GDPR en ledenadministratie: minimumeisen voor voetbalclubs

Wat zegt de GDPR?

De Algemene Verordening Gegevensbescherming (AVG / GDPR) is sinds 2018 van kracht. Voor verenigingen — inclusief jeugd-voetbalclubs — gelden in essentie dezelfde regels als voor bedrijven:

• Rechtmatigheid: er moet een grondslag zijn (toestemming, contract, gerechtvaardigd belang, ...)
• Doelbinding: gegevens enkel gebruiken voor het doel waar ze voor verzameld zijn
• Minimalisatie: niet meer verzamelen dan nodig
• Juistheid: data up-to-date houden
• Opslagbeperking: niet langer bewaren dan nodig
• Beveiliging: passende technische en organisatorische maatregelen

Voor minderjarigen gelden extra regels — toestemming moet via de ouder/voogd, en bij online-diensten is de leeftijdsgrens in België 13 jaar.

Wat verwerkt een voetbalclub typisch?

Voor elk van deze moet helder zijn: waarom verzamel ik dit, hoe lang bewaar ik het, wie heeft toegang?

De drie minimumvereisten voor elke club

1. Privacy-verklaring (notificatieplicht)

Een toegankelijk document op de website dat uitlegt:

• Welke data je verwerkt
• Voor welk doel
• Op welke grondslag
• Hoe lang je het bewaart
• Wie de ontvangers zijn (KBVB, sponsoren, etc.)
• Welke rechten leden hebben (inzage, correctie, verwijdering)
• Contact: een verantwoordelijke met naam en e-mail

Belgische DPA biedt voorbeelden voor verenigingen.

2. Verwerkingsregister

Een interne lijst van alle verwerkingen. Voor verenigingen meestal eenvoudig: één spreadsheet met de tabellen hierboven, plus eventueel toegang-rechten. Niet verplicht voor zeer kleine organisaties, wel sterk aanbevolen.

3. Toestemming voor foto's en social media

Specifiek voor foto's en video's bij jeugdactiviteiten geldt: expliciete toestemming, ondertekend door de ouder. Bij voorkeur:

• Apart formulier
• Onderscheid: foto's intern (clubblad, app) vs. extern (Facebook, Instagram, krant)
• Recht om in te trekken

Een algemeen "lid worden = toestemming voor alles" voldoet niet meer aan GDPR-vereisten.

Praktische valkuilen

WhatsApp-groepen.

Veel clubs gebruiken WhatsApp voor team-communicatie. Vanuit GDPR-perspectief problematisch:

• Telefoonnummers worden gedeeld met alle leden
• Berichten gaan via servers in VS
• Geen audit-trail
• Geen recht op verwijdering bij vertrek

Alternatieven: Squadra (eigen platform), Signal (Europees), of bewust gestructureerde mailgroep. Veel jeugdclubs schakelen over.

E-mailadressen in CC.

Een ouderlijst e-mailen met alle adressen in CC = gegevenslek. Gebruik BCC.

Spreadsheets op privé-Google-accounts.

Lidmaatschapdata in een Google Sheet op het persoonlijke account van de secretaris is risicovol. Gebruik club-account, met expliciete toegangsbeperking en wachtwoord.

Foto's op publieke Facebook-pagina van team.

Vaak zonder expliciete toestemming. Risico bij klacht: forse bestraffing van de DPA.

De rol van Squadra

Squadra is gebouwd met GDPR in gedachten:

• Datacenter in Europa
• Toegangsbeheer per rol (coach ziet eigen team, niet andere clubs)
• Recht op verwijdering ondersteund
• Logs van wie wat zag
• Geen gegevens verkocht of gedeeld voor reclame

Voor clubs: dat verschuift veel administratie-werk weg van het privé-GMail-account van de secretaris.

Bij een gegevenslek

Als er gegevens uitlekken (lijst gepubliceerd, mail naar verkeerde mensen, server gehackt):

1. Binnen 72 uur melden bij de Gegevensbeschermingsautoriteit
2. Bij hoog risico: ook leden persoonlijk informeren
3. Inschatten welke data, hoeveel personen, welk risico
4. Maatregelen om herhaling te voorkomen

Niet melden = boete-risico. Wel melden = vaak alleen waarschuwing.

Take-aways

• GDPR vraagt: privacy-verklaring, register, expliciete toestemming voor foto's
• WhatsApp-groepen voor jeugd-club: GDPR-grijs gebied; alternatief overwegen
• E-mailadressen altijd in BCC, nooit CC
• Bij lek: 72 uur melden bij DPA