Er is veel tijd en ken­nis nodig om Het Geheugen van Scha­gen actueel te houden.

Ter beveilig­ing en bescherming van de per­soon­s­gegevens van alle vri­jwilligers die hier­aan uitvo­er­ing geven, heeft de beheerder onder­staand Pro­to­col opgesteld.

Pro­to­col inzake de toepass­ing van de Algemene Veror­den­ing Gegevens­bescherming (AVG) bij de His­torische Verenig­ing Scha­gen e.o. te Schagen

Vanaf 25 mei 2018 is de Algemene Veror­den­ing Gegevens­bescherming (AVG) van toepass­ing. Deze ver­vangt de Wet bescherming per­soon­s­gegevens (Wbp).

Wat is anders?

De AVG ver­sterkt de posi­tie van de mensen van wie gegevens wor­den ver­w­erkt. Zij hebben nieuwe pri­vacy rechten en hun bestaande rechten wor­den sterker. Organ­isaties die per­soon­s­gegevens ver­w­erken kri­j­gen meer ver­plichtin­gen. De nadruk ligt — meer dan onder de Wbp — op de ver­ant­wo­ordelijkheid van organ­isaties om te kun­nen aan­to­nen dat zij zich aan de wet houden.

1. Bewust­word­ing

Het bestuur van de His­torische Verenig­ing Scha­gen e.o., hierna te noe­men “verenig­ing”, zorgt er bij voort­dur­ing voor dat de gegevensverwerker(s) bin­nen de verenig­ing op de hoogte zijn van de onder de AVG val­lende pri­va­cyregels. Het bestuur onder­zoekt per­ma­nent wat de impact van de AVG is op huidige en nieuwe processen en dien­sten die bin­nen de sticht­ing aan de orde zijn en welke aan­passin­gen nodig zijn om aan de AVG te voldoen.

2. Rechten van betrokkenen

Onder de AVG hebben de per­so­nen van wie per­soon­s­gegevens wor­den ver­w­erkt pri­vacy rechten. Deze per­so­nen kun­nen te allen tijde hun pri­vacy rechten uitoe­fe­nen. Onder meer hebben zij het recht op inzage en het recht op cor­rec­tie en ver­wi­jder­ing. Voorts hebben zij recht op dat­a­porta­biliteit, het­geen betekent dat zij hun gegevens makke­lijk kun­nen kri­j­gen en ver­vol­gens kun­nen doorgeven aan een andere organ­isatie als ze dat willen. Ook kun­nen betrokke­nen bij de Autoriteit Per­soon­s­gegevens (AP) klachten indi­enen over de manier waarop de verenig­ing met hun gegevens omgaat.

3. Overzicht verwerkingen

De gegevens van per­so­nen wor­den als volgt verwerkt:

  1. Onder persoon/​personen wordt ver­staan de natu­urlijke per­so­nen en rechtsper­so­nen waarmee de verenig­ing in ver­band met geleverde dien­sten of als lid van het bestuur betrekkin­gen onder­houdt. Deze gegevens wor­den door de betrokkene zelf opgegeven aan het bestuur van de verenig­ing. De per­soon­lijke gegevens zijn alleen toe­ganke­lijk voor betrokkene. Ook het bestuur heeft func­tion­eel toe­gang tot het bestand en is bevoegd gegevens te wijzi­gen, al of niet op ver­zoek of aan­wi­jz­ing van de betrokken persoon.

De gegevens die wor­den vast­gelegd (kun­nen) zijn:

  • Ges­lacht
  • Tit­u­latuur
  • Voor­let­ters
  • Roep­naam
  • Tussen­voegsel
  • Achter­naam
  • Geboorte­da­tum en –plaats (uit­slui­tend bestuursleden)
  • Adres, Post­code, Woonplaats
  • Tele­foon­num­mers (vast en/​of mobiel)
  • E-​mailadres
  • De func­tie van de per­soon bin­nen de vereniging

De gegevens wor­den gebruikt om een deugdelijke admin­is­tratie te kun­nen voeren en voor het verzen­den van med­edelin­gen en notulen enz..

  1. De NAW-​gegevens en e-​mailadres zijn nodig om per­soon­lijk, per mail of per brief infor­matie te sturen en zake­lijk te com­mu­niceren. De sec­re­taris is de bewaarder van de bestanden. Deze gegevens wor­den niet met der­den gedeeld.
  2. Uit­slui­tend Indien noodza­ke­lijk wordt het bankreken­ingnum­mer vast­gelegd ten beho­eve van inkomende en uit­gaande betalin­gen samen­hangende met de activiteiten van de sticht­ing. Deze gegevens wor­den niet met der­den gedeeld.

4. Data Pro­tec­tion Impact Assessment

Het bestuur heeft vast­gesteld dat de wijze waarop bin­nen de verenig­ing de gegevensver­w­erk­ing wordt uit­gevo­erd geen hoog pri­vacy risico met zich mee­brengt. Der­halve is besloten geen Data Pro­tec­tion Impact assess­ment (DPIA) uit te voeren.

5. Pri­vacy by Design & Pri­vacy by Default

Pri­vacy by Design houdt in dat er al bij het ontwer­pen van pro­ce­dures en dien­sten voor wordt gezorgd dat per­soon­s­gegevens goed wor­den beschermd. Het bestuur spreekt uit dat zij dit principe steeds voor ogen zal houden zodra nieuwe pro­ce­dures of processen in beeld komen.

Pri­vacy by Default houdt in dat tech­nis­che en organ­isatorische maa­trege­len genomen moeten wor­den om ervoor te zor­gen dat alléén per­soon­s­gegevens ver­w­erkt wor­den die noodza­ke­lijk zijn voor het spec­i­fieke doel dat beoogd wordt. Ook in dit opzicht zal het bestuur bij voort­dur­ing zich afvra­gen of vast­leg­ging van per­soon­s­gegevens noodza­ke­lijk is en, indien gecon­sta­teerd wordt dat dit onver­mi­jdelijk is, zorgvuldigheid betra­chten bij de wijze van vast­leg­ging en beheer van deze gegevens.

6. Func­tionaris voor de gegevensbescherming

Het bestuur heeft besloten op vri­jwillige basis een func­tionaris voor de gegevens­bescherming (FG) aan te stellen. Deze taak wordt neergelegd bij de sec­re­taris van de verenig­ing, met de pen­ning­meester als vaste plaatsvervanger.

7. Meld­plicht datalekken

Op grond van de meld­plicht datalekken is de sec­re­taris gehouden de noodza­ke­lijke reg­is­tratie te voeren van datalekken die zich in de verenig­ing hebben voorgedaan. Alle datalekken dienen uitvo­erig te wor­den gedoc­u­menteerd. Des­gevraagd zal de reg­is­tratie beschik­baar wor­den gesteld aan de Autoriteit Persoonsgegevens.

8. Bew­erk­ersovereenkom­sten

Er bestaan geen bewerkersovereenkomsten.

9. Lei­dende toezichthouder

De verenig­ing heeft geen ves­tigin­gen. Dit betekent dat de Autoriteit Per­soon­s­gegevens de lei­dende toezichthouder is.

10. Toestem­ming

Per­so­nen die op ver­zoek van de verenig­ing of in opdracht van de verenig­ing op eniger­lei wijze han­delin­gen ver­richten, met inbe­grip van bestu­ursle­den wor­den geacht op de hoogte te zijn van de wijze waarop de ver­w­erk­ing van per­soon­s­gegevens bin­nen de verenig­ing plaatsvindt en daarmee akko­ord te gaan. Omdat het pro­to­col op de web­site is gepub­liceerd en daar­naar in cor­re­spon­den­tie wordt ver­wezen wordt die bek­end­heid aan­wezig geacht

Indien een per­soon de eerder gegeven toestem­ming voor ver­w­erk­ing van per­soon­s­gegevens wil intrekken vol­staat een schriftelijke of elek­tro­n­is­che meld­ing aan het bestuur.

Dit Pro­to­col is vast­gesteld door het bestuur te Scha­gen op 1 jan­u­ari 2022

Adrie Pater, voorzitter

Theo Kooi­j­man, secretaris

Ton Smak­man, penningmeester