1 AVG verklaring
Stichting Reanimatie Aalsmeer Kudelstaart verklaart hiermee dat de inspanningen zijn verricht zoals die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG).
In de hierna volgende verklaring staan alle onderdelen/stappen die Stichting Reanimatie Aalsmeer Kudelstaart heeft doorlopen om te voldoen aan de AVG-wetgeving. Per onderdeel is duidelijk aangegeven welke gegevens en onderdelen van de wet van toepassing zijn en hoe daar aan voldaan is. Waar nodig is additionele informatie verstrekt ter verduidelijking van de situatie.
Stichting Reanimatie Aalsmeer Kudelstaart begrijpt dat AVG-wetgeving continu van toepassing is en dat wij regelmatig de gegevens moeten controleren en updaten.
Stichting Reanimatie Aalsmeer Kudelstaart verklaart naar eer en geweten aan de wet te voldoen. De onderdelen van de zelfverklaring zijn te vinden op de volgende pagina's van deze verklaring.
Aldus opgemaakt te Kudelstaart,
d.d. 24-12-2020
2 Inventarisatie persoonsgegevens
Hieronder heeft Stichting Reanimatie Aalsmeer Kudelstaart aan gegeven welke persoonsgegevens binnen de organisatie gebruikt worden.
Gewone persoonsgegevens
☑ Naam/ voorletters/ tussenvoegsel
☐ Titels
☑ Adres
☑ Postcode
☑ Plaats
☐ Provincie
☐ Land
☐ Woonplaats
☑ Telefoonnummer
☐ Faxnummer
☑ E-mailadres
☐ Website
☑ Geslacht
☑ Geboortedatum
☐ Geboorteplaats
☐ Overlijdensdatum
☐ Burgerlijke staat
☐ Werkzaam bij organisatie
☐ Bankrekeningnummer
☐ Inloggegevens (gebruikersnaam/wachtwoord)
☐ Voertuig kentekenplaat
☐ Salarisgegevens Salarisgegevens worden niet gezien als bijzondere gegevens.
Andere gewone persoonsgegevens:
n.v.t.
Bijzondere persoonsgegevens
☐ Ras of etnische afkomst
☐ Politieke opvattingen
☐ Religieuze of levensbeschouwelijke overtuiging
☐ Lidmaatschap van een vakbond
☐ Genetische of biometrische gegevens met oog op unieke identificatie
☐ Gegevens over gezondheid
☐ Gegevens over seksueel gedrag of seksuele gerichtheid
☐ Strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen
☑ Kopie identiteitsbewijs/paspoort, zonder voorlegger gekopieerd
☐ BSN-nummer. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor werkgevers, zorgverleners, zoals huisartsen, apotheken en zorgverzekeraars. Ook in het onderwijs en kinderopvang wordt het BSN gebruikt.
Aantekeningen bijzondere persoonsgegevens:
Een kopie identiteitsbewijs/paspoort (met onherkenbare foto) is nodig om een nieuwe bestuurder in te schrijven bij de Kamer van Koophandel.
3 Inventarisatie doelbinding
Grondslag:
Je moet een goede reden hebben om persoonsgegevens te mogen verwerken. De juridische naam voor die redenen is grondslagen. U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken.
In de AVG staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens:
- U heeft toestemming van de persoon om wie het gaat,
- het is noodzakelijk om gegevens te verwerken,
- om een overeenkomst uit te voeren,
- omdat u dit wettelijk verplicht bent,
- om vitale belangen te beschermen,
- om een taak van algemeen belang of openbaar gezag uit te oefenen.
Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.
Voorbeelden van grondslagen zijn:
Toestemming = ondertekening van een toestemmingsformulier of een inschrijving door middel van een opt-in voor een nieuwsbrief,
Overeenkomst = je hebt deze persoonsgegevens nodig hebt voor het uitvoeren van een overeenkomst (b.v. een koopcontract of een lidmaatschapsovereenkomst),
Gerechtvaardigd belang = bestaande klanten na een aankoop te informeren over soortgelijke, eigen producten of diensten.
