PRIVACY CONGRES KNRB 20 januari 2018 mr. Arthur van der Hoeff
Actualiteiten Uitspraak Europees Hof: Dopingcontroles rechtmatig (proportionaliteit en subsidiariteit) SyRI: rechtmatig? Wat doen apps met data?
Mag de vereniging mijn persoonsgegevens aan andere leden doorgeven? Ja, uw vereniging mag uw gegevens (zoals uw naam, adres en woonplaats) doorgeven aan bepaalde mensen binnen de vereniging. Dit is nodig om de vereniging draaiende te houden. De penningmeester bijvoorbeeld heeft uw gegevens nodig om de contributie te innen. Uw vereniging mag de ledenlijst niet zomaar verstrekken aan alle leden. Dit mag alleen als er een zogeheten gerechtvaardigd belang voor is. Bijvoorbeeld als het noodzakelijk is dat teamleden met elkaar kunnen afspreken om te gaan sporten. Verstrekt uw vereniging uw gegevens aan andere leden? Dan moet de vereniging u daarover informeren.
Mag de vereniging mijn persoonsgegevens aan bedrijven doorgeven voor reclame of sponsoring? Ja, dat mag. Maar uw vereniging moet u wel daarover informeren. Bijvoorbeeld via de website of het clubblad. Bovendien moet uw vereniging u een redelijke tijd de kans geven om verzet aan te tekenen. Zodra u verzet aantekent, moet uw vereniging direct stoppen met het doorgeven van uw gegevens. U hoeft niet te zeggen waarom u verzet aantekent. Uw vereniging mag geen vergoeding vragen om uw verzoek in behandeling te nemen.
Mag de vereniging mijn persoonsgegevens aan de gemeente doorgeven om subsidie te krijgen? Ja. Soms kan een vereniging verplicht zijn de ledenlijst door te geven aan de gemeente die een subsidie geeft. Maar de vereniging is dan niet verplicht om alle gegevens van de ledenlijst te verstrekken. Meestal is het voldoende om alleen de namen en woonplaatsen van de leden te verstrekken. Een voorwaarde om als vereniging subsidie te krijgen van de gemeente kan zijn dat een bepaald minimum aantal leden in deze gemeente woont. Om dit te controleren heeft de gemeente gegevens van de leden nodig.
Mag de vereniging mijn persoonsgegevens publiceren op internet? Ja, maar alleen op een afgeschermde internetpagina en als het is opgenomen in de doelstellingen van de vereniging. Heeft de ledenvergadering publicatie goedgekeurd? Dan hoeft de vereniging hiervoor geen expliciete toestemming aan de leden te vragen. De vereniging moet er wel voor zorgen dat niet zomaar iedereen de ledengegevens op internet kan inzien. Alleen leden mogen toegang hebben. Bijvoorbeeld door een verplicht wachtwoord en door de pagina’s met ledengegevens af te schermen voor zoekmachines.
Mag de vereniging een lijst op de website publiceren met leden die hun contributie nog niet hebben betaald? Nee, dat mag niet. Ook niet op een afgeschermd deel van de website van de vereniging dat alleen voor leden toegankelijk is. Het is niet nodig dat alle leden van de vereniging weten dat iemand zijn of haar contributie niet heeft betaald. De vereniging kan op andere manieren de openstaande contributie innen, die minder ingrijpend zijn voor de privacy van deze persoon. Bijvoorbeeld via een incassobureau.
Kan ik mijn persoonsgegevens bij de vereniging inzien en/of laten verbeteren of verwijderen? Ja, dat kan. U heeft het recht om uw gegevens bij uw vereniging in te zien. Ook kunt u vragen uw persoonsgegevens te corrigeren of verwijderen.
Europese Privacywetgeving zorgt voor: versterking en uitbreiding van privacyrechten; meer verantwoordelijkheden voor organisaties; dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders. Organisaties hebben tot 25 mei 2018 om te voldoen aan de nieuwe regelgeving (en vervangt dan de WBP in NL).
Algemene verordening gegevensbescherming Meldplicht datalekken (per 1-1-2016) Documentatieplicht Expliciete toestemming betrokkene vereist Uitgebreide informatieverplichting Verlichting tot afsluiten van verwerkersovereenkomsten Privacy by Design Beveiliging van persoonsgegevens Privacy Impact Assessments Functionaris Gegevensbescherming Recht op inzage Recht om vergeten te worden Recht op overdracht van gegevensdossier Recht op bezwaar Minimale gegevensbescherming, grondslag, vernietiging Hoge boetes bij overtreding van de regels (tot 10/20miljoen/ 2-4% groepsomzet)
Beleid & Documentatie Governance & registratie Awareness AVG activiteiten Beleid & Governance Documentatie & registratie Awareness Bewaartermijnen Verwerkers overeenkomsten Procedures Borgen Transparantie & Rechten betrokkenen Classificatie & Beveiliging Privacy Audit
Welke verwerkingen binnen uw vereniging Documentatie en Registratie Verwerking van persoonsgegevens Welke verwerkingen binnen uw vereniging Ledenadministratie Vrijwilligersadministratie Medewerkers Financiële administratie Relaties/contactpersonen Sponsors Profiling Leveranciers Nieuwsbrieven
Documentatie en Registratie Verwerking van persoonsgegevens Verantwoordelijke functionaris Van wie de gegevens worden verwerkt Welke gegevens er worden verwerkt Het doel waarvoor de gegevens worden verwerkt De grondslag van de verwerking Welke externe partijen een rol hebben bij de verwerking Aan wie de gegevens worden verstrekt zowel intern als extern Wie geautoriseerd zijn om zelf bij de gegevens te komen Hoe lang de gegevens worden bewaard Als toestemming de grondslag is: de door de betrokkene afgegeven toestemming
HUISHOUDELIJK REGLEMENT Transparantie Over verwerking van persoonsgegevens HUISHOUDELIJK REGLEMENT Het bestuur houdt een register bij waarin de namen, adressen en geboortedata alsmede (indien mogelijk) een telefoonnummer en persoonlijk e-mailadres van de leden zijn opgenomen. In het register worden alleen die gegevens bijgehouden die voor het realiseren van het doel van de vereniging noodzakelijk zijn. Het bestuur kan na een voorafgaand besluit van de algemene vergadering geregistreerde gegevens aan derden verstrekken, waaronder sponsors, behalve van het lid dat tegen deze verstrekking bij het bestuur schriftelijk bezwaar heeft gemaakt. Het recht op bezwaar geldt niet voor de noodzakelijk door de vereniging aan derden te verstrekken gegevens en gegevens die aan overheden of instellingen dienen te worden verstrekt in verband met te verkrijgen subsidies.
PRIVACY VERKLARING (PRIVACY STATEMENT) Transparantie Over verwerking van persoonsgegevens PRIVACY VERKLARING (PRIVACY STATEMENT) Grondslag Doel Doorgeven gegevens Bewaren Rechten betrokkenen
Beveiliging van persoonsgegevens Gebruik voor verzending of transport bij voorkeur geen openbare download/uploaddiensten zoals WeTransfer en Dropbox, maar de aangeboden veilige oplossingen. Stuur vertrouwelijke gegevens nooit met onbeveiligde e-mail. Wees extra alert als je met bijzondere persoonsgegevens werkt, zoals kopie paspoort of medische informatie. Beveilig alle (privé) apparaten die je voor werk gebruikt met een veilig wachtwoord of pincode. Houd wachtwoorden geheim en vervang deze regelmatig. Wees alert op virussen en fishing: open bij ontvangst van e-mails van onbekende afzenders geen links of bijlagen. Meld alle beveiligingsincidenten zoals verlies of diefstal van je telefoon, laptop, usb-stick, bestanden of losse dossiers, want een data-incident kan leiden tot misbruik.
AVG ONDERSTEUNINGSTOOL https://www.avg-programma.nl Stappenplan Registratie (gegevens en datalekken) Let op: tool = verwerker Inschrijving via info@knrb.nl
Vragen?
Compliant? Scan juridische risico’s Juridische ondersteuning/rechtsbijstand Predicaat Goed Bestuurd www.verenigingenrecht.nl info@verenigingenrecht.nl Compliant?