-
Inleiding
1.1. Algemeen
Vanaf 28 mei 2018 is de Nederlandse Wbp (Wet bescherming persoonsgegevens) vervangen door de Europese AVG (Algemene Verordening Gegevensbescherming).
Met dit protocol laten wij zien dat de wet onze aandacht heeft, en dat wij de volgende zaken hebben geregeld:
- Aanleggen van een dossier – zie hoofdstuk 2;
- Stimuleren van het bewustzijn over privacyaspecten bij bestuursleden en vrijwilligers – zie hoofdstuk 3;
- Aanpassingen op de website – zie hoofdstuk 3.
1.2. Over privacy
Privacy is ‘het recht om alleen gelaten te worden, de eerbiediging van privéleven, familie en gezinsleven, woning en correspondentie’. Dit of iets dergelijks staat in de Europese rechten van de mens. In de AVG is de definitie overgeslagen, het gaat daar uitsluitend over gegevensbescherming waarmee de privacy wordt geborgd.
1.3. Over gegevensbescherming
Het gaat bij gegevensbescherming om bescherming van ‘persoonsgegevens’: gegevens die te herleiden zijn tot een persoon. Voor postcode en woonplaats is dat met een beetje moeite mogelijk, die vallen eronder. Persoonsgegevens zijn dus nogal breed gedefinieerd.
1.4. Wat is groot, wat is klein?
De eisen in de AVG zijn uiteraard proportioneel en hangen samen met de grootte van de organisatie. De wet geeft er niet echt duidelijk uitsluitsel over. Energy4All, met circa 1300 adressen, waarvan een paar honderd donateurs, deelnemers aan projecten, ambassadeurs, vrijwilligers en deelnemers aan activiteiten voor kinderen is veilig in te delen in de categorie ‘klein’.
1.5. Persoonsgegevens en bijzondere persoonsgegevens
Er wordt een onderscheid gemaakt in ‘persoonsgegevens’ en ‘bijzondere persoonsgegevens’. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens van ras, religie, seksuele geaardheid, strafrechtelijk verleden, politieke voorkeur en burgerservicenummer.
Energy4All slaat geen bijzondere persoonsgegevens op, omdat hiervoor geen aanwijsbare noodzaak bestaat.
1.6. Rechten betrokkene
Betrokkene is koning over de eigen data, met andere woorden: degene die zijn persoonsgegevens heeft afgestaan aan Energy4All blijft rechthebbende.
Dit zijn de rechten:
- Recht op inzage in eigen persoonsgegevens
- Recht op verwijdering (stopzetting dient gemakkelijk en klantvriendelijk te realiseren te zijn.
- Recht op correctie
- Recht op gegevensoverdracht (dataportabiliteit: het recht om de persoonsgegevens over te dragen aan betrokkene zelf of aan een andere organisatie)
In de praktijk heeft Energy4All eigenlijk alleen met de punten 2. en 3. te maken.
1.7. Meer weten over de wet?
Mocht u meer willen weten over de wet kunt u dat nalezen op: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving
-
Dossier
2.1. Inleiding
Het dossier bestaat uit meerdere documenten:
- Register verwerkingen;
- Privacy Verklaring;
- Bestuursbesluiten rondom de AVG;
- Beleid rondom continuïteit
- Aanstelling Functionaris Gegevensbescherming
2.2. Register Verwerkingen
In dit dossier (paragraaf) is vastgelegd hoe Energy4All omgaat met de aan haar toevertrouwde persoonsgegevens. Ook is de privacyverklaring van de stichting in dit dossier opgenomen, en staat beschreven hoe de privacyverklaring onder de aandacht wordt gebracht van allen die met de stichting van doen hebben.
Energy4All legt de gegevens vast in spreadsheets in Excel. Deze worden opgeslagen in Office 365 in the Cloud.
