AVG Verklaring
Hierbij verklaart de Stichting AVG voor Verenigingen dat Stedelijke Muziekvereniging Huissen het AVG-programma
geheel of gedeeltelijk heeft doorlopen. Stedelijke Muziekvereniging Huissen verklaart hiermee dat de inspanningen
zijn verricht zoals die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG).
Indien niet alle programmaonderdelen zijn afgewerkt en de verklaring toch wordt aangevraagd, dan is geen
volledige invulling gegeven aan de eisen van de wetgever. De Stichting AVG voor Verenigingen adviseert de
openstaande punten alsnog zo snel mogelijk af te werken en in elk geval in het programma een aantekening te
maken wanneer dit zal gebeuren.
In de hierna volgende verklaring staan alle onderdelen/stappen die Stedelijke Muziekvereniging Huissen heeft
doorlopen om te voldoen aan de AVG-wetgeving. Per onderdeel is duidelijk aangegeven welke gegevens en
onderdelen van de wet van toepassing zijn en hoe daar aan voldaan is. Waar nodig is additionele informatie
verstrekt ter verduidelijking van de situatie.
Stedelijke Muziekvereniging Huissen begrijpt dat AVG-wetgeving continu van toepassing is en dat wij regelmatig
de gegevens moeten controleren en updaten.
Met het volledig doorlopen van het AVG-programma van de Stichting AVG voor Verenigingen heeft Stedelijke
Muziekvereniging Huissen kennis over de materie ontvangen die door de AVG wordt geraakt, en verklaart zelf naar
eer en geweten aan de wet te voldoen. De onderdelen van de zelfverklaring door Stedelijke Muziekvereniging
Huissen zijn te vinden op de volgende pagina('s) van deze verklaring.
Aldus opgemaakt te Gorinchem,
d.d. 22-5-2018,
door Stichting AVG voor Verenigingen
gevestigd aan de Stephensonweg 14 te Gorinchem.
2.1 Inventarisatie persoonsgegevens.
Geef hieronder aan welke persoonsgegevens binnen jouw vereniging gebruikt worden.
Gewone persoonsgegevens
V Naam/ voorletters/ tussenvoegsel
Titels
V Adres
V Postcode
Plaats
Provincie
Land
V Woonplaats
V Telefoonnummer
Faxnummer
V E-mailadres
Website
V Geslacht
V Geboortedatum
Geboorteplaats
Overlijdensdatum
Burgerlijke staat
LinkedIn
Facebook
Twitter
Werkzaam bij organisatie
V Bankrekeningnummer
Inloggegevens (gebruikersnaam/wachtwoord)
Voertuig kentekenplaat
Salarisgegevens Salarisgegevens worden niet gezien als bijzondere gegevens.
3.1 Inventarisatie doelbinding.
Welke persoonsgegevens verwerk je, met welk doel en heb je ze daar ook voor gekregen? Dat noemen we ‘doelbinding’. Het is belangrijk dat je persoonsgegevens alleen verwerkt (dus opslaat en gebruikt) voor de doeleinden waarvoor je deze hebt verkregen.
Voor de inventarisatie van de vormen van doelbinding binnen de verenigingen hebben wij onderstaand schema gemaakt. Voor doelbindingen die bij sommige verenigingen veel voorkomen, hebben wij het schema al ingevuld en die kun je dus zo aanvinken. (Voorbeeld: schoenmaat bij sportclubs). Komen er binnen je vereniging nog andere doelbindingen voor, dan kun je deze in de open vorm noteren bij 3.3.
LET OP: Het is verstandig om zo min mogelijk persoonsgegevens te hanteren. Vraag dus alleen de gegevens die je
echt nodig hebt voor het goed functioneren van je vereniging.
(N = Naam, A = Adres, W = Woonplaats, T = Telefoon, E = e-mailadres)
V Lidmaatschap
Persoonsgegevens: NAWTE + geboortedatum.
Overeenkomst: Lidmaatschapsovereenkomst (papier of formulier op de website).
Verwerkingen: Ledenadministratie, contributieheffing, informatieverstrekking en uitnodigingen voor bijeenkomsten.
Verwerkt door: Afdeling ledenadministratie en afdeling communicatie.
Bewaartermijn: Gedurende het lidmaatschap en daarna maximaal 7 jaar in de boekhouding.
3.3 Beschrijving van extra doelbinding.
Als je meer persoonsgegevens, verwerkingen en/of overeenkomsten hebt dan bij 3.2 beschreven, voeg deze dan hieronder toe. Voeg de extra beschrijving over doelen en doelbinding hieronder toe zodat we die kunnen opnemen in de AVG-verklaring.
