Algemene verordening gegevensbescherming (AVG)
Vanaf 25 mei 2018 is de Algemene verordening Gegevensbescherming (AVG) van toepassing. Deze vervangt de Wet bescherming persoonsgegevens (Wbp). Wat is anders? De AVG versterkt de positie van de mensen van wie gegevens worden verwerkt. Zij hebben nieuwe privacy rechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt – meer dan onder de Wbp – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.1: Bewustwording Het bestuur van Vereniging Zwembad De Zeven Morgen zorgt er voortduring voor dat haar gegevensverwerker(s) en de leden/bezoekers op de hoogte kunnen zijn van de onder de AVG vallende privacyregels. Dit protocol wordt ter kennis gebracht van de leden/bezoekers door middel van plaatsing op de website. Bij wijziging van de notitie of de regels zal de meest recente versie op de website worden gepubliceerd.
Het bestuur onderzoekt permanent wat de impact van de AVG is op huidige en nieuwe processen en diensten die binnen Vereniging Zwembad de Zeven Morgen aan de orde zijn en welke aanpassingen nodig zijn om aan de AVG te voldoen. 2: Rechten van betrokkenen Onder de AVG hebben de personen van wie persoonsgegevens worden verwerkt privacy rechten. Alleen van abonnementhouders zijn persoonsgegevens bekend. Deze personen (abonnementhouders) kunnen te allen tijde hun privacy rechten uitoefenen. Onder meer hebben zij het recht op inzage en het recht op correctie en verwijdering van het emailadres. Aanvraag voor uitschrijving van het emailadres sturen naar: zwembaddezevenmorgen@live.nl Voorts hebben zij recht op dataportabiliteit, hetgeen betekent dat zij hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ook kunnen leden bij de Autoriteit Persoonsgegevens (AP) klachten indienen over de manier waarop de vereniging met hun gegevens omgaat.3: Overzicht verwerkingen De gegevens van de personen zoals beschreven onder lid 2 worden als volgt verwerkt:
In de interne ‘ledenadministratie/boekhouding’ worden persoonsgegevens verwerkt. Deze gegevens zijn door de koper van een abonnement zelf opgegeven bij aanmelding. De gegevens zijn alleen toegankelijk voor de penningmeester/ledenadministrateur en/of diens plaatsvervanger na het invoeren van een gebruikersnaam en wachtwoordDe gegevens die worden vastgelegd (kunnen) zijn:
-
Roepnaam
-
Tussenvoegsel
-
Achternaam
-
Geboortedatum
-
Adres, Postcode, Woonplaats
-
Telefoonnummers (vast en/of mobiel)
-
E-mailadres
-
Pasfoto van betrokkene
-
Iban banknummer
De gegevens worden gebruikt om een deugdelijke ledenadministratie te kunnen voeren, en om:
-
De benodigde gegevens op de abonnementen te kunnen printen.
-
Per email contact te kunnen leggen als er gegevens ontbreken bij de aanvraag van een abonnement.
-
De abonnementhouders per email op de hoogte te brengen van o.a. a. gewijzigde opening/sluitingstijden b. start van de voorverkoop van de abonnementen c. speciale activiteiten, zoals discozwemmen, schoolzwemwedstrijden, Rabo Clubkas Campagne
-
Om een incasso te kunnen uitvoeren bij aankoop van een abonnement in de voorverkoop
De gegevens van oud-abonnementhouders worden gedurende 1 jaar na afloop van een abonnement bewaard.
4: Data protection impact assessment Het bestuur van Vereniging Zwembad De Zeven Morgen heeft vastgesteld dat de wijze waarop de gegevensverwerking wordt uitgevoerd geen hoog privacy risico met zich meebrengt. Derhalve is besloten geen data protection impact assessment (DPIA) uit te voeren.
5: Privacy by design & privacy by default Privacy by design houdt in dat er al bij het ontwerpen van procedures en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Het bestuur spreekt uit dat zij dit principe steeds voor ogen zal houden zodra nieuwe procedures of processen binnen Vereniging Zwembad De Zeven Morgen in beeld zouden komen.
Privacy by default houdt in dat technische en organisatorische maatregelen genomen moeten worden om ervoor te zorgen dat alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat beoogd wordt. Ook in dit opzicht zal het bestuur bij voortduring zich afvragen of vastlegging van persoonsgegevens noodzakelijk is en, indien geconstateerd wordt dat dit onvermijdelijk is, zorgvuldigheid betrachten bij de wijze van vastlegging en beheer van deze gegevens.
6: Functionaris voor de gegevensbescherming Het bestuur heeft besloten op vrijwillige basis een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze taak wordt neergelegd bij de secretaris van Vereniging Zwembad De Zeven Morgen en de voorzitter/ster als vaste plaatsvervanger. 7: Meldplicht datalekken Op grond van de meldplicht datalekken is het bestuur gehouden de noodzakelijke registratie te voeren van datalekken die zich bij Vereniging Zwembad De Zeven Morgen hebben voorgedaan. Alle datalekken dienen uitvoerig te worden gedocumenteerd. Desgevraagd zal de registratie beschikbaar worden gesteld aan de AP.
8: Bewerkersovereenkomsten De gegevensverwerking van de ledenadministratie is niet uitbesteed aan een bewerker. 9: Leidende toezichthouder Vereniging Zwembad De Zeven Morgen heeft geen vestigingen in meerdere EU-lidstaten. Dit betekent dat het bestuur (i.c. penningmeester /ledenadministrateurs) de leidende toezichthouder is. 10: Toestemming Op de website van Vereniging Zwembad De Zeven Morgen komt een expliciete bepaling dat de bezoeker bekend is met en instemt met de wijze waarop de verwerking van persoonsgegevens binnen Vereniging Zwembad De Zeven Morgen plaatsvindt. Die bekendheid wordt aanwezig geacht door middel van de publicatie op de website.