PROTOCOL PRIVACYBELEID
PROTOCOL PRIVACYBELEID (versie 2/08 april 2019)
Vrienden Rode Baret (VRB)
Verantwoordingsplicht:
De Algemene Verordening Gegevensbescherming (AVG) legt meer verantwoordelijkheid bij organisaties om aan te tonen dat zij aan de privacyregels voldoen. Door te voldoen aan de verantwoordingsplicht (accountability) levert de VRB een belangrijke bijdrage aan de bescherming van het grondrecht van haar leden op privacy.
De nieuwe regels dwingen de VRB om goed na te denken over hoe zij de persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat de VRB moet kunnen aantonen dat haar verwerkingen aan de regels van de AVG voldoen.
De VRB zal bijvoorbeeld aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid. Ook moet de VRB kunnen laten zien dat zij de juiste technische en organisatorische maatregelen heeft getroffen om de persoonsgegevens te beschermen. Deze zijn opgenomen in het AVG persoonsregister, dat wordt bijgehouden door de secretaris van de VRB.
De VRB is verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt.
Verwerking:
In het protocol privacy beleid staat beschreven hoe de VRB persoonsgebonden gegevens registreert, verwerkt en bewaart. Het beleid omvat alle on- en offline systemen waarin persoonsgegevens voorkomen en is van toepassing op alle tot de VRB behorende onderdelen, functies, commissies en werkgroepen. Dit protocol is opgemaakt conform de AVG.
De VRB is niet gehouden een functionaris voor de gegevensbescherming aan te stellen, omdat het niet tot de kerntaken van de VRB behoort om op grote schaal individuen te volgen of bestanden aan te houden die bijzondere persoonsgegevens bevatten. Onder de kernactiviteiten van een organisatie vallen de processen die essentieel zijn om de doelen van de organisatie te bereiken, of die tot de hoofdtaken van de organisatie horen. De verwerking van persoonsgegevens die ondersteunend is aan de bedrijfsvoering, zoals voor de ledenadministratie, valt dan buiten de kernactiviteiten.
De VRB gaat slechts tot het verwerken van gegevens over na verkregen toestemming van het lid. Deze kan ook stilzwijgend worden verkregen, tenzij er een bijzonder gebruik van gemaakt wordt.
De VRB stelt zich tot taak de gegevens van de leden juist en nauwkeurig bij te houden en te beschermen tegen inbreuken en misbruik.
Het is de verantwoordelijkheid van de VRB om de gegevens te beveiligen. Datalekken die een lid schade kunnen berokkenen worden gemeld aan de AP, Bezuidenhoutseweg 30, 2594 AV Den Haag.
Bijzondere Persoonsgegevens, feiten die te herleiden zijn tot een persoon, zoals geslacht, huidskleur, hobby, religie, enzovoort, mogen niet verwerkt worden. De VRB houdt geen bijzondere persoonsgegevens bij.
De VRB verwerkt persoonsgegevens in de ledenadministratie. Dit gebeurt door de ledenadministrator, die deel uit maakt van het bestuur.
Het programma van de ledenadministratie bevindt zich mogelijk ook op de computers van de bestuursleden. Toegang hiertoe kan alleen verkregen worden door middel van een wachtwoord.
Als verantwoordelijke functionaris treedt de ledenadministrator op; de verwerkers staan vermeld in het verwerkersregister bij de secretaris.
Verder wordt er rekening gehouden met dataminimalisatie: de VRB verwerkt zo min mogelijk persoonsgegevens: alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking.
De website www.vriendenrodebaret.nl is het informatie- en nieuwsportaal van de vereniging. De website houdt het aantal bezoekers en leden bij. Het doel is de leden en belangstellenden te voorzien van informatie over de VRB. Deze informatie is openbaar. De site is zowel aan de front- als aan de backend voorzien van SSL-certificaten.
Bij het inschrijven voor een evenement kan het verstrekken van medische gegevens (bijvoorbeeld een specifiek dieet) op verzoek van een lid gewenst zijn. Deze medische gegevens zullen niet langer bewaard worden dan noodzakelijk.
De VRB verwerkt persoonsgegevens en wil daar duidelijk en transparant in zijn. Wijzigingen kunnen doorgegeven worden aan de vereniging of een daartoe aangewezen lid. De VRB verwerkt geen Bijzondere Persoonsgegeven.
Met alle functionarissen binnen de VRB die uit hoofde van hun functioneren toegang krijgen tot de persoonsgegevens zijn afspraken gemaakt over wat zij wel en niet met de gegevens mogen doen.
Persoonsgegevens van overleden leden en leden die hun lidmaatschap hebben opgezegd worden nog twee jaar bewaard, daarna worden zij verwijderd. Een lid kan zich afmelden voor handhaving van persoonsgegevens, bij beëindiging van het lidmaatschap of tijdens de duur van het lidmaatschap.
Voor onderzoeken, gerichte mailing en ledenraadplegingen kan het zijn dat postcode en leeftijd van leden verwerkt worden. Resultaten zullen niet herleidbaar zijn tot individuele leden. De financiële administratie verwerkt persoonsgegevens in de debiteuren- en crediteurenadministratie van de vereniging en de contributieverwerking.
De aan de VRB ter beschikking gestelde persoonsgegevens zullen niet aan derden worden verstrekt, tenzij het in belang van de vereniging of de leden is en er door het lid toestemming voor is gegeven, al dan niet stilzwijgend. Evenmin worden de persoonsgegevens voor andere organisaties verwerkt.
Recht op vergetelheid:
Leden die bezwaar hebben tegen het gebruik van persoonsgegevens van de vereniging of het ontvangen van e-mailberichten van de vereniging of onderdeel van de vereniging kunnen zich hiervoor afmelden schriftelijk bij het secretariaat of digitaal via het emailadres: info@vriendenrodebaret.nl
Een dergelijk bezwaar wordt niet gehonoreerd als het een bezwaar betreft over het toezenden van serviceberichten, zoals bevestiging van de deelname aan een activiteit of een betalingsbevestiging.
Leden van de VRB kunnen verzoeken om alle op hen betrekking hebbende gegevens te vernietigen na beëindigen van hun lidmaatschap. Dit recht heeft de naam het recht op vergetelheid.
Inzagerecht:
Leden van de VRB hebben recht op inzage van hun persoonsgegevens. Men kan mondeling, schriftelijk, per brief of via e-mail om inzage vragen. Leden hebben het recht om correctie van hun persoonsgegevens te vragen. Dat houdt in dat zij de VRB mogen vragen hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Iemand kan om correctie vragen als zijn persoonsgegevens: feitelijk onjuist zijn, onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld of op een andere manier in strijd met de wet worden gebruikt.
De VRB zal echter in voorkomend geval deze schriftelijke mening toevoegen aan het dossier. Dat kan een oplossing bieden bij situaties waarbij het om niet objectief vast te stellen feiten gaat. De VRB verplicht zich binnen vier weken schriftelijk of per e-mail te reageren op een dergelijk verzoek. Voordat de VRB uw inzageverzoek in behandeling neemt, kan de vereniging de identiteit van de verzoeker controleren. De VRB kan daartoe vragen een identiteitsbewijs te tonen of toe te sturen (zie onderstaande hyperlink): "https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs" een kopie daarvan op te sturen.
Leden hebben het recht om hun gegevens over te dragen. Dit heet het recht van dataportabiliteit. Het houdt in dat leden het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft, bijvoorbeeld om deze over te dragen aan een andere organisatie.