Beleid bescherming persoonsgegevens

15 maart 2019

Het bestuur is verantwoordelijk voor de correcte uitvoering van de regelgeving rondom de bescherming van persoonsgegevens. De secretaris fungeert als aanspreekpunt voor leden en derden, ook bij bezwaren. Er zijn geen derden die gegevens verwerken.

Het risico op het verlies van gegevens door De Stuw is gering. Het grootste risico loopt de vereniging bij:
– De website. Deze is afdoende beschermd met een wachtwoord en gelimiteerde toegang.
– De nieuwsbrief. Deze is afdoende beschermd door een centrale registratie van gegevens, een afmeldmogelijkheid en een gelimiteerde bevoegdheid tot het sturen van nieuwsbrieven. Alleen de secretaris kan leden toestemming geven een nieuwsbrief te versturen.
– De gegevens in e-boekhouden.nl. De gegevens in dit boekhoudprogramma zijn afdoende beschermd met een wachtwoord en een beperkte toegang van het aantal gebruikers. In de regel alleen de voorzitter, de secretaris, de penningmeester en de kascommissie.

Toestemming gegevensverwerking is geregeld door:
– Privacy statement en beleid goed laten keuren door ALV. Publicatie op een toegankelijke plek op de website.
– Op ALV en in nieuwsbrief aankondigen dat leden tot 4 weken na ALV de tijd hebben om bezwaar te maken tegen verwerken van hun eigen persoonsgegevens.
– Daarna gaat het beleid in.
– Voor nieuwe leden en nieuwe potentiële leden op de wachtlijst: in aanmeldformulier opnemen dat ze akkoord gaan met het privacy reglement. Ook op de gastenpagina wordt een extra attentie geplaatst.
– Huidige wachtlijst: met betalingsherinnering voor 2019 meesturen dat zij door betaling ook akkoord gaan met het privacyreglement.

Er is geen functionaris gegevensbescherming nodig door relatief beperkte verwerking gegevens. De Stuw is geen overheidsinstantie of overheidsorgaan, verwerkt geen bijzondere en/of strafrechtelijke persoonsgegevens op grote schaal en doet niet op grote schaal aan regelmatige of stelselmatige observatie van betrokkenen.

De Stuw is niet verplicht een data protection impact assessment (DPIA) uit te voeren. De reden hiervoor is dat De Stuw:
– Beoordeelt mensen niet op basis van persoonskenmerken.
– Neemt geen geautomatiseerde beslissingen met rechtsgevolgen.
– Doet niet aan stelselmatige en grootschalige monitoring.
– Verwerkt geen gevoelige gegevens of gegevens van zeer persoonlijke aard.
– Verwerkt niet op grote schaal persoonsgegevens.
– Gebruikt geen gekoppelde databases.
– Verwerkt geen gegevens over kwetsbare personen.
– Gebruikt geen nieuwe technologieën.

De Stuw werkt volgens de AVG-uitgangspunten van privacy by design en privacy by default.
– De producten, diensten en systemen zijn standaard privacy-vriendelijk ontworpen.
– De Stuw heeft bepaald hoe lang zij de persoonsgegevens gaat bewaren. Dit is onbeperkt.
– De instellingen van haar producten of diensten staan op privacy-vriendelijk.

De Stuw stelt een register van verwerkingsactiviteiten op middels een privacy statement