Vad behöver en ungdomsfotbollsapp egentligen veta om dina spelare?
Om du lagrar en förälders mejladress och ett barns foto i din telefon är du personuppgiftsansvarig. De flesta tränare vet inte det.
Du installerar en ungdomsfotbollsapp. Första skärmen ber dig lägga till spelarna. Den vill ha deras namn. Sedan foton. Sedan föräldrarnas mejladresser, telefonnummer, tröjnummer och ett fritextfält för anteckningar.
Du fyller i det som efterfrågas. Du tänker inte på det. Du tränar barn, du driver inte en databas.
Men appen sparar de uppgifterna. Nu driver du en databas, vare sig du ville det eller inte. Och enligt europeiska dataskyddsregler har du just blivit personuppgiftsansvarig: en juridisk roll som kommer med skyldigheter.
Här är vad en app egentligen bör veta om dina spelare, vad den inte bör veta, och varför skillnaden spelar roll.
Principen: uppgiftsminimering
Det finns en enda princip som de flesta rättsliga ramverk för personuppgifter återkommer till. Du samlar in det du behöver, och inget mer.
I dataskyddslagstiftning kallas det uppgiftsminimering. I produktdesign kallas det att inte fråga efter det du inte behöver. I tränarjobbet kallas det helt enkelt sunt förnuft. En lista med spelarnamn räcker för att träna ett lag. Appen behöver inget mer för att göra sitt jobb.
Vad en app faktiskt behöver
Gå igenom funktionerna i en bytesapp. Matcha datan mot funktionen.
Spelarens namn. Appen behöver kunna säga "Sarah går av, Liam går på." Utan namn fungerar inte bytesfunktionen. Det här är nödvändigt.
Valfria positioner. Om appen använder positioner för att ge bättre bytesförslag behöver den veta vem som spelar i försvar, mittfält eller anfall. Det är användbart men inte nödvändigt. En tränare som inte bryr sig om positionsmedveten rotation kan lämna det tomt.
Det är allt. Bytesmotorn, rotationsuträkningen, speltidshistoriken, signalen för matchfrekvens, uppställningsbyggaren. Allt fungerar på enbart namn, med positioner som valfri förfining. Det finns inget annat fält en ungdomstränarapp behöver.
Vad en app inte behöver
Appar i den här kategorin frågar rutinmässigt efter mer. Gå igenom dem en i taget.
Föräldrars kontaktuppgifter. Mejl, telefon, ibland båda. Argumentet är att du kanske vill skicka meddelanden till en förälder. Men du har redan sätt att göra det. WhatsApp, Spond, Laget.se, klubbportaler, vanliga sms. Inget av det finns inuti din bytesapp. Det finns ingen tränarmässig anledning att duplicera det. Att spara föräldrars kontaktuppgifter i en app du använder en lördagsförmiddag är att bygga upp en privat databas med privat information som inget i bytesflödet behöver.
Foton på barn. Argumentet är att foton hjälper dig komma ihåg vem som är vem. Efter andra träningen behöver du ingen hjälp. Efter första matchen behöver du definitivt ingen hjälp. Ett foto på ett barn är identifierbara personuppgifter om en minderårig, vilket ligger i en särskild skyddad kategori i europeisk rätt. Det finns ingen proportionerlig tränarmässig anledning att lagra det.
Fritextanteckningar. "Allergisk mot jordnötter." "Mamma är ensamstående, pappa bor i Norge." "Kissar ibland på sig i sängen." Tränare skriver sånt här för att de vill minnas sammanhang. I samma stund som något av det rör hälsa, familjeförhållanden eller något känsligt om barnet har du skapat ett register med särskilda kategorier av personuppgifter enligt GDPR artikel 9. Det kräver uttryckligt samtycke per förälder, skriftlig dokumentation och en rättslig grund för lagringen. Nästan ingen breddtränare inser det.
Tröjnummer. Varför? Du driver inget registreringssystem. Barnen vet sina nummer. Du kan se nummerlappen på ryggen under matchen.
