Verklaring omtrent bescherming persoonsgegevens door Stichting De Paraplu
Inleiding
Zoals elke organisatie verwerkt ook de Stichting De Paraplu persoonsgegevens. Stichting De Paraplu hecht veel waarde aan de bescherming van die gegevens.
Een persoonsgegeven is een gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoonsgegeven bevat dus informatie die betrekking heeft op een natuurlijk persoon of herleidbaar is naar deze persoon.In deze Verklaring omtrent de bescherming van persoonsgegevens verschaft Stichting De Paraplu informatie over de wijze waarop Stichting De Paraplu zo zorgvuldig mogelijk omgaat met de persoonsgegevens van deelnemers teneinde de privacy van de deelnemers te waarborgen.
In dat verband legt Stichting De Paraplu onder meer vast:
- Welke persoonsgegevens Stichting De Paraplu voor administratieve doeleinden in de administraties vastlegt.
- De toegang tot en het gebruik van de persoonsgegevens in administraties, inclusief de functionarissen, die toegang hebben tot deze bestanden, alsmede de wijziging en doorhaling van persoonsgegevens in administraties.
Stichting De Paraplu voldoet met deze verklaring en de naleving van de in deze Verklaring opgenomen voorschriften aan de geldende wet- en regelgeving ten aanzien van de verwerking van persoonsgegevens, in het bijzonder aan de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 in werking is getreden.
Het voldoen aan de AVG houdt in ieder geval in dat Stichting De Paraplu:
- De persoonsgegevens van de deelnemers verwerkt in overeenstemming met het doel waarvoor deze zijn verstrekt. Deze doelen en typen persoonsgegevens zijn beschreven in deze Verklaring.
- De persoonsgegevens van de deelnemers beperkt tot die gegevens die nodig zijn voor het bereiken van de doelstellingen en het functioneren van de Stichting De Paraplu.
- Uitdrukkelijke toestemming van deelnemers aan activiteiten vraagt, indien Stichting De Paraplu deze toestemming nodig heeft voor de verwerking van die persoonsgegevens.
- Passende technische en organisatorische maatregelen heeft genomen ter waarborging van de beveiliging van de persoonsgegevens.
- Geen persoonsgegevens doorgeeft aan externe partijen, tenzij dit nodig is voor de uitvoering van de doelen, waarvoor zij zijn verstrekt.
- De deelnemers aan activiteiten van de Stichting De Paraplu op de hoogte stelt van hun rechten met betrekking tot de in de administraties van de Stichting De Paraplu opgenomen persoonsgegevens, zodat de deelnemers er op mogen vertrouwen dat de persoonsgegevens juist, volledig en betrouwbaar zijn verwerkt.
Stichting De Paraplu is verantwoordelijk voor de verwerking van de persoonsgegevens. Indien deelnemers aan activiteiten na het doornemen van deze Verklaring of in algemene zin, vragen over deze Verklaring of de verwerking van hun persoonsgegevens hebben en daarover contact met het bestuur willen opnemen, kunnen zij zich wenden tot de secretaris van de Stichting De Paraplu.
1. De opneming van persoonsgegevens in administraties
Stichting De Paraplu legt uitsluitend die persoonsgegevens in haar administraties vast die nodig zijn voor het functioneren van de verschillende activiteitengroepen.
In bijlage 1 bij deze Verklaring, die een integraal onderdeel vormt van deze verklaring, zijn de persoonsgegevens van de deelnemers aan activiteiten vermeld, die Stichting De Paraplu in haar administratie opneemt.
De gegevens uit de administratie worden door Stichting De Paraplu gebruikt voor:
- De organisatie van de diverse activiteiten.
- De inning van de jaarlijkse contributie.
In de financiële administratie zijn gegevens opgenomen die noodzakelijk zijn voor het voeren van een ordentelijke financiële huishouding. Voor zover in de financiële administratie persoonsgegevens zijn opgenomen, zijn deze identiek aan de gegevens in de algemene deelnemersadministratie.