De spreadsheets bevatten persoonsgegevens van:
- Gezinnen met kinderen met een energiestofwisselingsziekte
- Donateurs
- Ambassadeurs
- Vrijwilligers
- Personen die meewerken aan de totstandkoming van het E4A Magazine
- Contactpersonen van evenementen die door derden georganiseerd worden
- Personen die het Magazine toegestuurd willen krijgen
- Bedrijven die sponsoren, zowel in geld als in natura, en die diensten voor ons verrichten
- Deelnemers aan evenementen die door E4A georganiseerd worden
2.2.1.Gezinnen met kinderen met een energiestofwisselingsziekte
Deze gegevens worden gevraagd om ouders te kunnen benaderen voor activiteiten voor de gezinnen, om kinderen een felicitatiekaart te sturen met hun verjaardag en om hen attent te maken op interessante activiteiten van derden (goede doelen stichtingen, zoals Villa Pardoes). Ook worden de gegevens bijgehouden om de gezinnen te informeren over acties van Energy4All, bijvoorbeeld door het versturen van het E4A Magazine en nieuwsbrieven.
Het gaat om de volgende gegevens:
- Naam, Adres, Postcode en Woonplaats ouders;
- Namen van kinderen met een energiestofwisselingsziekte;
- Reden: voor diverse activiteiten is het nodig de leeftijd te weten om te bekijken of ze binnen de doelgroep vallen, en er wordt een felicitatiekaart gestuurd op de verjaardag;
- Reden: om contact op te nemen als er vragen zijn of als we iets willen melden over een activiteit;
- Reden: informeren over activiteiten en bijzonderheden. Nieuws en informatie wordt via de mail verstuurd om de kosten zo laag mogelijk te houden;
- Als kinderen overleden zijn, zodat we niet ten onrechte uitnodigingen of felicitatiekaarten versturen.
Proces:
- Nieuwe gezinnen melden zich aan via: de website, mitodag, andere gezinnen/ambassadeurs etc., infomail, telefoon of persoonlijk contact bijvoorbeeld bij evenementen.
- Degene die een nieuwe aanmelding krijgt, geeft dit via de infomail door aan de medewerker Bedrijfsbureau. Hij/zij verwerkt de gegevens in de spreadsheet en geeft dit door aan de directeur, die de gegevens toevoegt aan de Mailgroep gezinnen in Mailsysteem.
- Afmeldingen worden doorgegeven aan de medewerker Bedrijfsbureau en de directeur.
- De afmeldingen worden direct verwijderd uit de spreadsheet en Mailsysteem.
- Uitnodigingen voor activiteiten worden via de mail verstuurd.
- Nieuwsbrieven van Energy4All worden eveneens via de mail verstuurd.
- Het Magazine van Energy4All wordt via de post verstuurd.
- De medewerker Bedrijfsbureau is beheerder van de persoonsgegevens van de gezinnen. De directeur is de beheerder van de mailadressen in Mailsysteem.
2.2.2. Donateurs
Deze gegevens worden bijgehouden om de betalingen te kunnen verwerken, de donateurs te kunnen bedanken en hen het E4A Magazine toe te kunnen sturen.
Het gaat om de volgende gegevens:
- Naam, adres, postcode en woonplaats;
- Machtigingskenmerk;
- Bankrekeningnummer;
- Toegezegd bedrag en betaalperiode bv per maand, kwartaal of jaar;
- Betaalwijze, bv incasso of maakt zelf over;
- Datum getekende machtiging;
- Datum eerste inning;
- Afmeldingsdatum;
- Mailadres, reden: bedanken voor donatie en bij vragen als de inning niet goed verloopt;
- Telefoonnummer, idem.
Proces:
- Nieuwe donateurs melden zich aan via: de website, mitodag, infomail, telefoon of persoonlijk contact bijvoorbeeld bij evenementen.
- Degene die een nieuwe aanmelding krijgt geeft dit via de mail door aan de directeur.
- Hij verwerkt de gegevens maandelijks in de spreadsheet en bij automatische incasso past hij het incassobestand aan.
- Donateurs die een incassomachtiging hebben afgegeven worden per opgegeven betaalperiode automatisch geïncasseerd. Daartoe worden hun naam, voorletters en banknummer ingebracht in het systeem van de bank. Vóór de incasso vindt er een check plaats of er afmeldingen zijn geweest.
