Privacybeleid

Hoofdstuk 1 – Inleiding

In onze toenemend gedigitaliseerde maatschappij krijgt privacy steeds meer aandacht. Op Europees niveau is recent de Algemene verordening gegevensbescherming (AVG) vastgesteld, als opvolger van de huidige richtlijn waarop de Wbp is gebaseerd. Alle reden voor Emèt Qenee om een privacybeleid op te stellen.

Het gebruik van persoonsgegevens is noodzakelijk voor de processen die bestaan binnen verenigingen. Opslag en verwerking van deze persoonsgegevens dient met de grootste zorgvuldigheid te gebeuren omdat misbruik van persoonsgegevens grote schade kan berokkenen aan (oud-)leden. Het bestuur van Emèt Qenee is wettelijk verantwoordelijk voor het op een juiste manier verwerken van persoonsgegevens. Met de maatregelen beschreven in dit beleidsdocument neemt Emèt Qenee haar verantwoordelijkheid om de kwaliteit van de verwerking en de beveiliging van persoonsgegevens te optimaliseren en daarmee te voldoen aan de relevante privacywet- en regelgeving.

1.1 Reikwijdte en doelstelling van het privacybeleid

Het privacybeleid is van belang voor alle leden en andere relaties van Emèt Qenee. Het heeft consequenties voor het werk van alle leden die met persoonsgegevens werken. Het privacybeleid heeft betrekking op het verwerken van persoonsgegevens van alle betrokkenen binnen Emèt Qenee , waaronder in ieder geval alle leden en externe relaties, alsmede op andere betrokkenen waarvan Emèt Qenee persoonsgegevens verwerkt.

Het privacybeleid betreft niet het verwerken van persoonsgegevens voor persoonlijk of huishoudelijk gebruik, zoals persoonlijke aantekeningen. Het privacybeleid betreft de geheel of gedeeltelijk geautomatiseerde en/of systematische verwerking van persoonsgegevens die plaatsvindt onder de verantwoordelijkheid van Emèt Qenee alsmede de daaraan ten grondslag liggende (al dan niet elektronische) documenten. Eveneens is het privacybeleid van toepassing op niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Het privacybeleid heeft als doel om de kwaliteit van de verwerking en de beveiliging van persoonsgegevens te optimaliseren waarbij een goede balans moet worden gevonden tussen privacy, functionaliteit en veiligheid.

Beoogd wordt de persoonlijke levenssfeer van de betrokkene zoveel mogelijk te respecteren. De gegevens, die betrekking hebben op een betrokkene dienen beschermd te worden tegen onwettelijk en ongeautoriseerd gebruik en tegen verlies dan wel misbruik op basis van het fundamenteel recht op bescherming van zijn/haar persoonsgegevens. Dit brengt met zich mee dat het verwerken van persoonsgegevens dient te voldoen aan relevante wet- en regelgeving en dat persoonsgegevens veilig zijn bij Emèt Qenee .

Het privacybeleid geeft leden en andere betrokkenen inzicht in hoe privacy geregeld is op Emèt Qenee . Daarnaast helpt het bij het creëren van bewustwording over het belang en de noodzaak van het beschermen van persoonsgegevens.

Het privacybeleid beoogt:

  • Het bieden van een kader: om (toekomstige) verwerkingen van persoonsgegevens te toetsen aan een vastgestelde norm en om de taken, bevoegdheden en verantwoordelijkheden binnen Emèt Qenee eenduidig te beleggen.
  • Het nemen van verantwoordelijkheid door het bestuur: door de uitgangspunten en de organisatie van het verwerken van persoonsgegevens vast te leggen voor Emèt Qenee .
  • Daadkrachtige implementatie van het privacybeleid door duidelijke keuzes in maatregelen te maken en actieve controle toe te passen op de uitvoering van de beleidsmaatregelen.
  • Compliant zijn met de Nederlandse en Europese wetgeving.

Naast bovenstaande concrete doelstellingen is een meer algemeen doel het creëren van bewustwording van het belang en de noodzaak van het beschermen van persoonsgegevens, mede ter vermijding van risico’s als gevolg van het niet compliant zijn met de relevante wet- en regelgeving.

