Algemene verordening gegevensbescherming (AVG)

Algemene verordening gegevensbescherming (AVG)

Ten behoeve van:
Koninklijk Zeeuwsch Genootschap der Wetenschappen
Kousteensedijk 7
4331 JE Middelburg
0118-654347
info@zeeuwsgenootschap.nl
KvK 40309892 (vereniging)

Versie 01, 17 mei 2018

Inhoud
1. Vooraf
2. Inventarisatie werkzaamheden en procedures AVG
3. Checklists

1. Vooraf
De AVG is vanaf 25 mei 2018 van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt –meer dan nu –op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

2. Inventarisatie werkzaamheden en procedures AVG
a. Alle bestuursleden en medewerkers van het Genootschap dienen op de hoogte te zijn van de invoering van nieuwe privacyregels. De behandeling en de verdeling van taken met betrekking tot de AVG dient aan de orde te zijn geweest in een bestuursvergadering en te zijn genotuleerd.
b. De gegevens van de leden worden beheerd door en zijn toegankelijk voor bestuursleden of werknemers die hiervoor zijn aangewezen door het bestuur, hierna te noemen: de functionarissen. De functionarissen zijn met naam en toenaam vermeld in een speciaal register met de titel ‘AVG’, hierna te noemen: het register. Dit register kan digitaal zijn. In dat geval kunnen eventuele schriftelijke rapportages worden ingescand en toegevoegd. Een back-up van het register in een cloud is verplicht.
c. De gegevensbestanden mogen niet worden gedeeld met personen die niet in dit register zijn vermeld.
d. Wanneer de niet als functionaris aangewezen bestuursleden toch inzicht willen hebben in de bestanden, kan dat alleen op het kantoor van het Genootschap onder begeleiding van een van de functionarissen. De gegevens die worden ingezien mogen niet worden vastgelegd. Van de inzage-sessie wordt melding gemaakt in het register.
e. Zonder de schriftelijke toestemming van het betrokken lid mogen diens gegevens niet worden gepubliceerd: niet in druk, niet door middel van mondelinge overdracht en niet digitaal. NB: deze toestemming dient te worden gearchiveerd door de functionaris.
f. Zonder de schriftelijke toestemming van het betrokken lid mogen foto’s waarop hij/zij is afgebeeld niet worden gepubliceerd: niet in druk, niet door middel van mondelinge overdracht en niet digitaal. NB: deze toestemming dient te worden opgenomen in het register.
g. De leden hebben te allen tijde het recht om:
– hun gegevens in te zien
– hun gegevens te wijzigen
– verwijderd te worden
– te weten wat er met hun gegevens is gebeurd en gaat gebeuren
h. Aanmelding van een nieuw lid kan uitsluitend op individuele basis plaatsvinden door het betreffende lid of diens zaakwaarnemer. Bij de aanmelding kan het nieuwe lid de onder 3a opgesomde persoonsgegevens opgeven.
i. Tevens kan het lid toestemming geven aan het Genootschap voor het aan hem/haar versturen van digitale informatie waarbij de standaard keuze op ‘nee’ is ingesteld en het lid dus een actie moet ondernemen om zijn/haar toestemming te geven (bijvoorbeeld een vinkje plaatsen).
j. De hiervoor bedoelde verplichting van actieve toestemming geldt ook voor bezoekers (leden en niet-leden) van de website wanneer er gebruik wordt gemaakt van cookies en voor informatie die vanuit de website kan worden gedeeld op sociale platforms zoals Facebook, Twitter, Google en Instagram.
k. De hiervoor bedoelde verplichting van actieve toestemming geldt ook voor de leden die al informatie op papier of digitaal ontvingen van het Genootschap. Wanneer kan worden aangetoond dat hiervoor, individueel of via de Algemene Ledenvergadering, actieve toestemming is verleend, hoeft dat niet nóg eens te gebeuren. Wanneer dat niet kan worden aangetoond, moet er alsnog om een actieve toestemming worden gevraagd.
l. Indien de communicatie via digitale middelen en protocollen plaatsvindt, dienen deze middelen en protocollen te zijn voorzien van een afdoende beveiliging. Deze procedure betreft de website van het Genootschap, de transfer-protocollen (https) en de PC, back-up-devices, cloud-faciliteiten, laptop en/of het mobiele device (tablet, mobiele telefoon) van de functionarissen. De specificaties van de wijze waarop is beveiligd dienen te worden vastgelegd en opgenomen in het register.
m. Eventuele back-ups van gegevensbestanden vallen onder dezelfde beveiligingsprotocollen, ongeacht of deze lokaal worden opgeslagen of in een cloud.
n. Wanneer er een datalek aan het licht komt, dient die onmiddellijk worden geregistreerd in een register. Wanneer het gaat om een substantiële hoeveelheid persoonsgegevens of een mogelijke schade voor de betrokkenen van substantiële omvang (‘ernstig’), dan dient het datalek te worden gemeld bij het Meldloket van de Autoriteit Persoonsgegevens (https://datalekken.autoriteitpersoonsgegevens.nl/melding/aanmaken?1). In dat geval dient ook de betrokkene te worden ingelicht. Het is aan de functionarissen om te bepalen hoe ernstig een datalek is. Registratie is te allen tijde verplicht. Voorbeelden van datalekken: het zichtbaar vermelden van persoonlijke e-mailadressen (bijvoorbeeld als CC) in een e-mail, het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger, inbraak in on- of off-line adressenbestanden en het kwijtraken of de diefstal van een gegevensdrager zoals een laptop of usb-stick.