Hetzelfde geldt voor de overige, in deze Verklaring opgenomen administratieve bestanden.
Uit bijlage 1 bij deze Verklaring blijkt dat Stichting De Paraplu geen bijzondere persoonsgegevens, zoals Burgerservicenummers, DigiD-codes, ras, geloofsovertuiging, medische of strafrechtelijke gegevens, opneemt in haar administratie.
Indien bijzondere persoonsgegevens noodzakelijk zijn voor een bepaalde activiteit, zoals de vermelding van allergieën bij busreizen (Kunstbus) worden deze gegevens altijd uitgewisseld tussen het betreffende lid en de vrijwilliger die de betreffende activiteit organiseert. Deze bijzondere persoonsgegevens worden nooit in de administratie opgenomen.
In bijlage 2 bij deze Verklaring is beschreven hoe met persoonsgegevens kan worden omgegaan in een situatie waarin het voor een bepaalde activiteit (bij voorbeeld een cursus of een busreis) noodzakelijk is om persoonsgegevens aan een derde partij ter beschikking te stellen.
Daarnaast is in bijlage 2 een voorbeeldtekst weergegeven ter opneming op alle lijsten van deelnemers die digitaal worden aangemaakt of worden gedrukt en is een wijze van omgaan met e-mailadressen beschreven.
2. Toegang tot administratieve bestanden (autorisatieschema)
De volgende functionarissen van de Stichting De Paraplu hebben autorisaties met betrekking tot de administratie van deelnemers aan activiteiten van de Stichting De Paraplu:
2.1 De coördinatoren van de verschillende activiteitengroepen van de Stichting De Paraplu hebben de bevoegdheid tot:
- Opneming en wijziging, c.q. correctie van persoonsgegevens in de administratie van deelnemers aan de activiteiten van de Stichting De Paraplu. Omdat de in de administratie op te nemen persoonsgegevens in het algemeen noodzakelijk zijn zowel voor het functioneren van de verschillende activiteitengroepen van de Stichting De Paraplu is de toestemming voor de vastlegging en het gebruik van persoonsgegevens conform de Verklaring omtrent bescherming persoonsgegevens door Stichting De Paraplu een expliciet onderdeel van de aanvraag tot deelneming. Het indienen van een dergelijke aanvraag houdt dus tevens in dat een (aspirant-)deelnemer toestemming geeft tot opneming van deze persoonsgegevens.
Echter, een (aspirant-)deelnemer kan expliciet kenbaar maken dat sommige van zijn persoonsgegevens niet dan wel afgeschermd in de deelnemersadministratie mogen worden opgenomen. Dit betreft uitsluitend persoonsgegevens die niet noodzakelijk zijn voor het functioneren van de Stichting De Paraplu en voor de door de Stichting De Paraplu te ondernemen activiteiten. - Het delen of delegeren van deze bevoegdheid aan bij de betreffende groep aangesloten vrijwilligers voor het uitoefenen van hun taak. (o.a. Computergroep en Seniorenbus).
- Tot doorhaling van de gegevens in de administratie, bij voorbeeld in geval van opzegging van de deelnemer, bij overlijden of bij opheffing van de betreffende activiteitengroep, c.q. de Stichting De Paraplu. Deze gegevens worden tot maximaal 2 jaar na opzegging of overlijden bewaard.
- Tot inzage aan een deelnemer van de betreffende activiteit in de administratie van de Stichting De Paraplu opgenomen persoonsgegevens van die deelnemer, echter uitsluitend op verzoek van die deelnemer.
- Het doorgeven, op verzoek van het bestuur of een bestuurslid van de Stichting De Paraplu van een specifiek overzicht van deelnemers ten behoeve van de inning van de jaarlijkse contributie, de distributie van de uitgaven van De Paraplu of het verzorgen van een bepaalde activiteit.