Mönstret är detsamma i alla fallen. Var och en ser ut som en användbar funktion när du fyller i uppgifter i en lugn stund. Var och en är ett litet steg mot en databas med privat information om barn som du inte har någon anledning att lagra på en personlig enhet.
Det juridiska ansvar du inte ser
Enligt europeisk dataskyddslagstiftning blir du personuppgiftsansvarig i samma stund som du lagrar identifierbara personuppgifter om människor. Det är inte en etikett du kan tacka nej till. Det är ett faktum om vad du gör. Lagen bryr sig inte om huruvida du visste det.
En personuppgiftsansvarig har skyldigheter. Du behöver en rättslig grund för de uppgifter du samlar in. Du måste informera de berörda (eller deras föräldrar, när det gäller barn) om vad du gör och varför. Du måste kunna radera uppgifter på begäran. Du måste radera dem efter en rimlig lagringstid. Du måste hålla dem säkra.
För särskilda kategorier av uppgifter (hälsa, familjeförhållanden, foton på minderåriga) krävs uttryckligt samtycke per person, inte en generell registrering. Du måste dokumentera det samtycket. Du måste kunna bevisa det.
Nästan ingen breddtränare har gjort något av detta. Inte för att de är försumliga, utan för att de inte visste att de gjorde just det som utlöste alla skyldigheterna. Appen fick datainsamlingen att kännas rutinmässig. Lagen ser det som något helt annat.
Vad "privat" egentligen betyder
Många appar säger att deras data är privat. Läs noga. Det är skillnad på privat (bara vissa personer kan se det) och minimal (det finns inte mycket att se från första början).
En genuint privat app samlar in lite, lagrar det på din enhet och skickar det aldrig till en server. Datan är privat för att den inte finns någon annanstans än där du lade den.
En privatklingande app samlar in mycket, lagrar det på en server, krypterar det noga och säger att bara behöriga personer har åtkomst. Datan är privat tack vare åtkomstkontroller. Så länge kontrollerna håller, håller integriteten. Om kontrollerna brister exponeras varje post.
Båda kan marknadsföras som "privata". Bara den första är privat på ett sätt som överlever en serverintrång, en domstolsorder eller att en tränare avinstallerar appen.
Tre frågor att ställa till vilket verktyg som helst
När du väljer en tränarapp, fråga:
- Vad samlar den in? Om svaret innefattar något utöver namn och speldata, fråga varför. Om skälet är "du kanske vill ha det här" är det inget skäl. Hoppa över den.
- Var lagrar den datan? Bara på din enhet? Eller på en server någonstans? Om det är en server, vem äger den? I vilket land? Vad händer om företaget läggs ner?
- Hur tar jag bort en spelare? Testa. Om flödet handlar om att "dölja" eller "arkivera" men inte "ta bort" finns datan kvar. Du vill ha en enda knapp som säger ta bort och menar det.
Appen du vill använda svarar enkelt på de här frågorna. Appen du ska vara försiktig med svarar med marknadsföringsspråk.
Tankesättet behöver ändras
Standardläget i tech under det senaste decenniet har varit "samla in allt, fråga varför senare." För konsumentappar som konkurrerar om engagemang har det lönat sig. För verktyg som hanterar data om barn är det precis tvärtom.
Rätt standardläge är nej. En uppgift samlas inte in om du inte kan formulera, i en enda mening, vilken specifik funktion som inte skulle fungera utan den. Om funktionen fungerar utan den samlas uppgiften inte in. Om funktionen fortfarande fungerar utan den men fungerar bättre med den, så efterfrågas uppgiften tydligt, separat och bara med uttryckligt samtycke.
Det här är inget regelverk. Det är ett sätt att designa verktyg som respekterar de människor de byggs för. Barn, i synnerhet, som inte själva kan ge meningsfullt samtycke, förtjänar ett standardläge som skyddar dem genom att samla in mindre.
Slutsatsen
Verktyget du tar till som tränare berättar för barnen i ditt lag vilken sorts relation du har med deras data. En app som vill veta allt säger till dem att de är en rad i en databas. En app som bara frågar efter deras namn säger till dem att de är spelare.
Välj det andra.