26 mei 2018

Beleid Persoonsgegevens

Beleid persoonsgegevens

 

  1. Definitie persoonsgegevens

Onder persoonsgegevens worden verstaan alle gegevens die gebruikt kunnen worden om een persoon te identificeren.

Alleen een naam of foto van een persoon hoeft bijvoorbeeld niet veel te zeggen, aangezien hiermee iemand niet of nauwelijks te identificeren is. Deze informatie samen geeft alleen wel de mogelijkheid om een persoon te herkennen (en identificeren); op dat moment zijn deze gegevens persoonsgegevens.

 

S.v. Forum verzameld en verwerkt bepaalde gegevens om een lidmaatschap voor de vereniging op te zetten. Al deze gegevens samen geven een gedetailleerde omschrijving van een persoon en om de bescherming van deze informatie te optimaliseren maken wij gebruik van een privacy statement, beleid persoonsgegevens en een protocol persoonsgegevens (7.).

 

  1. Verwerking persoonsgegevens

 

Zoals in onze privacy statement benoemd staat zijn er een aantal doeleinden waarvoor de verzamelde gegevens worden gebruikt. Hier zal een beschrijving gegeven worden van deze doeleinde met de desbetreffende gegevens die voor deze doeleinde van toepassing zijn.

 

  • Verzamelde gegevens

 

Deze gegevens worden met nummers aangeduid en er zal hierna steeds naar deze nummers verwezen worden. Gegevens die S.v. Forum verzameld en verwerkt zijn:

 

  1. Naam
  2. Adres
  3. Woonplaats
  4. Telefoonnummer
  5. Emailadres
  6. Geboortedatum
  7. Geslacht
  8. Studentnummer
  9. Studierichting
  10. IBAN gegevens
  11. Postcode
  12. Taal
  13. Nationaliteit
  14. Studiejaar
  15. Land

 

  • Overige en speciale gegevens

 

In bepaalde gevallen is het voor S.v. Forum van belang om “speciale” gegevens te verzamelen die buiten de bovenstaande gegevens vallen. Voor (meerdaagse) evenementen is het mogelijk dat S.v. Forum vraagt om een bepaald aantal gegevens, zoals:

 

  • Medicatie gebruik
  • Medische of fysieke beperkingen
  • Allergieën
  • Nood contact gegevens van een huisarts en/of een ouder/verzorger
  • Legitimatiebewijs

 

Gegevens zoals medicatie of allergieën worden verzameld wanneer deze van vitaal belang kunnen zijn. Met deze gegevens kan S.v. Forum het lid zo goed mogelijk proberen te ondersteunen. Mocht het voorkomen dat het lid zich in kritische toestand bevindt heeft S.v. Forum in dat geval de mogelijkheid om medische hulpdiensten zo goed en volledig mogelijk in te lichten.

 

Speciale persoonsgegevens waar in dit geval naar gevraagd wordt worden voor bepaalde tijd bewaard. Wanneer deze informatie geen directe functie meer bevat zullen deze speciale gegevens verwijderd worden.

 

  • Definitie doeleinden

 

  • Om onze leden diensten te verlenen en om te factureren

S.v. Forum verleent op meerdere vlakken, verschillende diensten aan haar leden. Om gebruik te maken van één van de diensten van S.v. Forum is het mogelijk dat hier kosten aan verbonden zijn. Om dit in werkelijkheid te stellen is het van belang dat S.v. Forum de mogelijkheid heeft om haar leden te factureren indien nodig.

 

De volgende gegevens worden voor dit doeleinde gebruikt: 1, 2, 3, 4, 5, 10

 

  • Om met de leden te communiceren (waaronder het verzenden van berichten)

Het is voor S.v. Forum van belang om de mogelijkheid te hebben op meerdere manieren contact te leggen met haar leden. Doormiddel van nieuwsbrieven, sociale media en andere communicatiemiddelen is het mogelijk om contact op te nemen met onze leden.

