AVG

Algemene Verordening Gegevensbescherming  

Algemeen.

Zoals algemeen bekend heeft iedereen het recht op privacy. Dit betekent dat je niet zomaar iemands persoonlijke informatie mag gebruiken. Vanaf 25 mei 2018 geldt er nieuwe en strengere Europese regelgeving op het gebied van bescherming persoonsgegevens, de Algemene Verordening Gegevensbescherming (AVG). De nieuwe regelgeving en daarop gebaseerde Nederlandse privacywetgeving leiden tot een inspanningsverplichting voor verenigingen en stichtingen zoals Tafeltennisvereniging Buitenpost (TTV BUITENPOST); besturen zijn hoofdelijk aansprakelijk voor de naleving ervan. Als TTV BUITENPOST zijn wij wettelijk verplicht tot het beschermen van de persoonsgegevens van leden, vrijwilligers, en alle andere personen van wie persoonsgegevens verwerkt worden. In dit artikel stel ik u op de hoogte van de belangrijkste regels en de gevolgen daarvan voor TTV BUITENPOST. Bij het lezen van dit artikel zult u al te maken hebben gehad met een aantal gevolgen van de nieuwe regelgeving of op een andere wijze zijn geïnformeerd. Mogelijk volgt nog aanvullende informatie.

Enige termen en definities.

Verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke stelt doel en middelen van de persoonsgegevensverwerking vast. Voor TTV BUITENPOST is het bestuur geen verwerkingsverantwoordelijke maar het bestuur van de NTTB. Het bestuur van de NTTB is als zodanig verantwoordelijk voor het naleven van de beginselen voor

persoonsgegevensbeheer en houdt daartoe een register van verwerkingsactiviteiten (verwerkingsregister) bij. Bij het inrichten van de verwerkingen houdt zij rekening met de principes van ‘privacy door ontwerp en standaardinstellingen’ en treft passende beveiligingsmaatregelen. In geval van een datalek doet zij melding daarover aan de Autoriteit Persoonsgegevens.

Verwerker. Een verwerker is iemand die persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke zonder aan diens rechtstreeks gezag onderworpen te zijn. Van een verwerker is sprake als het beheer van persoonsgegevens wordt uitbesteed en als de verwerking van de persoonsgegevens de primaire opdracht is. Hoewel volgens deze definitie TTV BUITENPOST niet te maken heeft met een verwerker, beheert de voorzitter, secretaris, penningmeester, redactie van de site wel persoonsgegevens. Er zijn dus met hen afspraken vastgelegd over het verwerken van persoonsgegevens en zij hebben een geheimhoudingsverklaring getekend.

Intern beheer. Als iemand namens of voor de verwerkingsverantwoordelijke

verwerkingsactiviteiten uitvoert en aan diens gezag is onderworpen, dan is sprake van intern beheer. Voor TTV BUITENPOST voert bijvoorbeeld de penningmeester intern beheer uit. Betrokkene. De betrokkene is degene van wie de persoonsgegevens worden verzameld en beheerd.

Voor TTV BUITENPOST zijn betrokkenen de leden, donateurs en begunstigers. In bepaalde gevallen zijn ook websitebezoekers betrokkenen, namelijk als we bijvoorbeeld het surfgedrag van identificeerbare personen bijhouden.

Privacy door ontwerp en standaardinstellingen. Dit principe beschrijft de verplichting van een verwerkingsverantwoordelijke er voor te zorgen dat een zo klein mogelijke inbreuk op de persoonlijke levenssfeer wordt gemaakt bij systemen waarmee persoonsgegevens worden verwerkt. Daarbij geldt:

  • Minimaliseer: Beperk zoveel mogelijk de verwerking van gegevens. Selecteer voor het verzamelen en verwijder wanneer mogelijk.
  • Scheid: Scheid persoonsgegevens zoveel mogelijk van elkaar en werk zo gedistribueerd mogelijk.
  • Abstraheer: Aggregeer tot het hoogst mogelijke niveau, beperk details zoveel als mogelijk.
  • Bescherm en maak onherleidbaar: Voorkom dat gegevens openbaar worden en beveilig gegevens. Verbreek waar mogelijk de link tussen personen en gegevens.