Docenten/dirigent
Persoonsgegevens: NAWTE + geboortedatum
Overeenkomst: Overeenkomst van opdracht
Verwerkingen: Informatieverstrekking en uitnodigingen voor bijeenkomsten.
Verwerkt door: Bestuur en werkgroepen
Bewaartermijn: Gedurende de periode dat men gezien wordt als docent/dirigent van de Stedelijke Muziekvereniging
Huissen en daarna maximaal 3 maanden.
Sleutelhouders
Persoonsgegevens: NAWTE
Overeenkomst: Overeenkomst van ontvangst van de een sleutel van het gebouw
Verwerkingen: Registratie van sleutelbezit
Verwerkt door: Afdeling gebouwbeheer
Bewaartermijn: Gedurende de periode dat men een overeenkomst heeft (zolang de sleutel in bezit is) en daarna maximaal 3 maanden.
4.1 Privacy policy vindbaar, verwijzing in documenten.
De privacy policy van de vereniging moet voor iedereen vindbaar zijn. Het eenvoudigste is om deze op de website van de vereniging te zetten en op elke pagina (onderaan) een link hier naar toe te leggen.
V Wij als vereniging hebben onze privacy policy zichtbaar gemaakt op de website van de vereniging.
In alle overeenkomsten (documenten waarin persoonsgegevens gevraagd worden) moet een verwijzing staan naar de privacy policy.
V Wij als vereniging verwijzen in documenten waarin persoonsgegevens staan (lidmaatschap overeenkomst, aanmeldingsformulier, etc.) niet naar onze privacy policy op de website van de vereniging.
5.1 Werken met verwerkersovereenkomst.
Als vereniging mag je persoonsgegevens niet doorgeven aan een andere partij zonder een
verwerkersovereenkomst. In een verwerkersovereenkomst spreek je af wat de ander met de gegevens mag doen én
ook vooral wat niet.
V Wij als vereniging verklaren dat wij geen persoonsgegevens doorgeven aan andere partijen.
6.1 Toegangsbeveiliging.
Om zeker te weten dat alleen geautoriseerde personen de persoonsgegevens kunnen inzien en bewerken, moeten deze altijd beveiligd zijn met een wachtwoord en als het kan ook met een gebruikersnaam. Zo kun je een Excelbestand beveiligen met een wachtwoord en een PC voorzien van een gebruikersnaam en een wachtwoord. Zorg er dus voor dat je altijd minimaal één keer een wachtwoord moet weten voordat je de persoonsgegevens van jouw vereniging kunt inzien of bewerken.
V Wij als vereniging hebben persoonsgegevens altijd opgeslagen achter de beveiliging van minimaal een gebruikersnaam en een wachtwoord.
7.1 Software en antivirussoftware up-to-date.
Om systemen zo veilig mogelijk te laten zijn, moet je ze up-to-date houden. Dit doe je door het aanzetten van het automatisch ophalen en installeren van updates van de software. Zorg ook voor goede antivirussoftware. Zorg ervoor dat alle software ingesteld is op het automatisch ophalen en uitvoeren van updates. Maak goede afspraken met al je softwareleveranciers.
V Wij als vereniging hebben de persoonsgegevens alleen opgeslagen op computers/servers met beveiligingssoftware waarbij zowel de beveiligingssoftware als het besturingssysteem ingesteld zijn om automatisch updates op te halen en te installeren.
8.1 Opslaan alleen binnen de EU.
Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU-lidstaten moeten voldoen aan de AVG. Als je persoonsgegevens verwerkt buiten de EU, bijvoorbeeld door deze te laten verwerken door een partij buiten de EU of een internationale vereniging, moet je kijken of er een adequaatheidsbesluit van de Europese Commissie bestaat. Je moet ook weten en kunnen aantonen dat er passende of geschikte waarborgen zijn, en hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.
De wetgever is dus extra streng als je persoonsgegevens wilt verwerken/opslaan buiten de EU. Als je dat toch zou willen, dan moet er heel veel geregeld worden bovenop de normale AVG-verplichtingen. Dus check of je dienstverlener (drukker, verspreider, enz.) de toevertrouwde persoonsgegevens binnen de EU opslaat. Het is dus het makkelijkste om persoonsgegevens alleen te verwerken binnen de EU, dit raden wij daarom ook sterk aan.
V Wij als vereniging verklaren dat wij nooit persoonsgegevens overdragen aan of opslaan bij partijen die gevestigd zijn buiten de EU.
9.1 Data back-up.
Om de persoonsgegevens te beschermen tegen het verlies of diefstal moet je back-ups maken. Het is noodzakelijk om dat regelmatig te doen. Zorg ervoor dat deze back-up veilig wordt opgeborgen.
