De verordening is van toepassing op alle verwerkingen van ‘persoonsgegevens’: alle informatie over een geïdentificeerde natuurlijke persoon (‘de betrokkene’). Onder ‘verwerking’ wordt verstaan een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, zoals het vastleggen, verzamelen, ordenen, opslaan, raadplegen etc. Dit is terug te vinden in artikel 4 van de AVG. Een ledenadministratie valt daarmee onder de toepassing van de AVG.
Wat betekent dat?
Dat een ledenadministratie onder de AVG valt, betekent dat sportverenigingen – net zoals ze dat al moesten op grond van de Wet bescherming persoonsgegevens – zich moeten houden aan een bepaald beschermingsniveau ten opzichte van hun ledenadministratie. Best lastig, want meestal wordt een bestuur van een sportvereniging gevormd door vrijwillers die daarnaast gewoon een baan hebben. Anderzijds, de ledenadministraties van verenigingen bevatten veel gegevens: namen, (email-)adressen, geboortedatums, rekeningnummers etc.
De ledenadministratie moet dus op een veilige server staan opgeslagen (liefst binnen de EU), mag niet voor iedereen toegankelijk zijn en gegevens mogen niet langer bewaard worden dan nodig is. Vraag als sportclub aan je leden dan ook alleen die gegevens die nodig zijn om een ledenadministratie bij te houden. Is er een omgeving waar de leden kunnen inloggen, dan moet dat een omgeving zijn waar ieder lid een eigen account heeft, beschermd met een wachtwoord. Als de leden via het account hun eigen gegevens up to date kunnen houden, is ook voldaan aan het vereiste dat gegevens compleet en accuraat zijn.
Automatische incasso
De automatische incasso zelf valt niet onder de AVG, maar bij het aanbieden van een automatische incasso hoort een machtiging en bij die machtiging worden altijd persoonsgegevens gevraagd om de identiteit te verifieren. Zorg er daarom voor dat leden in hun account – dat beschermd is door een wachtwoord en niet voor anderen toegankelijk – een machtiging kunnen geven.
Rekeningnummer controleren
Wat als je als sportclub de contributie ieder jaar via een automatische incasso int en je voor het komende jaar de rekeningnummers wilt controleren? In een e-mail vraag je de leden om het rekeningnummer in hun account te controleren, maar niemand neemt de tijd om dat ook even te doen. Een hoop frustratie ieder jaar omdat er altijd wel een paar rekeningnummers zijn gewijzigd. Mag je ter controle dan een gepersonaliseerde e-mail met daarin het rekeningnummer sturen? Een dergelijke e-mail valt onder de reikwijdte van de AVG en je bent bezig met een verwerking van gevoelige gegevens, namelijk het bankrekeningnummer en bijbehorende naamstelling. Alleen door middel van het tonen van de laatste drie cijfers zou je dit eventueel kunnen doen, maar wenselijk is het natuurlijk niet.
Hoe dan?
Een automatische incasso lijkt een makkelijke manier om snel en makkelijk contributie te innen, in plaats van de leden te vragen dit over te maken. Het brengt uiteindelijk echter een hoop gedoe met zich mee, doordat je opeens over gevoelige gegevens en machtigingen beschikt waar allemaal verplichtingen voor gelden. Daarnaast mag je deze gegevens niet ter controle e-mailen. De AVG tracht controle over persoonsgegevens ‘terug te geven’ aan de burger, daarom misschien toch terug naar het door de leden zelf laten overmaken?
afdeling legal 