze dus echt bij de persoon te laten en niet bij de club/vereniging.

Mag ik een ledenlijst als bijlage op de website hebben?
Hoe handig het ook lijkt, dit mag niet. Leden moeten zelf kunnen bepalen waar hun persoonsgegevens terechtkomen, en tenzij ieder lid hier akkoord mee is gegaan, mag dit dus niet. Je weet ook nooit zeker waar iemand anders de ledenlijst voor zou willen gebruiken, dus mijn advies is, om dit gewoonweg niet te doen.

Wat is precies het recht op dataportabiliteit?
Dit wordt ook wel het ‘recht om gegevens over te dragen’ genoemd. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Dit is echter een niet bedoeld voor mensen, maar voor machines.

Dus moet het in een gestructureerd, gangbaar en machineleesbaar formaat zijn. Wij hebben hier gekozen voor JSON.

Mensen kunnen zo hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens rechtstreeks over te dragen aan een andere organisatie.

Algemene Verordening Gegevensbescherming Overzicht