Privacy beleid

1. Inleiding

 

KPJ De Meern hecht grote waarde aan de bescherming van de persoonsgegevens van haar leden, partners en andere relaties. Persoonlijke gegevens worden door ons dan ook met de grootst mogelijke zorgvuldigheid behandeld en beveiligd.

 

In dit privacy beleid staat beschreven hoe KPJ De Meern persoonsgegevens en gegevensbestanden registreert, verwerkt en bewaart. Ook gerelateerde onderwerpen, zoals het raadplegen, muteren, uitwisselen en verstrekken van gegevens staat in dit beleid beschreven. Het privacy beleid omvat alle on- en offline systemen waarin persoonsgegevens voorkomen.

 

1.1 Vereisten verwerking persoonsgegevens voor verenigingen

De Wet bescherming persoonsgegevens stelt eisen aan organisaties die gegevensbestanden beheren, zoals een ledenadministratie. Deze eisen zijn;

  • toestemming van het lid voor het verwerken van de gegevens;
  • juist en nauwkeurig bijhouden van de lid gegevens;
  • beveiligen van de lid gegevens;
  • op verzoek inzage verlenen in de eigen opgeslagen lid gegevens;
  • uitsluitend gebruik van de lid gegevens voor het doel waarvoor ze verzameld zijn.

Conform de Wet bescherming persoonsgegevens is het toegestaan persoonsgegevens te verwerken; categorie bijzondere vereisten, vrijgestelde categorieën van verwerkingen (paragraaf 1): verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties.

 

1.2 Aanvullende vereisten

De organisatie stelt met dit privacy beleid, naast de wettelijke vereisten, ook een aantal aanvullende richtlijnen vast voor het verwerken van persoonsgegevens. Het beleid bevat ook aandachtspunten voor leden, gebruikers, beheerders en ontwerpers van systemen om niet alleen nu maar ook in de toekomst de privacy te waarborgen.

 

1.3 Systemen

KPJ De Meern verwerkt persoonsgegevens in de volgende systemen:

 

1.3.1 Excel bestand

De ledenadministratie wordt in een Excel bestand bewaard en bewerkt. Er worden alleen exports gemaakt voor specifieke doeleinden.

 

1.3.2 Website

De website www.kpjdemeern.nl is het informatie- en nieuwsportaal van de vereniging. De informatie is openbaar toegankelijk.

 

1.3.3 Plattelandsjongeren

De landelijke organisatie Plattelandsjongeren.nl maakt gebruik van de ledengegevens voor de ondersteuning in de vorm van de verzekering. De informatie uit het ledensysteem zal hiervoor beschikbaar worden gesteld.

 

1.3.4 Financiën

De Penningmeester in het bestuur verwerkt persoonsgegevens in de debiteuren- en crediteurenadministratie van de vereniging. Voor contributiezaken is er een koppeling met het ledensysteem.

 

1.3.5 Dropbox

Voor het uitwisselen van informatie maakt het bestuur gebruik van een gedeelde map op Dropbox, welke toegankelijk is voor de bestuursleden. In de gedeelde map is ook een lijst met lid gegevens (als genoemd in lid 2.1) van de leden van de KPJ beschikbaar, om de verschillende leden optimaal van dienst te kunnen zijn.

 

1.4 Privacy statement

KPJ De Meern verwerkt persoonsgegevens en wil daarover duidelijk en transparant communiceren. In het privacy statement wordt antwoord gegeven op de belangrijkste vragen over de verwerking van persoonsgegevens. Het privacy statement is te vinden op de website (www.kpjdemeern.nl).

 

1.5 Updates privacy beleid

KPJ De Meern behoudt zich het recht voor om wijzigingen aan te brengen in dit privacy beleid. Het verdient aanbeveling om dit privacy beleid regelmatig te raadplegen, zodat je van de wijzigingen op de hoogte bent.

 

2 Registratie en zichtbaarheid persoonsgegevens

 

2.1 Lid gegevens

De volgende persoonsgegevens worden geregistreerd in het ledenbestand, waarbij iedere record in de ledenadministratie voorzien wordt van een uniek kenmerk, het lidnummer.