Het beleid is in 2018 geschreven door bestuur De Bruijn, bestuur van C.S.F.R. Ichthus in afstemming met het bestuur der C.S.F.R. en IFES Nederland. Daarna heeft bestuur Blankenstijn het beleid zoals het nu in dit document staat, aangepast aan haar eigen verenigingsstructuur.

Hoofdstuk 2 – Beleidsprincipes verwerking persoonsgegevens

Algemeen beleidsuitgangspunt is dat persoonsgegevens in overeenstemming met de relevante wet- en regelgeving op behoorlijke en zorgvuldige wijze worden verwerkt. Onder verwerking valt iedere handeling waarbij een persoonsgegeven gemoeid is. Hierbij dient een goede balans te worden gevonden tussen het belang van Emèt Qenee om persoonsgegevens te verwerken en het belang van de betrokkene om in een vrije omgeving eigen keuzes te maken met betrekking tot zijn persoonsgegevens.

Om aan bovenstaand beleidsuitgangspunt te voldoen gelden de volgende principes:

  • Een verwerking van persoonsgegevens is gebaseerd op een van de wettelijke grondslagen zoals genoemd in de Algemene verordening gegevensbescherming (AVG).
  • Persoonsgegevens worden alleen verwerkt voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking geformuleerd.
  • Bij een verwerking van persoonsgegevens blijft de hoeveelheid en het soort gegevens beperkt tot de persoonsgegevens die noodzakelijk zijn voor het specifieke doeleinde. De gegevens dienen met het oog op dat doel toereikend, terzake dienend en niet bovenmatig te zijn.
  • Verwerking van persoonsgegevens gebeurt op de minst ingrijpende wijze en dient in redelijke verhouding te staan tot het beoogde doeleinde.
  • Er worden maatregelen getroffen om zoveel mogelijk te waarborgen dat de te verwerken persoonsgegevens juist en actueel zijn.
  • Persoonsgegevens worden adequaat beveiligd volgens de geldende beveiligingsnormen.
  • Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
  • Persoonsgegevens worden niet langer verwerkt dan noodzakelijk is voor de doeleinden van de verwerking. Hierbij worden de van toepassing zijnde bewaar- en vernietigingstermijnen in acht genomen.
  • Iedere betrokkene heeft een wettelijk recht op inzage respectievelijk verbetering, aanvulling, verwijdering of afscherming van de in de afzonderlijke verwerkingen hem betreffende persoonsgegevens, en heeft in bepaalde gevallen het recht van verzet.
  • Bij alle registraties die niet strikt noodzakelijk zijn voor het bereiken van de doelstellingen zal aan de betrokkene voor zover technisch mogelijk een eenduidige zogenaamde opt-out procedure worden aangeboden.

2.1 Doel verwerking persoonsgegevens

De persoonsgegevens worden enkel verwerkt voor een daarvoor duidelijk omschreven en rechtmatig doel. Die rechtvaardiging bestaat uit:

  • een noodzakelijke verwerking om een gerechtvaardigd belang te dienen;
  • de uitdrukkelijke toestemming van een betrokkene;
  • het uitvoeren van een contract met een betrokkene;
  • het voldoen aan een wettelijke plicht.                                                                              

Hoofdstuk 3 – Wet- en Regelgeving

3.1 Algemene verordening gegevensbescherming

Emèt Qenee heeft de wettelijke vereisten (waaronder het rechtmatig en zorgvuldig verwerken van persoonsgegevens en nemen van passende technische en organisatorische maatregelen tegen verlies en onrechtmatige verwerking van data c.q. persoonsgegevens) geïmplementeerd door middel van het privacybeleid.

3.2 Archiefwet

Emèt Qenee houdt zich aan de voorschriften ten aanzien van bewaartermijnen, zoals die bijvoorbeeld in de Archiefwet zijn vastgelegd, en het Archiefbesluit over de wijze waarop omgegaan moet worden met informatie vastgelegd in (gedigitaliseerde) documenten, informatiesystemen, websites en dergelijke.

3.3 Telecommunicatiewet

De Telecommunicatiewet beschrijft onder meer aan welke regels cookies op websites dienen te voldoen. Emèt Qenee houdt zich aan deze wet.

3.4 Auteurswet

Emèt Qenee houdt zich aan de voorschriften ten aanzien van de Auteurswet. De Auteurswet beschrijft onder meer dat het publiceren van afbeeldingen, foto’s en video’s niet toegestaan is wanneer een redelijk belang van de betrokkene zich daartegen verzet. Dit wordt ook wel het portretrecht genoemd.

