Regeling Beheer persoonsgegevens KNNV afdeling Arnhem

De KNNV afdeling Arnhem beheert een ledenlijst met persoonsgegevens van haar leden.

Op 25 mei 2018 is de "Algemene verordening gegevensbescherming" (AVG) in werking getreden. Dit is een verordening, die in 2016 is vastgesteld door de Europese Unie. Bij het in werking treden van de AVG vervalt de "Wet bescherming persoonsgegevens" (WBP) en moet worden voldaan aan de regelgeving volgens de AVG. Toezicht op naleving wordt gedaan door de autoriteit persoonsgegevens (AP).

De landelijke KNNV vereniging heeft in het document "KNNV beheer persoonsgegevens" vastgelegd hoe zij persoonsgegevens beheert.

Omdat een afdeling een zelfstandige rechtspersoon is, moet de afdeling zelf ook voldoen aan de eisen, die door de AVG worden gesteld. Op grond daarvan moet het beheer van persoonsgegevens door de afdeling worden vastgelegd.

Onderstaande regeling voorziet daarin.

Begripsbepalingen

Art. 1

In deze regeling wordt verstaan onder:

  1. a.    Leden: alle leden, huisgenootleden, ereleden en jeugdleden, die als zodanig in de ledenadministratie van de afdeling Arnhem zijn opgenomen.
  2. b.    Lokale adressen: natuurlijke personen en rechtspersonen, die als zodanig in de ledenadministratie van de afdeling Arnhem zijn opgenomen.
  3. c.     Derden: alle andere natuurlijke personen, rechtspersonen, overheidsinstanties, diensten of andere organen, die niet aan de definities genoemd onder a of b voldoen.
  4. d.    Persoonsgegevens: de gegevens bedoeld onder punt 1c van het landelijk document Beheer persoonsgegevens
  5. e.    Datalek: ongeoorloofde of onbedoelde toegang tot persoonsgegevens en/of vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens, als bedoeld in artikel 4, punt 12, AVG.

 Ledenadministratie

Art. 2

            De ledenadministratie (database) bevat de gegevens van de leden zoals genoemd onder punt 1c van het landelijk document Beheer persoonsgegevens (versie 24 maart   2018).

 Art. 3

  1. Uitsluitend de ledenadministrateur heeft middels een toegangscode volledige toegang tot de gegevens van de leden van de afdeling Arnhem van de KNNV.
  2. Indien de ledenadministrateur (tijdelijk) niet in staat is zijn/haar taken uit te voeren wijst het bestuur een plaatsvervanger aan. De zittende ledenadministrateur vraagt voor de plaatsvervanger een nieuwe toegangscode aan bij de landelijk ledenadministrateur. Hetzelfde geldt mutatis mutandis voor een opvolger van de ledenadministrateur.
  3. Indien de ledenadministrateur zijn/haar taken weer hervat vraagt de dan zittende ledenadministrateur (=plaatsvervanger) voor hem/haar opnieuw een nieuwe toegangscode aan bij de landelijk ledenadministrateur.

            Toelichting: voorkomen moet worden dat meer dan één persoon toegang heeft tot de database van de ledenadministratie. Door bij een wisseling van de wacht steeds een    nieuwe toegangscode aan te vragen wordt dit voorkomen.

Art. 4

  1. Een persoon die zich aanmeldt als lid van de afdeling geeft door het akkoord gaan met de lidmaatschapsvoorwaarden toestemming om de gegevens te verwerken en op te slaan. Dit akkoord gaan moet kunnen worden aangetoond.
    De aanmeldingsformulieren met akkoordverklaring worden daartoe bewaard door de landelijk ledenadministrateur (voor zover aanmelding geschied via de website). Indien aanmelding plaats vindt op een andere wijze dient de ledenadministrateur van de afdeling deze gegevens te bewaren.
    Toelichting: het zal duidelijk zijn dat het de voorkeur verdient dat de aanmelding gebeurt via het betreffende formulier op de website; daar is de akkoordverklaring immers in opgenomen, (zie ook punt 3 van het landelijk document).
  2. Leden hebben recht op inzage in, wijziging van en verwijdering van (alle) over hen opgeslagen gegevens.
  3. Bij het publiceren van ledenmutaties in de “Postduif” wordt uitsluitend de naam en de woonplaats van het betreffende lid vermeld.

Art. 5

            De ledenadministrateur is voor zover deze geen lid is van het bestuur van de afdeling m.b.t. de juiste toepassing van deze regeling verantwoording schuldig aan het bestuur van de afdeling.

