PROTOCOL Algemene verordening gegevensbescherming Filatelistenvereniging Vlaardingen en omstreken
1. Inleiding en begripsbepalingen
Binnen de Filatelistenvereniging Vlaardingen en omstreken (hierna: FV&O) wordt veel waarde gehecht aan de privacy van (hun) leden en donateurs. De FV&O wenst in dit verband waarborgen te bieden, onder andere door strikte naleving van de toepasselijke (privacy) wet- en regelgeving. De wijze waarop met persoonlijke gegevens van leden en donateurs van de FV&O wordt omgegaan, alsmede de beveiliging daarvan is van cruciaal belang. Misbruik van deze gegevens kan gevolgen hebben voor de persoonlijke levenssfeer van de hiervoor bedoelde personen. In dit protocol is beschreven op welke wijze de FV&O omgaat met persoonsgegevens en de beveiliging daarvan. Het betreft een praktische uitwerking van de bepalingen van de Algemene verordening gegevensbescherming (hierna Avg).
De Avg is op 25 mei 2018 in werking getreden. De verordening is een uitwerking van de Europese privacyrichtlijn en beslaat het gehele proces van gegevensverwerking. Dat wil zeggen van het verzamelen tot het vastleggen en het eventueel doorgeven van persoonsgegevens aan derden.
De Avg bevat de regels met betrekking tot de verkrijging/verzameling en verdere verwerking van persoonsgegevens van bij de vereniging betrokkenen, zoals leden, donateurs en deelnemers aan de door de FV&O georganiseerde activiteiten en ex-leden van de FV&O. Bij het opstellen van dit document is de Avg dan ook als uitgangspunt genomen en is aangesloten bij de begrippen zoals deze zijn gedefinieerd in de Avg:
Persoonsgegeven elk gegeven betreffende een geïdentificeerde of een identificeerbare natuurlijke persoon, dus: leden, donateurs en deelnemers aan de door de FV&O georganiseerde activiteiten en ex- leden van de FV&O.
. Bijzondere Persoonsgegevens: de gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven of persoonsgegevens betreffende het lidmaatschap van de FV&O. Verder zijn bijzondere persoonsgegevens strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag.
. Verwerken: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Verantwoordelijke: De natuurlijke persoon, rechtspersoon of ieder ander die alleen of tezamen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
. Bewerker: Degene die ten behoeve van de verantwoordelijke, onder diens instructie en verantwoordelijkheid, persoonsgegevens verwerkt.
. Betrokkene: Degene waarvan de persoonsgegevens worden verwerkt; in dit geval de leden, donateurs en deelnemers aan de door de FV&O georganiseerde activiteiten, leden en ex-leden van de FV&O.
. Derde: Ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of bewerker gemachtigd is om persoonsgegevens te verwerken.
. Verstrekken: Het bekendmaken of ter beschikking stellen van gegevens.
. Verzamelen: Het verkrijgen van persoonsgegevens.
De volledige tekst van de Avg kan worden geraadpleegd op de website van de Autoriteit Persoonsgegevens.
De voor de FV&O meest belangrijke regels met betrekking tot gegevensbescherming kunnen als volgt worden samengevat:
. Wijze van verwerking: Persoonsgegevens mogen alleen worden verwerkt indien dat geschiedt in overeenstemming met wetgeving en op een behoorlijke en zorgvuldige wijze.
. Doelbinding: Persoonsgegevens mogen alleen worden verzameld voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden en kunnen alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
. Kwaliteit: Persoonsgegevens moeten relevant zijn voor de doeleinden waarvoor zij gebruikt worden. Daarnaast moeten persoonsgegevens nauwkeurig zijn, maar ook compleet en up-to-date.
. Transparantie: De betrokkene(n), degene van wie persoonsgegevens worden verwerkt, moet ten minste op de hoogte zijn van de identiteit van de verantwoordelijke en van het doel/de doeleinden van de verwerking.
. Beveiliging: De persoonsgegevens moeten op een passende wijze worden beschermd. De verantwoordelijke dient in dit verband voldoende technische en organisatorische beveiligingsmaatregelen te treffen tegen verlies of ongeautoriseerde toegang, vernietiging, gebruik, wijziging of openbaarmaking van persoonsgegevens.
. Verantwoordelijkheid: De verantwoordelijke voor de verwerking moet verantwoording afleggen voor het nemen van maatregelen die uitvoering geven aan de (voorgaande) vereisten met betrekking tot de bescherming van persoonsgegevens. Deze vereisten kunnen onder andere worden herzien in het licht van ’veranderende technologieën, markten en het gedrag van gebruikers’.