- Indien de donateur zich heeft afgemeld, wordt dit per direct verwerkt in het incassosysteem van de bank.
- Afmeldingen worden wekelijks doorgegeven aan de directeur. Deze worden direct verwerkt in de spreadsheet en indien van toepassing in het incasso bestand.
- Afmeldingen worden nog 2 jaar in het systeem bewaard. Daarna wordt de betrokkene uit het systeem verwijderd. Deze bewaartermijn is nodig voor de administratieve verantwoording. De bewaartermijn is een legitieme reden om de gegevens niet meteen te verwijderen. Het recht op verwijdering van de betrokkene is dus eerder een recht op stopzetting.
- De directeur is de beheerder van de persoonsgegevens van de donateurs.
- Indien donateurs zich aanmelden via de website, dan zijn de velden die noodzakelijk zijn aangemerkt als verplicht veld. Verplichte velden zijn gemerkt met een (*). De privacyverklaring is
- (via een link) op de aanmeldpagina gepubliceerd. Hierin staat vermeld waarom de gegevens gevraagd worden. De keuze ligt dan bij de donateur om wel of niet de gevraagde rubrieken in te vullen. Bij invulling geeft de betrokkene impliciet toestemming.
- Voor doneren voor acties/evenementen wordt gebruik gemaakt van een donatieplatform.
- Hier bestaat de mogelijkheid anoniem te doneren, zodat de naam niet getoond wordt aan bezoekers van de website. De donateurs wordt de mogelijkheid geboden een e-mailadres te vermelden, waarmee zij zich in kunnen schrijven voor de nieuwsbrief.
- De spreadsheet adressen donateurs wordt beheerd in de map adressen in Microsoft 365 in the Cloud. De mailadressen worden opgeslagen in Mailsysteem.
2.2.3. Ambassadeurs, vrijwilligers, contactpersonen evenementen en overige belangstellenden
Deze gegevens worden bijgehouden omdat mensen zich aangemeld hebben iets voor Energy4All te willen betekenen of omdat zij informatie willen ontvangen, zoals het Energy4All Magazine.
De gegevens worden o.a. bijgehouden om afstemming te kunnen hebben over acties, mensen informatie toe te kunnen sturen over ontwikkelingen en verzoeken te kunnen doen voor hulp.
Het gaat om de volgende gegevens:
- Naam, adres, postcode en woonplaats;
- Mailadres;
Proces:
- Nieuwe ambassadeurs, vrijwilligers, contactpersonen en belangstellenden melden zich aan via: de website, infomail, telefoon of persoonlijk contact bijvoorbeeld bij evenementen.
- Degene die een nieuwe aanmelding krijgt, geeft dit via de infomail door aan de medewerker Bedrijfsbureau. Hij/zij verwerkt de gegevens in de spreadsheet en geeft dit door aan de directeur, die de gegevens toevoegt aan de Mailgroep gezinnen in Mailsysteem.
- Afmeldingen worden doorgegeven aan de medewerker Bedrijfsbureau en de directeur.
- De afmeldingen worden direct verwijderd uit de spreadsheet en Mailsysteem.
- Uitnodigingen voor activiteiten worden via de mail verstuurd.
- Nieuwsbrieven van Energy4All worden eveneens via de mail verstuurd.
- Het Magazine van Energy4All wordt via de post verstuurd.
- Regelmatig worden betrokkenen telefonisch benaderd, bijvoorbeeld om af te stemmen over evenementen, met het verzoek te ondersteunen bij evenementen of om Energy4All te vertegenwoordigen.
- De medewerker Bedrijfsbureau is beheerder van de persoonsgegevens van de gezinnen. De directeur is de beheerder van de mailadressen in Mailsysteem.
2.2.4. Bedrijven/sponsoren
Deze gegevens worden bijgehouden voor de communicatie met de bedrijven en om hen informatie toe te sturen over Energy4All.
