Handboek Sport & Privacy
,Bezoekadres Postadres Telefoon Email Web
Papendallaan 60, Arnhem Postbus 302, 6800 AH Arnhem +31 (0)26 483 44 00 nocnsf.nl
Partners: Nederlandse Loterij AD Heineken H2 Rabobank
,Handboek Sport & Privacy
Inhoudsopgave
Inhoudsopgave 2
1. Inleiding 7
2. Hoe gebruik je dit handboek? 7
2.1. Wat kan ik in dit handboek vinden? 7
2.2. Hoe is het handboek verder opgebouwd? 7
2.3. Hoe navigeer ik door dit handboek? 7
2.4. Wat is het handboek niet? 8
ONDERDEEL BASISREGELS 9
3. Privacy & de AVG 9
3.1. Inleiding 9
3.2. De Algemene verordening gegevensbescherming (AVG) 9
4. De belangrijkste termen 10
4.1. Persoonsgegeven 10
4.1.1. Bijzondere persoonsgegevens 11
4.1.2. Gevoelige persoonsgegevens 13
4.2. Verwerken 14
4.3. De betrokkene 15
5. De belangrijkste rollen 16
5.1. De verwerkingsverantwoordelijke 16
5.1.1. Zelfstandig verwerkingsverantwoordelijke 16
5.1.2. Gezamenlijk verwerkingsverantwoordelijke 16
5.2. De verwerker 17
6. De basisregels bij het verwerken van persoonsgegevens 18
6.1. Voor welk doel gebruik ik de persoonsgegevens? 18
6.2. Heb ik een wettelijke grondslag voor de verwerking (rechtmatigheid)? 19
6.2.1. Grondslag: uitvoering overeenkomst 20
6.2.2. Grondslag: wettelijke verplichting 20
6.2.3. Grondslag: gerechtvaardigd belang 21
6.2.4. Grondslag: toestemming 22
6.3. Heb ik vooraf helder geïnformeerd over het doel van de verwerking (transparantie)? 25
6.3.1. Wanneer moet ik de betrokkene informeren? 25
6.3.2. Welke informatie moet ik verstrekken? 26
6.3.3. Hoe verstrek ik informatie aan de betrokkene (in welke vorm)? 27
6.4. Gebruik alleen gegevens die noodzakelijk zijn (minimale gegevensverwerking) 28
6.5. Bewaar persoonsgegevens niet langer dan nodig 29
6.5.1. Welke bewaartermijn moet ik hanteren? 29
6.5.2. Vrijstellingsbesluit als hulpmiddel 30
6.6. Beveiliging van persoonsgegevens 31
6.6.1. Wat zijn nu precies ‘passende’ beveiligingsmaatregelen? 31
2
, Handboek Sport & Privacy
6.6.2. Hoe zit het met informatiebeveiliging bij leveranciers en partners? 32
6.7. Correcte en actuele persoonsgegevens 33
6.8. Het uitvoeren van een DPIA 33
6.8.1. Wat is een DPIA? 33
6.9. Internationale doorgifte van persoonsgegevens 34
6.9.1. Wanneer is sprake van internationale doorgifte? 35
6.9.2. Wat moet ik doen als er sprake is van internationale doorgifte? 35
6.9.3. Waar moet ik op letten bij het sluiten van deze SCC’s? 36
6.10. Rechten van betrokkenen 37
6.10.1. Recht op inzage 38
6.10.2. Recht op vergetelheid 39
6.10.3. Recht op rectificatie 39
6.10.4. Recht op dataportabiliteit 39
6.10.5. Recht op beperking van de verwerking 39
6.10.6. Recht op menselijke blik bij besluiten 39
6.10.7. Recht op bezwaar 40
6.11. Meldplicht datalekken 40
6.11.1. Wat is een datalek? 40
6.11.2. Moet ik een datalek melden aan de AP? 40
6.11.3. Moet ik een datalek melden aan de betrokkene? 41
6.11.4. Datalekregister 41
6.12. Verwerker 42
6.13. Het verwerkingsregister 44
6.13.1. Wanneer ben ik verplicht een verwerkingsregister bij te houden? 44
6.13.2. Wat moet ik opnemen in het verwerkingsregister? 44
6.14. De Functionaris Gegevensbescherming 45
6.14.1. Ben ik verplicht om een FG aan te stellen? 45
6.15. Toezicht, sancties en aansprakelijkheid 46
6.15.1. Handhaving door autoriteiten 46
Aansprakelijkheid 47
ONDERDEEL HET DELEN VAN PERSOONSGEGEVENS 48
7. Het delen van persoonsgegevens 48
7.1. Inleiding 48
7.2. Vijf regels voor het delen van persoonsgegevens met derden 48
ONDERDEEL LEDENADMINISTRATIE 52
8. Ledenadministratie 52
8.1. Inleiding 52
8.2. Welke gegevens mag ik opnemen in mijn ledenadministratie? 52
8.3. Hoe informeer ik mijn leden? 53
8.4. Mag ik ledengegevens delen met derden? 53
8.4.1. Persoonsgegevens van leden beschikbaar stellen aan andere leden 53
8.4.2. Online publiceren (toegankelijk voor het brede publiek) 53
8.4.3. Ledengegevens delen met sponsoren voor marketingdoeleinden 53
8.5. Hoelang bewaar ik de gegevens? 54