Hoofdstuk 4 – Rollen en verantwoordelijkheden met betrekking tot verwerking persoonsgegevens

Om de verwerkingen van persoonsgegevens gestructureerd en gecoördineerd op te pakken zijn een aantal rollen en verantwoordelijkheden aan de functionaris toegewezen.

4.1 Het bestuur

Het bestuur is eindverantwoordelijk voor de rechtmatige en zorgvuldige verwerking van persoonsgegevens binnen Emèt Qenee en stelt het beleid, de maatregelen en de procedures op het gebied van verwerking met dit privacybeleid vast. Daarnaast is zij verantwoordelijk voor de implementatie van het privacybeleid binnen Emèt Qenee .

Het creëren van bewustwording en de naleving van het privacybeleid vallen ook onder de verantwoordelijkheid van het bestuur. Taken die hierbij horen zijn:

  • er voor te zorgen dat leden op de hoogte zijn van (de voor hen relevante aspecten van) het privacybeleid;
  • het privacybewustzijn van de leden toereikend te laten zijn;
  • toe te zien op de naleving van het privacybeleid door de leden;
  • periodiek het onderwerp privacy onder de aandacht te brengen tijdens bijeenkomsten.

4.2 Toezichthouder op de verwerking van persoonsgegevens

De AVG verplicht Emèt Qenee niet om een toezichthouder op de verwerking van persoonsgegevens aan te stellen. Toch achtten Emèt Qenee het verstandig om een toezichthouder aan te stellen in verband met de privacy van leden. De toezichthouder houdt binnen Emèt Qenee toezicht op de toepassing en naleving van de privacywetgeving.

De toezichthouder adviseert en informeert Emèt Qenee en de individuele leden omtrent het toepassen van de privacywetgeving. De toezichthouder draagt zorg voor de voorlichting over verwerking van persoonsgegevens. De toezichthouder bevordert het privacybewustzijn binnen Emèt Qenee . Jaarlijks wordt er een privacyverslag opgesteld.

De toezichthouder is aanspreekpunt en vraagbaak voor degenen die vragen hebben over de bescherming van persoonsgegevens en beheert het register van meldingen van verwerkingen van persoonsgegevens.

Daarnaast onderhoudt de toezichthouder het contact met het bestuur der C.S.F.R. en de overige toezichthouders binnen de C.S.F.R.

De verantwoordelijkheden en taken van de toezichthouder zijn opgenomen in de taakomschrijving van de toezichthouder.

4.3 Commissiepraeses

De commissiepraeses heeft de verantwoordelijkheid om binnen zijn of haar commissie bewustwording te creëren en toe te zien op de naleving van het privacybeleid. Taken die hieronder vallen zijn:

  • er voor te zorgen dat de commissieleden op de hoogte zijn van (de voor hen relevante aspecten van) het privacybeleid;
  • het privacybewustzijn van de commissieleden toereikend te laten zijn;
  • toe te zien op de naleving van het privacybeleid door de commissieleden;
  • toe te zien op de naleving van het protocol ‘Protocol bescherming persoonsgegevens – commissies’;
  • periodiek het onderwerp privacy onder de aandacht te brengen tijdens vergaderingen.

4.4 Webcommissie

De webcommissie (systeemhouder) is er verantwoordelijk voor dat de website een goede ondersteuning biedt aan de vereniging en dat deze voldoet aan het privacybeleid. Dit betekent dat de webcommissie er voor zorgt dat zowel nu als in de toekomst de website blijft beantwoorden aan de eisen en wensen van de gebruikers en aan wet- en regelgeving.                                      

4.5 Gelieerde instellingen

Aan Emèt Qenee gelieerde instellingen, stichtingen en verenigingen zijn zelf verantwoordelijk voor het voldoen aan de privacywetgeving. Het is aan de gelieerde instelling zelf om compliance te realiseren.

Gegevensverwerkingen van gelieerde instellingen kunnen niet gemeld worden bij Emèt Qenee , maar dienen, voor zover zij niet binnen het Vrijstellingsbesluit vallen, rechtstreeks bij de Autoriteit Persoonsgegevens (AP) gemeld te worden.