Verwerkingsregister

Het hiervoor genoemde verwerkingsregister bevat een opsomming van de belangrijkste informatie over de verwerking van persoonsgegevens. Het bijhouden van een register is vanaf 25 mei 2018 wettelijk verplicht. Het bevat de volgende voor TTV BUITENPOST relevante elementen:

  • naam en contactgegevens van de verwerkingsverantwoordelijke;
  • indien van toepassing de naam en contactgegevens van de functionaris voor gegevensverwerking of voor intern beheer;
  • de verschillende doeleinden waarvoor de vereniging persoonsgegevens verwerkt;
  • een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Privacyverklaring.

De doelen voor het verzamelen en vastleggen van persoonsgegevens moeten uitdrukkelijk omschreven en gerechtvaardigd zijn. Dat betekent dat een verwerkingsverantwoordelijke voordat hij begint met het verzamelen en verwerken van persoonsgegevens moet vastleggen waarvoor die gegevens nodig zijn. Anders gezegd: persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verwerkt. Als vereniging zijn wij verplicht om alle leden daarover vooraf te informeren. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging die zijn vastgelegd in het verwerkingsregister.

De privacyverklaring informeert een betrokkene over zijn rechten bij de verwerking van zijn persoonsgegevens. De informatie wordt aan betrokkene verstrekt voordat zijn gegevens worden verzameld en de gegevens worden pas verwerkt nadat hij daarvoor toestemming heeft gegeven. Die informatie vermeldt:

  • de identiteit en contactgegevens van de verwerkingsverantwoordelijke en degene die de persoonsgegeven opvraagt en beheert als vertegenwoordiger van de

verwerkingsverantwoordelijke. Dit kan een daartoe aangestelde functionaris zijn;

  • de doelen waarvoor de persoonsgegevens worden verwerkt;
  • de grondslag waarop de verwerking is gebaseerd (voor TTV Buitenpost: expliciete toestemming betrokkene);
  • de eventuele ontvangers van gegevens;
  • de bewaartermijn, of criteria voor het bepalen ervan;
  • de rechten van betrokkene;
  • in geval van toestemming dat betrokkenen die toestemming altijd weer kan intrekken;
  • dat betrokkene altijd het recht heeft een klacht in te dienen over de verwerking bij de Autoriteit Persoonsgegevens.

Als er meerdere doelen zijn vermeld op een privacyverklaring kan een betrokkene met geen, alle of een deel van die doelen instemmen. Het zal duidelijk zijn dat zonder (gedeeltelijke) toestemming een lidmaatschap niet mogelijk is.

Rechten betrokkene.

Betrokkene heeft recht op:

  • informatie over de verwerkingen;
  • inzage in zijn gegevens;
  • correctie van de gegevens als die niet kloppen;
  • verwijdering van de gegevens en ‘vergeten worden’;
  • beperking van de gegevensverwerking;
  • verzet tegen de gegevensverwerking;
  • overdracht van de gegevens;
  • het niet onderworpen worden aan geautomatiseerde besluitvorming.

 Toestemming gebruik gegevens.

Voor het gebruik van persoonsgegevens door TTV BUITENPOST is expliciete en geldige toestemming van betrokkenen nodig. Voor een geldige toestemming moet:

  • de toestemming vrij gegeven zijn;
  • de toestemming specifiek zijn en geïnformeerd. De verwerkingsverantwoordelijke moet dus duidelijke informatie verstrekken over de redenen waarom hij de gegevens gaat verwerken;
  • de toestemming ondubbelzinnig zijn; er mag geen twijfel over bestaan.

Er is niet voor ieder verwerking toestemming nodig, zolang het gaat om verwerkingen die uitvoering geven aan de lidmaatschapsovereenkomst met leden.

