F.C. VAN DER JAGT*
Als je de sport beoefent, moet je de regels kennen: privacyrechtelijke aspecten van de ledenadministratie Bij het inrichten en gebruiken van de ledenadministratie moeten sportverenigingen rekening houden met diverse verplichtingen die uit de privacywetgeving voortvloeien. In dit artikel wordt een overzicht gegeven van de belangrijkste verplichtingen die aan de sportvereniging worden opgelegd. Ook worden de mogelijkheden behandeld om gegevens uit de ledenadministratie te delen met anderen of op een website te plaatsen.
Inleiding Bijna elke sportvereniging heeft tegenwoordig een website waarop tal van nieuwtjes over de club en de sportieve prestaties van de leden worden geplaatst. Foto’s, uitslagen en teamindelingen kunnen eenvoudig online worden gedeeld. Hierbij worden vaak persoonsgegevens van de leden verwerkt, zoals de naam van de topscorer of de coach. Mag dit zomaar? En welke privacyaspecten spelen een rol bij het bijhouden van de ledenadministratie? Kan aan leden bijvoorbeeld worden gevraagd om een ‘kopietje paspoort’ te verstrekken? En mag een club een ‘zwarte lijst’ bijhouden van ongewenste leden of trainers? Het recht op privacy Bovengenoemde vragen moeten worden beantwoord in het licht van het recht op privacy. Dit recht is in verschillende internationale verdragen geregeld. Zo stellen artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten dat eenieder het recht heeft op eerbiediging van zijn privéleven. In Nederland is dit recht verankerd in artikel 10 van de Grondwet, waarin ook een verplichting is opgenomen voor de wetgever om hieromtrent regels vast te stellen. In Nederland werd
daarom in 1989 de Wet persoonsregistraties (WPR) ingevoerd. Op Europees niveau kwam in 1995 een privacy1 richtlijn tot stand, die door de lidstaten moest worden geïmplementeerd in nationale wetgeving. Dit leidde ertoe dat de WPR in 2001 werd vervangen door de Wet bescher2 ming persoonsgegevens (Wbp). Het College bescherming persoonsgegevens (CBP) ziet toe op de naleving van de Wbp. De Wbp is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen (artikel 2 lid 1 Wbp). Het ledenbestand en de website van een sportvereniging vallen derhalve binnen de reikwijdte van de 3 Wbp. De Wbp bevat regels voor het verwerken van persoons4 gegevens. Persoonsgegevens zijn gegevens die herleidbaar zijn tot een levende geïdentificeerde of identificeerbare natuurlijke persoon (artikel 1 onder a Wbp). Hierbij kan gedacht worden aan iemands naam, adres, telefoonnummer of geboortedatum. Het begrip persoonsgegeven wordt zeer ruim uitgelegd; zo kan ook een kenteken of
*
Mr. F.C. van der Jagt is advocaat bij Stibbe te Amsterdam. Dit artikel is afgesloten op 22 augustus 2012.
1.
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281/31). Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), Stb. 2000, 302. Artikel 4 Wbp geeft de territoriale reikwijdte van de wet weer. Voor dit artikel ga ik uit van een sportvereniging die in Nederland gevestigd is. Naast de Wbp bestaan er ook speciale regels voor het verwerken van persoonsgegevens binnen verschillende sectoren, zoals de Wet politiegegevens en de regels voor de telecommunicatiesector zoals opgenomen in de Telecommunicatiewet. Ook kan een inbreuk op de privacy een onrechtmatige daad ex artikel 6:162 BW of strijd met het portretrecht opleveren. In dit artikel beperk ik mij tot de Wbp.
2. 3. 4.
Tijdschrift voor Sport & Recht 2012-3
77
Als je de sport beoefent, moet je de regels kennen: privacyrechtelijke aspecten van de ledenadministratie 5
8
een IP-adres een persoonsgegeven zijn. Of een bepaald
Wbp). Daarnaast mag de vereniging de gegevens alleen
gegeven kan worden aangemerkt als een persoonsgegeven hangt samen met de aard, de context en het maat6 schappelijk gebruik van de gegevens. Gegevens over
maar verwerken voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (artikel 7 Wbp). De sportvereniging moet voor elke verwerking van de persoonsgegevens steeds een rechtvaardigingsgrond hebben. De Wbp biedt zes limitatieve gronden waarop een gegevensverwerking kan worden gebaseerd (artikel 8 Wbp). Zo kunnen persoonsgegevens worden verwerkt indien hiervoor ondubbelzinnige toestemming van het 9 lid is verkregen (artikel 8 onder a Wbp) of indien de
rechtspersonen, zoals de naam van een sportvereniging, worden (in beginsel) niet als persoonsgegeven aange7 merkt. De Wbp bevat speciale regels aangaande de verwerking van bepaalde gevoelige gegevens (artikel 16-23 Wbp). Het gaat dan bijvoorbeeld om gegevens betreffende iemands godsdienst of levensovertuiging, ras, seksuele voorkeur, gezondheid of strafrechtelijke gegevens. Het verwerken van deze gegevens is verboden. Soms is het echter nodig om bijzondere gegevens te verwerken. Zo zal een kerkgenootschap een ledenlijst moeten kunnen bijhouden, hetgeen automatisch met zich brengt dat de geloofsovertuiging van de leden wordt verwerkt. Voor veelvoorkomende gevallen heeft de wetgever per categorie bijzondere gegevens vastgesteld wanneer en onder welke voorwaarden de gegevens toch mogen worden verwerkt. Er zal al snel sprake zijn van de verwerking van persoonsgegevens. Het begrip ‘verwerking’ is in de Wbp namelijk gedefinieerd als elke handeling of elk geheel van handelingen met betrekking tot de persoonsgegevens (artikel 1 onder b Wbp). Hierbij kan gedacht worden aan het verzamelen, opslaan, bijwerken en bewaren van persoonsgegevens. Ook het wissen of vernietigen van persoonsgegevens wordt als ‘verwerken’ gezien. De meeste verplichtingen van de Wbp rusten op de ‘verantwoordelijke’. De verantwoordelijke is degene die het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt (artikel 1 onder d Wbp). Voor wat betreft de ledenadministratie van een sportvereniging zal de sportvereniging als de verantwoordelijke worden aangemerkt. Degene van wie de persoonsgegevens worden verwerkt, is de betrokkene, bij de ledenadministratie van een vereniging zijn dit de individuele leden. In het navolgende zal steeds van deze aanname worden uitgegaan. De ledenadministratie van sportverenigingen Bij het opzetten en bijhouden van de ledenadministratie, rusten op een sportvereniging op grond van de Wbp verschillende verplichtingen. Ik behandel hierna de belangrijkste verplichtingen waarmee een sportvereniging te maken krijgt. Allereerst moet de sportvereniging de persoonsgegevens van haar leden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerken (artikel 6
5.
6. 7.
8. 9.
78
gegevensverwerking noodzakelijk is ter uitvoering van het lidmaatschap van de vereniging (artikel 8 onder b Wbp), zoals de verwerking van betalingsgegevens voor de verenigingscontributie. Ook kunnen persoonsgegevens worden verwerkt indien de sportvereniging een gerechtvaardigd belang heeft om de gegevens te verwerken, dat groter is dan het privacybelang van de leden (artikel 8 onder f Wbp). Bepaalde delen van de ledenadministratie zullen vallen onder artikel 8 onder b Wbp terwijl andere delen van de ledenadministratie of verdere verwerkingen van de ledenlijsten onder de andere gronden kunnen worden geschaard. Voor alle verwerkingen geldt dat de eisen van proportionaliteit (staat het middel in verhouding tot het doel?) en subsidiariteit (is het resultaat op een andere, voor de betrokkene minder inbreuk makende wijze te bereiken?) steeds in acht moeten worden genomen. De persoonsgegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor zij zijn verkregen (artikel 9 Wbp). Ook moet de vereniging ervoor zorgen dat de persoonsgegevens goed worden beveiligd (artikel 13 Wbp). De sportvereniging moet als verantwoordelijke de leden informeren over de gegevensverwerkingen die plaatsvinden, zodat een lid gebruik kan maken van de rechten die hem onder de Wbp toekomen (artikel 33 Wbp). Kort gezegd moet een lid weten voor welke doeleinden zijn persoonsgegevens worden verwerkt. Als een sportclub bijvoorbeeld van plan is om de ledenlijst aan derden te verstrekken, dan dienen de leden hierover geïnformeerd te worden. Rechten van de leden De leden hebben verschillende rechten ten aanzien van de persoonsgegevens die over hen worden verwerkt. Op grond van het inzagerecht (artikel 35 Wbp) mag een lid aan de sportvereniging vragen of en welke persoonsgegevens er over hem worden verwerkt. De sportvereniging moet binnen vier weken op een dergelijk verzoek antwoorden. Indien uit de beantwoording van het verzoek blijkt dat er onjuiste gegevens van het lid worden ver-
Zie voor een uitgebreide toelichting op de uitleg van het begrip ‘persoonsgegeven’: Groep gegevensbescherming Artikel 29, Advies 4/2007 over het begrip persoonsgegeven, WP 136. Zie kritisch over het ‘oprekken’ van het begrip persoonsgegeven: N. Wolters Ruckert, ‘Het begrip “persoonsgegeven”. Een schaap in wolfskleren?’, Mediaforum 2012-1, p. 1. Kamerstukken II 1997/98, 25 892, nr. 3, p. 46. Indien in de naam van een rechtspersoon de namen van natuurlijke nog levende personen zijn verwerkt, kan het zijn dat de naam van de rechtspersoon toch als persoonsgegeven kan worden aangemerkt, zie Kamerstukken II 1997/98, 25 892, nr. 3, p. 47. Zie ook: Rb. Amsterdam 16 februari 2012, LJN BV6122, m.n. r.o. 4.8. Praktische informatie is te vinden op: www.mijnprivacy.nl/Vraag/persoonsgegevens_vereniging_kerk/Pages/verenigingofkerk.aspx. Bij leden jonger dan 16 jaar is in plaats van de toestemming van het lid de toestemming van zijn wettelijke vertegenwoordiger (meestal de ouder) vereist (zie artikel 5 Wbp).
Tijdschrift voor Sport & Recht 2012-3
Als je de sport beoefent, moet je de regels kennen: privacyrechtelijke aspecten van de ledenadministratie
werkt, dan kan het lid op grond van het correctierecht (artikel 36 Wbp) de sportvereniging verzoeken om de gegevens te verbeteren of aan te vullen. In bepaalde gevallen kan een lid ook verzet aantekenen tegen een verwerking van zijn persoonsgegevens door de sportvereniging (artikel 40 Wbp). Daarvan is bijvoorbeeld sprake bij het gebruik van zijn of haar persoonsgegevens voor directmarketingdoeleinden, hetgeen hierna nader wordt 10 uitgewerkt. Gebruik ‘kopietje paspoort’ Wanneer een lid zich bij een sportvereniging aanmeldt, wordt soms voor de ledenadministratie een ‘kopietje paspoort’ gevraagd. Dit is echter niet toegestaan. Een sportclub mag een nieuw lid wel verzoeken om zich te legitimeren, maar mag aan het lidmaatschap niet de voorwaarde verbinden dat het aspirant-lid een kopie van zijn of haar paspoort verstrekt. Wanneer een kopie van het paspoort wordt gemaakt, is sprake van de verwerking van persoonsgegevens. Zoals hierboven reeds uiteengezet, moet de sportvereniging hiervoor een juridische basis hebben. De juridische basis die het meest voor de hand ligt, is gelegen in het feit dat de verwerking van bepaalde gegevens benodigd is ter uitvoering van het lidmaatschap (artikel 8 onder b Wbp). De sportvereniging heeft niet alle gegevens nodig die op het paspoort vermeld staan. Daarnaast geldt dat op het paspoort het burgerservicenummer vermeld staat. Dit nummer mag alleen worden verwerkt indien hiervoor een wettelijke grondslag bestaat (artikel 24 Wbp). Het CBP heeft dan ook geoordeeld dat het maken van een kopie in dit soort 11 gevallen niet is toegestaan. De sportvereniging mag alleen de noodzakelijke gegevens van het paspoort overnemen. Het doel van het beperken van het gebruik van het ‘kopietje paspoort’ is erin gelegen dat het risico op identiteitsfraude door het lukraak kopiëren van paspoorten toeneemt. Aangezien het de taak is van de verantwoordelijke (de sportvereniging) om de persoonsgegevens adequaat te beveiligen en de vereniging ook aansprakelijk kan worden gehouden indien er gegevens worden gelekt, is het juist ook in het belang van de sportvereniging om geen paspoortkopiëen te verwerken. Momenteel wordt bovendien wetgeving voorbereid waarbij hoge boetes kunnen worden opgelegd in het ge12 val van datalekken. Verstrekken van gegevens uit de ledenadministratie Het kan handig zijn om de ledenlijsten aan de andere leden te verstrekken. Dit mag indien dit gebruikelijk is binnen de sportvereniging en de ledenvergadering een 13 positief besluit hierover heeft genomen. Hierbij geldt
natuurlijk dat dit een beperkte ledenlijst zal zijn, waarop alleen die gegevens vermeld staan die nodig zijn voor de leden om contact met elkaar op te kunnen nemen. De sportvereniging heeft dan een gerechtvaardigd belang om de ledenlijst te verstrekken. Binnen de vereniging mag de ledenlijst worden verstrekt aan de leden die de gegevens nodig hebben om bijvoorbeeld de contributiebetalingen te verzorgen. Deze lijst zal wellicht weer andere persoonsgegevens bevatten (zoals het rekeningnummer e.d. van het desbetreffende lid) dan de ledenlijst die aan de andere leden wordt verstrekt. De sportvereniging mag de (gegevens uit de) ledenadministratie niet zonder meer verstrekken aan personen of bedrijven buiten de vereniging. In bepaalde gevallen kan 14 de vereniging hier wettelijk toe verplicht zijn. In andere gevallen zal hiervoor eerst toestemming aan de leden moeten worden gevraagd. Wel is het zo dat indien het gebruikelijke activiteiten van de vereniging betreft of de ledenvergadering de activiteiten heeft goedgekeurd, geen expliciete toestemming aan de leden hoeft te worden gevraagd. Indien de vereniging de gegevens wil verstrekken voor directmarketingdoeleinden, dan moet de vereniging de leden hier eerst over informeren (bijvoorbeeld via de website of de clubnieuwsbrief) en alle leden de mogelijkheid hebben geboden om hiertegen verzet aan te tekenen. Een lid dat verzet aantekent hoeft niet aan te geven waarom hij niet wil dat zijn gegevens verstrekt worden. De vereniging moet dan direct stoppen met de verstrekking van zijn of haar gegevens aan derden voor directmarketingdoeleinden. In alle gevallen moeten de leden worden geïnformeerd dat de verstrekking plaatsvindt. Plaatsen van gegevens van leden op de verenigingswebsite Vaak willen sportverenigingen de gegevens van hun leden ook op de verenigingswebsite plaatsen. Dit is onder bepaalde voorwaarden toegestaan. Allereerst moet dit in de doelstellingen van de sportvereniging zijn opgenomen. De gegevens mogen dan op een afgeschermde internetpagina worden geplaatst waartoe alleen leden toegang hebben. Als iemand lid wordt van de vereniging kan aan hem een gebruikersnaam en wachtwoord voor de website worden verstrekt. Bij beëindiging van het lidmaatschap moet de gebruikersnaam worden geblokkeerd. Ook moeten de pagina’s met ledengegevens worden afgeschermd voor zoekmachines. Indien de ledenvergadering het verwerken van de gegevens op de website goedkeurt, dan hoeft aan de leden geen expliciete
10. Op www.mijnprivacy.nl zijn diverse voorbeeldbrieven te vinden die door leden gebruikt kunnen worden om hun rechten onder de Wbp uit te oefenen. 11. Zie: CBP Richtsnoeren Identificatie en Verificatie van persoonsgegevens. Gebruik van ‘kopietje paspoort’ in de private sector, juli 2012, te raadplegen op: www.cbpweb.nl/Pages/pb_20120712_gebruik-kopie-identiteitsbewijs.aspx. 12. Zie voor een toelichting: F.C. van der Jagt, ‘Iets te melden? De diverse datalekmeldplichten in kaart gebracht’, NJB 2012-25, p. 1713-1719. 13. Zie Informatieblad CBP nummer 30, Verstrekken gegevens uit ledenadministratie, februari 2011, te raadplegen op: www.cbpweb.nl/Pages/inf_va_ledenadministratie.aspx. 14. Hierbij kan gedacht worden aan artikel 47 Algemene wet inzake rijksbelastingen, op grond waarvan een belastinginspecteur alle gegevens mag opvragen die van belang zijn voor de belastingheffing. Let wel op de reikwijdte van de wettelijke bepaling c.q. welke gegevens daadwerkelijk verstrekt dienen te worden, zie ook CBP 16 februari 2000, z1999-00877 waarin een gemeente in het kader van een subsidieregeling geen ledenlijst van verenigingen mocht opvragen.