 

Verplicht Niet verplicht Toegankelijk voor commissies
Voornaam X X
Achternaam X X
Tussenvoegsel X X
Geboortedatum X
Geslacht X
Straat X
Huisnummer X
Postcode X
Woonplaats X
Soort gebruiker X
E-mail adres 1 X X
E-mail adres 2 X
Telefoonnummer X X
Mobielnummer X X
Bankgegevens X
Opmerking veld X

2.2 Registratie van aanvullende lid gegevens

Een KPJ afdeling kan aanvullende lid gegevens definiëren en registreren. Dit kan handig zijn, als er meer gegevens dan de onder 2.1 genoemde basisgegevens gewenst zijn vast te leggen.

 

 

2.3 Registratie van bijzondere gegevens

Bijzondere gegevens mogen alleen geregistreerd worden als hiervoor een noodzaak bestaat. Binnen de KPJ mogen volgens de wet alléén gegevens omtrent de gezondheid van een lid worden verzameld om op die manier een goede verzorging en behandeling te kunnen waarborgen. Alle andere gegevens zijn uitdrukkelijk niet toegestaan te registreren, tenzij hiervoor een duidelijke aanleiding is én het lid expliciete toestemming heeft gegeven.

 

2.4 Gegevens sponsoren en overige contacten

Als vereniging worden wij regelmatig gesponsord door bedrijven.

Hiervoor kunnen we de volgende gegevens bewaren: naam bedrijf, contactpersoon, E-mail adres, telefoonnummer, adresgegevens, bankgegevens, geschiedenis sponsorgedrag.

Deze gegevens zijn alleen toegankelijk voor het bestuur en commissies. De gegevens worden uitsluitend gebruikt voor: indiening sponsoraanvraag, versturen facturen, versturen bedankjes/uitnodiging.

 

3 Verstrekken, uitwisselen en gebruik van persoonsgegevens

 

Naast strenge privacywetgeving, gelden onderstaande beleidsafspraken rondom het verstrekken van gegevens. De afspraken staan per niveau beschreven.

 

3.1 Algemeen

3.1.1 Wie verwerkt?

  • Gegevensbeheerder

De gegevensbeheerder mag mutaties uitvoeren voor alle leden. De gegevensbeheerder is een bestuurder van de vereniging met als functie ledenadministratie of secretaris.

  • Exclusieve rechten

In uitzonderlijke gevallen kunnen exclusieve rechten worden toegekend om gegevens in te zien (raadplegen). Denk bijvoorbeeld aan de verzekering. Deze afspraken worden voor bepaalde tijd gemaakt en vastgelegd.

 

3.1.2 Voorwaarden gebruik van persoonsgegevens

Het gebruik van gegevens dient aan de volgende voorwaarden te voldoen:

  1. Er moet een duidelijk doel worden gesteld waartoe de gegevens gebruikt gaan worden, waarbij duidelijk wordt wie voor welke periode toegang heeft tot welke gegevens;
  2. Er mogen enkel relevante gegevens gebruikt worden. Met andere woorden, er mogen geen onnodige of bovenmatige gegevens verzameld of gebruikt worden;
  3. Er dient een permissiemodel opgesteld te worden waarin wordt vastgelegd welke personen toegang krijgen tot welke gegevens. Tevens dient er een gedegen beveiliging te worden aangebracht op het gebruik van de gegevens;
  4. De gegevens mogen niet aan derden worden verstrekt tenzij daar expliciet toestemming voor gegeven is door het lid of daartoe een wettelijke verplichting bestaat;
  5. De gegevens mogen alleen voor een vastgestelde periode worden gebruikt en dienen daarna verwijderd te worden. Tussentijds moeten gegevens op het verzoek van het lid verwijderd kunnen worden. Langer gebruik dan de vooraf vastgestelde periode kan alleen met expliciete toestemming van het lid;
  6. Bijzondere gegevens, waaronder godsdienst, gezondheid of strafrechtelijke gegevens, mogen alleen verzameld worden indien daartoe een strikte noodzaak bestaat en met expliciete consensus van het lid. Deze gegevens dienen volledig te worden verwijderd na afloop van de gestelde periode;
  7. Het gebruik van de gegevens gebeurt conform het privacy beleid en de Wet bescherming persoonsgegevens.

