Mag de ledenlijst van onze vereniging online?

| AE 2046 | Privacy | 24 reacties

Een lezer vroeg me:

Onze vereniging publiceert elk jaar voor de leden een handig boekje met zaken als de statuten, het huishoudelijk reglement, besluiten uit het afgelopen jaar en handige tips voor de leden. Ook zetten we hier altijd een lijst met contactgegevens van alle leden in. Dit doen we al jaren, maar het aantal leden groeit gestaag dus nu is voorgesteld om dit boekje voortaan via de website te verspreiden. Maar hebben we dan geen privacyprobleem?

Ja, dan heb je een privacyprobleem. Het publiceren via internet van namen, adressen en dergelijke contactgegevens van je leden kan echt alleen met een expliciete toestemming van de leden. En die moet vooraf worden gevraagd.

Je zou voor nieuwe leden die toestemming in het inschrijvingsformulier kunnen vragen, maar je bestaande leden zul je toch apart om deze toestemming moeten vragen.

Verder vraag ik me af of het echt wel nodig is om deze informatie zo online te zetten. De kans op misbruik van zulke gegevens is aanwezig, en ik zie weinig redenen waarom de hele wereld moet weten wat het telefoonnummer van verenigingslid X is. Je zou volgens mij kunnen volstaan met de gegevens op een wachtwoordbeveiligd deel van de site te zetten, waarbij alleen leden het wachtwoord weten.

Of je dan kunt volstaan met één wachtwoord of dat elk lid zijn eigen wachtwoord moet hebben, is een andere vraag. Bij een kleine vereniging is één wachtwoord nog wel beheersbaar (“volgend jaar is ons wachtwoord ‘zebrapad’ “) maar met enkele honderden leden lijkt me een wachtwoord per lid wel echt verplicht.

Arnoud

Deel dit artikel

  1. De manier die Arnoud voorstelt, is precies de manier waarop mijn studentensportvereniging het aanpakt. Onze ledenlijst staat als PDF op een beveiligd gedeelte van de site, waar ieder lid z’n eigen inlog voor heeft. Bij studenten veranderen gegevens relatief snel en bovendien zijn ze de papieren versie altijd kwijt, dus dit is een ideale alternatieve manier. De online-versie kan nl. snel up-to-date gebracht worden.

    Als je de gegevens op deze manier verspreidt, heb je toch geen extra toestemming van je leden nodig?

  2. Het grootste verschil is denk ik dat zulke ledenlijsten meestal alleen namen, nicks en e-mailadressen vermelden. Deze vereniging zette ook de woonadressen, telefoonnummers en dergelijke online. Formeel maakt dat niets uit maar in de praktijk ervaren mensen publicatie van een e-mailadres als minder erg dan publicatie van hun woonadres. Bovendien kun je bij die namen/nicks/e-mails zelf kiezen voor niet meteen tot jou herkenbare informatie.

  3. Maar wat moet je doen als je ontdekt dat jouw vereniging -tegen deze regels in- jouw adresgegevens gewoon online publiceert? Vragen om deze offline te halen kan wel, maar als de vereniging dit weigerd heb je een probleem. Dat wordt dan een conflict dat mogelijk voor de rechter uitgevochten moet worden en de kosten die daaraan zijn verbonden kunnen genoeg zijn om een kleine vereniging ten gronde te dragen.

    Maar goed, normale leden dus niet online noemen. Maar hoe zit het dan met de bestuursleden van een vereniging? Denk aan de penningmeester, voorzitter, secretaris en eventueel wedstrijdleiders en de leden van de kascommissie.

