De Ierse autoriteit voor gegevensbescherming (“DPC”) heeft onderzoek gedaan naar de bescherming van persoonsgegevens binnen de sportindustrie in Ierland. Uit de recent gepubliceerde resultaten van dit onderzoek blijkt dat er significante tekortkomingen zijn in de naleving van privacywetgeving en dat er bovendien onvoldoende kennis en bewustzijn bestaat op dit gebied binnen sportverenigingen. Dit baart zorgen voor de rest van Europa, omdat dit probleem zich waarschijnlijk niet alleen in Ierland voordoet, maar ook in andere landen.
De DPC spitste haar onderzoek toe op verschillende onderwerpen, waaronder de verantwoordelijkheden van organisaties die persoonsgegevens beheren (zoals sportclubs) en partijen die ten behoeve van hen gegevens verwerken (zoals softwareleveranciers voor bijvoorbeeld ledenadministratie). Daarnaast keek de DPC naar de omgang met gevoelige persoonsgegevens, zoals medische gegevens, de rechten van mensen van wie gegevens worden verwerkt en de training van personeel. De DPC werkte voor haar onderzoek samen met meer dan 100 ‘reguliere’ Ierse sportclubs, zoals voetbal- en rugbyclubs, maar ook clubs die deelnemen aan Ierse traditionele sporten zoals ‘Gaelic football’ en ‘camogie’. Er werd in het bijzonder gefocust op de verwerking van persoonsgegevens van kinderen.
Uit het onderzoek kwam onder andere naar voren dat 41% van de Ierse sportverenigingen niet beschikt over een privacybeleid. Zo’n beleid is echter cruciaal om aan te tonen dat een sportclub voldoet aan haar verplichtingen onder de AVG. Veel van de onderzochte sportclubs blijken geen procedure te hebben voor het afhandelen van verzoeken van betrokkenen, zoals een verzoek om inzage of een verzoek om het wissen of rectificeren van gegevens. Bovendien blijkt uit het onderzoek dat 56% van de sportverenigingen in Ierland niet over een bewaartermijnenbeleid beschikt. Dit geeft aanleiding tot bezorgdheid omdat sportclubs persoonsgegevens wellicht dus veel langer bewaren dan noodzakelijk is. Het ontbreken van documentatie en beleid kan leiden tot niet-naleving van privacywetgeving, tot datalekken en tot het verlies van vertrouwen onder de leden van de sportclub over de bescherming van hun persoonsgegevens.
Met de technologie die zich verder ontwikkelt zijn er ook steeds meer sportclubs die beginnen met prestatieanalyses via bijvoorbeeld draagbare apparaten om gegevens van spelers te verzamelen. Zo is het op hoog niveau in de sportwereld al heel gebruikelijk dat spelers tijdens trainingen en wedstrijden hartslagmeters dragen. Data over de sporter, het team of een prestatie zijn niet alleen beschikbaar voor sporters, trainers en coaches, maar ook steeds vaker om de ervaring van fans te verrijken. Zo kunnen toeschouwers tijdens een live sportevenement in toenemende mate live statistieken en gegevens bekijken. Het verzamelen van data vindt niet alleen plaats op het hoogste niveau van sport, maar ook regelmatig bij prestatieteams van amateurclubs. Daar wordt ook veel informatie vastgelegd ten aanzien van fysieke en mentale prestaties van kinderen en jongeren, waardoor grote zorgvuldigheid bij de verwerking van die gegevens is vereist.
39% van de clubs die meededen aan het onderzoek van de DPC hebben aangegeven dat zij prestatiegegevens van sporters verzamelen. Het is belangrijk om er bewust van te zijn dat prestatiegegevens waarschijnlijk gezondheidsgegevens zijn, omdat ze betrekking hebben op het fysieke en eventueel ook mentale welzijn van sporters. In principe mogen gezondheidsgegevens niet zomaar worden verzameld of gedeeld, tenzij er een wettelijke basis voor is, zoals een medische noodzaak of toestemming van de sporter. Daarbij is het essentieel om te weten waar de grenzen liggen van de verweking van deze gezondheidsgegevens, zoals bijvoorbeeld hoever de noodzakelijkheid van de gegevensverwerking strekt, hoe lang deze data bewaard mag worden en wie er binnen de sportclub toegang tot de gegevens heeft.
Wanneer een sportclub van plan is om technologie te introduceren ten behoeve van data-analyse, dan is het aan te raden om een Data Protection Impact Assessment (“DPIA”) uit te voeren. In bepaalde gevallen kan dat ook verplicht zijn. Op die manier kunnen de risico’s van dit gebruik in kaart worden gebracht en kunnen ook maatregelen worden getroffen om deze risico’s zoveel mogelijk te beperken. Volgens het onderzoek van de Ierse gegevenstoezichthouder heeft slechts 9% van de clubs aangegeven een DPIA te hebben uitgevoerd. De DPC concludeert daarom dat sportclubs duidelijk niet op de hoogte zijn van hun verplichtingen om risico's te beoordelen die voortvloeien uit gegevensverwerking en om het uitvoeren van een DPIA in de praktijk te brengen. Ook dit geeft aanleiding tot bezorgdheid omdat sportvereniging mogelijk verschillende verwerkingen uitvoeren die een hoog risico opleveren voor de betrokkenen en er geen passende maatregelen worden genomen om deze risico’s te beperken.
Het is zorgwekkend dat de praktijken rondom het naleven van privacywetgeving en de bescherming van persoonsgegevens in de Ierse sportindustrie duidelijk ondermaats zijn. De kans is echter groot dat dit probleem zich ook voor zal doen bij vele sportclubs en -organisaties in andere landen binnen Europa. In tegenstelling tot commerciële bedrijven, zullen verenigingen en stichtingen zonder oogmerk om winst te behalen privacy en gegevensbescherming waarschijnlijk wat minder hoog op de agenda hebben staan, omdat zij hier simpelweg vaak minder (financiële) middelen voor hebben. Dit zal ook gelden voor sportverenigingen.
Desalniettemin is de naleving van privacywetgeving en de bescherming van persoonsgegevens ook in de sportsector van groot belang. Het deelnemen aan sport is voor veel mensen, en ook zeker voor jongeren, een belangrijk aspect in hun leven en hun welzijn. Kinderen en hun ouders moeten dan ook sportactiviteiten kunnen beoefenen zonder zich onnodig zorgen te hoeven maken dat hun privacyrechten worden geschonden en hun persoonsgegevens niet goed worden beschermd. Het is daarom belangrijk dat gegevensbeschermingspraktijken in de sportwereld worden verbeterd en dat meer sportclubs voldoen aan hun verplichtingen onder de AVG. Een eerste belangrijke stap daartoe is dat er meer aandacht komt voor privacy en gegevensbescherming binnen de sportsector en dat het bewustzijn en de kennis op dit gebied worden vergroot. Uiteindelijk zullen sportverenigingen dan hopelijk beter in staat zijn om persoonlijke gegevens, en mogelijk ook gezondheidsgegevens, van sporters, personeel en andere betrokkenen te beschermen.
Mocht u vragen hebben over dit onderwerp of hulp kunnen gebruiken bij het opstellen van documentatie en beleid omtrent de bescherming van persoonsgegevens voor een (sport)vereniging, neem dan contact op met één van onze specialisten.
