Het voetbalseizoen loopt stilaan op z’n einde. Enkel bij Zulte-Waregem en KRC Genk moeten ze nog even wachten op een welverdiende vakantie. En terwijl onze Rode Duivels – Radja uitgezonderd – zich mentaal al voorbereiden op het WK in Rusland, kijken voetbalclubs van alle niveaus al uit naar het komende seizoen. Dat er vandaag een nieuwe privacywetgeving in werking treedt, is voor velen onder hen waarschijnlijk het minste van hun zorgen. En toch. De Algemene Verordening Gegevensbescherming (AVG, of GDPR in het Engels) brengt wel degelijk het één en ander teweeg in de voetbalwereld.

WAT BETEKENT GDPR VOOR JOUW CLUB?
De GDPR treft alle ondernemingen die in aanraking komen met persoonsgegevens van EU-onderdanen. Dat een voetbalclub een onderneming is als alle andere, hoeft geen betoog meer. Dat stafleden binnen zo’n club op dagelijkse basis in aanraking komen met een veelheid aan persoonlijke informatie van spelers, leden, supporters, evenmin. Je hoeft er dus niet aan te twijfelen, de GDPR is van toepassing op álle voetbalclubs. Ja, SK Kemzeke uit Vierde Provinciale E in Oost-Vlaanderen, ik heb het ook tegen jou.

Uiteraard zullen de verplichtingen voor een grote club zwaarder zijn dan voor een kleinere club. Waar een RSCA Anderlecht over een uitgebreide mailinglijst beschikt van fans en volgers, zal die bij de lokale amateurclub waarschijnlijk iets bescheidener zijn qua omvang. Een grote club heeft een grotere fanbase, maar ook meer stafleden en meer spelers (eerste, tweede, derde reserven). Toch beschikken ook de clubs in de provinciale reeksen over een jeugdwerking en houden zij evengoed persoonsgegevens van bestuursleden en vrijwilligers bij. De hoeveelheid data waarover een voetbalclub beschikt, valt – ook op amateurniveau – niet te onderschatten.

Het spreekt voor zich dat – in het bijzonder de professionele – voetbalclubs een enorme waarde hechten aan deze data. Door deze data te analyseren, kunnen ze betere resultaten boeken en mooiere transfers realiseren. Hoe professioneler de club, hoe uitgebreider de spelersfiche. Een club weet soms meer over een speler dan wat deze over zichzelf weet: het aantal gespeelde minuten, het aantal gewonnen duels, hoe blessuregevoelig die is, of die last heeft van eventuele hartproblemen, enz. Vele clubs hebben deze informatie ondertussen ook online gestockeerd, wat de kans reëler maakt dat deze – soms gevoelige – informatie in de verkeerde handen valt (een zogenaamd ‘datalek’). Wees er maar zeker van: hackers en ander gespuis zijn uit op deze erg waardevolle data.

De GDPR vraagt bovenal om een mentaliteitswijziging. Clubs moeten voorzichtig omspringen met de data die ze hebben. Wat we nu zien is dat sommige clubs de persoonlijke gegevens van hun spelers online te grabbel gooien. Zonder namen te noemen, zien we websites waarop bijvoorbeeld thuisadres en geboortedatum van de speler, maar ook de gsm-nummers van de ouders vrolijk gedeeld worden met wie het maar wil weten. Voor zover dit in het verleden al niet echt getuigde van eerbied voor het privé- en gezinsleven van de speler, zal dit onder de GDPR niet langer geduld worden. Een nieuw tijdperk is aangebroken waarin ondernemingen (zoals voetbalclubs) die het niet nauw nemen met de privacy van hun spelers, stafleden en supporters, gesanctioneerd kunnen worden. Boetes zijn er uiteraard enkel voor zij die niet kunnen aantonen dat ze de nodige inspanningen geleverd hebben om GDPR-conform te zijn.

WELKE MAATREGELEN KAN ONZE CLUB NEMEN?
De vraag die elke club zich dus moet stellen, is: hoe worden wij GDPR-conform? Hier kunnen we de verplichtingen onder de GDPR onderverdelen in vier grote categorieën:

1. Juridisch
Het zal eerst en vooral taak zijn de nodige ‘toestemmingen’ te bekomen. Als club heb je het akkoord nodig van een speler (of zijn/haar ouders) om bepaalde gegevens over hem/haar bij te houden. Bovendien moet je elke persoon waarvan je gegevens verzamelt via een ‘Privacyverklaring’ laten weten waarom je die gegevens nodig hebt (bijv. om de gezondheid van de speler te kunnen garanderen) en wat je met die gegevens van plan bent (geef je ze bijv. door aan andere clubs?). Verder moet je ook een dataregister opstellen en zorgvuldig bijhouden (wat weten we allemaal over onze spelers, stafleden en supporters?). Ten slotte zal je ook verwerkersovereenkomsten moeten afsluiten met zogenaamde ‘verwerkers’. Dit zijn derde partijen die je inschakelt om – volgens jouw instructies – bepaalde gegevens bij te houden. Denk hier bijvoorbeeld aan software tools die de club intern gebruikt om spelersontwikkeling in kaart te brengen, maar ook aan een MailChimp waarmee je nieuwsbrieven uitstuurt naar abonnees. Belangrijk is dat dergelijke verwerkers de nodige garanties kunnen bieden op het vlak van bescherming van persoonsgegevens.

2. Technische beveiligingsmaatregelen (IT)
Het betreft hier technische maatregelen die de toegangsbeveiliging tot gevoelige documenten en databases verhoogt. Denk bijvoorbeeld aan het verplichten van wachtwoorden op smartphones en laptops (eventueel zelfs met two factor authentication), het installeren van antivirussoftware, etc. Ook moet het technisch mogelijk zijn om op vraag van een speler, staflid of supporter zijn of haar data te exporteren, aan te passen of te verwijderen.

3. Organisatorische beveiligingsmaatregelen
Hier gaat het om alle interne maatregelen en procedures die kunnen geïnstalleerd worden om een datalek te voorkomen of een datalek aan te pakken. Meestal worden hiervoor de nodige interne gedragsregels en procedures uitgewerkt, bijv. in de vorm van een ‘intern databeleid’ (hoe gaan we binnen de onderneming om met gegevens?) en een ‘actieplan datalek’ (wat doen we als er – ondanks de genomen maatregelen – toch een datalek plaatsvindt?).

4. Opleiding stafleden
Alle stafleden en vrijwilligers die toegang hebben tot persoonlijke spelersdata dienen geïnformeerd en opgeleid te worden omtrent de nieuwe privacywetgeving. Dit kan bijv. via praktijkgerichte workshops. Verder wordt er bij voorkeur iemand aangeduid binnen de onderneming (of eventueel extern) die de controle op de bescherming van de persoonsgegevens op zich neemt.

IS JOUW CLUB GDPR-READY?
Het antwoord hangt hier af van hoe de club zijn administratie beheert. Gebeurt dit met papieren kaften en Excel-bestanden, dan kan er bijv. een elektronische kluis aangeschaft worden voor gevoelige documenten of kunnen Excel-bestanden beschermd worden met een uniek paswoord. Maakt de club daarentegen gebruik van een extern speler-volgsysteem (bijv. een softwaretool), dan is het aangeraden om volgende vragen te stellen:
• Zijn de Algemene Voorwaarden en Privacyverklaring van de softwaretool conform de GDPR? Worden de geregistreerde spelersdata enkel en alleen gebruikt ten dienste van de club (en bijv. niet doorverkocht aan andere clubs)?
• Welke technische en operationele maatregelen heeft het bedrijf geïmplementeerd om de beveiliging van persoonsgegevens te garanderen?
• Kunnen de geregistreerde data makkelijk overgedragen worden als de samenwerking eindigt? Kunnen we op elk moment onze clubgegevens exporteren of verwijderen?
• Bezit het bedrijf over een verwerkersovereenkomst die haar verantwoordelijkheden als ‘verwerker’ erkent? Het is sterk aangeraden om als club (= databeheerder) een getekende verwerkersovereenkomst met alle partijen te hebben die persoonlijke gegevens van spelers en/of stafleden bijhouden.

Zijn we als club 100% GDPR-conform indien bovenstaande vragen allemaal voldaan zijn? Indien werkelijk alle clubdata en communicatie binnen één centraal systeem worden beheerd, dan is dit het geval. In de meeste gevallen wordt er daarbuiten echter nog heel wat ledeninformatie bijgehouden en ook hier zijn diezelfde regels van toepassing. Het kan dus nooit kwaad om zich even te informeren bij een GDPR-expert om alles in kaart te brengen.

Oh ja, de deadline was eigenlijk vandaag. Wacht dus niet te lang.

NOG VRAGEN?
Aarzel niet om ons te contacteren via info@dejuristen.be. Wij helpen u graag verder met specifieke vragen omtrent GDPR binnen voetbalverenigingen.

Dit artikel is een bijdrage van Edward Huyghe en ProSoccerData.