Het gaat om de volgende gegevens:
- Naam bedrijf, adres, postcode en woonplaats;
- Naam contactpersoon;
- Mailadres;
Deze adressen worden opgenomen in ons reguliere bestand, het gaat hier niet om gevoelige gegevens. Deze gegevens zijn ook te vinden op internet op de bedrijfswebsite. De directeur is beheerder van deze gegevens.
2.2.5. Deelnemers aan evenementen die door E4A georganiseerd worden
Deze gegevens worden bijgehouden voor een goede organisatie van het evenement. De punten a. tot en met c. zijn standaard. Afhankelijk van de aard van het evenement kunnen de punten d. tot en met i. gevraagd worden. Redenen voor het bijhouden van de persoonsgegevens zijn bijvoorbeeld: verzending facturen, levering van kleding, veiligheid en communicatie tijdens het evenement. De gegevens worden niet verstrekt aan derden, met uitzondering van gegevens om medische redenen. Allergieën worden doorgegeven aan het restaurant en medische gegevens aan artsen bij medische noodsituaties.
Het gaat om de volgende gegevens:
- Naam, adres, postcode en woonplaats;
- Mailadres;
- Telefoonnummer;
- Contactpersoon en telefoonnummer voor noodsituaties;
- Geboortedatum;
- Bloedgroep;
- Medicijngebruik en allergieën;
- Kledingmaat;
- Bezit van rijbewijs;
Proces:
- Nieuwe deelnemers, vrijwilligers en medewerkers melden zich aan via: de website, infomail, telefoon of persoonlijk contact.
- Degene die een nieuwe aanmelding krijgt geeft dit via de mail door aan de betreffende projectleider/-medewerker van het evenement.
- Hij/zij verwerkt de gegevens in de spreadsheet van de projectadministratie. Na afloop van het evenement komen de algemene persoonsgegevens (napw, mail en telefoon) in het algemene adressenbestand. Deze gegevens van de deelnemers worden in het systeem bewaard, tot men een verzoek doet tot uitschrijving.
- Afmeldingen worden doorgegeven aan de projectleider.
- De afmeldingen worden direct verwerkt in de spreadsheet.
- Uitnodigingen voor activiteiten worden via de mail verstuurd
- Nieuwsbrieven van Energy4All worden eveneens via de mail verstuurd
- Het Magazine van Energy4All wordt via de post verstuurd.
- De projectleider is beheerder van deze persoonsgegevens.
- Bij elke aanmelding voor het project vindt overdracht van de algemene persoonsgegevens plaats aan de medewerker Bedrijfsbureau en de directeur (mailadres in Mailsysteem).
2.3 Overige namen en adressen
Incidenteel krijgen wij persoonsgegevens van personen, bijvoorbeeld op een gekregen visitekaartje op een beurs. Deze leggen wij vast met een vermelding waarvoor men zich heeft aangemeld, bijvoorbeeld belangstelling voor een bepaald evenement zoals de HeArtparade.
Wij benaderen deze personen voor deze specifieke evenementen en wij zenden hen ons magazine ter info toe. Hierin staat informatie over de betreffende evenementen. Na afloop bewaren we de gegevens nog 5 jaar. Dit doen wij voor eventueel soortgelijke toekomstige evenementen, zodat betrokkenen uitgenodigd kunnen worden.
2.4. Etiketten en postverzending
Het afdrukken van etiketten voor postverzending van grote partijen kunnen wij uitbesteden. Dit doen wij bij dienstverleners PostNL en Sandd, waarvan wij aan mogen nemen dat deze zorgvuldig met onze bestanden omgaan en dat de bestanden uitsluitend worden gebruikt voor het doel waarvoor wij ze aanleveren.
Geleverd worden de volgende gegevens: voorletters, voorvoegsels, naam, adres, postcode en woonplaats.
Voor de zekerheid vermelden wij deze tekst bij het plaatsen van de order:
Hierbij ontvangt u ons adressenbestand voor het vervaardigen van etiketten.