Tijdschrift voor Sport & Recht 2012-3
79
Als je de sport beoefent, moet je de regels kennen: privacyrechtelijke aspecten van de ledenadministratie 15
toestemming te worden gevraagd.
Wel kan een lid op
grond van het correctierecht van artikel 36 Wbp de vereniging vragen om zijn gegevens te verwijderen of af te schermen. Meldingsplicht Op grond van artikel 27 Wbp moet de verwerking van persoonsgegevens worden gemeld bij het CBP. De achtergrond van deze verplichting is dat een betrokkene dan in het onlinemeldingsregister kan zien dat er bepaalde gegevens over hem worden verwerkt. Het doet er niet toe op welke grondslag de verwerking gebaseerd is: het feit dat iemand toestemming heeft gegeven dat zijn gegevens worden verwerkt, betekent niet dat de verantwoordelijke niet meer hoeft te melden. Omdat per ‘soort’ verwerking gemeld moet worden, kan het zo zijn dat een vereniging meerdere meldingen moet verrichten. Er bestaan uitzonderingen op deze meldingsplicht. In het Vrijstellingsbesluit bij de Wbp zijn voor de meest voorkomende verwerkingen vrijstellingen van de mel16 dingsplicht geformuleerd. Artikel 3 van het Vrijstellingsbesluit bevat een vrijstelling voor verwerkingen van persoonsgegevens door verenigingen. Zo is er een vrijstelling voor het verwerken van persoonsgegevens van de leden op de website indien een beperkt aantal gegevens zoals opgesomd in het artikel worden verwerkt, de website een adequate toegangsbeveiliging heeft, afdoende is afgeschermd voor zoekmachines en de gegevens onverwijld worden verwijderd van de website als het lid hierom verzoekt. Ook mogen de gegevens niet langer dan twee jaar nadat het lidmaatschap van het lid is beëindigd, worden bewaard. Deze laatste regel geldt ten aanzien van alle verwerkingen van de ledenadministratie. Dit betekent niet dat de gegevens niet langer mogen worden bewaard. Soms kan er voor de vereniging een langere wettelijke bewaartermijn gelden. In andere gevallen kan de vereniging er een gerechtvaardigd belang bij hebben om de gegevens langer te bewaren. Deze verwerking kan dan niet meer onder de vrijstelling vallen en moet daarom worden aangemeld bij het CBP. Zwarte lijsten Vaak bestaat binnen verenigingen de wens om geroyeerde leden op een zwarte lijst te plaatsen of om met andere verenigingen een lijst op te stellen van ongewenste personen. Dit is niet zonder meer toegestaan, omdat de plaatsing op een dergelijke lijst voor de betrokkene grote gevolgen kan hebben. Indien een sportvereniging een zwarte lijst wil opstellen, dan moet de vereniging
allereerst aantonen dat zij hierbij een gerechtvaardigd belang heeft dat zwaarder weegt dan het belang van de betrokkenen van wie de privacy mogelijk geschonden wordt. Ook moeten de eisen van proportionaliteit en subsidiariteit in acht worden genomen. Op de website van het CBP is een checklist gepubliceerd die gebruikt 17 kan worden om een zwarte lijst op te stellen. De eisen die aan het opstellen van en werken met de zwarte lijst worden verbonden, hangen mede af van het feit of de vereniging de zwarte lijst gaat delen met derden. Indien dit laatste het geval is, dan moet ook een protocol worden opgesteld waarin wordt weergegeven op welke wijze 18 de gegevens verwerkt zullen worden. Hierbij gelden de overige bepalingen van de Wbp onverkort: dit betekent dat de betrokkene geïnformeerd moet worden over het feit dat hij op de zwarte lijst wordt geplaatst en dat hij zijn inzage- en correctierecht moet kunnen uitoefenen. Omdat bij het opstellen van een zwarte lijst veelal bijzondere persoonsgegevens worden verwerkt (strafrechtelijke gegevens of gegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag), moet ook worden gekeken of op een van de uitzonderingsgronden voor de verwer19 king van deze gegevens een beroep kan worden gedaan. De zwarte lijst moet altijd worden aangemeld bij het CBP (op basis van de meldplicht van artikel 27 Wbp). Indien de zwarte lijst ook gedeeld wordt met derden, zal het CBP een voorafgaand onderzoek instellen. Het CBP verricht dit onderzoek omdat er sprake is van een risicovolle verwerking. De gegevens worden immers met derden gedeeld en daarbij worden er strafrechtelijke gegevens of gegevens over onrechtmatig gedrag verwerkt. Pas als het CBP het voorafgaand onderzoek heeft afgerond en een rechtmatigheidsverklaring heeft afgegeven, kan de zwarte lijst worden gebruikt. Het is ook mogelijk om deel te nemen aan een bestaande zwarte lijst. Op de website van het CBP is een overzicht van alle goedgekeurde zwarte lijsten met bijbehorende 20 protocollen te vinden. Voor deelname aan een bestaande zwarte lijst moet wel een melding bij het CBP worden verricht, maar hoeft geen voorafgaand onderzoek meer plaats te vinden. Op sportgebied bestaat er onder de verantwoordelijkheid van het NOC*NSF een zwarte lijst waarop personen vanaf 16 jaar worden geregistreerd, waarvan via het (sport-) klachtrecht is vastgesteld dat zij zich schuldig hebben gemaakt aan vormen van seksuele intimidatie en strafbare gedragingen binnen sportorganisaties. Het CBP heeft deze zwarte lijst met het bijbehorende protocol goedge-
15. Zie nota van toelichting bij het Vrijstellingsbesluit, Stb. 2012, 90, p. 16. 16. Besluit van 7 mei 2001, houdende aanwijzing van verwerkingen van persoonsgegevens die zijn vrijgesteld van de melding bedoeld in artikel 27 van de Wet bescherming persoonsgegevens, Vrijstellingsbesluit Wbp, Stb. 2001, 250 laatstelijk gewijzigd door Besluit van 5 maart 2012 tot wijziging van het Besluit kostenvergoeding rechten betrokkene Wbp, het Meldingsbesluit Wbp en het Vrijstellingsbesluit Wbp in verband met vermindering van administratieve lasten (Stb. 2012, 90). Het gewijzigde Vrijstellingsbesluit is per 1 juli 2012 in werking getreden. 17. Zie: www.CBPweb.nl/Pages/div_checklist_zwarte_lijsten.aspx. 18. Het CBP heeft een handleiding over de formele en inhoudelijke eisen opgesteld: www.cbpweb.nl/Pages/handleiding-protocol-zwarte-lijst.aspx. 19. Zie artikel 22 en 23 Wbp. 20. Zie: www.cbpweb.nl/Pages/ind_reg_zwl.aspx.
80
Tijdschrift voor Sport & Recht 2012-3
Als je de sport beoefent, moet je de regels kennen: privacyrechtelijke aspecten van de ledenadministratie 21
keurd.
Deelname aan het registratiesysteem is mogelijk
voor alle officieel bij het NOC*NSF aangesloten bonden 22 en verenigingen. Tot slot De naleving van de privacyregels is van het grootste belang. In de media is er steeds meer aandacht voor privacy en het niet-naleven van de regels kan tot grote reputatieschade leiden. Ook kan het CBP bij overtreding van de regels een bestuurlijke boete (momenteel van maximaal € 4500), een strafrechtelijke sanctie (momenteel een boete van maximaal € 19 500 of een gevangenisstraf van zes maanden) of een last onder dwangsom opleggen. Een lek in de ledenadministratie kan in de toekomst mogelijk zelfs met een bestuursrechtelijke boete van € 200 000 worden gesanctioneerd. Ook vanuit Europa is strenge wetgeving ophanden. Daarom: zorg dat uw vereniging niet 1-0 achter komt te staan en scoor met een ledenadministratie die privacyrechtelijk door de beugel kan!
21. Besluit voorafgaand onderzoek ‘registratiesysteem in de sport’, 3 juli 2008, z2007-00873. Het besluit is samen met het bijbehorende protocol te vinden op: www.cbpweb.nl/Pages/zwl_nocnsf.aspx. 22. Zie pagina 5 van het protocol.
Tijdschrift voor Sport & Recht 2012-3
81