De coördinatoren zijn nimmer bevoegd tot het opnemen van bijzondere persoonsgegevens in hun administratie die niet noodzakelijk zijn voor de uitvoering van de betreffende activiteit. Tenzij en voor zover die vermelding van de eventuele bijzondere persoonsgegevens noodzakelijk is voor een verantwoorde uitvoering van die activiteit, zoals bij voorbeeld de vermelding van een allergie met het oog op een lunch of diner tijdens een georganiseerde reis of een alarmnummer in geval van een noodsituatie. Voor de opneming van een bijzonder persoonsgegeven is uitdrukkelijk toestemming van de betreffende deelnemer noodzakelijk.
In plaats van het verzamelen van bijzondere persoonsgegevens is het ook mogelijk aan de deelnemers van een activiteit te vragen of en, zo ja, waarbij een deelnemer op het gebied van gezondheid eventueel hulp nodig heeft of waarmee de organisatoren rekening moeten houden. Op deze wijze verzamelen de organisatoren de gegevens om te kunnen voldoen aan hun zorgplicht.
Bedacht moet wel worden dat deze gegevens persoonsgevoelige informatie betreft die na afloop van de activiteit zorgvuldig moet worden vernietigd.
2.2 De penningmeester van de Stichting De Paraplu is bevoegd tot
- Inzage van de persoonsgegevens die zijn opgenomen in de administratie van deelnemers aan de activiteiten van de Stichting De Paraplu met het oog op de inning van de jaarlijkse contributie en de verwerking daarvan in een uitsluitend door de penningmeester te gebruiken contributiebetalingsmonitoringsysteem.
- Opneming van de voor de financiële administratie relevante persoonsgegevens in een uitsluitend door de penningmeester te gebruiken contributiebetalingsmonitoringsysteem en in de financiële administratie.
2.3 De bestuursdeelnemers van de Stichting De Paraplu zijn bevoegd tot
- Inzage van de persoonsgegevens die zijn opgenomen in de administratie van de activiteitengroepen van de Stichting De Paraplu met het oog op de uitvoering van die activiteiten en voor eventuele andere door de Stichting De Paraplu te organiseren activiteiten, met inachtneming van het gestelde onder 2.1.
Alle hierboven genoemde bestuursdeelnemers en functionarissen dienen te allen tijde zorgvuldig om te gaan met de persoonsgegevens die zij in hun bezit hebben.
Zodra zij geen bestuurslid meer zijn of hun functie niet meer vervullen, dienen zij de persoonsgegevens, waarover zij nog beschikken, over te dragen of te vernietigen.
Omdat de in de administratie opgenomen persoonsgegevens van de huidige deelnemers aan activiteiten van de Stichting De Paraplu ook noodzakelijk zijn voor het functioneren van de groepen van de Stichting De Paraplu worden de huidige deelnemers geacht toestemming te hebben gegeven voor de vastlegging van persoonsgegevens.
Indien zij bezwaar hebben tegen deze vastlegging, kunnen zij dat melden aan de secretaris van de Stichting De Paraplu.
In Bijlage 2 bij deze Verklaring is een voorbeeldtekst gegeven, die kan worden opgenomen op alle deelnemerslijsten die digitaal worden aangemaakt of worden gedrukt.
In Bijlage 3 bij deze Verklaring is een beschrijving opgenomen van de Procedure beveiligings- en datalek.
3. Website Stichting De Paraplu
Stichting De Paraplu heeft een website: www.deparaplu-lisse.nl
Deze website bevat cookies.
Deze cookies bevatten voornamelijk een technische functionaliteit, zoals onder meer met het oog op een goede werking van de website en de registratie van het aantal bezoekers. Deze registratie zal nimmer herleidbaar zijn naar individuele personen.
Indien foto’s van personen worden gemaakt om op de website van de Stichting De Paraplu te worden geplaatst of om in publicaties te worden opgenomen, wordt steeds vooraf uitdrukkelijk om toestemming gevraagd door de fotograaf aan de individuele deelnemers van die activiteit. Een deelnemer kan natuurlijk ook uit eigen beweging kenbaar maken niet te willen worden gefotografeerd. Indien een deelnemer niet herkenbaar wenst te worden gefotografeerd, zal de foto zodanig worden geretoucheerd dat het betreffende deelnemer niet meer op de foto staat. Een alternatief is het maken van een foto van achteren.
