Privacyrecht en sport: overzicht wetgeving, guidelines, richtlijnen, beleid, etc.

Als je als sportbond, sportvereniging, trainer/coach, sporter, bestuurder of bijvoorbeeld supporter rekening wilt houden met de privacy van jezelf of van anderen, dan ontkom je natuurlijk niet aan het privacyrecht. Maar hoe zit het privacyrecht nu precies in elkaar? Dat is nog best een lastige en veelomvattende vraag om te beantwoorden. Het is in ieder geval meer dan de AVG. 

Om je toch op pad te helpen, vind je op deze pagina een overzicht van de belangrijkste / meest terugkerende regelingen, richtlijnen, beleidsregels e.d. die voor de sportsector relevant zijn. Of in een kort verleden golden en voor oude casuïstiek nog relevant is.

Is onderstaand overzicht volledig? Zeker niet. En afhankelijk van de kwestie kunnen andere regels van toepassing zijn (bijvoorbeeld dus oud recht).

Mis je een belangrijke of interessante regeling die ook hier geplaatst moet worden, dan laat het maar weten.

Universele verklaringen / Handvest / Grondwet

• Universele Verklaring van de Rechten van de Mens (met name artikelen 12, 19 en 29, lid 2) 
• Internationaal Verdrag inzake burgerrechten en politieke rechten (met name artikel 17) 
• Handvest van de grondrechten van de Europese Unie (met name artikel 8)
  
• Grondwet (met name artikel 10, 11 en 12) 
  

 

Wet- en regelgeving

Startpunt: de Europese verordening die rechtstreeks van toepassing is in Nederland

• AVG: De Algemene verordening gegevensbescherming
  
• Officiële vindplaats Nederlandse versie: EUR-LEX: AVG
  
• Toegankelijke variant Nederlandse versie: AVGB.NL
• Officiële vindplaats Engelstalige versie: EUR-LEX: GDPR
  
• Toegankelijke variant Engelstalige versie: GDPR

Nederland: de AVG laat ruimte voor landen om op bepaalde onderwerpen een eigen, nationale invulling te geven. Deze vind je hier:

• Uitvoeringswet Algemene Verordening gegevensbescherming 
• wetsgeschiedenis: Kamerstukken: dossiernummer 34851
  
• Gedelegeerde regelgeving AVG / uAVG
• Boetebeleidsregels Autoriteit Persoonsgegevens 2023
• Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is

 
Overige wetten / richtlijnen voor specifieke gegevensverwerking:

• Doping
• Wet uitvoering antidopingbeleid
• Met name het Advies Afdeling Advisering Raad van State en nader rapport is interessant als je meer wilt weten van de grondslag discussie wat betreft de gegevensverwerking van de Dopingautoriteit. Zie voor alle publicaties / Kamerstukken dossier 34543.
• Bestuursreglement Dopingautoriteit
• Nationaal dopingreglement (ISR 2025) 
• Beheerregeling Documentaire Informatie (DI) Dopingautoriteit 2019 
• Overige (en geactualiseerde) regelingen via de Dopingautoriteit 
• WADA (zie ook het WADA zelf voor de meest actuele recources)
• World Anti-Doping code
• The World Anti-Doping Code International Standard for the Protection of Privacy and Personal Information (ISPPPI)   

• Wet justitiële en strafvorderlijke gegevens: deze wet regelt de verwerking door Justitie van justitiële gegevens in persoonsdossiers, de VOG en van strafvorderlijke gegevens.
• Burgerlijk Wetboek, boek 7, artikel 459: het recht op privacy bij uitvoering geneeskundige behandelovereenkomst
• Wet op de medische keuringen, artikel 3: het recht op privacy bij medische keuringen

Indirect:

• Algemene wet bestuursrecht (Awb): bijvoorbeeld van toepassing op besluiten van de Autoriteit Persoonsgegevens (AP)

Guidelines European Data Protection Board (EDPB)

In de EDPB zijn de Europese toezichthouders - waaronder de Nederlandse Autoriteit Persoonsgegeven - verenigd. Een van de taken die ze verrichten is het geven van helderheid over hoe aan bepaalde onderwerpen inhoud wordt gegeven. Hiertoe geven zij in de vorm van guidelines (richtsnoeren) aanbevelingen uit (ook relevant voor bijvoorbeeld het CIPP/E-examen).

 

Met de guidelines wordt de AVG op punten verduidelijkt met als doel het gemeenschappelijk begrip van de EU-gegevensbeschermingswetten te bevorderen. Ook al hebben deze richtsnoeren juridisch nog geen formele zeggingskracht (zo zullen advocaten zeggen), in de praktijk hebben ze zeker een duidelijke (sturende) waarde.

Op deze pagina van de AP vind je alle EDPB-Guidelines (in het Nederlands en Engels). 

Ook bij de EDPD vind je ze terug.

Voorbeelden van relevante guidelines (maar check altijd even of je de laatste versie hebt en niet bijvoorbeeld de draft-versie):

• Richtsnoeren inzake de verwerking van persoonsgegevens door middel van videoapparatuur
• Richtsnoeren voor de berekening van administratieve geldboeten krachtens de AVG
• Richtsnoeren over de rechten van betrokkenen — Recht van inzage 
  
• Richtsnoeren betreffende de targeting van gebruikers van sociale media
• Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679
• Ook interessant: Aanbevelingen 1/2025 over de wereldantidopingcode 2027 van het WADA 
   
  

Oude richtlijnen Artikel 29 werkgroep

De voorloper - voor 25 mei 2018 - van de EDPB was de Artikel 29 werkgroep. Ook deze werkgroep - ook wel de Groep Gegevensbescherming Artikel 29 genoemd - gaf als onafhankelijke werkgroep aan bepaalde onderwerpen meer duidelijkheid door het uitdoen van richtlijnen. Ondanks de komst van de AVG zijn een groot aantal hiervan nog steeds relevant voor onder de AVG (een aantal zijn opnieuw uitgegeven als EDPB richtsnoer).

Alle gearchiveerde stukken van de Artikel 29 Werkgroep kunnen hier gevonden worden. 

De belangrijkste richtlijnen:

• WP 242 rev.01 Richtlijnen inzake het recht op gegevensoverdraagbaarheid (is oude link, dus check het internetarchief)
• WP 243 rev.01 Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO)
• WP 244 rev.01 Richtlijnen voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker
• WP 248 rev.01 Richtlijnen voor gegevensbeschermingseffectbeoordelingen (DPIA) en bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt"
• WP 250 rev.01 Richtlijnen voor de melding van inbreuken in verband met persoonsgegevens
• WP 259 rev.01 Richtlijnen inzake toestemming (oude link AP voor raadplegen via internetarchief)
• WP 260 rev.01 Richtlijnen inzake transparantie

Normuitleg Autoriteit Persoonsgegevens

Van belangrijkste begrippen / kwesties geeft de Autoriteit Persoonsgegevens soms een normuitleg. Maar let op: dat de AP een bepaalde duiding geeft, wil nog niet zeggen dat een rechter hier per definitie in meegaat.  Soms is de uitleg van de AP mogelijk beperkter of ruimer dan wat juridisch houdbaar is.

• Normuitleg AP over intrekken van toestemming bij cookiebanners (01-03-2024)

 

Beleidsregels Autoriteit Persoonsgegevens

Omdat het niet altijd duidelijk is hoe je bepaalde begrippen moet uitleggen of toepassen, heeft de AP ook in het verleden - voordat de AVG van kracht ging - over bepaalde onderwerpen beleidsregels gepubliceerd. Daarvoor werden dit richtsnoeren genoemd. Deze beleidsregels kunnen ook nu nog sportorganisaties soms helpen hoe bepaalde begrippen te interpreteren. Maar let op: deze beleidsregels zijn niet bindend. Daarnaast kunnen ontwikkelingen (denk hierbij zeker aan de komst van de AVG, rechterlijke uitspraken, technologische ontwikkelingen, e.d.) de beleidsregels dus (deels) achterhaald maken.

• 07/2017 - Werken met patiëntgegevens in de cloud (praktijkgids)
• 12/2016 - Machtigingsvereiste zorgpolis
• 04/2016 - De zieke werknemer
• 01/2016 - Cameratoezicht
• 12/2015 - Meldplicht datalekken (maar zie voor actuele informatie de meldplicht datalekken Meldplicht datalekken
• 02/2013 - Beveiliging van persoonsgegevens
• 07/2012 - Kopie identiteitsbewijs
• 08/2009 - Openbaarmaking van overheidsinformatie
• 07/2009 - Toepassing van ANPR door de politie
• 07/2009 - Informatieplicht basisscholen onderwijskundig rapport
• 12/2007 - Publicatie van persoonsgegevens op internet
  
  
  

ISO en andere (soms) relevante normen

• ISO/IEC 27001 - Informatiebeveiliging, cybersecurity en bescherming van de privacy – Managementsysteem voor informatiebeveiliging – Eisen
• ISO/DIS 31700 Consumer protection — Privacy by design for consumer goods and services
• NEN-EN 17529 - Data protection and privacy by design and by default
• ISO 15489 Informatie en documentatie - Informatie- en archiefmanagement - Deel 1: Concepten en uitgangspunten
• ISO/IEC 25012 - Software engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Data quality model
  
  

Jurisprudentie

Ook jurisprudentie - uitspraken van rechters - kan tot slot relevant zijn. Rechtspraak.nl geeft toegang hiertoe (of als je hier rechten voor hebt via bijvoorbeeld Kluwer InView (voorheen Navigator) of Legal Intelligence). Zie ook deze aparte pagina met rechtspraak op het gebied van sport en privacy.