Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze nieuwe privacywet, internationaal de General Data Protection Regulation (GDPR) genoemd, geldt in de hele Europese Unie en gaat onder andere over het bewaren en beschermen van persoonsgegevens. Hoewel veel afspraken al opgenomen zijn in de Nederlandse wet bescherming persoonsgegevens (Wbp), is die wet vanaf dan niet meer geldig. De nieuwe Europese privacywetgeving heeft daarom ook impact op Schuttersvereniging.
Wat verandert er?
Alle organisaties in de EU, dus ook onze Schuttersvereniging, moeten nadenken over en vastleggen welke persoonsgegevens van vrijwilligers en leden ze bewaren en hoe ze die beveiligen. De wet kent drie belangrijke thema’s:
1.Het bewaren van persoonsgegevens
2.Het beschermen van persoonsgegevens
3.Het melden van datalekken melden bij de toezichthouder
Alle afspraken die een organisatie hierover maakt, moeten worden vastgelegd in een beleidsplan dat inzichtelijk is voor leden. Hiermee voldoe je aan de verplichting in de wet die voorschrijft dat je moet aantonen dat je aan de wetgeving voldoet.
Wat betekent dit?
Bij de Schuttersvereniging staan de algemene afspraken omtrent het bewaren en beschermen van persoonsgegevens beschreven in het Privacybeleid Schuttersvereniging Sint Anna. Hierin staat ook vermeld hoe we omgaan met het melden van datalekken. Het hebben en naleven van dit beleid is voor alle onderdelen van belang. De toezichthouder kan torenhoge boetes uitdelen - ook aan verenigingen! - als niet aan de wetgeving is voldaan. Hiermee heb je nog niet aan alle 'eisen' voldaan.
Het allerbelangrijkste van de Privacywetgeving is dat je als organisatie bewust nadenkt over het omgaan met persoonsgegevens. De keuzes die je maakt, dienen beschreven te worden. Binnen de Schuttersvereniging maken we gebruik van een administratieve applicatie voor het registeren en beheren van onze leden- en debiteurenadministratie. Alle 'verwerkingen' van persoonsgegevens, vinden hier plaats. Daarom zijn alle afspraken omtrent deze applicatie vastgelegd in het Privacybeleid Schuttersvereniging Sint Anna.
Hoe werkt dat precies, die privacywet?
Bewaren van persoonsgegevens
Bij Schuttersvereniging Sint Anna werken we met PC Leden, een administratieve applicatie waarin de ledenadministratie geregeld is. In het Privacybeleid staat uitgelegd welke gegevens er worden geregistreerd en welke gegevens in principe niet.
Als Schuttersvereniging verwerken wij persoonsgegevens om onze vereniging te kunnen organiseren, activiteiten uit te kunnen voeren en contact te hebben met onze leden. De gegevens van leden worden opgenomen in ons ledenadministratiesysteem PC Leden. Als lid heb je zelf altijd op verzoek inzicht in je eigen gegevens en heb je de mogelijkheid deze te laten bewerken of gegevens te laten afschermen. Hoe we met je gegevens omgaan staat beschreven in het privacybeleid.
Wat je verder nog moet weten:
Hoe gaan wij om met persoonsgegevens?
Het is binnen de Schuttersvereniging heel gebruikelijk dat we met gegevens van leden werken. Dat moet ook, want op die manier houden wij de Schuttersvereniging draaiende. Bij het verwerken van deze persoonsgegevens zijn wij ons bewust van het feit dat de gegevens van een individueel lid zijn en veel over dat lid zeggen. Door hier onzorgvuldig mee om te gaan, kunnen wij onbedoeld inbreuk maken op iemands privacy. Daarom gaan wij zorgvuldig met jouw gegevens om.
Sommige gegevens zijn extra gevoelig en vormen daarom een risico voor de privacy van leden. Denk hierbij aan gegevens over gezondheid of godsdienst. Daarom mogen deze ‘bijzondere persoonsgegevens’ niet worden geregistreerd. In het Privacybeleid lees je hier meer over.
Gebruik en verstrekken persoonsgegevens
De persoonsgegevens die zijn geregistreerd in PC Leden, waaronder het e-mailadres, mogen niet zomaar gebruikt worden. In het document ‘ Beleidsafspraken gebruik en verstrekken van persoonsgegevens ’ lees je welke gegevens volgens de wet door wie gebruikt mogen worden. Dit document maakt ook onderdeel uit van het privacybeleid en vind je zodoende daarin ook terug.