Hoofdstuk 5 – Implementatie privacybeleid

Het bestuur is verantwoordelijk voor verwerkingen van de persoonsgegevens waarvan zij het doel en de middelen voor de verwerking vaststelt. Zij wordt aangemerkt als de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens. De feitelijke verwerking van persoonsgegevens wordt echter op allerlei plekken binnen de vereniging uitgevoerd.

Het goed, efficiënt en verantwoord leiden van een organisatie wordt vaak aangeduid met de term governance. Het omvat vooral ook de relatie met de belangrijkste belanghebbenden van de instelling, zoals de studenten, medewerkers en de samenleving. Een goede governance zorgt er voor dat alle belanghebbenden hun rechten en plichten kennen en ernaar handelen.

Privacy is ieders verantwoordelijkheid. Van leden en derden wordt verwacht dat ze zich integer gedragen en zorgvuldig omgaan met persoonsgegevens.

Hoofdstuk 6 – Rechtmatige en zorgvuldige verwerking van persoonsgegevens

6.1 Grondslag, doelbinding en belangenafweging

Het Verwerken van Persoonsgegevens moet gebaseerd zijn op een van de wettelijke gronden zoals beschreven in artikel 6 van de Algemene verordening persoonsgegevens (AVG). Het bestuur omschrijft vooraf de doeleinden voor de verwerking. Deze doeleinden zijn concreet en specifiek geformuleerd. Bij elke verwerking wordt getoetst in hoeverre het verwerken van persoonsgegevens noodzakelijk is. Hierbij worden de verschillende belangen afgewogen en wordt gekeken naar de doelmatigheid, proportionaliteit en subsidiariteit. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

Emèt Qenee treft de nodige maatregelen om te zorgen dat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn. Tijdens de implementatie worden de principes “Privacy by Design” en “Privacy by Default” gebruikt.

6.2 Melden en documenteren van verwerkingen

Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens dient gemeld te worden bij het bestuur van Emèt Qenee . Het bestuur beoordeelt de rechtsgeldigheid van de registratie en draagt zorg voor adequate documentatie.       

6.3 De organisatie van beveiliging

Emèt Qenee draagt zorg voor een adequaat beveiligingsniveau en brengt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen zijn er mede op gericht onnodige c.q. onrechtmatige verzameling en verwerking van persoonsgegevens te voorkomen.                                                      

6.4 Geheimhouding

Bij Emèt Qenee worden alle persoonsgegevens als vertrouwelijk geclassificeerd. Een ieder behoort de vertrouwelijkheid van persoonsgegevens te kennen en daarnaar te handelen.

Ook personen voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

6.5 Bewaartermijnen/vernietigingstermijnen per soort gegeven

Persoonsgegevens worden niet langer bewaard dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld of worden gebruikt. Persoonsgegevens dienen na het verlopen van de vastgestelde bewaartermijn buiten het bereik van de actieve administratie gebracht te worden. Emèt Qenee zal de persoonsgegevens na het verlopen van de bewaartermijn vernietigen of, indien de persoonsgegevens bestemd zijn voor historische of statistische doeleinden, in een archief bewaren. De bewaartermijnen zijn opgenomen in het verwerkingsregister.                        

6.6 Bijzondere Persoonsgegevens

Het verwerken van bijzondere persoonsgegevens is in beginsel verboden, tenzij er sprake is van een wettelijke grondslag, uitdrukkelijke toestemming van de betrokkene of een zwaarwegend algemeen belang. Tevens gelden zwaardere eisen voor de beveiliging van deze persoonsgegevens. Daar waar de basisbescherming niet voldoende is moeten voor elk informatiesysteem individueel afgestemde extra maatregelen worden genomen.

Onder bijzondere persoonsgegevens vallen gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een (vak)vereniging en strafrechtelijke gegevens.              

6.7 Doorgifte persoonsgegevens aan derden

Emèt Qenee verstrekt persoonsgegevens alleen aan derden, als deze doorgifte is gebaseerd op een wettelijke grondslag.

Met betrekking tot bijzondere persoonsgegevens worden deze niet aan derden verstrekt zonder expliciete toestemming van de betrokkene.

Derden aan wie Emèt Qenee persoonsgegevens doorgeeft (niet limitatieve lijst):

- Tilburg University

- Bestuur der C.S.F.R.