Graag zou ik van u in het kader van de AVG (Algemene Verordening Gegevensbescherming) tegelijkertijd bij het bevestigen van de order per mail bevestigd willen hebben dat:
- het door ons aangeleverd bestand uitsluitend gebruikt wordt voor het drukken van etiketten;
- u ons bestand uiterlijk een week na levering van de etiketten aan onze stichting hebt verwijderd.
2.5. Privacyverklaring
In de privacyverklaring leggen wij voor de buitenwacht vast hoe wij met de aan ons toevertrouwde gegevens omgaan.
Energy4All legt gegevens vast zoals naam, adres, woonplaats, mailadres en overige gegevens die noodzakelijk zijn voor de uitvoering van de drie doelstellingen van de stichting, namelijk:
- inzamelen van geld om het onderzoek naar een medicijn te steunen,
- het organiseren van evenementen voor gezinnen met kinderen met een energiestofwisselingsziekte, en
- meer bekendheid geven aan de ziekte.
Wij verstrekken uw gegevens uitsluitend aan partijen die diensten voor onze stichting uitvoeren, zoals drukkers voor het afdrukken van etiketten bij grootschalige partijen, en banken voor de verwerking van incassomachtigingen. Hierbij verstrekken wij alleen die gegevens die voor de betreffende verwerking noodzakelijk zijn. Alle aan ons toevertrouwde informatie wordt door ons en door onze leveranciers vertrouwelijk behandeld.
Uw emailadres wordt uitsluitend gebruikt om informatie te sturen die onze stichting betreffen zoals nieuwsbrieven en ontwikkelingen rond evenementen/acties.
Adresgegevens worden gebruikt voor de toezending van het Magazine en relevante zaken die betrekking hebben op evenementen/acties.
Indien geboortedata zijn ingevuld voor kinderen worden deze gebruikt voor uitnodigingen voor uitstapjes voor de leeftijdsgroep en voor toezending van felicitatiekaarten bij verjaardagen
Uw gegevens worden alleen gebruikt voor de doeleinden waarvoor ze zijn verkregen.
U kunt zich te allen tijde afmelden als donateur, ambassadeur,vrijwilliger, sponsor of belangstellende. Stuur daarvoor een mail aan Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..
Ook adreswijzigingen en andere wijzigingen kunt u doorgeven via dit mailadres.
Energy4All zorgt voor een goede en passende beveiliging (zowel organisatorisch, technisch als fysiek) van de aan haar toevertrouwde persoonsgegevens.
2.6. Bestuursbesluiten rondom de AVG
Het bestuur heeft besloten dat het aangaan van een verwerkersovereenkomst bij de aantallen die wij laten drukken een te zwaar middel is. Het ligt in de lijn der verwachting dat verwerkers niet zitten te wachten op kleine klanten zoals wij als ze ook nog de uitgebreide administratieve last hebben van het aangaan van een formele overeenkomst.
Het bestuur is ervan overtuigd dat PostNL en Sandd gerenommeerde partijen zijn die zorgvuldig omgaan met de aan hen geleverde bestanden.
2.7. Beleid rondom continuïteit
Back-ups en encryptie
Eén van de grootste risico’s op datalekken is diefstal van computer of laptop. Behalve dat de gegevens van uw vereniging / stichting op straat kunnen komen te liggen is het natuurlijk en vooral lastig voor uzelf: u kunt tijdelijk niet voor de organisatie aan de slag en mogelijkerwijs zijn er zelfs gegevens verloren gegaan.
Energy4All legt de gegevens vast in spreadsheets in Excel. Deze worden opgeslagen in Office 365 in the Cloud.
De toegankelijkheid is geregeld door toewijzing door de directeur. Toegang kan gegeven worden aan: medewerkers bedrijfsbureau, stafmedewerker bedrijfsvoering, projectleiders en medewerkers communicatie. De bestanden zijn uitsluitend te benaderen via een persoonlijk wachtwoord.
De stafmedewerker bedrijfsvoering maakt iedere maand een back-up van de adressenbestanden. De back-up staat op een losse schijf.