Beeldmateriaal (foto’s)
In de nieuwe privacywet wordt niet specifiek beschreven wat wel en wat niet mag als het gaat om beeldmateriaal of fotogebruik. De wet beschrijft wél hoe moet worden omgegaan met beeldmateriaal als deze gebruikt worden voor identificatie met bijvoorbeeld biometrische gegevens, of als een foto een 'bijzonder persoonsgegeven is'. Tegelijkertijd mag een foto niet standaard als bijzonder persoonsgegeven worden aangemerkt. Voor sommige verwerkingen, bijvoorbeeld een map foto’s met het uittrekken van de Schuttersvereniging zonder vermelding van namen, gelden deze regels dus niet. De regelgeving over het gebruik van foto's wordt verschillend verkondigd. Mag je dan zomaar foto's gebruiken? Nee. Want als organisatie heb je de plicht om zorgvuldig om te gaan met persoonsgegevens en die te beveiligen, in welke vorm dan ook. Voor het gebruik van fotomateriaal geldt dan ook de volgende richtlijn:
• Wij vragen vanaf heden bij inschrijving van een nieuw lid éénmalig expliciet toestemming voor het maken en gebruik van foto- en/of videomateriaal; voor bestaande leden geldt dat zij bij onze ledenadministratie (ledenadministratie@schutterijstanna.nl) dienen aan te geven dat wij geen gebruik mogen maken van beeldmateriaal waarop zij staan.
• Wij gebruiken het beeldmateriaal op onze website (www.schutterijstanna.nl), op onze facebookpagina (www.facebook.com/SchutterijSintAnnaOudZevenaar), in de kermis- en schuttersfeestflyer en voor promotiedoeleinden (ter opluistering van een krantenartikel)
• Je kunt ten alle tijden je toestemming intrekken door een mail te sturen naar ledenadministratie@schutterijstanna.nl
De toestemming zal door onze ledenadministratie worden vastgelegd.
Naast de regelgeving omtrent privacy geldt voor het maken en gebruiken van beeldmateriaal ook het portret- en auteursrecht.
Recht op inzage en recht op vergetelheid
In de privacywetgeving (AVG) is opgenomen dat mensen bij een organisatie kunnen opvragen welke persoonsgegevens de organisatie van hen verwerkt en bewaart. Dit wordt ook wel subject access request (SAR) of inzageverzoek genoemd. Ook geldt het zogenaamde recht op vergetelheid (right to be forgotten (RTBF)). Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene erom vraagt. Dit recht geldt niet altijd, maar alleen in de volgende voor de Schuttersvereniging relevante situaties:
• Als de persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor de Schuttersvereniging ze heeft verzameld of waarvoor de Schuttersvereniging ze verwerkt;
• Als de Schuttersvereniging gegevens van niet-leden gebruikt voor “direct marketing”, bijvoorbeeld een e-maillijst naar aanleiding van het Oldtimertreffen.
• Als de betrokkene eerder toestemming heeft gegeven aan de Schuttersvereniging voor het gebruik van zijn gegevens, maar die toestemming nu intrekt.
Daarnaast geldt een wettelijke bewaartermijn voor gegevens, waar voor verenigingen tevens een uitzonderingssituatie geldt voor oud-leden. De gegevens die niet bewaard mogen blijven worden bij oud-leden verwijderd uit de ledenadministratie applicatie PC Leden, bij uitschrijving en/of het verlopen van de bewaartermijn.
Indien iemand een inzageverzoek (SAR) doet of een beroep doet op het recht op vergetelheid (RTBF), heeft een organisatie één maand de tijd om aan dit verzoek te voldoen. Daarbij moeten ook derde partijen geïnformeerd worden. Zijn er bijvoorbeeld verzendlijsten uitgewisseld met een externe leverancier voor het verzenden van onze flyer? Dan moet die partij de gegevens ook wissen binnen de gestelde termijn. Zijn er persoonsgegevens gepubliceerd via een website? Bijvoorbeeld in een overzicht met bestuursleden of vrijwilligers? Dan moeten ook zoekmachines worden geïnformeerd, zodat gewiste gegevens niet meer verschijnen in de zoekresultaten.
Een inzageverzoek in het kader van SAR of een beroep op het recht op vergetelheid (RTBF) dient altijd te worden ingediend bij de ledenadministratie van Schuttersvereniging Sint Anna; ledenadministratie@schutterijstanna.nl Zij draagt zorg voor de afhandeling van het verzoek en betrekt en ondersteunt daarbij de organisatieonderdelen waar de persoon verder toe behoort bij de uitvoering van het verzoek.
Bescherming van persoonsgegevens
Hoe wij omgaan met jouw persoonsgegevens en hoe wij deze beschermen is na te lezen in ons privacy beleid.