De Autoriteit Persoonsgegevens is de instantie die de FV&O kan aanspreken op het niet naleven van de verordening en kan sancties opleggen.
De FV&O zal de Avg naleven en toezien op naleving van de wet- en regelgeving door haar leden, donateurs en overigens alle derden die persoonsgegevens ten behoeve van de FV&O verwerken. De FV&O zal zich houden aan de in dit protocol opgenomen principes en regels. Voorts zal de FV&O dit protocol kenbaar maken, zowel aan haar leden als aan haar donateurs.
2. De verwerking van persoonsgegevens
In het kader van de ledenadministratie en andere verenigingsactiviteiten verzamelt de FV&O door middel van het aanmeldingsformulier (een aantal) algemene persoonsgegevens van haar leden en donateurs, zoals naam, geboortedatum, adres en woonplaats, telefoon, e-mailadres, nationaliteit en het soort lidmaatschap. De FV&O verzamelt en verwerkt alleen persoonsgegevens, zoals zij die van de betrokkene(n) door het invullen van het aanmeldingsformulier en de eigen verklaring heeft verkregen, tenzij anders door de FV&O is vastgesteld.
De FV&O verwerkt deze persoonsgegevens alleen voor nauwkeurig omschreven doeleinden. Door de FV&O zijn de volgende doeleinden geformuleerd:
. Het voeren van de ledenadministratie van de verenging in verband met het aanmelden van personen als lid of donateur, de verzending van post en het innen van contributie en de organisatie van de gebruikelijke verenigingsactiviteiten;
. Het al naar gelang van de vaardigheden van een lid of donateur een beroep kunnen doen op diens medewerking vanwege de vele werkzaamheden die ten behoeve van de FV&O moeten worden verricht;
. De organisatie van activiteiten.
Grondslag
Door het ondertekenen van het aanmeldingsformulier komt er tussen de betrokkene en de FV&O een overeenkomst tot stand. Op basis hiervan is de FV&O gerechtigd de verzamelde en verkregen persoonsgegevens te verwerken. Dit geldt dus voor zowel de algemene als de eventueel verstrekte bijzondere persoonsgegevens, mits de persoonsgegevens alleen worden verwerkt voor de doeleinden zoals eerder in dit protocol zijn beschreven. Dit betekent dat de FV&O de persoonsgegevens in de eerste plaats verzamelt, verkrijgt en verwerkt in verband met het voeren van een efficiënte en effectieve (leden)administratie, het kunnen aanbieden van informatie en het organiseren van (sociale) activiteiten.
Bewaartermijn
De persoonsgegevens worden door de FV&O niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan voor zover dit noodzakelijk is voor de verwerking van de doeleinden waarvoor de persoonsgegevens zijn verzameld/verkregen en worden gebruikt:
• De persoonsgegevens die in het kader van de ledenadministratie zijn verzameld en verkregen, worden door de FV&O in ieder geval uiterlijk twee (2) jaren nadat het lidmaatschap is beëindigd verwijderd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening van een wettelijke bewaarplicht;
• De persoonsgegevens die in het kader van de financiële administratie zijn verzameld en verkregen, worden door de FV&O in ieder geval zeven (7) jaren bewaard;
• Voor administratieve doeleinden worden na afloop van de bewaartermijn, indien de betrokkene daartoe zijn toestemming heeft gegeven, alleen de volgende gegevens bewaard: naam, adres, woonplaats en de periode van het lidmaatschap van betrokkene;
• De FV&O mag persoonsgegevens ook langer bewaren voor historische, statistische of wetenschappelijke doeleinden indien de FV&O de nodige voorzieningen heeft getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor die doeleinden worden gebruikt.
• Persoonsgegevens kunnen in geanonimiseerde vorm eventueel langer worden bewaard; de gegevens worden dan zodanig door de FV&O bewerkt, dat deze niet meer tot identificeerbare personen te herleiden zijn.
Melding van de verwerking van persoonsgegevens bij de Autoriteit Persoonsgegevens
De verwerking van persoonsgegevens door de FV&O is vrijgesteld van de meldplicht bij de Autoriteit Persoonsgegevens.
Indien de FV&O het noodzakelijk acht persoonsgegevens (verder) te verwerken voor buiten de in dit Protocol beschreven doeleinden, dan zal uitsluitend de FV&O de verantwoordelijke zijn voor die verwerkingen in de zin van de Avg. Indien de FV&O daartoe besluit, zal zij dat zelf moeten melden bij de Autoriteit Persoonsgegevens.
3. Beveiliging van persoonsgegevens
Technische en organisatorische maatregelen
De FV&O doet er alles aan om de persoonsgegevens van haar (ex)leden en (ex)donateurs op een zorgvuldige wijze te beschermen en te beveiligen. De FV&O legt dan ook passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beschermen tegen verlies, aantasting, onbevoegde kennisneming, wijziging of verstrekking.
Teneinde de beveiliging van persoonsgegevens in de systemen en (leden)administratie van de FV&O te waarborgen, heeft de FV&O de volgende maatregelen geformuleerd:
• Het bewaren van de (leden)administratie in een met inlogcode en wachtwoord beveiligde computer;
• Indien met persoonsgegevens wordt gewerkt, worden deze te allen tijde afgeschermd voor onbevoegde leden, donateurs en andere derden;
• Het bewaren van aanmeldingsformulieren, eigen verklaringen en bijzondere persoonsgegevens (hard copy) geschiedt in een afgesloten dossierkast. Ook de papieren dossiers zijn dus ook zeer beperkt toegankelijk.
Verantwoordelijkheid
De ledenadministrateur van het bestuur is verantwoordelijk voor het beheer van zowel de papieren als digitale (leden)administratie en draagt er voor zorg dat de verzameling/verkrijging, de (verdere) verwerking, het beheer en de bewaring van persoonsgegevens wordt uitgevoerd conform de Avg, dit protocol en de overige documenten omtrent gegevensbescherming zoals deze gelden binnen de FV&O.
Mate van bevoegdheid (intern en extern)
Intern. Vanwege de taken die voortvloeien uit hun functie zijn binnen de FV&O de volgende personen bevoegd tot het inzien van en belast met de verwerking van persoonsgegevens:
• De voorzitter van het bestuur van de FV&O ten aanzien van alle binnen de FV&O te verwerken persoonsgegevens;
• De secretaris en penningmeester van het bestuur van de FV&O ten aanzien van de voor hen noodzakelijke persoonsgegevens, zoals de leden- en de financiële administratie;
• Bestuursleden en leden die deelnemen in de Rondzend Commissie, een en ander beperkt tot de voor hen – in het kader van de commissieactiviteiten – noodzakelijke gegevens.
Overige leden en donateurs van de FV&O hebben slechts toegang tot persoonsgegevens, indien dit noodzakelijk is bij de uitvoering van een bepaalde aan hen toegewezen taak en/of indien zij hiervoor toestemming hebben gekregen van het bestuur van de FV&O. De leden van de verenging (waaronder mede verstaan de bestuursleden van de FV&O) die inzage hebben in persoonsgegevens hebben een geheimhoudingsplicht. Het bestuur van de FV&O ziet er – voor zover dat mogelijk is – op toe, dat deze geheimhoudingsplicht door de leden wordt nageleefd.
Extern. Buiten de FV&O kunnen persoonsgegevens worden verstrekt aan personen en organisaties voor zover dit noodzakelijk is voor hun taakuitoefening. Te denken valt aan:
• De SvF;
• Externe hulpverleners in geval van een incident.
4. Informatieverstrekking aan de betrokkene
De leden en donateurs van de FV&O worden door middel van de toelichting op het aanmeldingsformulier geïnformeerd over de rechten en de wijze waarop door de FV&O met persoonsgegevens wordt omgegaan. Door ondertekening van het aanmeldingsformulier komt een overeenkomst tot stand tussen de betrokkene en de FV&O op basis waarvan bepaalde op de betrokkene betrekking hebbende persoonsgegevens mogen worden verwerkt en waarin tevens wordt verwezen naar de informatie op de website van de FV&O.
5. Rechten van de betrokkene
In de FV&O Informatiebrochure “Privacy binnen de FV&O wordt aandacht besteed aan de rechten die betrokkenen hebben ten aanzien van de persoonsgegevens die van hen worden verwerkt en/of bewerkt. Het gaat om de volgende rechten:
• Het recht op inzage in en afschrift van persoonsgegevens;
• Het recht op correctie van persoonsgegevens.
6. Klachten
Binnen het bestuur van de FV&O vervult de algemeen adjunct de functie van klachtenfunctionaris bij wie een betrokkene (een) eventuele klacht(en) kan indien over de wijze waarop door de FV&O met zijn of haar persoonsgegevens wordt omgegaan dan wel over de wijze waarop de Avg wordt nageleefd.
Vastgesteld in de bestuursvergadering van 26 april 2018
Ingangsdatum van dit protocol: 25 mei 2018