3
,Bezoekadres Postadres Telefoon Email Web
Papendallaan 60, Arnhem Postbus 302, 6800 AH Arnhem +31 (0)26 483 44 00 nocnsf.nl
Partners: Nederlandse Loterij AD Heineken H2 Rabobank
,Handboek Sport & Privacy
Inhoudsopgave
Inhoudsopgave 2
1. Inleiding 7
2. Hoe gebruik je dit handboek? 7
2.1. Wat kan ik in dit handboek vinden? 7
2.2. Hoe is het handboek verder opgebouwd? 7
2.3. Hoe navigeer ik door dit handboek? 7
2.4. Wat is het handboek niet? 8
ONDERDEEL BASISREGELS 9
3. Privacy & de AVG 9
3.1. Inleiding 9
3.2. De Algemene verordening gegevensbescherming (AVG) 9
4. De belangrijkste termen 10
4.1. Persoonsgegeven 10
4.1.1. Bijzondere persoonsgegevens 11
4.1.2. Gevoelige persoonsgegevens 13
4.2. Verwerken 14
4.3. De betrokkene 15
5. De belangrijkste rollen 16
5.1. De verwerkingsverantwoordelijke 16
5.1.1. Zelfstandig verwerkingsverantwoordelijke 16
5.1.2. Gezamenlijk verwerkingsverantwoordelijke 16
5.2. De verwerker 17
6. De basisregels bij het verwerken van persoonsgegevens 18
6.1. Voor welk doel gebruik ik de persoonsgegevens? 18
6.2. Heb ik een wettelijke grondslag voor de verwerking (rechtmatigheid)? 19
6.2.1. Grondslag: uitvoering overeenkomst 20
6.2.2. Grondslag: wettelijke verplichting 20
6.2.3. Grondslag: gerechtvaardigd belang 21
6.2.4. Grondslag: toestemming 22
6.3. Heb ik vooraf helder geïnformeerd over het doel van de verwerking (transparantie)? 25
6.3.1. Wanneer moet ik de betrokkene informeren? 25
6.3.2. Welke informatie moet ik verstrekken? 26
6.3.3. Hoe verstrek ik informatie aan de betrokkene (in welke vorm)? 27
6.4. Gebruik alleen gegevens die noodzakelijk zijn (minimale gegevensverwerking) 28
6.5. Bewaar persoonsgegevens niet langer dan nodig 29
6.5.1. Welke bewaartermijn moet ik hanteren? 29
6.5.2. Vrijstellingsbesluit als hulpmiddel 30
6.6. Beveiliging van persoonsgegevens 31
6.6.1. Wat zijn nu precies ‘passende’ beveiligingsmaatregelen? 31
2
, Handboek Sport & Privacy
6.6.2. Hoe zit het met informatiebeveiliging bij leveranciers en partners? 32
6.7. Correcte en actuele persoonsgegevens 33
6.8. Het uitvoeren van een DPIA 33
6.8.1. Wat is een DPIA? 33
6.9. Internationale doorgifte van persoonsgegevens 34
6.9.1. Wanneer is sprake van internationale doorgifte? 35
6.9.2. Wat moet ik doen als er sprake is van internationale doorgifte? 35
6.9.3. Waar moet ik op letten bij het sluiten van deze SCC’s? 36
6.10. Rechten van betrokkenen 37
6.10.1. Recht op inzage 38
6.10.2. Recht op vergetelheid 39
6.10.3. Recht op rectificatie 39
6.10.4. Recht op dataportabiliteit 39
6.10.5. Recht op beperking van de verwerking 39
6.10.6. Recht op menselijke blik bij besluiten 39
6.10.7. Recht op bezwaar 40
6.11. Meldplicht datalekken 40
6.11.1. Wat is een datalek? 40
6.11.2. Moet ik een datalek melden aan de AP? 40
6.11.3. Moet ik een datalek melden aan de betrokkene? 41
6.11.4. Datalekregister 41
6.12. Verwerker 42
6.13. Het verwerkingsregister 44
6.13.1. Wanneer ben ik verplicht een verwerkingsregister bij te houden? 44
6.13.2. Wat moet ik opnemen in het verwerkingsregister? 44
6.14. De Functionaris Gegevensbescherming 45
6.14.1. Ben ik verplicht om een FG aan te stellen? 45
6.15. Toezicht, sancties en aansprakelijkheid 46
6.15.1. Handhaving door autoriteiten 46
Aansprakelijkheid 47
ONDERDEEL HET DELEN VAN PERSOONSGEGEVENS 48
7. Het delen van persoonsgegevens 48
7.1. Inleiding 48
7.2. Vijf regels voor het delen van persoonsgegevens met derden 48
ONDERDEEL LEDENADMINISTRATIE 52
8. Ledenadministratie 52
8.1. Inleiding 52
8.2. Welke gegevens mag ik opnemen in mijn ledenadministratie? 52
8.3. Hoe informeer ik mijn leden? 53
8.4. Mag ik ledengegevens delen met derden? 53
8.4.1. Persoonsgegevens van leden beschikbaar stellen aan andere leden 53
8.4.2. Online publiceren (toegankelijk voor het brede publiek) 53
8.4.3. Ledengegevens delen met sponsoren voor marketingdoeleinden 53
8.5. Hoelang bewaar ik de gegevens? 54
3