Meldplicht datalekken
Komen op één of andere manier alle persoonsgegevens op straat te liggen, dan wordt dit gemeld bij de Autoriteit Persoonsgegevens.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken
2.8. Toezichthouder
Voor kleine organisaties als Energy4All is een onafhankelijke functionaris niet verplicht, vooral omdat er geen bijzondere persoonsgegevens zijn opgeslagen of grootschalig gegevens verwerkt worden.
De privacytaak is belegd bij de stafmedewerker bedrijfsvoering die veel met de gegevens werkt, en die verantwoordelijk is voor de projecten op het gebied van het privacyprotocol en adressenbeheer.
-
Bewustwording & Aanpassingen website
Bewustwording
Het bestuur en alle medewerkers en vrijwilligers die werken met adressen zijn op de hoogte van dit protocol en daarmee alle aspecten over privacy. Het onderwerp wordt regelmatig besproken in het werkoverleg, het komt tenminste 2 x per jaar aan de orde.
Het privacyprotocol is voorgelegd ter vaststelling aan de Raad van Toezicht.
Privacy Verklaring
De privacyverklaring uit paragraaf 2.5 staat op een goed zichtbare plek op de website van Energy4All.
Bij de aanmeldformulieren op de website wordt de invuller gewezen op de privacyverklaring en via het zetten van een vinkje gaat men akkoord met het gebruik van de aangeleverde gegevens voor de afhandeling van de aanmelding en toesturen nieuwsbrief. Er is een link opgenomen naar de privacyverklaring.
De website is voorzien van een SSL-certificaat. Gegevens worden dan versleuteld verzonden. De veilige website is te herkennen aan het slotje en https:// in het website-adres in plaats van http://
Indien mensen de formulieren invullen op de website, dan zijn de velden die noodzakelijk zijn, aangemerkt als verplicht veld. Verplichte velden zijn gemerkt met een (*). In de privacyverklaring die gepubliceerd is op de aanmeldpagina (via een link), staat waarom de gegevens worden gevraagd die niet strikt noodzakelijk zijn voor de administratie. De keuze ligt dan bij de donateur om wel of niet de gevraagde rubrieken in te vullen. Bij invulling geeft de betrokkene impliciet toestemming.
De aanmeldprocedure voor donateurs is vermeld in paragraaf 2.2.2.. De aanmeldformulieren van de website worden doorgestuurd aan de directeur ter verwerking. De aanmeldformulieren worden versleuteld verstuurd.
Er wordt niet systematisch informatie verzameld van bezoekers, behalve voor verwerking zoals vermeld in dit protocol. Er is daarom ook geen cookie notice geplaatst op de website.
Er is geen sprake van een webshop op de site.
-
Gebruik beeldmateriaal
Voor het publiceren van herkenbare foto’s met naam en toenaam vragen wij toestemming.
In het algemeen plaatsen wij foto's zonder vermelding van naam en toenaam. Wij 'taggen' niet op de foto's die wij plaatsen op social media.
Foto’s/films die in een openbare ruimte/openbare gelegenheid zijn gemaakt publiceren wij, tenzij iemand expliciet heeft aangegeven niet herkenbaar op de foto te willen.
Bij foto's die gemaakt worden in overige ruimtes wordt vooraf gevraagd of men akkoord gaat met het publiceren van het beeldmateriaal. Zo niet, dan wordt daar rekening mee gehouden.
4.1. Foto’s en filmpjes van deelnemers bij evenementen
Bij de inschrijving voor evenementen is in de algemene voorwaarden voor de deelnemers het volgende opgenomen:
Deelnemer verleent hierbij toestemming aan de organisatie voor openbaarmaking van tijdens of rond het evenement gemaakte foto’s, video's of ander beeldmateriaal, waarop de deelnemer zichtbaar is voor communicatiedoeleinden van de organisator. Deelnemers gaan akkoord met eventueel gebruik van hun beeltenis in druk, op foto, film, video etc. voor promotionele doeleinden van Energy4All.
-
Diversen
Twijfel? Indien wij twijfelen geldt maar één ding: dan vragen wij toestemming.