Privacybeleid

Privacybeleid Algemene Verordening Gegevensbescherming

Versie 28 maart 2021

Gegevensbescherming

Naar aanleiding van de inwerkingtreding van de Algemene Verordening Gegevensbescherming op 25 mei 2018 heeft vereniging Popkoor Flashback (hierna Flashback) privacybeleid opgesteld. In dit beleid is opgenomen hoe de vereniging omgaat met het verzamelen en bewaren van persoonsgegevens. Ook is de handelwijze beschreven bij een eventueel datalek.

Beeldmateriaal

De directe aanleiding voor het privacybeleid is de verplichte bescherming van de persoonsgegevens van de leden. Dit is dan ook de kern van het beleid. Een ander onderwerp dat samenhangt met privacy is beeldmateriaal. Optredens zijn grotendeels openbaar en tijdens optredens wordt door Flashback of door derden beeldmateriaal van het koor gemaakt. Dat kan in de vorm van films en de vorm van foto’s. Flashback gebruikt foto’s waarop leden geheel of gedeeltelijk, in groepsverband of individueel te zien zijn voor de promotie van het koor. Dat gebeurt door plaatsing op de website en andere digitale kanalen. Ook worden foto’s van het koor gebruikt voor publicaties in kranten en huis aan huisbladen. De foto’s en filmbeelden worden in publicaties door Flashback nooit gekoppeld aan namen van individuele leden.

Nieuwe leden worden bij inschrijving over deze werkwijze geïnformeerd en expliciet gevraagd hiermee in te stemmen.

  1. Met welk doel worden persoonsgegevens in een bestand bewaard?

Persoonsgegevens worden bewaard voor de ledenadministratie en voor de communicatie met de leden. Voorbeelden zijn schriftelijke en digitale informatieverspreiding in de vorm van nieuwsbrieven, praktische informatie over repetities en optredens en stukken voor de algemene ledenvergadering. Daarnaast worden persoonsgegevens gebruikt voor het innen en administreren van de contributie. Alleen de persoonsgegevens die nodig zijn voor het functioneren van de vereniging worden verzameld en bewaard. Vervolgens worden de verzamelde gegevens alleen gebruikt met het doel waarvoor ze zijn verzameld. 

  1. Wie binnen de organisatie zijn verantwoordelijk voor de bescherming van Persoonsgegevens?

Het bestuur is verantwoordelijk voor de bescherming van de persoonsgegevens.

  1. Welke persoonsgegevens worden in het bestand opgenomen?

De volgende gegevens worden in het bestand opgenomen:

  • Voornaam
  • Achternaam
  • Adres
  • Telefoonnummer
  • E-mailadres
  • Stemgroep
  • Bankrekeningnummer

Deze gegevens worden door nieuwe leden op een papieren inschrijfformulier ingevuld en overhandigd aan de secretaris. De secretaris neemt de gegevens over in het digitale ledenbestand en bewaart het papieren inschrijfformulier. Bij beëindiging van het lidmaatschap worden de gegevens door de secretaris verwijderd uit het digitale ledenbestand. Het papieren inschrijfformulier wordt vernietigd.

  1. Worden er bijzondere persoonsgegevens bewaard?

Er worden geen bijzondere persoonsgegevens bewaard.

  1. Hoe worden de personen geïnformeerd over welke persoonsgegevens worden bewaard?

Nieuwe leden worden bij inschrijving geïnformeerd dat de gegevens die zij invullen op het inschrijfformulier worden bewaard. Bij de invoering van dit beleid, of bij latere aanpassingen daarvan worden alle leden geïnformeerd.  

  1. Wat is er geregeld voor personen om hun eigen persoonsgegevens in te zien?

Wanneer personen hun eigen persoonsgegevens willen inzien kunnen zij hiervoor contact opnemen met de secretaris. 

  1. Hoe worden de persoonsgegevens bewaard?

Persoonsgegevens worden digitaal bewaard op een computer die eigendom is van het koor en die wordt beheerd door de secretaris. Daarnaast worden de papieren inschrijfformulieren bewaard in een map. Deze map is in beheer bij de secretaris. Daarnaast beschikt het bestuur over een One Drive waarin de adresgegevens van de leden zichtbaar zijn. 

