Privacy Statement
0. Inleiding
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Dit is de nieuwe privacywetgeving die in de hele Europese Unie geldt.
Persoonsgegevens mogen niet zonder toestemming bewaard worden. Deze toestemming moet vastgelegd worden met reden waarom deze gegevens bewaard worden. Burgers krijgen het recht om hun persoonlijke gegevens op te vragen bij een organisatie, om deze vervolgens te laten verwijderen of aan te passen.
Stichtingen als de onze zijn verplicht een aantal voorzieningen te treffen om dit te waarborgen en zij moeten kunnen aantonen dat ze zich aan de wet houden, onder andere door hun procedures voor het beheer van persoonsgegevens te documenteren.
De procedures betreffen:
1. Het veilig bewaren van persoonsgegevens
2. Het verwerken/gebruiken van persoonsgegevens
3. Het melden van datalekken aan de toezichthouder (Autoriteit Persoonsgegevens)
4. Rechten van de leden en Toestemming voor het gebruik van hun gegevens
5. Controle op uitbesteding van gegevensbeheer (in ons geval de website)
In dit document worden al deze aspecten behandeld. Relaties waarvan wij gegevens bewaren zal worden gevraagd om hun toestemming voor de verwerking en het gebruik van hun persoonsgegevens volgens de in dit document beschreven procedures.
1. Bewaren van persoonsgegevens
Onze Stichting heeft diverse personele relaties, te weten bestuursleden en sponsoren, zowel particulieren als bedrijven. Van deze relaties beschikken wij alleen over de NAW gegevens; dus naam, adres, woonplaats, postcode, telefoonummers, emailadressen en eventueel bankrekeningnummers (voor betalingen) en het webadres van hun website.
Deze gegevens bevinden zich in een spreadsheet, hierna te noemen het bestuursbestand. Dit bestand wordt beheerd door de secretaris van de Stichting en de overige bestuursleden hebben hiervan een kopie op hun eigen systeem. Deze gegevens staan ook in de DropBox cloud en zijn daar alleen toegankelijk voor de bestuursleden met een wachtwoord. De bestuursleden dienen hun eigen systeem te beveiligen met een firewall voor internet verkeer en een wachtwoord voor menselijke toegang. De bestuursleden mogen deze gegevens niet aan derden ter inzage of ter beschikking stellen zonder toestemming van betrokken leden.
De NAW gegevens van bestuursleden staan op de website en zij hebben daarmee ingestemd.
Tenslotte zijn er nog twee vormen van persoonsgegevens die bewaard worden door de Stichting.
Soms worden relaties in een verslag of nieuwsbrief die ook op de website van de Stichting gepubliceerd wordt. Dit gebeurt alleen met instemming van de betrokken relaties. Ook staan er op de website foto’s van evenementen waarop ook relaties voorkomen. Ook dit gebeurt met instemming van betrokkenen. Instemming betekent dat de relatie voor publicatie van deze gegevens op onze website of nieuwsbrief inzage krijgen en een termijn om te reageren als ze niet instemmen.
Het beheer van de website is deels uitbesteed (zie punt 5).
Geen van de gegevens die wij van onze relaties bewaren hebben een reëel privacy risico.
2. Verwerken/gebruiken van persoonsgegevens
Nieuwe relaties worden in ons bestuursbestand door de secretaris opgenomen, oude verwijderd. De secretaris maakt een update van de DropBox en stuurt de bestuursleden een update. Zij verwijderen de oude file.
Sponsoren worden op onze website vermeld als zij daar prijs opstellen en daarvoor dienen zij een toestemmingsverklaring te tekenen.
3. Datalekken melden
Zodra een relatie of de beheerder van de website een datalek constateert of vermoedt wordt de secretaris daarvan zo spoedig mogelijk in kennis gesteld en die meldt dit aan de Autoriteit Persoonsgegevens.
4. Rechten en Toestemming
In de AGV wordt gesproken over data-portabiliteit. Dat heeft geen betekenis in onze Stichting. Relaties kunnen de secretaris vragen welke gegevens van hun in het bestuursbestand zijn opgenomen. Als de door de Stichting gebruikte gegevens onjuist zijn dan zal de Stichting die zo snel mogelijk corrigeren. De relaties hebben te allen tijde het recht hun gegevens van onze website te laten verwijderen en ook foto’s en referenties naar hun persoon of organisatie uit nieuwsbrieven en verslagen, die op de website staan, te verwijderen. Zij dienen hiertoe een schriftelijk verzoek aan de secretaris te richten met een duidelijke omschrijving van de gegevens die wij verwijderd willen hebben.
5. Controle op uitbesteding
Het beheer van de website is deels uitbesteed aan Creative Creation. Zij hebben hun eigen gegevensbeschermingsprocedures die voldoen aan de AVG.