 

3.2 Externe partijen

  • Verstrekken van persoonsgegevens, adresgegevens en e-mailadressen van leden aan een niet bij vereniging aangesloten of gecontracteerde organisatie cq. externe organisatie (zowel commercieel als non-profit) is in geen enkel geval toegestaan.
  • We bieden externe organisaties de mogelijkheid te adverteren in diverse communicatie-uitingen. Voor non-profitorganisaties wordt door het bestuur per geval bekeken of er een podium geboden kan worden in een van de bestaande communicatie-uitingen.

 

3.3 Landelijke organisatie

  • Verstrekken van persoonsgegevens, adresgegevens en e-mailadressen van leden aan de landelijke Plattelandsjongeren zal alleen gebeuren wanneer dit noodzakelijk is voor optimaal dienst verlening.
  • Het verstrekken van contactgegevens van bestuursleden gebeurt alleen voor KPJ gerelateerde activiteiten.
  • Er zullen geen contactgegevens beschikbaar worden gesteld voor commerciële doeleinden.
  • Eventuele nieuwsberichten van de landelijke organisatie, zullen worden verspreid via de bestaande kanalen.

 

3.4 Kring Zuid-West Utrecht

  • Kring Zuid-West Utrecht verwerkt uitsluitend de gegevens van bestuurders met hun bijhorende functie. Zij verwerken de volgende gegevens: naam, achternaam, e-mail adres, telefoonnummer.

 

4 Muteren van persoonsgegevens

 

4.1 Mutaties in persoonsgegevens

Ten alle tijden kan een lid/sponsor zijn persoonsgegevens inzien via de gegevensbeheerder.

De gegevens van een lid kunnen alleen door de gegevensbeheerder worden gewijzigd.

 

5 Bewaren van persoonsgegevens

We bewaren de persoonsgegevens in een Excel bestand opgeslagen op een USB stick. Dit bestand is alleen toegankelijk voor de hiervoor bevoegde personen.

 

5.1 Lijsten maken

De gegevensbeheerder kan gegevens exporteren vanuit de ledenlijst.

Deze kunnen worden gebruikt door commissies ter promotie van activiteiten of voor het verstrekken van informatie.

 

5.2 Kopiëren

Het is uitdrukkelijk verboden de geëxporteerde gegevens te vermenigvuldigen of kopiëren op elke mogelijke manier. De export is strikt persoonlijk en hier dient dan ook zorgvuldig mee omgegaan te worden.

5.3 Verwijderen

Een export moet zo kort mogelijk bewaard worden. Degene die de export maakt is er persoonlijk verantwoordelijk voor om deze dusdanig te verwijderen dat deze niet meer te herstellen is door onbevoegden.

5.4 Bewaren van gegevens in het ledensysteem

De gegevens in het ledensysteem blijven hier in staan zo lang het lidmaatschap van het lid loopt.

 

Na afloop van het lidmaatschap worden de gegevens nog bewaard. De gegevens kunnen niet gewijzigd worden en dienen uitsluitend voor historische, statistische of wetenschappelijke doeleinden, alsmede het organiseren van een reünie gebruikt te worden.

 

6 Berichten verzenden

 

6.1 OPT In / Out

De vereniging kan en mag leden de voor hun lidmaatschap en/of deelname aan activiteiten relevante informatie, ongevraagd toesturen. Dat kan zowel per mail, post als andere vormen van communicatie zijn. Voor al deze berichten geldt dat er een OPT-Out mogelijkheid bestaat en deze mogelijkheid ook actief geboden wordt door de verzender.

 

6.1.1 Uitzonderingen

Systeemberichten en berichten die essentieel zijn voor het lidmaatschap (bijvoorbeeld een contributiefactuur) hebben geen OPT-Out mogelijkheid.

 

6.2 Bulkmail

Het begrip bulkmail omvat e-mailberichten, postzendingen, SMS- en telemarketing. Alle vormen van bulkmail zijn doeltreffende middelen om doelgroepen binnen de KPJ op een directe manier te bereiken. Het is dan ook niet vreemd dat hier zeer regelmatig gebruik van wordt gemaakt.

 

Een bulkzending bevat altijd een afmeldmogelijkheid.

 

7 Online media

 

Online communicatie kan ook binnen de KPJ niet meer ontbreken. Naast de vele voordelen van online media, zijn er ook aandachtspunten, waaronder wetgeving op het gebied van cookies. Daarnaast is er een disclaimer van toepassing op de online kanalen. De statements en de disclaimer zijn hieronder opgenomen.