De website van de Stichting De Paraplu bevat links naar andere websites. Deze Verklaring omtrent de bescherming van persoonsgegevens is uitsluitend van toepassing op de website van Stichting De Paraplu.
4. Verstrekking van persoonsgegevens aan derden
Stichting De Paraplu verstrekt geen persoonsgegevens aan derden, tenzij met deze derde partij een verwerkersovereenkomst is afgesloten.
Indien een verwerkersovereenkomst zal worden gesloten, zal Stichting De Paraplu haar deelnemers over de inhoud van de te sluiten overeenkomst informatie verstrekken, zoals
- Het doel van de overeenkomst.
- De door Stichting De Paraplu te verstrekken informatie.
- De door de verwerker te treffen beveiligingsmaatregelen.
- Een verbod aan de verwerker op het doorgeven van data aan anderen.
- Het recht van Stichting De Paraplu om audits op de uitvoering van de verwerkersovereenkomst te laten uitvoeren.
- Het voorkomen van datalekken bij de verwerker en het treffen van maatregelen door de verwerker, indien een datalek plaats heeft gehad.
In elk geval zal Stichting De Paraplu toestemming aan haar deelnemers vragen voor het sluiten van een verwerkersovereenkomst en in deze verwerkersovereenkomst de nodige afspraken (laten) opnemen om de beveiliging van de persoonsgegevens van de deelnemers te waarborgen.
Voor het overige zal Stichting De Paraplu de door haar deelnemers verstrekte gegevens niet aan andere partijen verstrekken, tenzij dit wettelijk verplicht en toegestaan is. Een voorbeeld hiervan is het opvragen van (persoons)gegevens door de politie in het kader van een onderzoek. In een dergelijk geval dient Stichting De Paraplu medewerking te verlenen en is er dan ook een verplichte afgifte van deze gegevens.
Stichting De Paraplu verstrekt geen persoonsgegevens aan partijen, die gevestigd zijn buiten de EU.
5. Beveiliging en AVG-verantwoordelijke functionaris
Stichting De Paraplu heeft met het autorisatie-overzicht en de door de respectieve functionarissen in acht te nemen procedures passende technische en organisatorische maatregelen genomen om de persoonsgegevens van haar deelnemers te beschermen tegen onrechtmatige verwerking.
Binnen het bestuur van Stichting De Paraplu treedt de secretaris op als verantwoordelijke functionaris voor de gegevensbescherming.
6. Rechten omtrent persoonsgegevens
De deelnemers aan activiteiten van Stichting De Paraplu hebben recht op inzage, rectificatie of verwijdering van de persoonsgegeven die Stichting De Paraplu van hen heeft ontvangen. Tevens kunnen de deelnemers bezwaar maken tegen de verwerking van hun persoonsgegevens (of een deel hiervan) door Stichting De Paraplu of door een derde, waarmee Stichting De Paraplu een verwerkersovereenkomst heeft gesloten.
De deelnemers aan activiteiten van de Stichting De Paraplu hebben ook het recht om de door hen verstrekte gegevens door Stichting De Paraplu te laten doorhalen, overdragen aan henzelf of in opdracht van hen direct overdragen aan een andere partij. Stichting De Paraplu kan haar deelnemers aan activiteiten vragen om zich te legitimeren alvorens gehoor te geven aan voornoemde verzoeken.
De deelnemers aan activiteiten van de Stichting De Paraplu hebben altijd het recht tot intrekking van de door hen aan Stichting De Paraplu gegeven toestemming om hun persoonsgegevens te verwerken.
De in deze paragraaf genoemde rechten en bezwaren worden in principe binnen een termijn van vier weken afgehandeld.
7.Vragen en klachten
Deelnemers aan activiteiten van Stichting De Paraplu kunnen zich met vragen en/of klachten over de verwerking van de op dat lid betrekking hebbende persoonsgegevens wenden tot de secretaris van Stichting De Paraplu.
In principe wordt een klacht binnen vier weken afgehandeld.
Deelnemers aan activiteiten hebben altijd het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens, dat wil zeggen de toezichthoudende autoriteit op het gebied van privacybescherming: www.autoriteitpersoonsgegevens.nl.
8. Wijziging van Verklaring omtrent bescherming persoonsgegevens
Stichting De Paraplu heeft deze Verklaring zo volledig en correct mogelijk opgesteld, rekening houdend met zowel de belangen van de individuele deelnemers als die van Stichting De Paraplu.
Stichting De Paraplu zal de bescherming van de persoonsgegevens in haar administratieve bestanden zo actueel mogelijk houden en, indien noodzakelijk, wijzigingen aanbrengen in deze administratieve bestanden en/of deze Verklaring.
Wijzigingen van deze Verklaring worden gepubliceerd op de website van Stichting De Paraplu.
Op de website is de meest recente en integrale Verklaring beschikbaar.
Bijlage 1. Lijst van (mogelijk) in deelnemersadministratie opgenomen persoonsgegevens
- Algemene gegevens: Naam, adres, postcode, woonplaats, telefoon (facultatief), e-mailadres (facultatief), soort lid.
- Gegevens ten behoeve van contributiebetaling:
incassomachtiging, bankgegevens (IBAN-bankrekeningnummer, BIC-code), adres, postcode, woonplaats; Overzicht contributiebetalingen: termijn, bedrag, vervaldatum, betaalwijze, betaald, organisatie-eenheid. - Activiteiten: Activiteitennaam, datum ingang lidmaatschap, onderdeel, functie, organisatie-eenheid, begindatum.
Bijlage 2. Enige relevante aandachtspunten:
Ter beschikkingstelling van persoonsgegevens aan een derde
Navolgend is beschreven op welke wijze met persoonsgegevens kan worden omgegaan in een situatie waarin het voor een bepaalde activiteit (bij voorbeeld een cursus of een excursie) noodzakelijk is om persoonsgegevens aan een derde partij ter beschikking te stellen.
Indien het voor een bepaalde activiteit (bij voorbeeld een cursus of een excursie) noodzakelijk is om persoonsgegevens aan een derde partij ter beschikking te stellen, moeten de aspirant-deelnemers er vooraf bij de opgave of in het opgaveformulier door de organisatoren op worden gewezen dat er persoonsgegevens beschikbaar kunnen worden gesteld aan de betreffende derde.
Een alternatief kan zijn om de deelnemers er vooraf op te wijzen welke persoonsgegevens zij aan de derde moeten verschaffen.
Voorbeeldtekst ter opneming op alle deelnemerslijsten die digitaal worden aangemaakt of worden gedrukt:
“Deze lijst met gegevens van deelnemers aan activiteiten van Stichting De Paraplu is opgemaakt om de communicatie tussen Stichting De Paraplu en vrijwilligers te faciliteren. De gegevens in deze lijst zijn uitsluitend bedoeld voor intern gebruik tussen en door de in deze lijst genoemde vrijwilligers. Gegevens uit deze lijst mogen niet aan derden worden verstrekt. Als er een nieuwe versie van deze lijst uitkomt en/of wanneer de functie als vrijwilliger wordt beëindigd dan dient de lijst uit de betreffende computer te worden verwijderd en eventuele afgedrukte exemplaren zorgvuldig te worden vernietigd.”
Voorbeelden van wijze van omgaan met e-mail-adressen
Indien Stichting De Paraplu een vergadering belegt of een activiteit organiseert, kunnen de uitnodigingen voor de deelname aan die vergadering en de vergaderdocumenten door middel van een e-mail of brief aan de (bestuurs-)deelnemers worden verspreid.
In geval van een verzending per e-mail wordt zoveel als mogelijk is alle mailadressen in de “BCC”-regel gezet.