- Rabobank               

- RRQR

Hoofdstuk 7 – Protocollen

7.1 Commissies

Binnen commissies worden besluiten gemaakt voor leden. Denk hierbij aan het mogelijk maken van activiteiten. We verwerken de persoonsgegevens van leden ten behoeve van dit gerechtvaardigd belang. Hierbij kunt u denken aan inschrijfformulieren voor activiteiten. De commissie krijgt een verantwoordelijkheid voor het waarborgen van de privacy. Zie ook hoofdstuk 4.3 voor de verantwoordelijkheden van de commissiepraeses.

Om ervoor te zorgen dat er beschermd om wordt gegaan met de persoonsgegevens, zijn er technische en organisatorische maatregelen genomen.

De maatregelen zijn terug te vinden in het protocol ‘Protocol bescherming persoonsgegevens – commissies’. Zie bijlage I voor dit protocol.

7.2 Notulen

Emèt Qenee noteert persoonsgegevens in de notulen van huishoudelijke vergaderingen en openbare vergadering. Het gaat hier om de namen en uitspraken van leden en gasten. Emèt Qenee bereikt haar doelen door het houden van huishoudelijke en openbare vergaderingen. In discussies is het belangrijk om te weten wie welke uitspraak gedaan heeft om hier eventueel later op terug te kunnen vallen of om verduidelijking te vragen. Tijdens een huishoudelijke vergadering is met algemene instemming besloten dat de namen van leden gebruikt mogen worden in de notulen.

Tijdens een openbare vergadering wordt aan eventuele gasten gevraagd of zij toestemming geven voor het noteren van hun namen in de notulen.

Om ervoor te zorgen dat er beschermd om wordt gegaan met de persoonsgegevens, zijn er technische en organisatorische maatregelen genomen.

De notulen zijn enkel terug te vinden op de website voor leden. De notulen zijn beveiligd doordat leden een wachtwoord moeten invoeren om toegang te kunnen krijgen tot deze omgeving. De notulen worden niet langer meegestuurd (via de mail) met het convocaat.

7.3 Ledenbestand

Het ledenbestand van Emèt Qenee bestaat uit verschillende persoonsgegevens. De volgende gegevens van leven worden bewaard: geboortedatum, geboorteplaats, woonadres, mobiel nummer, adres ouders, telefoonnummer ouders, studie, studie-instelling, beginjaar studie, e-mailadres, kerk en de installatiedatum.

In het verwerkingsregister is per persoonsgegeven opgenomen voor welk(e) doel(en) dit gegeven wordt opgeslagen en verwerkt. De gegevens zullen niet voor andere doelen bewaard worden dan waar zij voor bestemd zijn en waarvoor een wettelijke grondslag is.
De ledenlijst mag en kan gedeeld worden met eigen leden. Hier is tijdens een huishoudelijke vergadering in algemene zin mee ingestemd. De ledenlijst is ook zichtbaar op het afgeschermde deel op de drive en de website. Enkel eigen leden hebben, door middel van een persoonlijk wachtwoord, toegang tot deze ledenlijst.

De persoonsgegevens van een ex-lid worden niet langer dan twee jaar na het einde van het lidmaatschap bewaard. Voor informatie die valt onder de fiscale bewaarplicht geldt een langere bewaartermijn, namelijk zeven jaar. In overleg met de fiscus van C.S.F.R. wordt besloten om welke gegevens dit gaat. Er worden in dit geval niet meer persoonsgegevens bewaard dan noodzakelijk. Waar mogelijk zullen de gegevens geanonimiseerd worden.

7.4 Beeldmateriaal

De nieuwe vormen binnen de media zorgen ervoor dat er steeds meer mogelijkheden zijn als het gaat om het gebruik van foto’s en video’s op de website en op social media.

Foto’s en video’s met een herkenbaar in beeld gebrachte betrokkene zijn meestal persoonsgegevens. Voor het maken en publiceren ervan heb je daarom meestal toestemming nodig van de betrokkene. Aangezien er regelmatig foto’s en video’s gemaakt worden, nemen we dit op in het aanmeldformulier voor nieuwe leden en in overige aanmeldformulieren.

Iemand die toestemming heeft gegeven voor het maken van een foto heeft daarmee niet direct toestemming gegeven voor de publicatie (tenzij daar expliciet toestemming voor is gevraagd). Een herkenbaar in beeld gebracht persoon heeft het recht om zich te verzetten tegen publicatie van zulke beelden. Er moet gehoor gegeven worden aan een dergelijk verzoek.