 

De volgende gegevens worden voor dit doeleinde gebruikt: 1, 2, 3, 4, 5

 

  • Om onze diensten op de wensen van de leden af te stemmen.

S.v. Forum is een vereniging die constant in ontwikkeling is. Door mee te kunnen gaan met de tijd en de snelheid waarin ook S.v. Forum haar leden zich ontwikkelen is het voor ons van belang dat wij de mogelijkheid hebben om onze diensten te kunnen afstemmen. Door onze diensten af te stemmen kan S.v. Forum beter mee ontwikkelen met haar leden.

 

De volgende gegevens worden voor dit doeleinde gebruikt: 1, 3, 4, 5, 6, 7, 9

 

  • Om onze diensten te verbeteren

S.v. Forum is een vereniging die de wensen van leden waarborgt. Door een actieve houding te nemen in het verbeteren of aanpassen van diensten aan de wensen van de leden is het mogelijk een zo goed mogelijke omgeving te creëren waar onze leden zich in kunnen voortbewegen. Wanneer het gaat om veiligheid, het organiseren van activiteiten of ontwikkelingen in het vakgebied: S.v. Forum wilt waar mogelijk haarzelf kunnen verbeteren.

 

De volgende gegevens worden voor dit doeleinde gebruikt: 1, 5, 6, 7, 9

 

  • Om de leden te informeren over evenementen en aanbiedingen (van derde partijen) van S.v. Forum

S.v. Forum is als vereniging erg actief in het aanbieden van activiteiten waar leden aan mee kunnen doen. Door onze leden hierover te kunnen informeren maken wij het mogelijk om ze de kans te geven om deel te nemen aan deze evenementen. Ook kan het voor S.v. Forum of de leden van S.v. Forum van belang zijn om informatie te verschaffen vanuit derde partijen, mocht het gaan om stage, beurzen en andere gerelateerde evenementen.

 

De volgende gegevens worden voor dit doeleinde gebruikt: 1, 2, 3, 4, 5, 9

 

  • Om de leden  te herkennen én te begroeten.

Het is voor S.v. Forum van groot belang om op een informele basis contact te kunnen leggen met haar leden.

 

De volgende gegevens worden voor dit doeleinde gebruikt: 1

 

  • Om informatie over leden  te verstrekken aan derden indien wij daartoe verplicht zijn op basis van wet- of regelgeving.

Naast onze eigen statuten en regelement moet er ten alle tijden de Nederlandse wet- en regelgeving na worden geleefd. Mocht het voorkomen dat wij worden benaderd door Nederlandse autoriteiten om bepaalde persoonsgegevens te delen in bijvoorbeeld het geval van criminele intenties van een lid zullen wij hiertoe verplicht zijn.

 

Alle geregistreerde gegevens kunnen hierbij van toepassing zijn.

 

  • Om informatie over leden  te verstrekken aan derden indien dit verplicht is voor een evenement

Voor verscheidene evenementen kan een derde partij S.v. Forum verplicht stellen om basisgegevens te delen van de aanwezigen. Wanneer dit het geval is zal S.v. Forum proberen te achterhalen met welke reden dit verplicht wordt gesteld en of het mogelijk is zo min mogelijk gegevens te delen met de derde partij. Alle leden van toepassing zullen worden geïnformeerd wanneer deze gegevens worden gedeeld.

 

Welke gegevens hiervoor in aanmerking komen hangt af van de derde partij. In de meest gebruikelijk gevallen zullen dit zijn: 1, 6

 

  • Om te controleren of de leden  aan de betalingsverplichtingen voldoet alsmede ter controle van al die feiten en factoren die van belang zijn voor het verantwoord aangaan en/of uitvoeren van de overeenkomst.