  1. Zijn er kopieën of wordt er een back-up van het gegevensbestand gemaakt en hoe wordt die bewaard?

Ja, de documenten worden bewaard in de One Drive van Flashback, waar alle bestuursleden toegang toe hebben. Dit geldt niet voor de bankgegevens. 

  1. Welke maatregelen heeft de vereniging genomen om te voorkomen dat anderen onbedoeld persoonsgegevens kunnen inzien?

De computer waarop het digitale ledenbestand wordt bewaard is beveiligd met een wachtwoord. Het wachtwoord is alleen bekend bij het bestuurslid dat de computer in beheer heeft. Als achtervang is er één ander bestuurslid dat ook de beschikking heeft over het wachtwoord.

  1. Wie binnen de organisatie hebben toegang tot de bestanden met de persoonsgegevens?

Het gehele bestuur heeft beschikking tot adresgegevens via One Drive. De bankgegevens zijn enkel bekend bij de Penningmeester en bij de secretaris middels het aanmeldingsformulier.

  1. Is er een functionaris voor de gegevensbescherming in de organisatie?

Er is geen specifieke functionaris voor de gegevensbescherming in de organisatie. Het bestuur bewaakt dat het voorliggende beleid juist wordt toegepast.

  1. Zijn er afspraken gemaakt met externe partijen die de persoonsgegevens verwerken, is er een verwerkersovereenkomst?

Er zijn op het moment van opstellen van dit beleid geen externe partijen die persoonsgegevens verwerken. Mocht dit aan de orde zijn dan worden met de betrokken externe partijen afspraken gemaakt hierover.

  1. Worden er overeenkomsten afgesloten met derden die de persoonsgegevens gebruiken en wordt daarin vermeld dat de bestanden na gebruik vernietigd worden? 

Mocht dit aan de orde zijn dan worden overeenkomsten gesloten met derden die persoonsgegevens gebruiken, met daarin de bepaling dat de bestanden na het overeengekomen gebruik vernietigd worden.

  1. Wat is de procedure voor het melden van datalekken?

De procedure voor het melden van datalekken is als volgt.

  1. Wat is een datalek?

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. Voorbeelden hiervan zijn: uitgelekte  computerbestanden, een gestolen geprinte ledenlijst, cyberaanvallen, verkeerd verzonden e-mail, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.

  1. Bij wie in de organisatie moet een datalek gemeld worden?

Een datalek moet gemeld worden bij de voorzitter. De voorzitter informeert daarna de andere bestuursleden over de melding.

  1. Wanneer vindt de melding plaats?

De melding vindt plaats zo kort mogelijk na ontdekking van het lek en in ieder geval binnen 24 uur. 

  1. Wie gaat na wat er gelekt is?

De voorzitter gaat na welke data gelekt is.

  1. Hoe wordt in kaart gebracht wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn?

Aan de hand van de gelekte informatie wordt in kaart gebracht wat de mogelijke gevolgen zijn. Daarbij wordt geïnventariseerd waar de gelekte informatie mogelijk terecht gekomen is en inschatting gemaakt op welke wijze de onterechte ontvanger van deze informatie zou kunnen gebruiken. De bevindingen worden schriftelijk vastgelegd en vervolgens gedeeld met de persoon om wiens gegevens het gaat.

  1. Wie doet de melding bij de Autoriteit Persoonsgegevens?

De melding bij de Autoriteit Persoonsgegevens wordt binnen 72 na ontdekking van het lek gedaan door de voorzitter.

De melding moet in ieder geval bestaan uit een beschrijving van:

  • de aard van de inbreuk;
  • de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen;
  • de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
  • de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
  • de maatregelen die de vereniging heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.

Meldingen kunnen digitaal gedaan worden bij het meldloket van de

Autoriteit Persoonsgegevens: http://datalekken.autoriteitpersoonsgegevens.nl

Share:
© 2024 Popkoor Flashback. Website realisatie door Randy.nu