Datalekken
In de nieuwe wetgeving is het verplicht om datalekken te melden. Zijn er ondanks alle zorgvuldigheid toch persoonsgegevens op straat terecht gekomen? Dan moet dat gemeld worden bij de Autoriteit Persoonsgegevens (AP). Omdat gegevens in basis geregistreerd worden in PC Leden is de ledenadministratie de contactpersoon voor de Autoriteit Persoonsgegevens. Is er sprake van een datalek binnen de Schuttersvereniging ? Dan dien het bestuur dit te melden. Zie voor meer info de Procedure datalekken (verwerkers) .
Na melding van een datalek heeft Schuttersvereniging Sint Anna een informatieplicht die voorschrijft dat leden worden geïnformeerd over wat er met hun persoonsgegevens is gebeurd. Samen met de betrokkenen worden de vervolgstappen besproken.
Beleidsafspraken Verstrekken, uitwisselen en gebruik van persoonsgegevens
Naast strengere privacywetgeving, gelden onderstaande beleidsafspraken rondom het verstrekken van gegevens. De afspraken staan hieronder beschreven.
Algemeen
Wie verwerkt?
• Tweede Penningmeester
De penningmeester beheert de contributie- en debiteurenadministratie.
• Gegevensbeheerder (tweede secretaris)
De gegevensbeheerder mag mutaties uitvoeren voor alle leden van de Schuttersvereniging.
• Exclusieve rechten
In uitzonderlijke gevallen kunnen exclusieve rechten worden toegekend om gegevens in te zien (raadplegen). Deze afspraken worden voor bepaalde tijd gemaakt en vastgelegd door het bestuur.
Voorwaarden gebruik persoonsgegevens
Het gebruik van gegevens dient aan de volgende voorwaarden te voldoen:
1. Er moet duidelijk een doel worden gesteld waartoe de gegevens gebruikt gaan worden, waarbij duidelijk wordt wie voor welke periode toegang heeft tot welke gegevens;
2. Er mogen enkel relevante gegevens gebruikt worden. Met andere woorden, er mogen geen onnodige of bovenmatige gegevens verzameld of gebruikt worden;
3. Er dient een permissiemodel opgesteld te worden waarin wordt vastgelegd welke personen toegang krijgen tot welke gegevens. Tevens dient er een gedegen beveiliging te worden aangebracht op het gebruik van gegevens;
4. De gegevens mogen niet aan derden worden verstrekt tenzij daar expliciet toestemming voor is gegeven door het lid of daartoe een wettelijke verplichting bestaat;
5. De gegevens mogen alleen voor een vastgestelde periode worden gebruikt en dienen daarna verwijderd te worden. Tussentijds moeten gegevens op het verzoek van het lid verwijderd kunnen worden. Langer gebruik dan vooraf vastgestelde periode (de duur van het lidmaatschap) kan alleen met expliciete toestemming van het lid;
6. Bijzondere gegevens, waaronder godsdienst, gezondheid of strafrechtelijke gegevens, mogen alleen verzameld worden indien daartoe een strikte noodzaak bestaat en met expliciete consensus van het lid. Deze gegevens dienen volledig te worden verwijderd na afloop van de gestelde periode;
7.Het gebruik van de gegevens gebeurt conform het privacy beleid en de Wet bescherming Persoonsgegevens.
Externe partijen
• Verstrekken van persoonsgegevens, adresgegevens en e- mailadressen van leden van Schuttersvereniging Sint Anna aan een niet bij Schuttersvereniging Sint Anna aangesloten of gecontracteerde partij c.q. externe partij ( zowel commercieel als non- profit) is in geen enkel geval toegestaan.
• Schuttersvereniging Sint Anna biedt externe partijen (waaronder haar sponsoren) de mogelijkheid te adverteren door middel van een sponsorbordje in het verenigingsgebouw.
• De Kring of Federatie kunnen en mogen gegevens van de voor een activiteit ingeschreven leden gebruiken mits:
-In de deelnemersvoorwaarden staat beschreven dat de gegevens uitsluitend gebruikt worden voor het betreffende evenement.
-De gegevens mogen alleen gebruikt worden voor het evenement waarvoor is aangemeld. Het is niet toegestaan de gegevens te gebruiken voor promotie van de activiteit in het jaar daarop, tenzij dit door het betreffende lid expliciet is aangegeven.
Gebruiken van gegevens voor doeleinden binnen de eigen groep of geledingen.
Groepen (geledingen binnen de Schuttersvereniging) kunnen voor communicatie naar hun eigen achterban gebruik maken van eigen communicatiemiddelen en de gegevens van de aangesloten leden.
Privacy statement
Schuttersvereniging Sint Anna verwerkt persoonsgegevens. Wij willen je hierover graag duidelijk en transparant informeren. In dit privacy statement geven wij jou antwoord op de belangrijkste vragen over de verwerking van persoonsgegevens door Schuttersvereniging Sint Anna.
Wat zijn persoonsgegevens?
Er zijn gegevens die iets over jou zeggen. Bijvoorbeeld je naam, adres, leeftijd. Wanneer (een combinatie van) deze gegevens naar jou herleid kunnen worden spreken we over persoonsgegevens, Bijvoorbeeld je adres of e-mailadres. Maar bijvoorbeeld ook je voornaam samen met je geboortedatum. Wanneer anderen die persoonsgegevens hebben, moeten ze daar zorgvuldig mee omgaan. Ook foto’s en video’s worden gezien als persoonsgegevens.
Van wie verwerkt Schuttersvereniging Sint Anna persoonsgegevens?
Schuttersvereniging Sint Anna verwerkt persoonsgegevens van mensen met wie wij direct of indirect een relatie hebben. Dat zijn bijvoorbeeld gegevens van:
• Steunende leden, leden van verdienste, kaderleden, leden, Jeugdleden en vrijwilligers van Schuttersvereniging Sint Anna
• Mensen die interesse tonen in een lidmaatschap
• Mensen die aan een bedrijf of organisatie verbonden zijn, waar wij een relatie mee hebben.
Wie is verantwoordelijk voor de verwerking van mijn persoonsgegevens?
De ledenadministratie en de penningmeester (de tweede secretaris en tweede penningmeester) verwerken persoonsgegevens in of via PC Leden.
Waarvoor verwerkt Schuttersvereniging Sint Anna persoonsgegevens?
Ale je lid wil worden van Schuttersvereniging Sint Anna of een andere relatie aan wil gaan met de Schuttersvereniging, hebben we persoonsgegevens nodig. Met behulp van deze gegevens kunnen we je op de juiste wijze inschrijven als lid of vrijwilliger.
Als je eenmaal lid of een relatie bent van Schuttersvereniging Sint Anna, dan willen we je goed van dienst zijn. Wij gebruiken je naam en adresgegevens bijvoorbeeld om contact met je te onderhouden en je te informeren over lidmaatschap gerelateerde zaken.
Gegevens kunnen ook gebruikt worden om je bijvoorbeeld te informeren over activiteiten van de Schuttersvereniging. Wil je niet benaderd worden? Dan kun je dit kenbaar maken aan de ledenadministratie (ledenadministratie@schutterijstanna.nl)
Tot slot zijn er praktische zaken waarvoor we gegevens verwerken. Bijvoorbeeld ter ondersteuning van administratieve processen rondom contributie.
Verwerkt Schuttersvereniging Sint Anna ook bijzondere persoonsgegevens?
Bijzondere persoonsgegevens zijn gevoelige gegevens, bijvoorbeeld over gezondheid, strafrechtelijk verleden, etnische gegevens of gegevens betreffende ras.
Deze gegevens worden door Schuttersvereniging Sint Anna niet verwerkt. Wij verwerken alleen bijzondere persoonsgegevens als wij dat moeten op basis van de wet, met jouw toestemming of als je dat aan ons vraagt. In dat laatste geval verwerken wij deze gegevens alleen als dat noodzakelijk is voor onze dienstverlening.
Hoe gaat Schuttersvereniging Sint Anna met mijn persoonsgegevens om?
Je persoonsgegevens worden zorgvuldig bewaard en niet langer dan noodzakelijk voor normaal gebruik binnen de vereniging of het doel waarvoor zij zijn, verwerkt.
Wie kan er bij mijn persoonsgegevens?
Uitsluitend de tweede secretaris en tweede penningmeester hebben toegang tot jouw persoonsgegevens.
Hoe lang worden mijn gegevens bewaard?
Gegevens gerelateerd aan je lidmaatschap worden gedurende de duur van jouw lidmaatschap bewaard. Bij uitschrijving worden de gegevens direct verwijderd.
Welke regels gelden bij verwerking van persoonsgegevens?
Bij verwerking van persoonsgegevens is Schuttersvereniging Sint Anna gebonden aan de daarvoor geldende wet- en regelgeving.
Kan ik zien welke gegevens Schuttersvereniging Sint Anna van mij verwerkt?
Je kunt ten alle tijden een inzageverzoek doen aan de ledenadministratie.
Waar kan ik terecht met een vraag of klacht?