 

7.1 Cookiestatement

De websites gebruiken cookies om er voor te zorgen dat de websites naar behoren werken, ook wel functionele cookies. Zo gebruiken wij cookies voor:

  • het onthouden van informatie die je invult op de verschillende pagina’s, zodat je niet steeds al je gegevens opnieuw hoeft in te vullen
  • het doorgeven van informatie van de ene pagina aan de volgende pagina, bijvoorbeeld voor het aanmelden voor een activiteit
  • het opslaan van voorkeuren, zoals de taal, locatie, het gewenste aantal te tonen zoekresultaten, etc.
  • het uitlezen van je browserinstellingen om onze website optimaal op je beeldscherm te kunnen weergeven
  • het opsporen van misbruik van onze website en diensten, door bijvoorbeeld een aantal opeenvolgende mislukte inlogpogingen te registreren
  • het gelijkmatig belasten van de website, waardoor de site bereikbaar blijft
  • Cookies voor statistiek

 

7.2 Analytics

KPJ De Meern gebruikt daarnaast cookies voor statistiek, op basis van Google Analytics:

 

  • het bijhouden van het aantal bezoekers op onze webpagina’s
  • het bijhouden van de tijdsduur die elke bezoeker doorbrengt op onze webpagina’s
  • het bepalen van de volgorde waarin een bezoeker de verschillende pagina’s van onze website bezoekt
  • het beoordelen welke delen van onze site aanpassing behoeven
  • het optimaliseren van de website

 

Onder de websites voor dit cookiestatement valt: www.kpjdemeern.nl

 

KPJ De Meern zal dit statement af en toe aan moeten passen, omdat bijvoorbeeld de website of de regels rondom cookies wijzigen. We mogen de inhoud van de verklaring en de cookies die opgenomen staan in de lijsten altijd en zonder waarschuwing vooraf wijzigen. We raden je aan deze informatie regelmatig te raadplegen voor de laatste versie, om te beoordelen of je de toestemming wilt herzien.

 

7.3 Disclaimer websites 

De inhoud van de websites is met de grootste zorg samengesteld. Hoewel wij trachten juiste, volledige en actuele informatie uit betrouwbaar geachte bronnen aan te bieden, verstrekt de KPJ expliciet noch impliciet enige garantie dat de op of via deze internetsite aangeboden informatie juist, volledig of actueel is. Beslissingen op basis van deze informatie zijn voor jouw eigen rekening en risico.

 

KPJ De Meern garandeert niet dat deze internetsite foutloos of ononderbroken zal functioneren.

 

7.3.1 Uitsluiting van aansprakelijkheid

KPJ De Meern aanvaardt geen enkele aansprakelijkheid ten aanzien van directe, indirecte, bijzondere, incidentele, immateriële of gevolgschade, ongeacht of wij op de mogelijkheid van deze schade gewezen is, die op enigerlei wijze voortvloeit uit maar niet beperkt hoeft te zijn tot defecten, virussen of overige onvolkomenheden aan apparatuur en andere software in verband met de toegang tot of het gebruik van deze internetsite, de informatie die op of via deze internetsite wordt aangeboden, het onderscheppen, wijzigen of oneigenlijk gebruik van informatie die aan ons of aan u wordt gezonden, de werking of het niet-beschikbaar zijn van deze internetsite, misbruik van deze internetsite, verlies van gegevens, het downloaden of gebruiken van software die via deze internetsite beschikbaar wordt gesteld of aanspraken van derden in verband met gebruik van deze internetsite.

 

7.3.2 Toepasselijk recht

Op deze internetsite en de disclaimer is het Nederlands recht van toepassing.

 

7.3.3 Wijzigingen

KPJ De Meern behoudt zich het recht voor de op of via deze internetsite aangeboden informatie, met inbegrip van de tekst van deze disclaimer, te allen tijde te wijzigen zonder hiervan nadere aankondiging te doen. Het verdient aanbeveling periodiek na te gaan of de op of via deze internetsite aangeboden informatie, met inbegrip van de tekst van deze disclaimer, is gewijzigd.

