Beheer van persoonsgegevens door Stichting Vrienden van de Bovenkerkse Urbanus.

Sleutelwoorden: Privacyverklaring,  Algemene verordening gegevensbescherming (AVG), positie van de betrokkenen.

Versiebeheer

Versie

0.3

01-06-2018

Status

Definitief

 

Auteur

P.J.M. Valent-v.d.Klauw

Bestuurslid van de Stichting

Eigenaar

Stichting Vrienden van de Bovenkerkse Urbanus

 

Vastgesteld

Op Bestuursvergadering          29-05-2018

 

Inhoud

Versiebeheer. 1

Inleiding.. 3

Samenvatting.. 3

Doelbinding.. 4

Vastgelegde Gegevens. 4

1.         De donateursadministratie.. 4

2.         Op de Web site en Facebook.. 4

Beheersprocessen.. 4

1.         Nieuwe gegevens. 4

2.         Beheren & Bewaren.. 4

3.         Aanpassen & Verwijderen.. 5

ICT.. 5

1.         Online bankieren bij de RaboBank.. 5

2.         Financiële administratie.. 5

3.         Donateursadministratie.. 5

4.         Web site.. 5

Rechten van betrokkenen2. 5

Delen van persoonsgegevens met derden.. 5

Bewerkersovereenkomsten.. 5

Melding Datalekken.. 5

Data protection impact assessment (DPIA)1. 6

Naleving en Toezicht. 6

Functionaris gegevensbescherming.. 6

Referenties. 6

 

Inleiding

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

 

De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacy-rechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.

 

De invoering van de AVG is de aanleiding voor het bestuur van Stichting Vrienden van de Bovenkerkse Urbanus (verder de Stichting genoemd) tot het vastleggen van wat er aan persoonsgegevens wordt vastgelegd en hoe hier mee wordt omgegaan. Het geheel zal op de eerste Bestuursvergadering worden geagendeerd.

 

                                                                                                                      Juni 2018,

Bestuur Stichting Vrienden van de Bovenkerkse Urbanus

Samenvatting

De Stichting legt persoonsgegevens (gegevens die herleidbaar zijn tot een persoon) vast in:

1.     De donateursadministratie;

Vastgelegd wordt alleen wat noodzakelijk  is voor het functioneren van de Stichting en dat is ook het maximale wat wordt vastgelegd. De Donateursadministratie is niet publiekelijk beschikbaar en is vastgelegd in Excel.

Personen (“betrokkenen”) hebben het recht2  op inzicht, correctie en verwijdering etc. van hun gegevens.

Gezien de grootte van de Stichting, de doelstellingen en aard van de gebruikte persoonsgebonden gegevens is er geen noodzaak voor :

a)    gebruikmaking van een externe gegevensverwerker ;

b)    een “Data protection impact assessment” (DPIA) 1 ;

c)     een “Functionaris gegevensbescherming”.

De Stichting deelt geen persoonsgegevens met derden.

De gegevens worden niet langer dan nodig bewaard.

Doelbinding

De AVG vereist een verantwoording (doelbinding) waarom persoonsgegevens worden vastgelegd.

Persoonsgegevens worden door de Stichting vastgelegd met het doel om:

a)    het donateurschap te effectueren;

b)    contact met donateurs op te nemen of te onderhouden;

c)     contact met sympathisanten op te nemen en te onderhouden.

Vastgelegde Gegevens

1.     De donateursadministratie

Achternaam, Voornaam, Tussenvoegsel, Voorletters, Straat, Huisnummer, Postcode, Woonplaats, E-mailadres, Bankrekeningnummer, Bedrag-voor-jaar-yyyy, Telefoonnummer, codering sympathisant/donateur.

De donateursadministratie wordt beheerd door de secretaris. Zowel donateurs als sympathisanten zijn in deze administratie opgenomen en als zodanig herkenbaar gemaakt.

·       De actuele lijst van donateurs/sympathisanten is alleen beschikbaar voor bestuursleden.

2.     De financiële administratie

Transacties van de RaboBank rekening van de Stichting met de volgende data:

Valutadatum, Debet/credit, Bedrag, Bankrekeningnummer debiteur/crediteur, Naam debiteur/crediteur, Boekdatum, Mutatiesoort, Mededeling, Codering van de transactie voor de jaarrekening.

De Stichting heeft twee bankrekeningen bij de RaboBank waar o.a. de donaties van de donateurs wordt ontvangen. Rekeningnummers van donateurs worden door de Stichting geadministreerd om betaling en donateur automatisch te kunnen koppelen. Alleen de penningmeester heeft toegang tot de bankrekeningen. De penningmeester stuurt regelmatig een transactie overzicht, beveiligd met een wachtwoord, naar de secretaris die de transacties verwerkt in de financiële en donateursadministratie. Eens per jaar heeft de Kascontrolecommissie en HDV Accountants te Amstelveen inzage in de bankafschriften en de financiële administratie.

3.     Op de Website en Facebook

De Website geeft alleen informatie over onze Stichting en culturele evenementen en heeft geen logbestanden waarin persoonsgegevens zijn opgenomen.

Facebook
Hierop staat alleen informatie over onze Stichting en de culturele evenementen.

Beheersprocessen

1.     Nieuwe gegevens

Bij aangaan van het donateurschap wordt verwezen naar de het privacy-beleid (inhoud van dit document) van de Stichting.

Op basis van dit beleid is op de Website een deze verklaring gepubliceerd.

2.     Beheren & Bewaren

De Donateursadministratie

De Donateursadministratie wordt per jaar bijgehouden.  De administratie van voorgaande jaren worden bewaard en na 7 jaar verwijderd. De persoonsgegevens van een donateur moeten worden verwijderd uiterlijk 2 jaar nadat het donateurschap is beëindigd. In geval van een sympathisant zullen de gegevens onmiddellijk worden verwijderd op het moment dat hij/zij heeft aangeven dat hij/zij niet langer als sympathisant wil worden beschouwd.

Financiële administratie

De financiële administratie wordt, conform de wetgeving, 7 jaar bewaard. De jaarrekeningen worden voor onbepaalde tijd bewaard en bevatten geen persoonsgegevens.

3.     Aanpassen & Verwijderen

Betrokkenen kunnen via e-mail contact opnemen met het bestuur om hun gegevens te laten aanpassen of verwijderen.

Bij opheffing van de Stichting worden alle persoonsgegevens verwijderd en archieven vernietigd.

ICT

Voor het vastleggen en beheer gebruikt de Stichting ICT producten en diensten.

1.     Online bankieren bij de RaboBank

Toegang alleen voor en door de penningmeester. Toegang d.m.v. twee-weg authenticatie m.b.v. een “Digipas”.

2.     Financiële administratie

Excel bestand met wachtwoord beveiligd op PC van secretaris. De facturen, bonnetjes en maandelijkse rekeningafschriften in een ordner bij de penningmeester thuis.

3.     Donateursadministratie

Excel bestand met wachtwoord beveiligd op PC van secretaris. Een actuele ledenlijst is alleen op aanvraag bij de secretaris, beschikbaar voor bestuursleden.

4.     Web site

De website van de Stichting wordt gehost door de firma De Heeg Internet Solutions B.V. te Beverwijk die gebruik maakt van een CentOS Linux platform,  incl. back-up functionaliteit en beveiligingsmaatregelen. De hosting vindt plaats in een Nederlands datacenter.

Rechten van betrokkenen2

Betrokkenen kunnen via een e-mail aan vriendbov.urbanus@gmail.com een verzoek indienen om hun gegevens in te zien, te laten corrigeren of te laten verwijderen.

Delen van persoonsgegevens met derden

De Stichting deelt geen persoonsgegevens met derden.

Bewerkersovereenkomsten

De Stichting heeft geen overeenkomst, anders dan de standaard privacy verklaring van de RaboBank (www.rabobank.nl/particulieren/privacy) en HDV Accountants (www.hdv-accountants.nl/privacyverklaring)  voor het bewerken of verwerken van persoonsgegevens.  Betreffende de gegevens op onze website: De Heeg Internet Solutions B.V. heeft een bewerkingsovereenkomst, welke hierbij is opgenomen.

   

Melding Datalekken

Als persoonsgegevens onrechtmatig in handen komen van derden is er sprake van een datalek. De Stichting is dan verplicht dit te melden bij de Autoriteit Persoonsgegevens (AP) en de betrokkenen; in ons geval de donateurs/sympathisanten.

Data protection impact assessment (DPIA)1

               Voor de Stichting is dit niet van toepassing.

“…. Organisaties hoeven, zodra de AVG geldt, niet voor elke gegevensverwerking een DPIA uit te voeren. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy-risico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

·        systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;

·        op grote schaal bijzondere persoonsgegevens verwerkt;

·        op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht) …”

Naleving en Toezicht

            Functionaris gegevensbescherming

Door de aard van de persoonsgegevens die de Stichting vastlegt is geen “Functionaris gegevensbescherming” noodzakelijk.

Naleving wordt getoetst door de Kascontrole Commissie.

Referenties

Nummer

Referentie

1

Autoriteit Persoonsgegevens. Data protection impact assessment (DPIA). https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/data-protection-impact-assessment-dpia

2

Autoriteit Persoonsgegevens. Rechten van Betrokkenen. https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen