Privacyreglement In CTRL 

Privacyreglement In CTRL 

 

Inleiding 

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) rechtstreeks van toepassing voor alle organisaties die gegevens van personen (persoonsgegevens) in een bestand bewaren. Deze organisaties moeten zich aan de regels in deze nieuwe verordening houden. Dat geldt zowel voor het bewaren in digitale bestanden als voor het bewaren in mappen op een plank. Ook deze laatste moeten voortaan veilig worden opgeborgen zonder dat vreemden daar bij kunnen. 

Ook verenigingen moeten dus voldoen aan de vereisten van de AVG.  

 

Op grond van de AVG moet elke verwerking van persoonsgegevens voldoen aan de volgende beginselen: 

  • de verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn; 
  • de verwerking moet gebonden zijn aan specifieke verzameldoelen; 
  • de persoonsgegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is;  
  • de gegevens moeten juist zijn; 
  • de gegevens mogen niet langer worden bewaard dan nodig; 
  • gegevens moeten goed beveiligd zijn en vertrouwelijk blijven. 

 

Met welk doel worden de gevraagde persoonsgegevens verwerkt? 

Het begrip ‘verwerken’ is zeer breed. Iederehandeling met een persoonsgegeven is in de praktijk een verwerking. Denk daarbij aan het verzamelen, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken of vernietigen van persoonsgegevens. 

 

Je mag persoonsgegevens volgens de wet alleen verwerken voor een duidelijk omschreven en rechtmatig doel. Die rechtvaardiging bestaat in het geval van een vereniging (meestal) uit: 

  • een noodzakelijke verwerking om een gerechtvaardigd belang te dienen; 
  • de uitdrukkelijke toestemming van een betrokkene (lees: koorlid); 
  • het uitvoeren van een contract met een betrokkene (lees: lidmaatschap van een koorlid); of 
  • het voldoen aan een wettelijke plicht. 

 

Welke gegevens worden binnen In CTRL van de (nieuwe) leden gevraagd? 

Nieuwe leden krijgen twee soorten formulieren (fysiek of digitaal) waarop persoonsgegevens worden gevraagd. 

  • een inschrijfformulier; 
  • twee incassoformulieren. 

 

Inschrijfformulier 

Het inschrijfformulier vermeldt de gegevens van het secretariaat, te weten de naam secretaris, adres, postcode en woonplaats van de secretaris (postadres van de vereniging) en het telefoonnummer van de secretaris. 

 

Gevraagd wordt de volgende gegevens in te vullen: voor- en achternaam, adres, postcode en woonplaats, telefoonnummer(s) en e-mailadres. 

 

Dat voor- en achternaam van een koorlid worden gevraagd behoeft geen bijzondere toelichting. Het vergemakkelijkt de communicatie en is nodig voor de administratie van de vereniging. Adresgegevens worden enerzijds gebruikt om in het kader van Lief en Leed post te kunnen sturen aan het koorlid dan wel om op huisbezoek te gaan. Daarnaast worden naam en adresgegevens gebruikt voor de aanvraag van (vaststelling van) subsidie van de gemeente Doesburg. De toekenning van subsidie is gekoppeld aan het aantal in Doesburg wonende leden. Telefoonnummer(s) en e-mailadressen zijn van belang om leden van informatie te kunnen voorzien. Denk hierbij aan informatie over repetities, optredens/concerten of andere activiteiten.  

 

Incassoformulieren 

De incassoformulieren vermelden de gegevens van het secretariaat, te weten de naam secretaris, adres, postcode, woonplaats en land van de secretaris (postadres van de vereniging), het incassant ID van de vereniging en het betalingskenmerk. 

 

Gevraagd wordt de volgende gegevens in te vullen: voor- en achternaam, adres, postcode, woonplaats en land en IBAN. Op de formulieren dient te worden aangegeven of toestemming wordt verleend voor automatische incasso van: 

  • de contributie, waarbij in geval van toestemming de keuze bestaat uit betaling per kwartaal dan wel per half jaar (dit betreft een doorlopende machtiging); 
  • de borg voor muziek en map(pen) (dit betreft een eenmalige machtiging). 

De incassoformulieren moeten worden gedateerd en ondertekend.   