Werken met “BCC” is niet nodig wanneer het om een interne mail gaat naar een beperkte groep gaat, bijvoorbeeld als een bestuurslid collega-bestuursleden en vrijwilligers per mail informeert.
Bijlage 3. Procedure beveiligings- en datalek
Een beveiligingsincident is een incident, waarbij sprake is van een inbreuk op de beschikbaarheid, de integriteit en/of de vertrouwelijkheid van gegevens. Als deze inbreuk ook persoonsgegevens betreft, dan is er sprake van een datalek. De oorzaak van een datalek kan zowel intern als extern zijn en kan per ongeluk of moedwillig veroorzaakt zijn. Bij constatering van een datalek wordt direct passende actie ondernomen.
Ter voorkoming van een datalek eist de wet- en regelgeving een ”passende beveiliging” van persoonsgegevens, maar schrijft niet voor waaraan die beveiliging exact moet voldoen. Er moet in elk geval voor worden gezorgd dat de persoonsgegevens die worden beheerd uitsluitend toegankelijk zijn voor die personen, die daartoe functioneel gemachtigd zijn. Computers moeten goed beveiligd zijn met virusbescherming en voorzien zijn van toegangs- en schermbeveiliging. Wachtwoorden moeten vanzelfsprekend ook goed beveiligd zijn en regelmatig worden vernieuwd. Papieren persoonsgegevens moeten afgesloten bewaard worden en zorgvuldig vernietigd worden als ze niet meer gebruikt worden. Computerbestanden moeten worden gewist. Inbreuken op de beschikbaarheid, integriteit en betrouwbaarheid van de opgeslagen persoonsgegevens moeten worden voorkomen.
In het kader van de privacywetgeving moeten organisaties desgevraagd aan kunnen tonen en kunnen verantwoorden wie binnen de organisatie welke inzage- en verwerkingsrechten heeft. Bij het toekennen van rechten moet altijd afgewogen worden of de rechten passen bij de rol van de betrokkene. Het is van belang om nooit meer rechten toe te kennen dan strikt noodzakelijk, omdat dat “van pas kan komen”. Eventueel worden jaarlijks de toegekende rechten geëvalueerd en, indien noodzakelijk, geactualiseerd.
De passende beveiliging is niet alleen van toepassing op de verwerking en opslag van persoonsgegevens in eigen beheer, maar ook op externe partijen die in opdracht gegevens verwerken. Met dit soort partijen moeten verwerkersovereenkomsten worden gesloten. In deze verwerkersovereenkomst worden passende technische en organisatorische (beveiligings-) maatregelen vastgelegd. Bij Stichting De Paraplu worden vooralsnog geen externe partijen ingeschakeld voor het beheer en de verwerking van persoonsgegevens.
In het kader van de beveiliging schrijft de AVG voor dat organisaties een procedure opstellen die beschrijft hoe de organisatie om gaat als er een (vermoeden van) een datalek is.
Meld beveiligings- of datalekken!
Bent u zelf betrokken bij een beveiligingsincident of ziet u in uw omgeving iets waarvan u vermoedt dat het misschien een beveiligingsincident is, neem dan contact op met de secretaris van Stichting De Paraplu.
Een datalekmelding vindt bij voorkeur plaats per e-mail naar info@paraplu.nl met als onderwerp BEVEILIGINGSINCIDENT! Geef in het bericht een beschrijving van de gebeurtenis. De melding wordt formeel geregistreerd en daarna wordt u op de hoogte gehouden van de getroffen maatregelen en ondernomen acties.
Waarom is dit van belang?
Stichting De Paraplu vindt een zorgvuldige omgang met persoonsgegevens belangrijk. Daarnaast is Stichting De Paraplu verplicht een datalek dat mogelijk ernstige gevolgen heeft te melden bij de toezichthouder Autoriteit Persoonsgegevens. Doet Stichting De Paraplu dit niet, dan kan de toezichthouder een boete opleggen.