Bron: Handleiding Alegemene verordening gegevensbescherming;
Rijksoverheid: Handeiding Algemene Verordening Gegevensbescherming
Onderstaand is van toepassing voor:
Stichting ‘Vrienden van de Aaltense Synagoge’, hierna te noemen de stichting.
Inleiding
In mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. Deze verordening met bijbehorende wetgeving is van toepassing op de stichting. Dit document beschrijft het wat, waar en hoe.
De stichting verwerkt persoonsgegevens van bestuursleden, donateurs, vrijwilligers en voor de verspreiding van informatiebulletins en folders. Derhalve is de verordening van toepassing. De stichting is degene die op grond van een specifieke juridische bevoegdheid het doel en de middelen voor de verwerking vaststel en is dus een verwerkingsverantwoordelijke.
Op grond van de Verordening moet elke verwerking van persoonsgegevens voldoen aan de volgende beginselen:
- De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn (rechtmatigheid, behoorlijkheid en transparantie);
- De verwerking moet gebonden zijn aan specifieke verzameldoelen (doelbinding);
- De persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is;
- Minimale gegevensverwerking, de gegevens moeten juist zijn (juistheid);
- De gegevens mogen niet langer worden bewaard dan nodig (opslagbeperking);
- De gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (integriteit en vertrouwelijkheid);
- De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beginselen en moet ook kunnen aantonen dat een verwerking van persoonsgegevens aan deze beginselen voldoet (de verantwoordingsplicht). Concreet dient de verwerkingsverantwoordelijke hiertoe een register van verwerkingsactiviteiten bij te houden (de registerplicht);
- Onder bepaalde omstandigheden een functionaris voor gegevensbescherming aan te stellen voorafgaand aan risicovolle verwerkingsactiviteiten en een gegevensbeschermingseffectbeoordeling uit te voeren;
- De Autoriteit Persoonsgegevens onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle verwerkingsactiviteit te raadplegen (voorafgaande raadpleging);
- Bij het inrichten van verwerkingen rekening te houden met het principe van privacy door ontwerp en standaardinstellingen (privacy by design & default);
- Passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens;
- In het geval van een datalek melding te doen bij de Autoriteit Persoonsgegevens en onder bepaalde omstandigheden ook bij betrokkenen;
- Afspraken te maken met verwerkers;
- Medewerking te verlenen aan de Autoriteit Persoonsgegevens;
In navolgend document wordt een en ander beschreven.
Rechtmatig, behoorlijk, transparant, doelgebonden
Er worden persoonlijke gegevens vastgelegd van de bestuursleden, van de vrijwilligers en van de donateurs. Deze gegevens zijn nodig voor het uitvoeren van een overeenkomst, d.w.z. het donateurschap, of het toezenden van de nieuwsbrief. Het vastleggen van de persoonsgegevens is dus noodzakelijk. De gegevens die worden vastgelegd zijn de minimaal benodigde.
Voor de ontvangers van de nieuwsbrief zijn dit: naam, e-mailadres en datum vanaanmelding.
Voor de donateurs zijn dit: naam, adres, woonplaats, en e-mailadres indien van toepassing. Deze gegevens zijn alleen beschikbaar voor de secretaris, de penningmeester en het bestuurslid dat de nieuwsbrief per e-mail verzendt.
Voor de bestuursleden zijn dit: naam, adres, woonplaats, e-mailadres en telefoonnummer.
Transparantie vereist dat een ieder waarvan gegevens vastliggen daarvan in kennis is gesteld en hiervoor toestemming heeft gegeven.
Voor alle hierboven genoemde gegevens geldt dat ze door betrokkene zijn verstrekt. Verder worden de genoemde gegevens slechts gebruikt voor de aangegeven doelen.
Register van verwerkingsactiviteiten
Om aan te kunnen tonen dat de stichting zich houdt aan de wet en regelgeving is het nodig een register van verwerkingsactiviteiten bij te houden. Dit document is de facto tevens het Register.
Er is geen functionaris voor gegevensbescherming aangesteld.
De stichting is verwerkingsverantwoordelijke. Direct verantwoordelijk is het dagelijks bestuur (voorzitter, secretaris en penningmeester). In het register van de Kamer van Koophandel ligt vast wie dat zijn. De verwerkingsdoelen en categorieën van betrokkenen zijn in voorafgaand hoofdstuk beschreven. De gegevens die worden verwerkt zijn ‘normale’ gegevens. Er worden geen ‘gevoelige’ gegevens of bijzondere categorie gegevens (medisch, ras, geloof, strafrecht, BSN, of iets dergelijks) verwerkt. De gegevens worden uitsluitend door bestuursleden van de stichting verwerkt. Er worden geen gegevens aan derden verstrekt en/of door derden verwerkt. Gegevens van oud-donateurs worden na twee jaar gewist.
Beveiliging
Alle gegevens liggen vast op privé-pc’s van bestuursleden. Deze pc’s zijn voorzien van een virusscanner en slechts via firewalls met internet verbonden. De besturingssoftware wordt voorzien van de nieuwste beveiligingsupdates. Back-up vindt plaats op een externe harde schijf.
Rechten van betrokkenen
Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de Verordening diverse rechten aan de betrokkene. De betrokkene kan deze rechten uitoefenen tegen de verwerkingsverantwoordelijke. De betrokkene heeft:
Het recht op informatie over de verwerkingen;
Het recht op inzage in zijn gegevens;
Het recht op correctie van de gegevens als deze niet kloppen;
Het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’;
Het recht op beperking van de gegevensverwerking
Het recht op verzet tegen de gegevensverwerking;
Het recht op overdracht van zijn gegevens (dataportabiliteit);
Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.
De stichting onderschrijft deze rechten en geeft gehoor als er een beroep op wordt gedaan.
Aalten, 24 mei 2018