 

De gegevens die op de incassoformulieren staan zijn nodig voor het incasso-administratieprogramma. 

 

Er worden géén bijzondere persoonsgegevens gevraagd. 

 

Hoe gaan we om met de persoonsgegevens? 

Het bestuur is verantwoordelijk voor de verwerking van de persoonsgegevens. Het verwerken van gegevens kan in beginsel door alle bestuursleden worden gedaan. 

 

Voor een goede onderlinge communicatie is het nodig een aantal persoonsgegevens te delen. Zo zullen 06-nummers (ten behoeve van de IN CTRL WhatsAppgroep) en e-mailadressen worden gedeeld met alle leden, dirigent en pianist/combo.  

Op verzoek kan het bestuur een lijst met voor- en achternamen geven aan de activiteiten- en concertcommissie met het oog op activiteiten die worden georganiseerd dan wel verband houden met een concert/optreden. Aan derden worden geen gegevens verstrekt, met uitzondering van de gemeente Doesburg in het kader van de subsidieverlening. 

 

Het bestuur streeft ernaar zoveel mogelijk informatie digitaal op te slaan.  

De informatie van het inschrijfformulier wordt opgenomen in een (digitale) ledenlijst, het inschrijfformulier wordt (zonodig gescand en) digitaal bewaard. Het bestuur gebruikt hiervoor Dropbox, waarbij de bestanden alleen toegankelijk zijn voor bestuursleden. Elk van de bestuursleden maakt voor Dropbox gebruik van een eigen account. Elk dropbox account is beveiligd met een wachtwoord. De verbinding met Dropbox vindt plaats door middel van een verbinding met https. Dit houdt in dat de verbinding is beveiligd met een SSL certificaat. 

 

Op de website inctrl.eu is een deel afgeschermd en alleen toegankelijk voor koorleden, dirigent en bestuursleden. Voor elk koorlid / dirigent / bestuurslid is een account aangemaakt om in te loggen op de website. 

Bij dit account zijn de volgende gegevens van de gebruiker vastgelegd. 

  • Gebruikersnaam 
  • Voornaam 
  • Achternaam 
  • Emailadres 
  • Wachtwoord (versleuteld) 

Omdat gebruikers dienen in te loggen op de website, is de website voorzien van een SSL certificaat. De website zal hierdoor altijd via https:// geraadpleegd worden. 

 

Op het afgeschermde deel van de website staan alle e-mailadressen van de leden. 

Ook kunnen koorleden zich op het afgeschermde deel van de website afmelden voor een repetitie en/of optreden en wordt bijgehouden of koorleden bij de repetitie aanwezig zijn. 

Deze gegevens zijn gerelateerd aan de gebruikersaccounts van de gebruikers en worden verwijderd bij het beëindigen van het lidmaatschap. 

 

De e-mailadressen worden ook gebruikt in One Drive. Via dit programma kunnen leden muziek van de website downloaden. 

 

Bij het e-mailen van informatie naar alle leden, worden de e-mailadressen van de andere leden niet afgeschermd.  

 

Informatie van de incassoformulieren wordt verwerkt in het incasso-administratieprogramma van IBANC. Dit is een standalone programma dat alleen op de computer van de penningmeester, dan wel plaatsvervangend penningmeester staat. De formulieren worden (zonodig gescand en) digitaal opgeslagen in Onedrive. Na iedere incassoronde wordt een PDF-bestand geprint waarin te lezen is bij wie er is geïncasseerd. Dit overzicht wordt door de penningmeester bewaard bij de rekeningafschriften. Als sprake is geweest van een incasso van de contributie worden de gegevens ook in een digitaal contributieoverzicht verwerkt, zodat aan het eind van het jaar direct inzichtelijk is hoeveel contributie door ieder koorlid is betaald. 

 

Wanneer worden persoonsgegevens verwijderd? 

Als een koorlid zijn lidmaatschap beëindigd, wordt zijn 06-nummer per de datum van beëindiging uit de IN CTRL WhatsAppgroep verwijderd. Ook wordt het e-mailadres van de website verwijderd. 

 

Als de laatste contributie is voldaan en de eventueel betaalde borg is terugbetaald, worden de gegevens uit het incasso-administratieprogramma verwijderd. Op dat moment worden ook het inschrijfformulier en de incassoformulieren die in Onedrive zijn opgeslagen verwijderd. 

