Stichting Nederlandse Kaap Hoorn-vaarders
Privacy
Algemene Verordening Gegevensbescherming
Implementatie van de Algemene Verordening Gegevensbescherming binnen de Stichting Nederlandse Kaap Hoorn-Vaarders
Mei 2018
INHOUD
Algemeen
- Gegevens en toestemming
- Recht op vergetelheid
- Toegang en verantwoordelijkheid
- Beveiliging – melden datalek
- Tenslotte
Annex 1: log van wijzigen, raadplegen en gebruiken gegevens
Annex 2: familiarisatie log bestuursbegunstigers en administratrice
1 Algemeen
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) definitief van kracht. Voor de Stichting Nederlandse Kaap Hoorn-vaarders (SNKHV) houdt dat in dat er, met betrekking tot de opgeslagen persoonsgegevens van de begunstigers, verplicht gehandeld moet worden zoals hieronder beschreven. Vooral het bijhouden van het log in Annex 1 verdient aandacht vanwege de gevolgen die niet of onjuist bijhouden kunnen hebben bij eventuele inspectie door de Autoriteit Persoonsgegevens.
De AVG noopt een aantal zaken te regelen. Zo moet het duidelijk zijn welke gegevens van SNKHV begunstigers opgeslagen worden en met welk doel. Ieder begunstiger moet daartoe expliciet toestemming geven en gewezen worden op het recht op vergetelheid. De beveiliging van en toegang tot de opgeslagen gegevens moet geregeld en bekend zijn. Ook moet het eerder genoemde logboek worden bijgehouden waarin opgetekend wordt wie er wanneer waarom het begunstigersbestand heeft geraadpleegd en welke gegevens er eventueel veranderd zijn.
In de volgende hoofdstukken wordt een en ander verder uitgewerkt.
2 Gegevens en toestemming
Bij aanmelding als begunstiger van het SNKHV wordt gevraagd naam, adres, telefoonnummer, alsmede e-mailadres op te geven. Op het aanmeldingsformulier geeft het beoogde begunstiger aan toestemming te geven tot het opslaan en verwerken van deze gegevens. In het huishoudelijk reglement wordt dit nog eens bekrachtigd.
De gegevens van de begunstigers die het SNKHV opslaat en verwerkt vallen alle in de categorie gewone gegevens. Andere categorieën gegevens die de AVG definieert zijn bijzondere en strafrechtelijke. Bijzondere persoonsgegevens zijn bijvoorbeeld die gegevens waaruit iets blijkt over iemands ras, etnische afkomst, seksuele geaardheid, begunstigermaatschap vakvereniging of gezondheid. Strafrechtelijke gegevens spreken voor zich.
De grondslag voor de verwerking van de gegevens van begunstigers is: toestemming. Dit is ook de enige van de vier grondslagen waarop opslag en verwerking gebaseerd kunnen zijn die op het SNKHV van toepassing is.
Het doel van het opslaan van de verstrekte gegevens is het voeren van de begunstigers-administratie (herinnering betalen contributie), het informeren van begunstigers over activiteiten van het SNKHV of over andere maritiem gelieerde onderwerpen/activiteiten.
De bij aanmelding verstrekte gegevens worden momenteel door SNKHV op drie manieren opgeslagen:
- in een begunstigerslijst met alle gegevens
- en in een lijst met alleen e-mail adressen die gebruikt wordt om een mail aan alle begunstigers te sturen. Het spreekt voor zich dat de e-mail adressen in zo’n mail aan allen niet in cc, maar in bcc staan
- een lijst ten behoeve van de begunstigernummer-uitgifte na uitschrijven/overlijden van een begunstiger
Het SNKHV is niet gewoon de begunstigers periodiek een begunstigerslijst te doen toekomen. Bij vragen aan het secretariaat om contactgegevens van begunstigers wordt de omkeer-methode gebruikt. Het secretariaat neemt de contactgegevens van de aanvrager op en stuurt die door naar het gewenste begunstiger met de vraag contact op te nemen met de aanvrager. Er worden door het secretariaat geen gegevens van begunstigers verstrekt aan derden.
- Bij het verwerven van een publicatie van de Stichting door middel van het bestelformulier op onze website, worden de verstrekte gegevens gebruikt voor afhandeling en verzending van de betreffende bestelling.
- Gegevens die tot ons komen door gebruik van het contactvenster op onze website, worden gebruikt in de afwikkeling van de betreffende correspondentie.