Gebruik van gegevens

Art. 6

  1. Persoonsgegevens mogen alleen gebruikt en opgeslagen worden voor het doel waarvoor de betreffende persoon ze heeft verstrekt.
  2. Als er aanleiding is persoonsgegevens ook te gaan gebruiken voor een ander doel, dan moet de betreffende persoon daarvoor expliciet om toestemming worden gevraagd. Aangetoond moet kunnen worden, dat de toestemming is verkregen.

Verstrekken van gegevens

Art. 7

  1. Er worden geen persoonsgegevens verstrekt aan derden of aan lokale adressen. Wel kan op verzoek van een derde partij aan het betreffende lid een boodschap worden doorgegeven.
  2. Het 1e lid is niet van toepassing als er een wettelijke verplichting bestaat tot het leveren van persoonsgegevens.
  3. Er worden geen ledenlijsten of delen van ledenlijsten verstrekt aan leden van de afdeling.
  4. In afwijking van het 3e lid kan de ledenadministrateur ledenlijsten of delen van ledenlijsten verstrekken aan bv. bestuursleden en werkgroepcoördinatoren voor de uitoefening van hun taken en als dat voor het functioneren van de afdeling noodzakelijk is (aanwezigheid van een gerechtvaardigd belang).
  5. Uitsluitend die persoonsgegevens worden verstrekt die voor het bereiken van het doel noodzakelijk zijn.
  6. Indien ledenlijsten of delen van ledenlijsten digitaal worden verzonden, worden deze bestanden beveiligd met een wachtwoord.
  7. Het betreffende wachtwoord wordt de ontvanger separaat meegedeeld (bij voorkeur mondeling, telefonisch, per sms of per app-bericht).
  8. De in dit artikel genoemde persoonsgegevens mogen alleen gebruikt worden voor het doel waarvoor ze verstrekt zijn. De verstrekker dient de ontvanger hierop te wijzen.

            Toelichting: dit laatste kan door een vaste formulering hiervoor op te nemen in de begeleidende mail bv.: “U mag de verstrekte persoonsgegevens uitsluitend gebruiken   voor het doel waarvoor ze verstrekt zijn”.

Digitale archivering

Art. 8

            Digitale documenten, die persoonsgegevens van de leden van de afdeling bevatten worden versleuteld opgeslagen op een usb-stick of een ander extern opslagmedium.

Website en Postduif

Art. 9

  1. Er worden geen persoonsgegevens van leden van de afdeling op de website van de afdeling geplaatst, tenzij het betrokken lid of de betrokken leden daar vooraf toestemming voor heeft/hebben gegeven.
  2. 2.    Deze toestemming wordt ook geacht gegeven te zijn als een lid informatie (incl. persoonsgegevens, zoals e-mailadres en/of telefoonnummer) naar de webmaster stuurt met het verzoek deze informatie op de website te plaatsen.
  3. 3.    Het 1e en 2e lid zijn op overeenkomstige wijze van toepassing op de digitale nieuwsbrief de Postduif.

Datalek

Art. 10

  1. Indien er een datalek is opgetreden in de (leden)administratie van de afdeling, dat leidt tot een risico voor de rechten en vrijheden van betrokkenen meldt het bestuur van de afdeling dit bij de Autoriteit persoonsgegevens. Er is in dit geval sprake van een meldingsplicht.
    Toelichting: De Autoriteit persoonsgegevens geeft als voorbeelden van datalekken:
    - het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
    - een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
    - een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
  2. Het bestuur van de afdeling informeert tevens betrokkenen als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert.

            Toelichting: er is sprake van een hoog risico als het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie,      (identiteits-)fraude, financiële schade en reputatieschade.

Slotbepaling.

Art. 11

      In alle gevallen waarin deze regeling niet voorziet beslist het afdelingsbestuur met inachtneming van het bepaalde in de Algemene verordening gegevensbescherming en het landelijk document Beheer persoonsgegevens.

Bij het opstellen van deze regeling is gebruikt gemaakt van de volgende bronnen:

  • Document KNNV landelijk Beheer persoonsgegevens
  • Document KNNV AVG voor afdelingen
  • Wettekst Algemene verordening gegevensbescherming
  • Toelichtingen op de website van de Autoriteit persoonsgegevens

Aldus vastgesteld door het bestuur op 6-2-2019.

Deel deze pagina