Vindt de beëindiging van het lidmaatschap plaats per 1 januari dan wel 1 februari van een jaar, dan blijven de persoonsgegevens nog maximaal 6 maanden op de digitale ledenlijst staan in verband met de aanvraag definitieve vaststelling van de verleende subsidie en de aanvraag subsidie voor het volgende kalenderjaar. 

 

Persoonsgegevens die na een incassoronde zoals hiervoor vermeld zijn verwerkt, blijven 7 jaar bewaard, omdat deze tot de financiële administratie behoren en onder de bewaarplicht van de vereniging vallen. 

 

Foto’s 

Foto’s en video’s  met herkenbaar in beeld gebrachte personen zijn meestal aan te merken als persoonsgegevens. Voor het maken en publiceren ervan heb je daarom meestal toestemming nodig van die personen.  

Om dit op te lossen is het handig in het huishoudelijk reglement te regelen in welke gevallen foto’s/video’s mogen worden gepubliceerd op sociale media en/of in de krant en/of op de website en/of voor andere publicitaire doeleinden zoals flyers en/of banners. Het bestuur zal hiertoe op de ledenvergadering een wijziging van het huishoudelijk reglement aan de leden voorleggen. 

 

Rechten 

Informatieplicht 

Uitgangspunt is dat een (nieuw) koorlid altijd moet worden geïnformeerd. Wanneer de gegevens bij het koorlid zelf worden verzameld, dan moet die informatie worden gegeven op het 

moment van verkrijging van de gegevens. Als het koorlid echter al over de benodigde informatie beschikte en uit een verklaring of gedraging van hem/haar blijkt dat hij/zij op de hoogte is van de informatie, hoeft niet nog eens informatie te worden verstrekt.  

 

Toestemming 

Met het invullen en (digitaal) inleveren van de persoonsgegevens wordt toestemming gegeven de persoonsgegevens te verwerken. Een koorlid kan die toestemming intrekken. Het intrekken van die toestemming kan ertoe leiden dat bepaalde persoonsgegevens dienen te worden verwijderd. Dat kan er weer toe leiden dat het koorlid zelf verantwoordelijk wordt voor het tijdig betalen van contributie dan wel andere betalingsverplichtingen of dat informatie het koorlid niet of niet tijdig bereikt. 

Een koorlid kan verder vragen om inzage in zijn gegevens, correctie en/of wijziging van gegevens, beperking van gegevens, verzet/bezwaar tegen gegevensverwerking. 

 

Klacht 

Een koorlid heeft het recht een klacht in te dienen over de verwerking van zijn persoonsgegevens bij de Autoriteit Persoonsgegevens. 

 

Datalek 

Elke organisatie die persoonsgegevens opslaat, is verplicht datalekken te melden binnen 72 uur na ontdekking. Gesproken wordt van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden.  

Wordt een datalek geconstateerd, dan dient dit zo snel mogelijk te worden gemeld bij het bestuur, zodat kan worden nagegaan wat er gelekt is. In kaart moet worden gebracht wat de gevolgen zijn voor de perso(o)n(en) van wie de persoonsgegevens gelekt is/zijn. Als het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van die perso(o)n(en) kan een melding bij de Autoriteit Persoonsgegevens achterwege blijven. Is sprake van een hoog risico, dan dienen ook de koorleden onverwijld te worden geïnformeerd, tenzij: 

  • er passende technische en organisatorische beschermingsmaatregelen zijn genomen, bijvoorbeeld in de vorm van versleuteling van de gegevens; 
  • er achteraf maatregelen zijn genomen waarmee de vastgestelde risico’s voor de personen zijn weggenomen. 

 

Mocht sprake zijn van een datalek dan moet dit worden gedocumenteerd in een overzicht van datalekken. In dit overzicht moeten de feiten omtrent de inbreuk en de gevolgen ervan worden opgenomen. Verder is het verstandig daarin de vanwege het datalek genomen corrigerende maatregelen te vermelden. 

 

 

8-7-2018 

CA 

©2021 Hoed Computer Hulp & Webdesign. All Right Reserved