7.4 Datalekken

Uiteraard doen wij er alles aan om de in dit document genoemde persoonsgegevens niet in handen van derden die geen toegang tot die gegevens zouden mogen hebben te laten vallen. Gebeurt dit wel, dan spreken we over een datalek. In artikel 34a van de Wet Bescherming Persoonsgegevens is sinds 1 januari 2016 geregeld dat als er een datalek plaats vindt dit gemeld moet worden. Er wordt hier echter met klemtoon gesproken over het lekken van persoonsgegevens als gevolg van beveiligingsproblemen. Deze datalekken moeten – als ze voldoende ernstig zijn- onverwijld worden gemeld aan de toezichthouder, de Autoriteit Persoonsgegevens (AP), voorheen het CBP.

 

7.4.1 Procedure datalekken herkennen

Een datalek kan op verschillende manieren herkend worden. Over het algemeen zal het een melding zijn van een interne test dat er een manier is om buiten de beveiliging om data op te vragen die niet publiek beschikbaar zou mogen zijn. Dit houdt echter nog niet in dat deze kwetsbaarheid gebruikt is door derden. Doordat er een uitgebreide log in plaats vindt kan er hierna gekeken worden of er daadwerkelijk een datalek heeft plaatsgevonden.

 

7.4.2 Procedure datalekken communiceren

  • Aan de toezichthouder

Zodra er een datalek is geconstateerd, zal binnen 72 uur dit gemeld moeten worden bij de toezichthouder. De melding hieraan bevat tenminste:

  • De aard van de inbreuk
  • De instanties waar meer informatie over de inbreuk kan worden verkregen
  • De aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken
  • Een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van de persoonsgegevens
  • De maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen

 

  • Aan de leden

Nadat er een datalek heeft plaatsgevonden en het waarschijnlijk is dat het lek ongunstige gevolgen zal hebben voor de persoonlijke gegevens van leden, dienen de leden een melding te ontvangen. In deze melding zal tenminste de aard van de inbreuk en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken bevatten.

 

 

 

8 Misbruik van persoonlijke gegevens

 

8.1 Misbruik voorkomen

Wanneer persoonsgegevens gebruikt worden op een andere manier dan is toegestaan volgens wet en beleid, dan is er sprake van ongeoorloofd gebruik. Het ongeoorloofd gebruik kan onopzettelijk zijn, omdat men niet op de hoogte is van de regels. Er kan ook sprake zijn van opzet. In het kader van dit beleid verstaan we onder het begrip ‘misbruik’ zowel opzettelijk als onopzettelijk ongeoorloofd gebruik. Misbruik kan leiden tot schade aan personen of de organisatie.

 

We spreken over misbruik, wanneer:

  • Een persoon die daartoe niet gerechtigd is gegevens verkrijgt en gaat gebruiken.
  • Een in principe gerechtigd persoon de gegevens gebruikt voor een ander doel dat (hem) is toegestaan.
  • Gegevens gebruikt worden die niet geregistreerd of gebruikt mogen worden.

 

Om misbruik te voorkomen is het belangrijk dat een aantal maatregelen getroffen worden. Zo is het belangrijk om beleid op het gebied van privacy en persoonsgegevens te hebben, afspraken te maken en dit ook duidelijk te communiceren. Duidelijkheid over goed gebruik van gegevens voorkomt in ieder geval onopzettelijk misbruik.

 

In onze ledenadministratie kunnen personen slechts beperkt bij gegevens. Alleen in bepaalde functies kun je verder kijken dan de gegevens van de leden.

 

8.2 Misbruik melden

Wanneer iemand een vermoeden heeft dat er misbruik wordt gemaakt van persoonsgegevens binnen de KPJ, dient dit gemeld te worden bij gegevensbeheerder, zodat er waar nodig maatregelen getroffen kunnen worden.

 

8.3 Maatregelen

Misbruik van gegevens zal – afhankelijk van de ernst – aanleiding geven tot een van de volgende maatregelen: waarschuwing, ontzeggen toegang tot gegevens, beëindigen functie of taak en eventueel zelfs einde lidmaatschap of dienstverband. Er zal daarnaast ook steeds worden onderzocht of dit misbruik voorkomen kan worden.

 

9 Vragen en klachten

 

Voor vragen, klachten of meldingen over Privacy bij KPJ De Meern kunt u terecht bij het bestuur. U kunt contact opnemen via bestuur@kpjdemeern.nl.