3. Checklists
a. De verwerking mag alleen gebeuren voor:
 activiteiten die, gelet op de doelstelling van het Genootschap, gebruikelijk zijn;
 andere dan de hierboven bedoelde gebruikelijke activiteiten, als die door de ledenvergadering zijn goedgekeurd;
 het verzenden van informatie aan de leden of begunstigers;
 het bekend maken van informatie over leden of begunstigers en activiteiten van het Genootschap na instemming van de ledenvergadering, voor zover aanwezig, op de eigen website;
 foto’s en videobeelden met of zonder geluid van activiteiten van het Genootschap;
 het berekenen, vastleggen en innen van contributies en giften (inclusief het in handen van derden stellen van vorderingen);
 andere activiteiten van intern beheer;
 het behandelen van geschillen;
 het doen uitoefenen van accountantscontrole.
b. Alleen de volgende persoonsgegevens mogen worden verwerkt:
 naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens (bijvoorbeeld het e-mailadres), alsmede het bankrekeningnummer van het lid of de begunstiger;
 een administratienummer, indien dat geen andere informatie bevat dan de bij het vorige punt bedoelde gegevens;
 de bij het eerste punt bedoelde gegevens van de ouders, voogden of verzorgers van minderjarige leden of begunstigers;
 gegevens die betrekking hebben op het lidmaatschap of de begunstiging. Hieronder zijn begrepen gegevens over de aard van het lidmaatschap of de begunstiging (bijvoorbeeld de datum van aanvang van het lidmaatschap en het soort lidmaatschap), de functie binnen het Genootschap (bijvoorbeeld de functie binnen het bestuur) en de deelname aan de activiteiten van het Genootschap, de stichting of publiekrechtelijke beroepsorganisatie (bijvoorbeeld de beschikbaarheid voor activiteiten);
 gegevens voor het berekenen, vastleggen en innen van contributies en giften.
c. De persoonsgegevens mogen alleen worden verstrekt aan:
 de leden of begunstigers;
 de ouders, voogden of verzorgers van minderjarige leden of begunstigers;
 degenen, inclusief derden, die belast zijn met de hierboven onder 3a. opgesomde werkzaamheden, of leiding geven aan de hierboven onder a. opgesomde werkzaamheden, of noodzakelijk zijn betrokken bij de hierboven onder 3a. opgesomde werkzaamheden;
 anderen, indien: het lid of de begunstiger zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking, of de gegevensverwerking noodzakelijk is voor de nakoming van een wettelijke plicht door het Genootschap, of de gegevensverwerking noodzakelijk is vanwege een vitaal belang van het lid of de begunstiger (bijvoorbeeld een dringende medische noodzaak), of de gegevens verder worden verwerkt voor historische, statistische of wetenschappelijke doeleinden (voorwaarde hierbij is dat het Genootschap ervoor zorgt dat de gegevens ook alleen voor deze specifieke doeleinden verder worden verwerkt).
d. Specifieke regels voor websites
 Gegevens op de website van het Genootschap worden slechts verstrekt aan: de leden of begunstigers; de ouders, voogden of verzorgers van minderjarige leden of begunstigers; degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de onder 3a bedoelde activiteiten of die daarbij noodzakelijkerwijs zijn betrokken, voor zover zij daartoe door het bestuur zijn geautoriseerd.
 Het bestuur draagt zorg voor een adequate toegangsbeveiliging van de website, alsmede voor een afdoende bescherming van persoonsgegevens voor verdere verwerking door zoekmachines.
 De gegevens op de website worden onverwijld verwijderd wanneer de betrokkene of diens wettelijke vertegenwoordiger daarom verzoekt.
e. Toegestane bewaartermijn
 De persoonsgegevens moeten worden verwijderd uiterlijk twee jaar nadat het lidmaatschap is beëindigd of nadat de begunstiger heeft aangegeven dat hij niet langer als begunstiger wil worden beschouwd. Langer bewaren van de gegevens is alleen toegestaan als de persoonsgegevens noodzakelijk zijn om te voldoen aan een wettelijke bewaarplicht.