  4. Hoe zit het eigenlijk met het rondsturen van emails? Ik heb geregeld dat ik via school, bijv. via de ELO mailtjes krijg met nog een stuk of 30 andere geadresseerden, vaak staat hier dan naast het emailadres een (volledige) naam. Is, aangezien het makkelijk te omzijlen is dmv BCC ook strafbaar oid? Ook omdat ik dan de makers van de website hierop kan attenderen (hoewel ik dat nu eigenlijk ook al moet doen…)

  5. Volgens mij is het ook niet toegestaan als PDF op een beveiligd deel van de site. Nog los van het feit dat elk lid met die PDF kan doen wat hij/zij wil, is het doel van de publicatie helemaal niet duidelijk. De wet bescherming persoonsgegevens eist dat je alleen relevante gegevens vastlegt – bij een vereniging vallen naam en adres daar natuurlijk onder. Verder wordt ge?ist dat je zorgvuldig met de gegevens omgaat. Het beschikbaar stellen aan alle leden is dat niet. Voorts eist de wet dat je de gegevens gebruikt voor het doel waarvoor ze verzameld zijn. Ze zijn verzameld om rekeningen te sturen en vlugschriften rond te mailen – niet om op een website te zetten en niet om ter beschikking te stellen van ieder lid van de vereniging.

  6. @Arnoud: sorry voor mijn verlate reactie. Er staat bij ons niet bij wat je wel en niet met de PDF mag doen. Het besloten deel is trouwens alleen toegankelijk voor leden; niet-leden krijgen geen inlog en die van ex-leden wordt geblokkeerd.

    @gerben: Het doel is niet om de ledenlijst op een website te zetten. Ik zou niet weten waarom je de gegevens zoals telefoonnummer en e-mailadres niet an de leden zou mogen verstrekken. Ik vind het toch handig om een e-mailtje naar een medelid te kunnen sturen of een invaller te kunnen bellen als die er nog niet is terwijl we een wedstrijd moeten spelen. Misschien kan Arnoud vertellen of je dit expliciet op het aanmeldingsformulier moet zetten of dat dat bij een vereniging gewoon kan (of dat je dat in je huishoudelijk reglement kan zetten).

  7. @Arend, staat er wel een copyright notice op die leden-website? Zoniet dan kunnen leden die lijst gewoon verder legaal verspreiden, ook al wordt daarmee dan wel de privacy geschonden. De vereniging is dan verantwoordelijk. Een tekst a la “Internal Use Only” op de ledenlijst zou verder ook erg welkom zijn om duidelijk te maken dat de ledenlijst niet buiten de vereniging gepubliceerd mag worden.

    @Arnoud, ik vraag mij overigens af hoeveel gegevens je mag verspreiden zonder dat je iemand’s privacy schendt. Ik denk dan b.v. aan een ranglijst met bijbehorende scores en ratings van alle leden van een sportvereniging. En wat als een vereniging bij een sport-bond is aangesloten en deze bond dus ook de ledenlijst opvraagt? Mag je dan alle leden doorgeven aan de bond met al hun gegevens? Of zou je je moeten beperken tot alleen die leden die ook daadwerkelijk meedoen met externe wedstrijden tegen andere verenigingen? Kun je als vereniging ook leden hebben die niet bij de bond geregistreerd willen worden? (En dus ook geen correspondentie van die bond ontvangen?)

  8. @Wim: een copyrightnotice is niet vereist voor auteursrechtelijke bescherming. En trouwens, een ledenlijst is niet auteursrechtelijk beschermd want het zijn alleen feitelijke gegevens. Maar verspreiding buiten de bedoelde kring of gebruik voorbij het beoogde doel zal altijd een schending van de WBP zijn.

    Scorelijsten en wedstrijduitslagen met namen erbij mogen m.i. waarschijnlijk niet op internet vrij toegankelijk zijn, tenzij mensen vooraf weten dat dit gebeurt en er een goede reden is waarom die uitslagen zo op internet moeten.

    Idem voor afgifte aan de bond: dit moet geregeld zijn in statuten of reglementen, de bond moet een aantoonbare noodzaak hebben en er mag niet meer worden verstrekt dan nodig voor die noodzaak.

  9. Mijn vereniging moet leden die deelnemen aan competitie (spelers, coaches en scheidsrechters) en bestuursleden inschrijven bij de sportbond. Dit wordt dus ook gedaan. Van andere leden krijgt de sportbond de gegevens (dus) niet.

    Verder is het een teamsport, dus individuele rankings hebben we niet. Alle standen van teams zijn wel gewoon op internet te vinden, maar ik denk niet dat dat een (privacy) probleem is.

  10. @Arnoud, hoewel de ledenlijst zelf feiten zijn, is de vormgeving van de ledenlijst met bijbehorende logo’s en zo wel te beschermen. Je kan niet voorkomen dat iemand de ledenlijst overtypt, maar als je deze aanlevert als PDF dan zit er in de uitwerking ervan mogelijk wel iets wat te copyrighten is. (Denk bijvoorbeeld aan het toevoegen van een foto van de speelzaal onderaan de ledenlijst.) Maar goed, ik denk dat de meeste verenigingen maar saaie ledenlijsten genereren. 🙂

    Maar hoe zit het dan met de relatie tussen bond en vereniging? Als vereniging is het practisch om bij een bond aangesloten te zijn, maar een bond kan best veel meer gegevens opvragen dan wat gewenst is. In ieder geval, als de bond competities organiseert tussen meerdere verenigingen dan heeft de bond dus informatie nodig van alle spelers die hieraan deelnemen. De bond zal dan ook waarschijnlijk ranglijsten genereren met daarin ten minste de namen van de verenigingen en de teamleden van deze verenigingen, plus uitslagen van wedstrijden. En bij b.v. schaken of dammen dus ook uitslagen van individuele spelers in deze competitie. Maar bij teamsporten kan ik mij voorstellen dat de namen van de teamleden worden genoemd, per wedstrijd.

    Maar hoe zit het overigens met de statuten en reglementen van verenigingen en de bond? Lid worden is meestal wel makkelijk. Je komt gewoon binnenlopen en vraagt of je lid mag worden. Maar moet je na betaling van je eerste contributie niet ook meteen de meest recente statuten en reglementen ontvangen van zowel de vereniging alsmede die van de bond? Moet je deze niet zelfs in kunnen zien voordat je lid wordt? Moet je hierom vragen of moet een vereniging deze uit zichzelf aanbieden bij een nieuw lidmaatschap?

  11. @Arend: Ja, het kan handig zijn voor leden om andere leden te kunnen bellen. Wat de wet echter zegt is dat je de gegevens (telefoon, email) dan ook voor dat doel verzameld hebt. Wat tegenwoordig dus niet meer mag, is dat je gegevens die voor een ander doel verzameld zijn (bijvoorbeeld voor het versturen van facturen) publiceert ‘omdat het zo handig is’. Het mag wel als je dit duidelijk aan de leden kenbaar maakt.

    Ook dan moet je kijken wat noodzakelijke gegevens zijn. Terughoudendheid is het uitgangspunt. Zo is voor het bellen van een lid het telefoonnummer nodig (wanneer je dus duidelijk hebt gemaakt dat je voor dit doel zijn telefoonnummer vraagt); maar zijn adres is daarvoor weer niet noodzakelijk. Mocht je hem thuis op willen zoeken, dan kun je zijn adres opvragen in hetzelfde telefoontje waarin je je komst aankondigt. Emails zou je ook via een formulier op de website kunnen laten doorsturen: Anoniem en net zo snel als het originele adres.

    Vergeet niet dat zo’n lijst in verkeerde handen onnodige ellende oplevert: Mailings waar mensen niet om gevraagd hebben. Scheidsrechters die last krijgen van mensen die vinden dat ze te streng zijn geweest. Je bent tegenwoordig als verzamelaar van gegevens, dus ook als vereniging, verantwoordelijk voor het verantwoordelijk gebruik van die gegevens. Het op een website plaatsen waar tientallen of honderden leden er bij kunnen is misschien wel ‘handig’, maar is niet verantwoord.

  12. Sorry om dit weer open te breken maar ik heb wel een prangende vraag: Er is zoiets als het “vrijstellingsbesluit WBP” (relevante stukjes hieronder). Hoewel er alleen sprake is van vrijstelling van artikel 27 (melding) is de verdere formulering van het besluit dusdanig dat men daar uit op zou kunnen maken dat zolang men zich aan die bepalingen houdt men vrijgesteld is van alle verplichtingen. Daarbij komt dat het voor een eenvoudige vereniging moeilijk haalbaar is om aan alle vereisten van de verwerking te voldoen. Tenslotte is er de vraag of bijvoorbeeld een sportvereniging niet onder “ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden;” valt. Dat laat onverlet dat verenigingen zorgvuldig met persoonsgegevens moeten omspringen maar de manier waarop het nu geregeld lijkt me voor de meeste verenigingen niet haalbaar. Het minste wat men zou verwachten is dat er ergens een standaardinstructie voor verenigingen e.d. wordt gepubliceerd waarnaar in huishoudelijke reglementen verwezen kan worden.

    Artikel 27 van de wet is niet van toepassing op verwerkingen van verenigingen, stichtingen of publiekrechtelijke beroepsorganisaties betreffende hun leden of begunstigers, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.

    2.De verwerking geschiedt slechts voor: a. de activiteiten die gelet op de doelstelling van de vereniging, stichting of publiekrechtelijke beroepsorganisatie gebruikelijk zijn of die door de ledenvergadering zijn goedgekeurd; b. het verzenden van informatie aan de betrokkenen; c. het berekenen, vastleggen en innen van contributies en giften, waaronder begrepen het in handen van derden stellen van vorderingen, alsmede andere activiteiten van intern beheer; …. 3.Geen andere persoonsgegevens worden verwerkt dan: a. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene; … 4.De persoonsgegevens worden slechts verstrekt aan: a. de leden of begunstigers; …

  13. Ik zie deze reactie nu pas, sorry Victor.

    Het Vrijstellingsbesluit is echt alleen bedoeld ter vrijstelling van de aanmeldplicht. Je mag er niet uit afleiden dat je geen toestemming (of andere grondslag) nodig hebt voor je verwerking of dat mensen geen recht van inzage of correctie kunnen uitoefenen, of wat dan ook. Echt alleen het enige is dat je het Cbp niet hoeft te vertellen dat je die dingen doet.

    Ik ben het volledig met je eens dat die vrijstellingen erg lastig zijn gezien de praktijk vandaag de dag. Ze zijn dringend aan een update toe. Maar tot die tijd is en blijft dit de regel – en natuurlijk moet je te allen tijde zorgen voor adequate toestemming of een zorgvuldig onderbouwde noodzaak die de privacy niet te boven gaat.

        • Ik weet het heel zeker. Namen van mensen die ooit lid zijn geweest zijn persoonsgegevens en dus beschermd. Het maakt voor de wet ook niets uit hoe weinig de gegevens ook zijn, het blijft allemaal beschermd. De gevolgen als je toch namen vermeldt zonder toestemming? Tenzij het de vereniging “Martijn” betreft denk ik niet dat publicatie veel schade aan die leden kan opleveren. Het is zelfs maar de vraag of er leden zijn die het niet op prijs stellen, maar daarom zul je het hen toch moeten vragen. Grote kans dat je geen problemen krijgt maar als er iemand toch dwarsligt dan kun je gedwongen worden om de boeken uit de handel te halen en te vernietigen, plus een vergoeding voor de juridische kosten van het benadeelde lid. De website zou dan ook opgeschoond moeten worden.

          Je hebt nog wel een andere mogelijkheid, namelijk als het allemaal nieuwswaarde heeft. Maar dan moet je je beperken tot het noemen van leden en wat ze voor de vereniging hebben gedaan. Leden waar je niets over weet te vertellen zijn geen nieuws, dus kun je weer niet noemen. Bij een schaakvereniging zou je dus wedstrijd-uitslagen kunnen vermelden, plus verslagen van vergaderingen. Dat iemand lid is geworden of weer de vereniging verliet is niet echt nieuws. Alle leden doen dat uiteindelijk. Toch kun je ook dan beter aan de leden om toestemming vragen.

  14. Wij hebben als kerkelijke gemeente een jaargidsje die alleen de leden ontvangen en waarin de activiteiten staan vermeld per activiteit staan namen, adressen en telnrs. Moeten we perse schriftelijk toestemming vragen of is een checklist van de beheerder van het boekje waarop hij noteert wanneer en welke gegevens de betrokken in het boekje mondeling/telefonisch accepteert.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS