Er is veel tijd en kennis nodig om Het Geheugen van Schagen actueel te houden.
Ter beveiliging en bescherming van de persoonsgegevens van alle vrijwilligers die hieraan uitvoering geven, heeft de beheerder onderstaand Protocol opgesteld.
Protocol inzake de toepassing van de Algemene Verordening Gegevensbescherming (AVG) bij de Historische Vereniging Schagen e.o. te Schagen
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze vervangt de Wet bescherming persoonsgegevens (Wbp).
Wat is anders?
De AVG versterkt de positie van de mensen van wie gegevens worden verwerkt. Zij hebben nieuwe privacy rechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt — meer dan onder de Wbp — op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.
1. Bewustwording
Het bestuur van de Historische Vereniging Schagen e.o., hierna te noemen “vereniging”, zorgt er bij voortduring voor dat de gegevensverwerker(s) binnen de vereniging op de hoogte zijn van de onder de AVG vallende privacyregels. Het bestuur onderzoekt permanent wat de impact van de AVG is op huidige en nieuwe processen en diensten die binnen de stichting aan de orde zijn en welke aanpassingen nodig zijn om aan de AVG te voldoen.
2. Rechten van betrokkenen
Onder de AVG hebben de personen van wie persoonsgegevens worden verwerkt privacy rechten. Deze personen kunnen te allen tijde hun privacy rechten uitoefenen. Onder meer hebben zij het recht op inzage en het recht op correctie en verwijdering. Voorts hebben zij recht op dataportabiliteit, hetgeen betekent dat zij hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen betrokkenen bij de Autoriteit Persoonsgegevens (AP) klachten indienen over de manier waarop de vereniging met hun gegevens omgaat.
3. Overzicht verwerkingen
De gegevens van personen worden als volgt verwerkt:
- Onder persoon/personen wordt verstaan de natuurlijke personen en rechtspersonen waarmee de vereniging in verband met geleverde diensten of als lid van het bestuur betrekkingen onderhoudt. Deze gegevens worden door de betrokkene zelf opgegeven aan het bestuur van de vereniging. De persoonlijke gegevens zijn alleen toegankelijk voor betrokkene. Ook het bestuur heeft functioneel toegang tot het bestand en is bevoegd gegevens te wijzigen, al of niet op verzoek of aanwijzing van de betrokken persoon.
De gegevens die worden vastgelegd (kunnen) zijn:
- Geslacht
- Titulatuur
- Voorletters
- Roepnaam
- Tussenvoegsel
- Achternaam
- Geboortedatum en –plaats (uitsluitend bestuursleden)
- Adres, Postcode, Woonplaats
- Telefoonnummers (vast en/of mobiel)
- E-mailadres
- De functie van de persoon binnen de vereniging
De gegevens worden gebruikt om een deugdelijke administratie te kunnen voeren en voor het verzenden van mededelingen en notulen enz..
- De NAW-gegevens en e-mailadres zijn nodig om persoonlijk, per mail of per brief informatie te sturen en zakelijk te communiceren. De secretaris is de bewaarder van de bestanden. Deze gegevens worden niet met derden gedeeld.
- Uitsluitend Indien noodzakelijk wordt het bankrekeningnummer vastgelegd ten behoeve van inkomende en uitgaande betalingen samenhangende met de activiteiten van de stichting. Deze gegevens worden niet met derden gedeeld.
4. Data Protection Impact Assessment
Het bestuur heeft vastgesteld dat de wijze waarop binnen de vereniging de gegevensverwerking wordt uitgevoerd geen hoog privacy risico met zich meebrengt. Derhalve is besloten geen Data Protection Impact assessment (DPIA) uit te voeren.
5. Privacy by Design & Privacy by Default
Privacy by Design houdt in dat er al bij het ontwerpen van procedures en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Het bestuur spreekt uit dat zij dit principe steeds voor ogen zal houden zodra nieuwe procedures of processen in beeld komen.
Privacy by Default houdt in dat technische en organisatorische maatregelen genomen moeten worden om ervoor te zorgen dat alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat beoogd wordt. Ook in dit opzicht zal het bestuur bij voortduring zich afvragen of vastlegging van persoonsgegevens noodzakelijk is en, indien geconstateerd wordt dat dit onvermijdelijk is, zorgvuldigheid betrachten bij de wijze van vastlegging en beheer van deze gegevens.
6. Functionaris voor de gegevensbescherming
Het bestuur heeft besloten op vrijwillige basis een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze taak wordt neergelegd bij de secretaris van de vereniging, met de penningmeester als vaste plaatsvervanger.
7. Meldplicht datalekken
Op grond van de meldplicht datalekken is de secretaris gehouden de noodzakelijke registratie te voeren van datalekken die zich in de vereniging hebben voorgedaan. Alle datalekken dienen uitvoerig te worden gedocumenteerd. Desgevraagd zal de registratie beschikbaar worden gesteld aan de Autoriteit Persoonsgegevens.
8. Bewerkersovereenkomsten
Er bestaan geen bewerkersovereenkomsten.
9. Leidende toezichthouder
De vereniging heeft geen vestigingen. Dit betekent dat de Autoriteit Persoonsgegevens de leidende toezichthouder is.
10. Toestemming
Personen die op verzoek van de vereniging of in opdracht van de vereniging op enigerlei wijze handelingen verrichten, met inbegrip van bestuursleden worden geacht op de hoogte te zijn van de wijze waarop de verwerking van persoonsgegevens binnen de vereniging plaatsvindt en daarmee akkoord te gaan. Omdat het protocol op de website is gepubliceerd en daarnaar in correspondentie wordt verwezen wordt die bekendheid aanwezig geacht
Indien een persoon de eerder gegeven toestemming voor verwerking van persoonsgegevens wil intrekken volstaat een schriftelijke of elektronische melding aan het bestuur.
Dit Protocol is vastgesteld door het bestuur te Schagen op 1 januari 2022
Adrie Pater, voorzitter
Theo Kooijman, secretaris
Ton Smakman, penningmeester