Voor vragen of klachten over de verweking van persoonsgegevens door Schuttersvereniging Sint Anna kun je terecht bij de ledenadministratie of het bestuur.
Wijzigingen privacy beleid
Schuttersvereniging Sint Anna behoudt zich het recht voor om wijzigingen aan te brengen in dit privacy beleid. Het verdient aanbeveling dit privacy beleid regelmatig te raadplegen, zodat je van de wijzigingen op de hoogte bent.
Datalekken-bewerkers
In het kader van de Privacywetgeving geldt sinds 1 januari 2016 de meldplicht datalekken. Met deze meldplicht is bij wet geregeld dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP), zodra er sprake is van een datalek. Hierbij moet er kans zijn op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. In een aantal gevallen moet dit datalek ook gemeld worden aan betrokkenen. Schuttersvereniging Sint Anna Oud- Zevenaar dient zich als vereniging ook te conformeren aan deze meldplicht.
In deze procedure wordt daarom beschreven wat er dient te gebeuren op het moment dat er sprake is van een (vermeend) datalek bij een bewerker van Schuttersvereniging Sint Anna.
“Een bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreeks gezag van de verantwoordelijke is onderworpen (artikel 1, sub e, Wbp). Van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van persoonsgegevens door de opmaker van de lidmaatschapskaarten of bij externe hosting van een website waar persoonsgegevens worden verwerkt (registratie deelnemers Oldtimertreffen) ”.
Het belang van een adequate melding is groot. Indien een melding te laat gedaan wordt of indien er sprake is van ernstige tekortkomingen aan de zijde van Schuttersvereniging Sint Anna, kan er een boete worden opgelegd (bijvoorbeeld 10% van de netto jaaromzet). Een melding van een (mogelijk) datalek moet binnen 72 uur gedaan worden.
“Bij een datalek gaat het om toegang of vernietiging , wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming Persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking- dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Voorbeelden van datalekken zijn: een kwijtgeraakte USB stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.
1. Datalek melden
Op het moment dat er een idee is dat er sprake is van een datalek, moet dit zo snel mogelijk gemeld worden aan het bestuur van Schuttersvereniging Sint Anna. Hiervoor gebruik je het mailadres bestuur@schutterijstanna.nl . Bij twijfel of voor advies kun je ook gebruik maken van dit mailadres of telefonisch contact opnemen met één van bestuursleden (gegevens te vinden op de website).
Via deze mailbox worden direct de juiste personen die betrokken zijn bij de afhandeling van een datalek op de hoogte gesteld. Het moment van mailen is naar dit emailadres is het moment waarop de constatering formeel plaatsvindt.
Wanneer is iets mogelijk een datalek?
Naar letter van de wet kan iets al heel snel een datalek zijn. Hieronder volgen enkele voorbeelden.
• Iemand heeft onbedoeld de beschikking gekregen over een NAW lijst van de leden van Schuttersvereniging Sint Anna;
• Een brief of mail die gestuurd is naar de verkeerde persoon en gelezen wordt door iemand anders dan de persoon waarvoor deze bestemd was;
• Een post-it met de naam, geboortedatum en het e-mailadres van een nieuw lid dat is blijven rondslingeren en voor onbevoegden inzichtelijk is geweest;
• Een maillijst die verstrekt is aan een externe partij die dit niet had mogen ontvangen.
2. Bepalen of het een datalek is
Er zal nu bepaald moeten worden of het gemelde issue daadwerkelijk een datalek is. Tevens moet er bepaald worden of het lek ernstig genoeg is dat de betrokkenen (de persoon waarvan de gegevens gelekt zijn) geïnformeerd dienen te worden. Indien er informatie onduidelijk is zal er geprobeerd worden om dit duidelijker te krijgen bij de melder.
3. Melding maken bij de AP
Indien er wordt bepaald dat het daadwerkelijk een datalek betreft, dient er melding gemaakt te worden bij het AP. Dit wordt gedaan door het bestuur van de Schuttersvereniging. De melder wordt hiervan op de hoogte gebracht.
4. Betrokkenen informeren
Indien de aard van het datalek dusdanig is dat de betrokkenen dienen te worden geïnformeerd zal dit zo snel mogelijk gedaan worden. De vorm van communicatie hangt af van de hoeveelheid gegevens die gelekt is. Het informeren zal gedaan worden door één van de bestuursleden. De melder wordt hiervan op de hoogte gesteld.
5. Vastleggen datalek
Een datalek gemeld bij de AP dient vastgelegd te worden in een dossier, ook hiervoor wordt door het bestuur zorg gedragen.