Het lidmaatschap van S.v. Forum bevat bepaalde rechten, maar ook plichten. Het is voor S.v. Forum van belang om in te kunnen zien of alle plichten ook daadwerkelijk na worden geleefd. Dit kan in dit geval om facturen gaan, maar ook over alle andere plichten van de vereniging. Voor de definitie van de rechten en plichten van S.v. Forum wordt u doorverwezen naar de statuten.

 

De volgende gegevens worden voor dit doeleinde gebruikt: 1, 4, 5, 10

 

  • Om contact te laten leggen met leden onderling

S.v. Forum waarborgt persoonlijk en informeel contact vanuit de vereniging, maar ook voor de leden onderling. Door onder andere borrels, actieve commissies en een gedeeld café is het voor de leden van S.v. Forum mogelijk om contact te leggen met elkaar.

 

De volgende gegevens worden voor dit doeleinde gebruikt: 1, 2, 3, 4, 5, 6

 

  • Om de website te beveiligen, aan te passen en te verbeteren.

S.v. Forum is te allen tijde bezig met het verbeteren van haar diensten, maar ook met haar veiligheid. In de tegenwoordige tijd waar de onlinewereld enorm is en hackers groots actief zijn is het van belang om onze website ook te beveiligen. De gegevens die hierbij van toepassing zijn, zijn alle gegevens die op onze website geregistreerd worden.

 

De volgende gegevens worden voor dit doeleinde gebruikt: 1, 2, 3, 4, 5, 6

 

  • Om de identiteit van de leden te verifiëren en fraude tegen te gaan.

Het onrechtmatig gebruik van een ander zijn/haar persoonsgegevens is iets wat voor kan komen. Als een persoon zich wilt inschrijven als lid van de vereniging is het daarom van belang dat de identiteit van deze persoon wordt achterhaald.

 

Alle geregistreerde gegevens kunnen hierbij van toepassing zijn

 

  • Om te zorgen dat onze leden zich kunnen legitimeren in het buitenland.

Vanuit S.v. Forum worden met enkele regelmaat evenementen in het buitenland georganiseerd (denk aan een educatiereis of wintersport). Omdat het verplicht is om je te kunnen legitimeren, zeker in het buitenland, kan het voorkomen dat er wordt gevraagd een kopie van een geldig identificatiebewijs aan te leveren van leden die mee gaan met een evenement in het buitenland. Op deze wijze kan S.v. Forum het lid indekken wanneer deze mee reist.

 

Hoe met deze gegevens om wordt gegaan wordt beschreven in 2.1.1.

 

  • Om door de archivering van gegevens van oud-leden de penningen voor de nodige tijd vast te stellen.

De penningen van S.v. Forum moeten verplicht voor een bepaalde tijd bewaard blijven. Door de gegevens van oud-leden te archiveren kan er voor deze verplichte periode de registratie van de penningen zekerder worden gesteld in tegenstelling tot wanneer deze gegevens verwijderd worden.

 

De volgende gegevens worden voor dit doeleinde gebruikt: 1, 5, 10

 

  1. Hoofdfunctionarissen

 

Persoonsgegevens van leden van S.v. Forum kunnen verzameld worden door elk lid van het bestuur van S.v. Forum. Onder het verzamelen behoord onder andere het verstrekken en innemen van inschrijfformulieren. Onder het verwerken van gegevens behoort het registreren van deze gegevens in het gebruikte programma.

 

  • Secretaris

De secretaris van S.v. Forum functioneert als eindverantwoordelijke voor het verzamelen, verwerken van en het werken met persoonsgegevens. De secretaris verwerkt de opgegeven gegevens van een lid tijdens inschrijving en past deze aan op het verzoek van het lid wanneer nodig. De algemene administratie van de leden wordt verzorgd door de secretaris.

 

Als eindverantwoordelijke is het de taak van de secretaris om alle personen die werken/gaan werken met persoonsgegevens op een juiste manier te informeren over hoe te werk te gaan met deze gegevens. In het geval dat een overige functionaris gaat werken met persoonsgegevens zal deze persoon een deel van de verantwoordelijkheid dragen, al zal de secretaris ten aller tijde eindverantwoordelijke zijn.

 

  • Penningmeester

De penningmeester werkt samen met de secretaris samen in het gebruik van de persoonsgegevens. De penningmeester gebruikt de persoonsgegevens voor het factureren van leden.

 

  • Overige functionarissen

Het kan voorkomen dat leden buiten de bovenstaande twee functionarissen gebruik moeten gaan maken van bepaalde persoonsgegevens. In de gevallen waar dit voorkomt worden deze ingelicht over het werken met deze gegevens en is het verplicht voor hen om het protocol persoonsgegevens (7.2.) te ondertekenen naar bewijs dat zij bewust zijn van het feit dat ze met gevoelige informatie werken; door dit te tekenen zijn deze medeverantwoordelijk.

 

Mogelijke gevallen waarin het nodig is voor een ander lid om met persoonsgegevens te werken:

 

  • Ziekte van de bovenstaande functionarissen
  • Afwezigheid/vakantie van bovenstaande functionarissen
  • Een commissie die een reis naar het buitenland organiseert (2.2.13.)
  • Het lid maakt deel uit van de Kascommissie (8.1.)

 

  1. Bewaartermijn

 

Als lid van S.V. Forum gaat diegene een overeenkomst aan voor een lidmaatschap. Wanneer dit lid het lidmaatschap wilt beëindigen is S.v. Forum gemachtigd om deze informatie voor een bepaalde tijd te bewaren, waarna dit verwijderd zal moeten worden.

 

  • Leden

De verzamelde persoonsgegevens van een lid mag en wordt bewaard voor zo lang het lid een lid van de vereniging is.

 

  • Oud-leden

Wanneer een lid zich uitschrijft zal deze in het daaropvolgende verenigingsjaar uitgeschreven zijn. Vanaf het moment dat een (op dat moment oud-) lid is uitgeschreven zullen de naam, e-mailadres en IBAN-gegevens bewaard blijven zoals beschreven in 2.2.14. Alle overige gegevens mogen na uitschrijving voor een maximum van 2 jaar bewaard blijven, waarna deze gegevens worden verwijderd.

 

  • Bestuursleden

Een lid van de vereniging die een bestuursfunctie heeft gedragen is voor bepaalde tijd verantwoordelijk voor het jaar waarin het lid een functie heeft vervuld. In geval van een lid die een bestuurlijke functie heeft vervuld zullen de gegevens voor langere tijd bewaard moeten blijven.

 

  • Voorzitter, penningmeester en secretaris

In het geval dat een lid een functie als voorzitter, penningmeester of secretaris heeft gedragen zullen alle persoonsgegevens voor een minimum van 7 jaar bewaard moeten blijven.

 

  • Overige bestuursfuncties

In het geval dat een lid een van de andere functies heeft gedragen zullen de persoonsgegevens voor een minimum van 5 jaar bewaard moeten blijven.

 

  1. Overdracht persoonsgegevens

 

Bij de overdracht van persoonsgegevens wordt gebruikt gemaakt van ‘2 factor authentication’ (2FA). Met 2FA wordt bedoeld dat er van 2 verschillende manieren gebruik wordt gemaakt om bijvoorbeeld ergens in te loggen, om zo de beveiliging significant te verhogen.

 

Voorbeeld: je logt in op je email met een nieuw apparaat. Je voert je wachtwoord in (de 1ste factor) en omdat je op een onbekend apparaat inlogt krijg je op je mobiele telefoon via een sms, een code toegestuurd welke je op dat moment moet invoeren (de 2de factor). Bij elk onbekend apparaat waar jij probeert in te loggen moet er weer een nieuwe code ingevoerd worden. Op deze manier, mocht een hacker het wachtwoord hebben, is het niet mogelijk voor die persoon om in te loggen. Aangezien de code via een ander netwerk wordt verstuurd kan dit niet achterhaald worden door de hacker en blijven de gegevens in dat account beveiligd.

 

Op deze manier zal de overdracht van gegevens ook in werking worden gesteld en kan er zekerheid gegeven worden over de veiligheid van de overdracht van deze gegevens

 

Toestemming van de leden van de vereniging is niet nodig voor de overdracht van gegevens; wel zal dit ten alle tijden gemeld moeten worden. De overdracht van gegevens gebeurt ten behoeve van het lid en er zal dan ook in opdracht van de doeleinden gehandeld worden.

 

  1. Bestuursoverdracht

 

Omdat er elk jaar een wisseling van het bestuur plaats vindt is het van groot belang dat er zorgvuldig met de informatie om wordt gegaan. De 2 functionarissen, secretaris & penningmeester, zullen om deze reden het protocol persoonsgegevens (7.2.) moeten ondertekenen wanneer deze meegenomen worden door het inwerk traject.

 

Handelingen die worden verricht om de bescherming te optimaliseren zijn onder andere het juist informeren tijdens het inwerken en het veranderen van wachtwoorden op het moment van wisseling.

 

  1. Statement en protocol

 

Naast het beleid persoonsgegevens dat nu voor u ligt zijn er nog 2 andere documenten die gebruikt worden omtrent het begrip privacy, deze zijn de privacy statement en het protocol persoonsgegevens.

 

  • Privacy statement

De privacy statement is een document dat beschikbaar is voor iedereen, leden & niet-leden. De reden dat dit document is opgesteld is om ervoor te zorgen dat iedereen die lid wilt worden van de vereniging van tevoren een duidelijk idee heeft van de doeleinden waarvoor gegevens gebruikt zullen worden.

Door een duidelijk beeld te scheppen voor het aankomende lid waar de gegevens voor worden gebruikt maakt het aankomende lid een bewuste beslissing dat deze er mee akkoord gaat dat hier de gegevens voor gebruikt zullen worden.

 

  • Protocol persoonsgegevens.

Het protocol persoonsgegevens is opgesteld om leden die gaan werken met persoonsgegevens bewust te maken van de lading die werken met persoonsgegevens met zich mee brengt. Deze bewustwording is van belang om ervoor te zorgen dat het lid verantwoordelijk hier mee om zal gaan.

 

Voordat een lid met persoonsgegevens gaat werken wordt deze eerst op een juiste manier geïnformeerd door een van de zittende functionarissen over hoe hier mee gewerkt zal moeten worden. Daarnaast zullen alle leden die gaan werken met persoonsgegevens het protocol persoonsgegevens moeten ondertekenen samen met de eindverantwoordelijke.

 

  1. Datalek: hoe gaan wij hier mee om?

 

“Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

 

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.”

 

Deze informatie is verkregen vanuit autoriteitpersoonsgegevens.nl.

 

Wanneer er aan het licht komt dat er een beveiligingsincident heeft plaatsgevonden zal de secretaris controleren waar dit incident vandaan komt en hoe dit heeft kunnen ontstaan. De oorzaak en de mogelijke schade wordt bekeken en er wordt bevat hoe erg deze schade is. Wanneer de conclusie wordt getrokken dat er ook daadwerkelijk een datalek heeft plaatsgevonden zal er in ieder geval pro-forma (voor de vorm) een melding worden gedaan bij de autoriteit persoonsgegevens. Hierna zal een onafhankelijke partij (in dit geval de kascommissie) optreden om de situatie te bekijken en hier een oordeel over te vestigen

 

  • De Kascommissie

Wanneer er profielen voor de website zijn moet dit stukje hier worden ingevoerd. Check na of het stukje klopt voordat je het veranderd!!!

 

Het aanmaken van een persoonlijk profiel op de verenigingswebsite

Om de website van S.v. Forum te personaliseren worden er voor elk lid een profiel aangemaakt waarmee deze zich kan inschrijven voor evenementen en op de hoogte gehouden kan blijven van evenementen en andere verenigingszaken.