Op deze pagina verzamel ik voorbeelden afkomstig van sportverenigingen of sportclubs van documenten die de AVG voorschrijft of voorstelt. Soms zullen het voorbeelden zijn van hoe het moet, soms ook juist van hoe het niet moet. 

 

Privacybeleid

Het privacybeleid van sportvereniging AV34 uit Apeldoorn werd in 2018 gezien als een goed voorbeeld van hoe je als sportclub inzicht kunnen geven in wat je met persoonsgegevens doet. Het beleid verdient misschien nu wel een (kleine) update maar het is wat mij betreft zeker het bestuderen waard. Dat bijvoorbeeld ook verwerkingsregister (zie artikel 30 AVG) online staat, zie je niet vaak (al verdient deze ook nog wel aandacht). Misschien is het niet volledig (en nu 8 jaar later mogelijk gedateerd), maar voor een gemiddelde sportvereniging geeft dit een prima basis.


Omgaan met een cyberaanval / hack

Misschien meer relevant voor security-officers, maar de reactie van de Maastricht University op de cyberaanval / hack die ze in 2019 hebben moeten meemaken, wordt - als het gaat over transparantie - vaak als voorbeeld genoemd. Met name dit rapport wordt gewaardeerd.

 

Opstellen DPIA

Als sprake is een verhoogd privacyrisico dan ben je als sportorganisatie verplicht een DPIA (Data Protection Impact Assessment) uit te voeren. In het Nederlands wordt dit een gegevensbeschermingseffectbeoordeling (GEB) genoemd, maar dit begrip wordt in de praktijk niet echt gebruikt. Het model dat de rijksoverheid heeft opgesteld, wordt binnen de privacysector vaak als voorbeeld genomen om te hanteren. Dit kan dan worden aangevuld met specifieke elementen gericht op e sportorganisatie en gegevensverwerking. Meer informatie over dit model vind je hier. Het model vind je hier (pdf, maar check even of je de laatste versie hebt).