Privacy reglement conform de Avg

PROTOCOL

Algemene verordening gegevensbescherming Senioren Politie Amsterdam

  1. Inleiding en begripsbepalingen

Binnen de Senioren Politie Amsterdam (hierna te noemen SPA) wordt veel waarde gehecht aan de veiligheid en privacy van haar leden. De SPA wenst in dit verband waarborgen te bieden, onder andere door strikte naleving van de toepasselijke (privacy) wet- en regelgeving. De wijze waarop met persoonlijke gegevens van de leden van de SPA wordt omgegaan, alsmede de beveiliging daarvan is van cruciaal belang. Misbruik van deze gegevens kan gevolgen hebben voor de persoonlijke levenssfeer van de hiervoor bedoelde personen. In dit protocol is beschreven op welke wijze de SPA omgaat met persoonsgegevens en de beveiliging daarvan. Het betreft een praktische uitwerking van de bepalingen van de Algemene verordening gegevensbescherming (hierna Avg).

De Avg is op 25 mei 2018 in werking getreden. De verordening is een uitwerking van de Europese privacyrichtlijn en beslaat het gehele proces van gegevensverwerking. Dat wil zeggen van het verzamelen tot het vastleggen en het eventueel doorgeven van persoonsgegevens aan derden.

De Avg bevat de regels met betrekking tot de verkrijging/verzameling en verdere verwerking van persoonsgegevens van bij de vereniging betrokkenen, zoals leden en deelnemers aan de door de SPA georganiseerde activiteiten. Bij het opstellen van dit document is de Avg dan ook als uitgangspunt genomen en is aangesloten bij de begrippen zoals deze zijn gedefinieerd in de Avg:

Persoonsgegeven. Elk gegeven betreffende een geïdentificeerde of een identificeerbare natuurlijke persoon, dus: leden en deelnemers aan de door de SPA georganiseerde activiteiten.

Bijzondere Persoonsgegevens. Gegevens betreffende iemands voormalig stamnummer en de door hem/haar opgegeven werkplek.

Verwerken. Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Verantwoordelijke. De natuurlijke persoon, rechtspersoon of ieder ander die alleen of tezamen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Bewerker. Degene die ten behoeve van de verantwoordelijke, onder diens instructie en verantwoordelijkheid, persoonsgegevens verwerkt.

Betrokkene. Degene waarvan de persoonsgegevens worden verwerkt; in dit geval de leden en deelnemers aan de door de SPA georganiseerde activiteiten.

Verstrekken. Het bekendmaken of ter beschikking stellen van gegevens.

Verzamelen. Het verkrijgen van persoonsgegevens.

NB. De volledige tekst van de Avg kan worden geraadpleegd op de website van de Autoriteit Persoonsgegevens.

De voor de SPA meest belangrijke regels met betrekking tot gegevensbescherming kunnen als volgt worden samengevat:

  1. Wijze van verwerking. Persoonsgegevens mogen alleen worden verwerkt indien dat geschiedt in overeenstemming met wetgeving en op een behoorlijke en zorgvuldige wijze.
  2. Doelbinding. Persoonsgegevens mogen alleen worden verzameld voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden en kunnen alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  3. Kwaliteit. Persoonsgegevens moeten relevant zijn voor de doeleinden waarvoor zij gebruikt worden. Daarnaast moeten persoonsgegevens nauwkeurig zijn, maar ook compleet en up-to-date.
  4. Transparantie. De betrokkene(n), degene van wie persoonsgegevens worden verwerkt, moet ten minste op de hoogte zijn van de identiteit van de verantwoordelijke en van het doel/de doeleinden van de verwerking.
  5. Beveiliging. De persoonsgegevens moeten op een passende wijze worden beschermd. De verantwoordelijke dient in dit verband voldoende technische en organisatorische beveiligingsmaatregelen te treffen tegen verlies of ongeautoriseerde toegang, vernietiging, gebruik, wijziging of openbaarmaking van persoonsgegevens.
  6. Verantwoordelijkheid. De verantwoordelijke voor de verwerking moet verantwoording afleggen voor het nemen van maatregelen die uitvoering geven aan de (voorgaande) vereisten met betrekking tot de bescherming van persoonsgegevens. Deze vereisten kunnen onder andere worden herzien in het licht van ’veranderende technologieën, markten en het gedrag van gebruikers’.

De Autoriteit Persoonsgegevens is de instantie die de SPA kan aanspreken op het niet naleven van de verordening en kan sancties opleggen.

De SPA zal de Avg naleven en toezien op naleving van de wet- en regelgeving door haar leden. De SPA zal zich houden aan de in dit protocol opgenomen principes en regels. Voorts zal de SPA dit protocol kenbaar maken aan haar leden.

  1. De verwerking van persoonsgegevens

In het kader van de ledenadministratie en andere verenigingsactiviteiten verzamelt de SPA door middel van het aanmeldingsformulier (een aantal) algemene persoonsgegevens van haar leden zoals naam, geboortedatum, adres en woonplaats, telefoon, e-mailadres, voormalig stamnummer en voormalige werkplek. De SPA verzamelt en verwerkt alleen persoonsgegevens, zoals zij die van de betrokkene(n) door het invullen van het aanmeldingsformulier en de eigen verklaring heeft verkregen, tenzij anders door de SPA is vastgesteld.

De SPA verwerkt deze persoonsgegevens alleen voor nauwkeurig omschreven doeleinden. Door de SPA zijn de volgende doeleinden geformuleerd:

  1. Het voeren van de ledenadministratie van de verenging in verband met het aanmelden van personen als lid, de verzending van (elektronische) post, het innen van contributie en de organisatie van de gebruikelijke verenigingsactiviteiten;
  2. Het al naar gelang van de vaardigheden van een lid een beroep kunnen doen op diens medewerking vanwege de vele werkzaamheden die ten behoeve van de SPA moeten worden verricht;
  3. De organisatie van activiteiten.

Grondslag

Door het ondertekenen van het aanmeldingsformulier komt er tussen de betrokkene en de SPA een overeenkomst tot stand. Op basis hiervan is de SPA gerechtigd de verzamelde en verkregen persoonsgegevens te verwerken. Dit geldt dus voor zowel de algemene als de eventueel verstrekte bijzondere persoonsgegevens, mits de persoonsgegevens alleen worden verwerkt voor de doeleinden zoals eerder in dit protocol zijn beschreven. Dit betekent dat de SPA de persoonsgegevens in de eerste plaats verzamelt, verkrijgt en verwerkt in verband met het voeren van een efficiënte en effectieve (leden)administratie, het kunnen aanbieden van informatie en het organiseren van (sociale) activiteiten.

Bewaartermijn

De persoonsgegevens worden door de SPA niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan voor zover dit noodzakelijk is voor de verwerking van de doeleinden waarvoor de persoonsgegevens zijn verzameld/verkregen en worden gebruikt:

  • De persoonsgegevens die in het kader van de ledenadministratie zijn verzameld en verkregen, worden door de SPA in ieder geval uiterlijk twee (2) jaren nadat het lidmaatschap is beëindigd verwijderd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening van een wettelijke bewaarplicht;
  • De persoonsgegevens die in het kader van de financiële administratie zijn verzameld en verkregen, worden door de SPA in ieder geval zeven (7) jaren bewaard;
  • Voor administratieve doeleinden worden na afloop van de bewaartermijn, indien de betrokkene daartoe zijn toestemming heeft gegeven, alleen de volgende gegevens bewaard: Naam, adres, woonplaats, voormalig stamnummer en voormalige werkplek alsmede de periode van het lidmaatschap van betrokkene;
  • De SPA mag persoonsgegevens ook langer bewaren voor historische, statistische of wetenschappelijke doeleinden indien de SPA de nodige voorzieningen heeft getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor die doeleinden worden gebruikt;
  • Persoonsgegevens kunnen in geanonimiseerde vorm eventueel langer worden bewaard; de gegevens worden dan zodanig door de SPA bewerkt, dat deze niet meer tot identificeerbare personen te herleiden zijn.

Melding van de verwerking van persoonsgegevens bij de Autoriteit Persoonsgegevens

De verwerking van persoonsgegevens door de SPA is vrijgesteld van de meldplicht bij de Autoriteit Persoonsgegevens.

Indien de SPA het noodzakelijk acht persoonsgegevens (verder) te verwerken voor buiten de in dit Protocol beschreven doeleinden, dan zal uitsluitend de SPA de verantwoordelijke zijn voor die verwerkingen in de zin van de Avg. Indien de SPA daartoe besluit, zal zij dat zelf moeten melden bij de Autoriteit Persoonsgegevens.

  1. Beveiliging van persoonsgegevens

Technische en organisatorische maatregelen

De SPA doet er alles aan om de persoonsgegevens van haar (ex)leden op een zorgvuldige wijze te beschermen en te beveiligen. De SPA legt dan ook passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beschermen tegen verlies, aantasting, onbevoegde kennisneming, wijziging of verstrekking.

