door: Arthur van der Hoeff
Met de groei van het gebruik van de IT-mogelijkheden neemt ook de verantwoordelijkheid voor de informatiebeveiliging toe. Sportorganisaties die veel persoonsgegevens - bijvoorbeeld ledengegevens - verwerken doen er goed aan om serieus werk te maken van de governance en compliance op dit punt. Voor kleinere organisaties betekent dit in elk geval extra aandacht en alertheid.
De opmars van de zogenaamde clouddiensten is niet meer te stuiten. Bijna alle sportbonden en -verenigingen maken gebruik van SaaS-systemen (Software-as-a-Service) voor de financiële- en ledenadministratie en allerlei extra toepassingen. Denk aan het invoeren van wedstrijdprogramma’s en uitslagen, het indelen van bardiensten en het bijhouden van overschrijvingen, schorsingen en licenties. Het aantal toepassingen is vrijwel onbeperkt. Tegenwoordig geldt dat de dienstenaanbieder de applicatie vrijwel altijd aanbiedt 'via de Cloud'. De dienstenaanbieder heeft de volledige controle over de applicatie en de klant (bond, vereniging, lid) kan afhankelijk van de toegekende autorisatie inzien, beheren en/of configureren.
Veel IT-kennis vereist
Ondanks alle gebruiksgemakken heeft deze ontwikkeling ook een keerzijde. De gebruiker staat voor de uitvoering van al haar (kern)activiteiten hoe langer hoe meer in een afhankelijke positie van veelal één externe partij die het volledige pakket aan diensten (software, hosting, extra applicaties) aanbiedt. Eenmaal gekozen voor een bepaalde IT-oplossing zal een overstap naar een andere partij niet eenvoudig zijn. Dit maakt dat er aan de voorkant hele goede afspraken moeten worden gemaakt. En daarvoor is een behoorlijke portie juridische en IT-kennis vereist.
"Uitval van het systeem bij een piekbelasting rondom een competitiedag wil niemand"
Het zonder meer accepteren van de aangeboden (licentie)voorwaarden is in de regel niet verstandig. Beter is het om met een op maat gemaakte SLA (service level agreement) te komen tot een goede borging van kwaliteit van het datacentrum, de apparatuur en de mensen. Het updaten en beveiligen van de servers en de software én het monitoren en regelen van belasting/capaciteit van het netwerk vereist goed opgeleide medewerkers en heldere procedures. Uitval van het systeem bij een piekbelasting rondom een competitiedag wil niemand en ook dat soort zaken verdient dus specifieke aandacht. Om nog maar te zwijgen van een inbreuk op het systeem met vaak gevoelige gegevens.
De kwaliteit van de toepassingssoftware - zoals toegangsbeveiliging, de mogelijkheden voor monitoring en de uitwisselbaarheid van gegevens - zijn belangrijke onderdelen van een systeem. En de IT-wereld verandert snel. Kortom, er komt nogal wat bij kijken.
Bescherming persoonsgegevens
Een ander aspect dat in dit kader zeker niet onvermeld mag blijven is de bescherming van de persoonsgegevens die in de systemen worden verwerkt. Deze data worden van steeds grotere waarde voor organisaties. Wie zijn de leden, wat doen ze en waarom zijn ze lid (of waarom hebben zij het lidmaatschap opgezegd)? Het verzamelen van informatie en het vastleggen en analyseren van de gegevens kan helpen om het aanbod beter op de leden en potentiële leden af te stemmen.
"Hoe meer gegevens er worden verzameld, hoe groter ook de risico’s op verlies en onrechtmatig gebruik"
Ook voor controledoeleinden wordt soms hele gevoelige informatie vastgelegd. Denk aan dopingcontroles. Maar hoe meer gegevens er worden verzameld, hoe groter ook de risico’s op verlies en onrechtmatig gebruik. Dit is ook de reden dat de eisen die aan het gebruik van persoonsgegevens worden gesteld meer en meer toenemen. De wet Meldplicht Datalekken en de nieuwe boetebevoegdheid van de Autoriteit Persoonsgegevens die dit jaar al in werking zijn getreden is een voorbode op de striktere regelgeving die volgt met de invoering van de nieuwe Europese verordening. Deze zal naar verwachting nog dit jaar in werking treden.
Gebruiker is verantwoordelijk
Ondanks het feit dat bij het gebruik van de clouddiensten zoals hierboven genoemd een groot deel van de verantwoordelijkheid voor de database lijkt te liggen bij de aanbieder van de clouddienst, is volgens het privacyrecht de gebruiker van het systeem de verantwoordelijke die moet voldoen aan alle privacyregels! Als u uw database met persoonsgegevens (al dan niet via een clouddienst) onderbrengt bij een ander partij (bijvoorbeeld de softwareaanbieder), bent u wettelijk verplicht met deze partij een zogenaamde bewerkersovereenkomst aan te gaan. Deze geldt dan als aanvulling op bijvoorbeeld de overeenkomst en SLA die met de SaaS-dienstaanbieder wordt gesloten. Voor een template van een bewerkersovereenkomst klik hier.
Informatiebeveiliging is geen eenmalige activiteit maar een continu proces. Het verdient een vaste plaats in de zogenaamde 'plan-do-check-act'-cyclus binnen een organisatie. Het begint met bewustwording bij de mensen die met die gegevens omgaan. Duidelijke verantwoordelijkheden, goede afspraken en monitoring levert vervolgens een betrouwbare en veilige informatieomgeving op. Een 'compliance-check' of 'privacy-audit' kan een goed beeld geven waar uw organisatie op dit moment staat. Het is verstandig om daarbij gelijk te anticiperen op de nieuwe regels die in de loop van dit jaar zullen gaan gelden.
Mr. Arthur van der Hoeff is voorzitter van de Nederlandse Stichting voor Vereniging en Recht. Bij dit nationaal kennisinstituut is een groot aantal branche- en verenigingsorganisaties aangesloten, zowel binnen als buiten de sport. Contact opnemen met de Nederlandse Stichting voor Vereniging en Recht kan via e-mail (info@verenigingenrecht.nl) of telefonisch (010-458 8431).