3 Recht op vergetelheid
Ieder begunstiger kan na opzeggen van het begunstigerschap aanspraak maken op het recht op vergetelheid. Hoewel gegevens na opzegging of overlijden nog slechts voorkomen in de lijst ten behoeve van de begunstigernummer-uitgifte, kan men op enig moment na opzeggen aanspraak maken op dit recht. Als dat het geval is worden binnen een maand alle gegevens van de betreffende persoon uit de begunstigersadministratie verwijderd en wordt het ex-begunstiger daarvan schriftelijk op de hoogte gesteld. In de begunstigernummer-uitgiftelijst worden de gegevens rond het vrijgekomen begunstigernummer geanonimiseerd.
4 Toegang en verantwoordelijkheid
Tot de opgeslagen gegevens hebben toegang alle bestuursleden van het SNKHV voor zover dat voor de uitoefening van hun (bestuurs)taken noodzakelijk is. Om ervoor te zorgen dat ieder van hen op de hoogte is met de AVG binnen SNKHV wordt een ieder gevraagd deze toelichting te bestuderen en daarna in Annex 2 het familiarisatieformulier te tekenen. Daarmee verklaart hij/zij zich bekend met de eisen van de AVG en de door SNKHV gehanteerde werkwijze zoals hier beschreven.
Hoewel het SNKHV niet de verplichting heeft een Functionaris Gegevensbescherming (FG) aan te stellen, is het eerste aanspreekpunt met betrekking tot de AVG de secretaris van het SNKHV. De secretaris houdt in de gaten dat de AVG wordt nageleefd en goed wordt uitgevoerd. Bijvoorbeeld door periodiek de beide annexen te checken.
4 Beveiliging – melden datalek
De voorzieningen waarop de begunstigersadministratie of delen daarvan opgeslagen zijn bestaan bij ingaan van de AVG uit vijf desktop PC’s, met hun externe harde schijven. De ene desktop PC bij de sectretaris, de andere desktop PC wordt gebruikt door de voorzitter en de derde door de bevat de begunstigersadministrateur., de vierde bij de voorzitter van de collectecommissie en de vijfde bij de organisator van de wachtlopers. Alle vijf alleen bereikbaar door invoer van een password alleen bekend bij gebruiker van de desbetreffende
Er is in de kamers een laptop die is voorzien van een bezoekers account voor begunstigers en externe partijen om de audio/video installatie te bedienen. Hierop staan geen begunstigergegevens. Op deze wijze is de beveiliging van de begunstigersadministratie gewaarborgd. Bij vervanging of aanpassing van het voorzieningenarsenaal zal SNKHV zorg dragen voor de doorlopende beveiliging van de haar toevertrouwde persoonsgegevens. Een inbreuk in verband met persoonsgegevens, beter bekend als een datalek, is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Het is voor de kwalificatie als ‘inbreuk in verband met persoonsgegevens’ niet relevant dat er boos opzet in het spel is. Hoewel een hack van ons systeem waarbij persoonsgegevens worden buitgemaakt een schoolvoorbeeld is van een datalek, kunnen we ook gegevens die op een verloren laptop staan of een afgesloten website met persoonsgegevens die per ongeluk openstaat ook kwalificeren als een datalek. In het geval zich daadwerkelijk een datalek voordoet, moet dat gemeld worden aan de Autoriteit Persoonsgegevens (via de site autoriteitpersoonsgegevens.nl onder de tab melden). Melden is niet nodig bij datalekken waarbij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit in geval SNKHV ter beoordeling van zo veel mogelijk bestuursbegunstigers (in vergadering).
Tenslotte
Het begunstigersbestand van het SNKHV is relatief klein en er worden weinig persoonsgegevens opgeslagen. Daarom is het niet nodig om een Data Protection Impact Assessment oftewel een gegevensbeschermingseffectbeoordeling uit te voeren.
Wel meent het SNKHV middels voorliggende map voldaan te hebben aan haar verantwoordingsplicht (accountability) met betrekking tot de AVG. De verwerking van gegevens door het SNKHV voldoet aan de beginselen van rechtmatigheid, transparantie, doelbinding en juistheid.
In geval de Autoriteit Persoonsgegevens het SNKHV vraagt verantwoording af te leggen over hoe wij met de AVG omgaan, menen wij hiermee aan te kunnen tonen dat we de juiste organisatorische en technische maatregelen hebben genomen om de ons toevertrouwde persoonsgegevens te beschermen.
Hoorn, Mei 2018