Privacybeleid

Privacybeleid Sc ‘t Zand

Inleiding

Met ingang van 25 mei 2018 is de Algemene verordening gegevensbescherming (hierna: AVG) van toepassing. De AVG zorgt voor een versterking en uitbreiding van privacyrechten van leden.

Binnen Sc ’t Zand wordt veel gewerkt met persoonsgegevens van leden, vrijwilligers en (keten)partners. Persoonsgegevens bij leden en vrijwilligers worden geworven voor het uitvoeren van de (lidmaatschap)overeenkomst. Leden en vrijwilligers moeten er op kunnen vertrouwen dat Sc ’t Zand zorgvuldig met hun persoonsgegevens omgaat. Sc ’t Zand is zich hiervan bewust en spant zich maximaal in om de privacy van alle bij de club betrokken personen, de privacy te waarborgen.

Sc ‘t Zand geeft met dit beleid een duidelijke richting aan privacy, en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie en is in overeenstemming met de eisen uit de toepasselijke regelgeving (waaronder de AVG).

Uitgangspunten

De vereniging gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. Sc ‘t Zand houdt zich hierbij aan de volgende uitgangspunten:

Rechtmatigheid, behoorlijkheid, transparantie
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Grondslag en doelbinding
De vereniging zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.

Dataminimalisatie
De vereniging verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. De vereniging streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.

Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de taken en verantwoordelijkheden van de vereniging uit te voeren. Wij bewaren persoonsgegevens gedurende het lidmaatschap en maximaal 7 jaar daaropvolgend.

Integriteit en vertrouwelijkheid
De vereniging gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt de vereniging voor passende beveiliging van persoonsgegevens.

Delen met derden
In het geval van samenwerking met externe partijen, waarbij sprake is van gegevensverwerking van persoonsgegevens, maakt Sc ’t Zand afspraken over de eisen waar gegevensuitwisseling aan moet voldoen, door middel van een verwerkersovereenkomst.

Subsidiariteit
Voor het bereiken van het doel waarvoor de persoonsgegevens worden verwerkt, wordt de inbreuk op de persoonlijke levenssfeer van het betrokken lid zoveel mogelijk beperkt.

Proportionaliteit
De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot en met de verwerking te dienen doel.

Rechten van betrokkenen
De vereniging borgt de rechten van betrokkenen, zoals het recht op inzage en correctie.

Privacyreglement Sc ‘t Zand

In dit reglement laat Sc ‘t Zand zien op welke manier zij dagelijks omgaat met persoonsgegevens en privacy, en wat er wettelijk wel en niet verantwoord is.

Wetgeving en definities
Op dit moment heeft elke lidstaat van de Europese Unie een eigen privacywet, gebaseerd op de Europese richtlijn van 1995. De Wet bescherming persoonsgegevens (Wbp) regelt het juridische kader voor de omgang met persoonsgegevens in Nederland. Op 25 mei 2018 vervalt de Wbp en treedt de Europese Privacy Verordening, de Algemene verordening gegevensbescherming (AVG), in werking, samen met de uitvoeringswet. De AVG bouwt voort op de Wbp en zorgt onder andere voor versterking en uitbreiding van de privacy rechten met meer verantwoordelijkheden voor organisaties.

De volgende definities worden in de AVG gebruikt:

  • Betrokkene: de natuurlijk persoon op wie de persoonsgegevens betrekking hebben; zoals bedoeld onder “Persoonsgegevens.”
  • Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
  • Gegevensbeschermingseffectbeoordeling: een beoordeling van de effecten en risico’s van de nieuwe of bestaande verwerkingen op de bescherming van de privacy, zoals bedoeld in artikel 35 AVG.
  • Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
  • Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

 

Artikel 4 Verwerkingen (Artikel 4, AVG)

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen. Wat betreft gegevens worden in de AVG onder andere de volgende handelingen als een verwerking gezien:

  • Verzamelen, vastleggen, ordenen of structureren
  • Opslaan, bijwerken of wijzigen
  • Opvragen, raadplegen, gebruiken
  • Verstrekken door middel van doorzending
  • Verspreiding of op andere wijze ter beschikking stellen
  • Aligneren of combineren
  • Afschermen, wissen of vernietigen

Uit deze opsomming blijkt dat zowat alles wat je met een persoonsgegeven doet een verwerking is.

Doeleinden (Artikel 5, AVG)
Volgens de wet mogen persoonsgegevens alleen verzameld worden als daarvoor een doel is vastgesteld. Het doel moet uitdrukkelijk omschreven en gerechtvaardigd zijn. De gegevens mogen niet voor andere doelen verwerkt worden. De doelen van verwerkingen voor Sc ’t Zand zullen altijd vastgelegd zijn in het register van verwerkingen.

Rechtmatige grondslag (Artikel 6, AVG)
De wet zegt dat er voor elke verwerking van persoonsgegevens een rechtmatige grondslag uit de wet van toepassing moet zijn. Voor Sc ’t Zand zal deze grondslag vrijwel altijd zijn: het uitvoeren van de (lidmaatschap)overeenkomst. In de gevallen waarin het uitvoeren van de (lidmaatschap)overeenkomst niet toereikend is, zal aan de betrokkene om schriftelijke toestemming gevraagd worden.

Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gegevens over ras of etnische afkomst, politieke opvattingen, godsdienst of levensovertuiging, lidmaatschap van een vakbond, genetische of biometrische gegevens met oog op unieke identificatie, gezondheid, seksuele leven, strafrechtelijk verleden. Sc ’t Zand zal nooit bijzondere persoonsgegevens van haar leden verwerken, tenzij strikt noodzakelijk. In verband met de veiligheid en gezondheid van haar leden is het denkbaar dat in sommige gevallen gegevens omtrent de gezondheid voor verwerking vatbaar zijn.

Transparantie en communicatie
Informatieplicht (Artikel 13, 14, AVG)
De vereniging informeert betrokkenen over het verwerken van persoonsgegevens. Wanneer betrokkenen gegevens aan de vereniging geven, worden zij op de hoogte gesteld van de manier waarop de vereniging met persoonsgegevens om zal gaan. Dit kan bijvoorbeeld via een formulier gebeuren. Vaak staat op lidmaatschapsformulieren vermeld welke gegevens zonder toestemming niet openbaar gemaakt zullen worden. De betrokkene wordt niet nogmaals geïnformeerd als hij/zij al weet dat de vereniging persoonsgegevens van hem/haar verzamelt en verwerkt, en weet waarom en voor welk doel dat gebeurt.

Wanneer de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt de betrokkene geïnformeerd op het moment dat deze voor de eerste keer worden verwerkt.

Verwijdering
De vereniging bewaart de persoonsgegevens niet langer dan nodig is voor de uitvoering van haar taken. Wanneer er nog persoonsgegevens opgeslagen zijn die niet langer nodig zijn voor het bereiken van het doel, worden deze zo snel mogelijk verwijderd. Dit houdt in dat deze gegevens vernietigd worden, of zo worden aangepast dat de informatie niet meer gebruikt kan worden om iemand te identificeren.

Rechten van betrokkenen (Artikel 13 t/m 20, AVG)
De wet bepaalt niet alleen de plichten van degenen die de persoonsgegevens verwerken, maar bepaalt ook de rechten van de personen van wie de gegevens worden verwerkt. Deze rechten worden ook wel de rechten van betrokkenen genoemd, en bestaan uit de volgende rechten:

  • Recht op informatie: Betrokkenen hebben het recht om aan de vereniging te vragen of hun persoonsgegevens worden verwerkt.
  • Inzagerecht: Betrokkenen hebben de mogelijkheid om te controleren of, en op welke manier, hun gegevens worden verwerkt.
  • Correctierecht: Als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij de vereniging om dit te corrigeren.
  • Recht van verzet: Betrokkenen hebben het recht aan de vereniging te vragen om hun persoonsgegevens niet meer te gebruiken.
  • Recht om vergeten te worden: In gevallen waar de betrokkene toestemming heeft gegeven om gegevens te verwerken, heeft de betrokkene het recht om de persoonsgegevens te laten verwijderen.
  • Recht op bezwaar: Betrokkenen hebben het recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens.

Indienen van verzoek
Om gebruik te maken van zijn/haar rechten kan de betrokkene een verzoek indienen. Dit verzoek kan zowel schriftelijk als digitaal ingediend worden. De vereniging zal binnen een redelijke termijn, doch altijd zo spoedig mogelijk, beoordelen of het verzoek redelijk is. Als het verzoek niet wordt opgevolgd is er de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Aan de hand van een verzoek kan de vereniging aanvullende informatie opvragen om zeker te zijn van de identiteit van de betrokkene.

Geautomatiseerde verwerkingen

Inzet van camera’s
Camera’s kunnen een grote inbreuk maken op de privacy van diegenen die gefilmd worden. Om de privacy zo goed mogelijk te waarborgen, worden camera’s alleen ingezet wanneer er geen andere manieren zijn om het doel te bereiken, en worden er eisen gesteld aan de inzet van camera’s.

Sc ‘t Zand maakt (nog) geen gebruik van cameratoezicht.

Plichten van de vereniging
Register van verwerkingen (Artikel 30, AVG)
De vereniging is verantwoordelijk voor het aanleggen van een register van alle verwerkingen waarvan de vereniging de verwerkingsverantwoordelijke is. Elk register bevat een beschrijving van wat er tijdens een verwerking plaatsvindt, en welke gegevens daarvoor worden gebruikt. Dit wil zeggen:

  • De naam en contactgegevens van de verwerkingsverantwoordelijke en, mogelijk, de gezamenlijke verwerkingsverantwoordelijke;
  • De doelen van de verwerking;
  • Een beschrijving van het soort persoonsgegevens en de daarbij horende betrokkenen;
  • Een beschrijving van de ontvangers van de persoonsgegevens;
  • Een beschrijving van het delen van persoonsgegevens aan een derde land of internationale organisatie;
  • De termijnen waarin de verschillende persoonsgegevens moeten worden gewist;
  • Een algemene beschrijving van de beveiligingsmaatregelen.

Het register kan worden ingezien bij de vereniging.

Voor vragen over privacy of een nadere toelichting kan contact opgenomen worden met de functionaris gegevensbescherming via privacy@sctzand.nl.

Datalekken

Van een datalek wordt gesproken wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Wanneer er een datalek heeft plaatsgevonden, meldt de verenging dit zonder onredelijke vertraging aan de Autoriteit Persoonsgegevens. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dat geval meldt de vereniging dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen, worden bestaande datalekken geëvalueerd.

 

Welkom op de officiele website van Sc 't Zand