V Wij als vereniging hebben de opgeslagen persoonsgegevens beveiligd met een back-up.
10.1 Geautoriseerde medewerkers.
Via autorisatie regel je wie binnen de vereniging welke persoonsgegevens mag verwerken.
V In onze vereniging hebben alleen geautoriseerde personen toegang tot de persoonsgegevens van de vereniging.
Wij als vereniging hebben 11 personen geautoriseerd om de persoonsgegevens van de vereniging in te zien en te verwerken indien dit nodig in voor de uitoefening van hun functie.
Wij als vereniging hebben van 200 personen de persoonsgegevens geregistreerd.
11.1 Vernietigen persoonsgegevens.
Geef hieronder aan dat je vereniging alle persoonsgegevens vernietigt door bijvoorbeeld een regel te wissen in Excel en/of het versnipperen van een aanmeldingsformulier als er geen overeenkomst meer is. Persoonsgegevens mogen niet langer worden bewaard dan voor verwezenlijking van de doeleinden waarvoor ze worden verwerkt. Dus: na beëindiging van een overeenkomst worden de persoonsgegevens van die persoon vernietigd.
Wijs aan wie verantwoordelijk is voor het vernietigen van persoonsgegevens of de controle op de vernietiging.
NB: Verscheuren en weggooien is onvoldoende. Schaf daarom een versnipperaar aan.
Let op: In de financiële administratie mogen (of eigenlijk: moeten!) deze persoonsgegevens nog wel blijven staan, want daar geldt een (wettelijke) bewaarplicht van 7 jaar.
V Wij als vereniging verklaren dat wij alle persoonsgegevens vernietigen als de overeenkomst op grond waarvan ze verkregen zijn verlopen is of de toestemming is ingetrokken.
12.1 Toestemming voor direct marketing en bij minderjarigheid.
Bij direct marketing.
De wetgever maakt onderscheid tussen gewone direct marketing (bellen en post sturen) of digitale marketing (via email, fax, Facebook, LinkedIn of sms). Doordat gewone direct marketing een organisatie geld kost zal dat altijd beperkt blijven. Juist digitale marketing is nagenoeg gratis en kan daardoor heel veel toegepast worden met alle gevolgen van dien.
V Wij als vereniging maken geen gebruik van digitale direct marketing.
Bij minderjarigheid (jonger dan 16 jaar).
Als je persoonsgegevens hebt van personen jonger dan 16 jaar, dan moet je daarvoor altijd schriftelijk een handtekening (op papier!) voor akkoord hebben van de ouder, verzorger of wettelijke vertegenwoordiger. Geef hieronder aan dat je vereniging dat ook altijd zo doet.
V Wij als vereniging verklaren dat wij alleen persoonsgegevens van minderjarigen verwerken als daarvoor schriftelijke toestemming is gegeven door de ouder, verzorger of wettelijke vertegenwoordiger.
13.1 Papieren documenten en beveiliging.
Als persoonsgegevens ook vastliggen op papier (denk aan aanmeldingsformulieren), dan moeten die papieren met persoonsgegevens achter slot en grendel zijn opgeslagen. Praktisch: bewaar dus alle papieren met persoonsgegevens in een kast die je steeds op slot doet. Alleen personen die voor hun werk voor de vereniging daarvoor toestemming hebben, mogen in die kast komen.
V Wij als vereniging hebben papieren documenten waarop de persoonsgegevens staan, opgeslagen achter slot en grendel.
14.1 Datalekken.
Iedereen in de vereniging moet op de hoogte zijn wat een een datalek is en wat je eraan moet doen. Geef aan wat voor jullie van toepassing is:
Beschrijf hieronder kort hoe jullie met datalekken omgaan:
V Binnen onze vereniging is iedereen op de hoogte van wat een datalek is. Ook is bekend waar dit intern gemeld moet worden zodat wij als vereniging adequaat het datalek kunnen afhandelen en documenteren.
15.1 Medewerkers geïnstrueerd
Wij hebben onze medewerkers als volgt geïnstrueerd:
Hieronder is ruimte om te beschrijven hoe jullie de medewerkers geïnstrueerd hebben:
De personen, die toegang hebben tot de gegevens hebben in een vergadering uitleg gekregen en hebben de
privacy verklaring van de vereniging gekregen.
V We hebben alle medewerkers een brief gestuurd met uitleg en instructie.
16.3 Ondertekening.
Met het inzenden van dit stappenplan verklaar ik hierbij dat ik naar eer en geweten dit stappenplan heb ingevuld namens de vereniging.
Aldus verklaard door:
Naam vereniging: Stedelijke Muziekvereniging Huissen
Naam persoon: Cor Neijenhuis
Plaats: Huissen
Datum: 22-5-2018