Teneinde de beveiliging van persoonsgegevens in de systemen en (leden)administratie van de SPA te waarborgen, heeft de SPA de volgende maatregelen geformuleerd:

  • Het bewaren van de (leden)administratie in een met inlogcode en wachtwoord beveiligde computers. Het systeem kent gradaties in de mate van bevoegdheid van bepaalde bestuurs- en commissieleden, als het gaat om toegang tot en verwerking van persoonsgegevens;
  • Indien met persoonsgegevens wordt gewerkt, worden deze te allen tijde afgeschermd voor onbevoegde leden en andere derden;
  • Het bewaren van aanmeldingsformulieren, eigen verklaringen en bijzondere persoonsgegevens (hard copy) geschiedt in een afgesloten dossierkast. Ook de papieren dossiers zijn dus ook zeer beperkt toegankelijk.

Verantwoordelijkheid

De ledensecretaris van het bestuur is verantwoordelijk voor het beheer van zowel de papieren als digitale ledenadministratie en draagt er voor zorg dat de verzameling/verkrijging, de (verdere) verwerking, het beheer en de bewaring van persoonsgegevens wordt uitgevoerd conform de Avg, dit protocol en de overige documenten omtrent gegevensbescherming zoals deze gelden binnen de SPA.

Mate van bevoegdheid (intern en extern)

Intern. Vanwege de taken die voortvloeien uit hun functie zijn binnen de SPA de volgende personen bevoegd tot het inzien van en belast met de verwerking van persoonsgegevens:

  • De voorzitter van het bestuur van de SPA ten aanzien van alle binnen de SPA te verwerken persoonsgegevens;
  • De secretaris, ledensecretaris en penningmeester van het bestuur van de SPA ten aanzien van de voor hen noodzakelijke persoonsgegevens, zoals de leden- en de financiële administratie;
  • Bestuursleden en commissieleden uit hoofde van hun functie, een en ander beperkt tot de voor hen – in het kader van de commissieactiviteiten – noodzakelijke gegevens, zoals naam, adres en geboortedatum.

Overige leden van de SPA hebben slechts toegang tot persoonsgegevens, indien dit noodzakelijk is bij de uitvoering van een bepaalde aan hen toegewezen taak en/of indien zij hiervoor toestemming hebben gekregen van het bestuur van de SPA. De leden van de verenging (waaronder mede verstaan de bestuursleden van de SPA, die inzage hebben in persoonsgegevens hebben een geheimhoudingsplicht. Het bestuur van de SPA ziet er – voor zover dat mogelijk is – op toe, dat deze geheimhoudingsplicht door de leden wordt nageleefd.

Extern. Buiten de SPA kunnen persoonsgegevens worden verstrekt aan personen en organisaties voor zover dit noodzakelijk is voor hun taakuitoefening. Te denken valt aan:

  • de SPS/WEP;
  • externe hulpverleners in geval van een incident.
  1. Informatieverstrekking aan de betrokkene

De leden van de SPA worden door middel van de toelichting op het aanmeldingsformulier geïnformeerd over de rechten en de wijze waarop door de SPA met persoonsgegevens wordt omgegaan. Door ondertekening van het aanmeldingsformulier komt een overeenkomst tot stand tussen de betrokkene en de SPA op basis waarvan bepaalde op de betrokkene betrekking hebbende persoonsgegevens mogen worden verwerkt en waarin tevens wordt verwezen naar de informatie op de website van de SPA.

  1. Rechten van de betrokkene

In de SPA Informatiebrochure “Privacy binnen de SPA wordt aandacht besteed aan de rechten die betrokkenen hebben ten aanzien van de persoonsgegevens die van hen worden verwerkt en/of bewerkt. Het gaat om de volgende rechten:

  • Het recht op inzage in en afschrift van persoonsgegevens;
  • Het recht op correctie van persoonsgegevens.
  1. Klachten

Binnen het bestuur van de SPA vervult de voorzitter de functie van klachtenfunctionaris bij wie een betrokkene (een) eventuele klacht(en) kan indienen over de wijze waarop door de SPA met zijn of haar persoonsgegevens wordt omgegaan dan wel over de wijze waarop de Avg wordt nageleefd.

 

Vastgesteld in de bestuursvergadering van 18 mei 2018

Ingangsdatum van dit protocol: 25 mei 2018