Privacyrecht en sport: overzicht wetgeving, guidelines, richtlijnen, beleid, etc.

Als je als sportbond, sportvereniging, trainer/coach, sporter, bestuurder of bijvoorbeeld supporter rekening wilt houden met de privacy van jezelf of van anderen, dan ontkom je natuurlijk niet aan het privacyrecht. Maar hoe zit het privacyrecht nu precies in elkaar? Dat is nog best een lastige en veelomvattende vraag om te beantwoorden (en helaas ontbreekt mij de tijd om dit hier te beschrijven. Het is in ieder geval meer dan de AVG.

Om je toch op pad te helpen, vind je ter inspiratie op deze pagina een overzicht van de belangrijkste / meest terugkerende regelingen, richtlijnen, beleidsregels e.d. die voor de sportsector relevant zijn of waren. Ben ik volledig? Zeker niet. En afhankelijk van de kwestie kunnen andere regels van toepassing zijn (bijvoorbeeld oud recht).

Lees zeker eerst de disclaimer!

Mis je echter een belangrijk of interessant document dat hier ook geplaatst moet worden, dan hoor ik het graag.

Universele verklaringen / Handvest / Grondwet

• Universele Verklaring van de Rechten van de Mens (met name artikelen 12, 19 en 29, lid 2) 
• Internationaal Verdrag inzake burgerrechten en politieke rechten (met name artikel 17) 
• Handvest van de grondrechten van de Europese Unie (met name artikel 8)
  
• Grondwet (met name artikel 10) 
  

 

Wet- en regelgeving

Startpunt: de Europese verordening die rechtstreeks van toepassing is in Nederland

• AVG: De Algemene verordening gegevensbescherming
  
• Officiële vindplaats Nederlandse versie: EUR-LEX: AVG
  
• Toegankelijke variant Nederlandse versie: AVGB.NL
• Officiële vindplaats Engelstalige versie: EUR-LEX: GDPR
  
• Toegankelijke variant Engelstalige versie: GDPR

Nederland: de AVG laat ruimte voor landen om op bepaalde onderwerpen een eigen, nationale invulling te geven. Deze vind je hier:

• Uitvoeringswet Algemene Verordening gegevensbescherming 
• wetsgeschiedenis: Kamerstukken: dossiernummer 34851
  
• Gedelegeerde regelgeving AVG / uAVG
• Boetebeleidsregels Autoriteit Persoonsgegevens 2023
• Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is

 
Overige wetten voor specifieke gegevensverwerking (vaak minder relevant):

• Wet justitiële en strafvorderlijke gegevens: deze wet regelt de verwerking door Justitie van justitiële gegevens in persoonsdossiers, de VOG en van strafvorderlijke gegevens.
• Wet basisregistratie personen: deze wet regelt hoe onder meer hoe gemeenten persoonsgegevens moeten verwerken in de basisregistratie personen (BRP)
  
• Burgerlijk Wetboek, boek 7, artikel 459: het recht op privacy bij uitvoering geneeskundige behandelovereenkomst
  
• Wet op de medische keuringen, artikel 3: het recht op privacy bij medische keuringen
  

Indirect:

• Algemene wet bestuursrecht (Awb): van toepassing op besluiten van de AP
• Wet uitvoering antidopingbeleid
• Bestuursreglement Dopingautoriteit 
  

Nog niet van kracht:

• Wet gegevensverwerking door samenwerkingsverbanden
• Kamerstukken: dossiernummer 35447
  
• wetgevingskalender
  
• stand van zaken: Eerste Kamer
  

Guidelines European Data Protection Board (EDPB)

In de EDPB zijn de Europese toezichthouders - waaronder de Nederlandse Autoriteit Persoonsgegeven - verenigd. Een van de taken die ze verrichten is het geven van helderheid over hoe aan bepaalde onderwerpen inhoud wordt gegeven. Hiertoe geven zij in de vorm van guidelines (richtsnoeren) aanbevelingen uit (ook relevant voor het CIPP/E-examen).

 

Met de guidelines wordt de AVG op punten verduidelijkt met als doel het gemeenschappelijk begrip van de EU-gegevensbeschermingswetten te bevorderen. Ook al hebben deze richtsnoeren juridisch nog geen formele zeggingskracht (zo zullen advocaten zeggen), in de praktijk hebben ze zeker een duidelijke (sturende) waarde.

Op deze pagina van de AP vind je alle EDPB-Guidelines (in het Nederlands en Engels). 

Ook bij de EDPD vind je ze terug.

Voorbeelden van relevante guidelines (maar check altijd even of je de laatste versie hebt en niet bijvoorbeeld de draft-versie):

• Richtsnoeren inzake de verwerking van persoonsgegevens door middel van videoapparatuur
• Richtsnoeren voor de berekening van administratieve geldboeten krachtens de AVG
• Richtsnoeren over de rechten van betrokkenen — Recht van inzage 
  
• Richtsnoeren betreffende de targeting van gebruikers van sociale media
• Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679
   
  

Oude richtlijnen Artikel 29 werkgroep

De voorloper - voor 25 mei 2018 - van de EDPB was de Artikel 29 werkgroep. Ook deze werkgroep - ook wel de Groep Gegevensbescherming Artikel 29 genoemd - gaf als onafhankelijke werkgroep aan bepaalde onderwerpen meer duidelijkheid door het uitdoen van richtlijnen. Ondanks de komst van de AVG zijn een groot aantal hiervan nog steeds relevant voor onder de AVG (een aantal zijn opnieuw uitgegeven als EDPB richtsnoer).

Alle gearchiveerde stukken van de Artikel 29 Werkgroep kunnen hier gevonden worden. 

De belangrijkste richtlijnen:

• WP 242 rev.01 Richtlijnen inzake het recht op gegevensoverdraagbaarheid
• WP 243 rev.01 Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO)
• WP 244 rev.01 Richtlijnen voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker
• WP 248 rev.01 Richtlijnen voor gegevensbeschermingseffectbeoordelingen (DPIA) en bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt"
• WP 250 rev.01 Richtlijnen voor de melding van inbreuken in verband met persoonsgegevens
• WP 259 rev.01 Richtlijnen inzake toestemming
• WP 260 rev.01 Richtlijnen inzake transparantie

Normuitleg Autoriteit Persoonsgegevens

Van belangrijkste begrippen / kwesties geeft de Autoriteit Persoonsgegevens soms een normuitleg. Maar let op: dat de AP een bepaalde duiding geeft, wil nog niet zeggen dat een rechter hier per definitie in meegaat.  Soms is de uitleg van de AP mogelijk beperkter of ruimer dan wat juridisch houdbaar is.

• Normuitleg AP over intrekken van toestemming bij cookiebanners (01-03-2024)

 

Beleidsregels Autoriteit Persoonsgegevens

Omdat het niet altijd duidelijk is hoe je bepaalde begrippen moet uitleggen of toepassen, heeft de AP ook in het verleden - voordat de AVG van kracht ging - over bepaalde onderwerpen beleidsregels gepubliceerd. Daarvoor werden dit richtsnoeren genoemd. Deze beleidsregels kunnen ook nu nog sportorganisaties soms helpen hoe bepaalde begrippen te interpreteren. Maar let op: deze beleidsregels zijn niet bindend. Daarnaast kunnen ontwikkelingen (denk aan de komst van de AVG, rechterlijke uitspraken, technologische ontwikkelingen, e.d.) de beleidsregels dus deels achterhaald maken.

• 07/2017 - Werken met patiëntgegevens in de cloud (praktijkgids)
• 12/2016 - Machtigingsvereiste zorgpolis
• 04/2016 - De zieke werknemer
• 01/2016 - Cameratoezicht
• 12/2015 - Meldplicht datalekken (maar zie voor actuele informatie de meldplicht datalekken Meldplicht datalekken
• 02/2013 - Beveiliging van persoonsgegevens
• 07/2012 - Kopie identiteitsbewijs
• 08/2009 - Openbaarmaking van overheidsinformatie
• 07/2009 - Toepassing van ANPR door de politie
• 07/2009 - Informatieplicht basisscholen onderwijskundig rapport
• 12/2007 - Publicatie van persoonsgegevens op internet
  
  
  

ISO en andere (soms) relevante normen

• ISO/IEC 27001 - Informatiebeveiliging, cybersecurity en bescherming van de privacy – Managementsysteem voor informatiebeveiliging – Eisen
• ISO/DIS 31700 Consumer protection — Privacy by design for consumer goods and services
• NEN-EN 17529 - Data protection and privacy by design and by default
• ISO 15489 Informatie en documentatie - Informatie- en archiefmanagement - Deel 1: Concepten en uitgangspunten
• ISO/IEC 25012 - Software engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Data quality model
  
  

Jurisprudentie

Ook jurisprudentie - uitspraken van rechters - kan tot slot relevant zijn. Rechtspraak.nl geeft toegang hiertoe (of als je hier rechten voor hebt via bijvoorbeeld Kluwer InView (voorheen Navigator) of Legal Intelligence). Zie ook deze aparte pagina met rechtspraak op het gebied van sport en privacy.