Bij de rechtsgrondslag ‘toestemming’ zijn nog de volgende aanvullende voorwaarden van toepassing:

  • de verwerkingsverantwoordelijke moet kunnen aantonen dat betrokkene toestemming heeft gegeven (getekende verklaring van betrokkene);
  • als de toestemming is opgenomen in een tekst die ook op andere onderwerpen betrekking heeft, moet de verwerkingsverantwoordelijke op een duidelijke manier het onderscheid aangeven tussen dat waarvoor betrokkene toestemming geeft en de andere onderwerpen;
  • betrokkene mag te allen tijde zijn toestemming intrekken.

De leden van TTV BUITENPOST hebben veelal nog geen expliciete, geldige toestemming gegeven in de zin van deze regelgeving. De Vereniging zal dus een inhaalslag moeten maken. De betrokkenen zullen met een brief daarover worden benaderd, met het verzoek een bijgesloten verklaring van toestemming te tekenen. Bij nieuwe leden zal gehandeld worden volgens de nieuwe regelgeving.

Beveiliging

De Vereniging moet passende maatregelen treffen om te voorkomen dat persoonsgegevens worden blootgesteld aan onrechtmatige verwerking. Informatiebeveiliging is echter meer dan het beschermen tegen diefstal en virussen. De praktijk leert dat de meeste

beveiligingsincidenten het gevolg zijn van niet-opzettelijke nalatigheid. Uiteindelijk draait informatiebeveiliging om een juiste combinatie van

zowel technische als organisatorische maatregelen. Welke maatregelen nodig zijn, hangt af van de risico’s die met de verwerking van persoonsgegevens zijn verbonden. De autoriteit Persoonsgegevens heeft de ‘Beleidsregels beveiliging persoonsgegevens’ gepubliceerd. Leidt een beveiligingsincident tot de vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens, dan is mogelijk sprake van een datalek. Tenzij het datalek waarschijnlijk geen nadelige gevolgen heeft voor de betrokken personen, moet het lek tijdig worden gemeld bij de Autoriteit Persoonsgegevens. Heeft het lek bovendien een hoog risico op nadelige gevolgen voor de personen wier gegevens het betreft, dan moet het incident ook aan deze personen worden gemeld.

Geheimhoudingsplicht

Bestuursleden of anderszins leden die in contact komen met persoonsgegevens, zoals beschreven (secretaris, penningmeester etc. etc.) dienen een geheimhoudingsverklaring te tekenen. De vereniging heeft inmiddels diegenen op wie dit betrekking heeft persoonlijk benaderd en hun een geheimhoudingsverklaring laten tekenen.

SPAM

Het SPAM-verbod houdt in dat de vereniging geen ongevraagde elektronische berichten mag sturen, tenzij de ontvanger daar vooraf mee instemt.

Regels omtrent het maken en publiceren van foto’s en video’s

Bij foto’s en video’s met een herkenbaar in beeld gebrachte personen en daaraan gekoppelde tekst is veelal sprake is van tot personen herleidbare informatie en dus persoonsgegevens. Voor het maken en publiceren ervan heeft de vereniging vaak toestemming nodig van de betrokkene. Daarbij geldt tevens dat iemand die toestemming geeft voor het maken van een foto, niet per definitie toestemming geeft voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. Ook op sociale media zijn wij als Vereniging verantwoordelijk voor het publiceren van persoonsgegevens (zoals foto’s). Bij publicaties op de website zal met deze beperking rekening moeten worden gehouden.

Ter afsluiting.

De nieuwe regelgeving op het gebied van beheer van persoonsgegevens heeft nogal wat voeten in aarde. In bepaalde gevallen kan nog aanvullende regelgeving volgen voortvloeiend uit Nederlandse wetgeving. Uiteraard doet onze Vereniging er alles aan tijdig en op de juiste wijze te voldoen aan alle bepalingen. Voor vragen op dit gebied kunt u zich wenden tot het bestuur; wij zullen u zo goed mogelijk blijven informeren. Onderstaand vindt u het Reglement van TTV BUITENPOST waarin is vastgelegd wordt in onze nieuwe statuten hoe onze Vereniging omgaat met persoonsgegevens.

Reglement gebruik persoonsgegevens Tafeltennisvereniging BUITENPOST (TTV BUITENPOST).

Inleiding.

Vanaf 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) van toepassing. De AVG geeft personen van de EU meer controle over hoe hun gegevens worden gebruikt en legt daartoe verplichtingen op aan instanties die informatie over die personen verwerken.

Transparantie

TTV BUITENPOST verzamelt gegevens die van belang zijn om de Vereniging volgens haar statuten en huishoudelijk reglement te besturen. Het gaat hier bijvoorbeeld om ledenadministratie, contributie inning, informatieverstrekking en uitnodigingen. De gegevens die worden verzameld zijn de volgende: Naam, adres, woonplaats, geslacht, telefoon, emailadres, IBAN, registratienummer, datum waarop lidmaatschap is ingegaan.

Verwerking gegevens.

De gegevens worden in een intern bestand dat beveiligd is met een wachtwoord verwerkt. Geen van de gegevens worden bewaard in een door derden beheerd

computersysteem. Een back-up van de gegevens wordt op een los opslagmedium bewaard dat ook beveiligd is met een wachtwoord. Leden geven daartoe toestemming met hun aanmelding voor het lidmaatschap. De voorzitter, penningmeester, secretaris, redactie van de site hebben toegang tot deze gegevens.

Verstrekking gegevens intern de TTV BUITENPOST.

Verstrekking gegevens extern aan derden:

Aan derden worden geen gegevens verstrekt of ter beschikking gesteld tenzij: bij evenementen zoals toernooien. Dan wordt naam adres woonplaats en eventueel bondsnummer verstrekt ten behoeve van de inschrijving. Dit geschiedt alleen voor hen die zich voor die gelegenheid hebben aangemeld.

Website

De redactie vergewist zich ervan dat de aangeleverde copy de benodigde toestemming heeft van de in de artikelen vermelde personen.

Bewaartermijn

De gegevens worden bewaard zolang men lid is van de Vereniging en daarna alleen die gegevens die nodig zijn voor de verantwoording voor een periode van 7 jaar. Leden kunnen toestemming geven om naam, datum aanvang lidmaatschap en eventueel datum einde lidmaatschap te bewaren voor het archief van de Vereniging. Alle andere gegevens worden dan gewist.

Geheimhouding

Ieder die kennis kan nemen van de persoonsgegevens van leden is gehouden aan geheimhouding daarvan. Hij of zij mag die gegevens ook niet verder verspreiden anders dan in dit reglement is verwoord.

Plichten van degenen die de gegevens bewaren

Indien persoonsgegevens die berusten bij de beheerders of een van de eindgebruikers (zoals bijvoorbeeld de penningmeester van TTV BUITENPOST) onbedoeld (door bijv. inbraak, verlies) in handen komen van derden die geen contract hebben met TTV BUITENPOST, dient onverwijld de Autoriteit Persoonsgegevens te worden ingelicht. Die verantwoordelijkheid ligt bij diegene die verantwoordelijk was voor het beheer en gebruik van de betreffende persoonsgegevens, ook al zijn deze gegevens beveiligd met een wachtwoord. Bij informatie aan genoemde Autoriteit dient de melder direct aan te geven wat hij gedaan heeft om de gegevens te beschermen en wat misbruik ervan kan betekenen.

Onverwijld dienen ook de leden die in dit bestand voorkomen geïnformeerd te worden. Derden melden verlies van persoonsgegevens onmiddellijk aan het dagelijks bestuur.

Rechten van de leden

Betrokkenen, dus de leden, donateurs en begunstigers, hebben het recht om de gegevens die zij hebben verstrekt te laten toesturen of in te zien (inzagerecht). Dat laatste dient dan te geschieden op de plaats waar deze bewaard worden. Eveneens hebben zij te allen tijde het recht de verstrekte gegevens weer te laten verwijderen.

Klachten

Bij klachten over de verwerking van persoonsgegevens of het gebruik hiervan kunnen leden, donateurs of begunstigers direct contact op te nemen met het hoofdbestuur. Zij hebben ook altijd het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Contactgegevens:

Secretaris Harm van Wieren