Tijdens een huishoudelijke vergadering, een openbare vergadering en overige activiteiten wordt ten alle tijden een vermelding gedaan van het feit dat er eventueel beeldopnamen gemaakt kunnen worden. Dit kan bijvoorbeeld door dit te vermelden op de PowerPoint.

Er wordt tijdens iedere activiteit toestemming gevraagd aan eventuele gasten voor het maken van beeldopnamen en de eventuele publicatie hiervan.

7.5 E-mail

Wanneer een lid/derde zijn of haar e-mailadres aan ons heeft verstrekt, kan hij of zij per e-mail worden geïnformeerd, bijvoorbeeld over onze activiteiten.

Het is ten alle tijden mogelijk om uit te schrijven voor het ontvangen van e-mails, tenzij u in het bezit bent van een mailadres van het Emèt Qenee domein. Dit kan door een e-mail te sturen naar abactis@emetqenee.nl. Deze mogelijkheid staat ook vermeld in e-mails met convocaten en in de abactismails.

Hoofdstuk 8 – Incidenten met betrekking tot persoonsgegevens

Iedere klacht of melding met betrekking tot de verwerking van persoonsgegevens binnen Emèt Qenee is een privacy incident. De bekendste vorm van zo’n incident is een datalek.

Dit hoofdstuk beschrijft het beleid met betrekking tot de melding, registratie en afhandeling van incidenten of het vermoeden van incidenten in de reguliere bedrijfsvoering en in bijzondere omstandigheden. 

8.1 Melding en registratie

Leden van Emèt Qenee en derden zijn verplicht om een (vermoedelijk) ‘datalek’ en andere privacy incidenten direct te melden. Incidenten worden vanwege de efficiency bij voorkeur gemeld via het bestuur. Deze zullen de naam van de melder vertrouwelijk behandelen.

Van elk incident en de afhandeling daarvan wordt door het bestuur een registratie bijgehouden. Meldingen worden vertrouwelijk behandeld. De melder kan er op vertrouwen dat het doen van een melding geen persoonlijke consequenties heeft voor de melder. Een melder dient zolang het incident nog niet is afgehandeld vertrouwelijk met de melding om te gaan en hierover niet te communiceren met betrokkenen of derden.                     

8.2 Afhandeling

De afhandeling van incidenten heeft als doel het probleem op te lossen, de schade te beperken en de wetgeving na te leven. Normaliter is de toezichthouder, in overleg met het bestuur, degene die beoordeelt of er waarschijnlijk sprake is van een datalek.

Als het incident een datalek betreft dan wordt conform de regels van de AP17 bepaald of melding aan de Autoriteit Persoonsgegevens (AP) verplicht is. De melding wordt afgestemd met het toezichthouder. Een melding aan de AP dient onverwijld binnen 72 uur na constatering plaats te vinden.                                                                   

8.3 Evaluatie

Het is van belang om te leren van incidenten. Registratie van incidenten horen thuis bij een professionele manier van verwerken van persoonsgegevens.

 

Bijlage I – Protocol ‘Protocol bescherming persoonsgegevens – commissies’

Eindhoven-Tilburg, xx-xx-xxxx

Waarde commissiepraeses,

Zoals u weet is het leiden van een commissie een hele verantwoordelijkheid. Niet alleen bent u belangrijk voor een bepaald deel van de vereniging, ook bent u verantwoordelijk voor alle gegevens die uw commissie verwerkt. Over het algemeen zijn dit gegevens van praktische aard, zoals data, convocaten, flyers, etc. Van heel andere aard zijn persoonsgegevens. Naar aanleiding van de AVG die op 25 mei 2018 inging zijn er een aantal zaken die vastgelegd moeten worden. Zo moeten veel van die persoonsgegevens goed beschermd en in veel gevallen ook snel weer verwijderd worden. In het volgende bestand geven we zoveel mogelijk richting aan het (zorgvuldig) behandelen van persoonsgegevens.

Ten eerste zal worden ingegaan op wat persoonsgegevens precies zijn. Daarna zal worden uitgelegd hoe u zorgvuldig met deze gegevens omgaat en ten slotte zullen praktische consequenties volgen die daaraan verbonden zijn.

Wat zijn persoonsgegevens?

Als het gaat om persoonsgegevens zijn er twee soorten te onderscheiden. Ten eerste zijn er de normale persoonsgegevens. Dit zijn voor de hand liggende gegevens als naam, adres, woonplaats en telefoonnummer. Die zijn nu eenmaal nodig om inschrijving bij de vereniging – en meer specifiek, voor bijvoorbeeld een weekend – mogelijk te maken. Verder zijn er ook nog minder voor de hand liggende persoonsgegevens, zoals IBAN-nummers. Ten tweede bestaan er bijzondere persoonsgegevens. Die zijn bijzonder gevoelig en moeten daarom ook extra goed beveiligd worden. We moeten zelfs een expliciet doel hebben om die gegevens überhaupt te bewaren. Denk daarbij aan kerkverbanden, allergieën en meningen en opvattingen.

Hoe beveilig ik persoonsgegevens?

De AVG verplicht u om een verwerkingsregister te gebruiken. In dat register staan alle persoonsgegevens die u gebruikt, u geeft daarbij bijvoorbeeld de reden voor gebruik, waar u deze gegevens opslaat en voor hoe lang. In de overige bijlagen vindt u hiervoor een template, die u gemakkelijk in kunt vullen.

Alle commissiegegevens (waaronder dus ook persoonsgegevens) worden altijd ondergebracht in dezelfde commissiemap op Google Drive. Zo voorkomt u dat persoonsgegevens op verschillende plekken opgeslagen worden, wat in potentie een datalek is. Voor al deze gegevens geldt dat u ze niet langer bewaart dan noodzakelijk voor het doel van de verwerking (artikel 5, lid 1, onder e, AVG). Voorbeeld: Als weekendcommissie verwijdert u nadat het weekend heeft plaatsgevonden de Excel sheet met inschrijvingen.

Hoe regel ik dat praktisch? 

E-mail en Google Drive

  • Het e-mailadres van uw commissie is xxx@gmail.com. Met dit e-mailadres heeft u toegang tot uw commissiemap op Google Drive.
  • Zodra u het e-mailadres in beheer krijgt verandert u het wachtwoord, zodat onbevoegden (zoals commissieleden van vorig jaar) niet langer toegang hebben tot de commissiemap.
  • Deel dit wachtwoord vervolgens met uw commissieleden. Zodoende kunnen zij met die e-mail in de commissiemap op Google Drive. Het is dus niet meer toegestaan om commissieleden met hun afzonderlijke e-mailadressen toe te voegen aan de commissiemap.
  • Het verantwoordelijke bestuurslid kunt u wel toegang geven tot de map. Dit doet u door bijvoorbeeld fiscus-asssessor@emetqenee.nl als bewerker toe te voegen.
  • De toezichthouder van het dispuut kan u helpen bij het maken van het verwerkingsregister, het inrichten van mappen en anonimiseren van gegevens. De toezichthouder kan tevens vragen om uw commissiemap en e-mailadres te controleren naar aanleiding van het privacybeleid.

Notulen

  • De notulen van uw vergaderingen mogen niet meer verspreid worden via de mail. Het risico op datalekken is op die wijze te groot. Notulen zijn dus enkel inzichtelijk in de Google Drive map.
  • Na het afronden van al uw commissietaken en vóór de overdracht met uw opvolger anonimiseert u alle notulen. Zodoende verspreidt u niet onnodig gevoelige gegevens naar onbevoegden.

Overig

  • U bent ervoor verantwoordelijk om uw commissieleden op de hoogte te brengen van de AVG. Op die manier zijn zij zich ook bewust van mogelijke risico’s aangaande de verwerking van persoonsgegevens.
  • Als u gegevens vraagt van leden (bij bijvoorbeeld het inschrijven voor een weekend) moeten zij daarbij altijd toestemming geven voor verwerking. Dit doet u gemakkelijk door civieten een vakje aan te laten vinken, waarmee ze toestemming geven. Daarbij vermeldt u dat u de gegevens niet langer gebruikt dan noodzakelijk en ze daarna verwijdert.
  • Voor overige vragen en/of twijfel kunt u altijd terecht bij de toezichthouder en het betrokken bestuurslid.

 

Met amicale groet,

Bestuur Blankenstijn

2017-2018


Plaats een reactie