Doelbinding:
Welke persoonsgegevens verwerk je, met welk doel en heb je ze daar ook voor gekregen (grondslag)? Dat noemen we ‘doelbinding’. Het is belangrijk dat je persoonsgegevens alleen verwerkt (dus opslaat en gebruikt) voor de doeleinden waarvoor je deze hebt verkregen. In de doelbinding beschrijf je dus welke gegevens, met welke grondslag en wat je met die gegevens doet.
Voor de inventarisatie van de vormen van doelbinding binnen de organisatie hebben wij onderstaand schema gemaakt. Voor doelbindingen die veel voorkomen, hebben wij het schema al ingevuld en die kun je dus zo aanvinken. Komen er binnen je organisatie nog andere doelbindingen voor, dan kun je deze in de open vorm noteren bij 3.3.
Bewaartermijn:
Het uitgangspunt is dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk. Wat noodzakelijk is hangt af van de situatie. Dit staat niet concreet beschreven in de AVG en dus moet je bepalen wat in jouw situatie passend is.
Wel zijn er andere wettelijke termijnen waar u zich aan moet houden. Bijvoorbeeld op grond van belastingwetgeving of de Archiefwet. Zo moet je voor de belastingdienst je administratie 7 jaar bewaren.
LET OP: Je bent wettelijk verplicht zo min mogelijk persoonsgegevens te verwerken. Vraag dus alleen de gegevens die je echt nodig hebt voor het goed functioneren van je organisatie.
☑ Burgerhulpverlener
| persoonsgegevens | naam, adres, woonplaats, telefoon, e-mailadres en geldigheid certificaat |
| grondslag | inschrijving bij HartslagNu |
| verwerkingen | beheertaken vanuit de partnerovereenkomst met HartslagNu |
| verwerkt door | voorzitter en secretaris |
| bewaartermijn | gedurende de looptijd van de overeenkomst |
| situatie | Burgerhulpverleners melden zich vrijwillig aan bij HartslagNu. De postcode gebruiken we voor Google-My Maps ‘Locatie AED’s Aalsmeer-Kudelstaart. Eénmalig versturen we een email waarin wij ons voorstellen. |
☑ Aanmelden voor nieuwsbrief
| persoonsgegevens | naam en e-mailadres |
| grondslag | aanmelding voor nieuwsbrief |
| verwerkingen | informatieverstrekking in de vorm van nieuwsbrieven |
| verwerkt door | werkgroep Communicatie |
| bewaartermijn | gedurende de periode dat men aangemeld is |
| situatie | aanmelding nieuwsbrief kan op de website, wordt gevraagd op de presentielijst van de opleiding/cursus en via de email waarin wij ons voorstellen |
☑ Prospect, stakeholder-/lobbycontacten en geïnteresseerde
| persoonsgegevens | naam, adres, woonplaats, telefoon en/of e-mailadres |
| grondslag | Mondelinge toestemming, afgifte visitekaartje en/of social media |
| verwerkingen | informatieverstrekking in de vorm van nieuwsbrieven of gerichte contacten |
| verwerkt door | bestuur |
| bewaartermijn | gedurende de periode dat men contact heeft |
| situatie | visitekaartjes worden bewaard |
☑ Vrijwilligers
| persoonsgegevens | naam, adres, woonplaats, telefoon en e-mailadres |
| grondslag | vrijwilligersovereenkomst |
| verwerkingen | informatieverstrekking |
| verwerkt door | werkgroep Communicatie |
| bewaartermijn | gedurende de looptijd van de stichting |
| situatie | ondersteuning van het bestuur |
☑ Bestuursleden
| persoonsgegevens | naam, adres, woonplaats, telefoon, e-mailadres, kopie identiteitskaart/paspoort (met onherkenbare foto) en eventueel bankgegevens |
| grondslag | bestuursovereenkomst, registratie bij Kamer van Koophandel |
| verwerkingen | inschrijving functionaris bij Kamer van Koophandel, informatieverstrekking |
| verwerkt door | secretaris, penningmeester |
| bewaartermijn | met uitzondering van kopie identiteitskaart/paspoort: Gedurende de looptijd van de stichting. Kopie identiteitskaart/paspoort wordt vernietigd nadat de inschrijving rond is bij de Kamer van Koophandel |
| situatie | bankgegevens worden ad hoc opgevraagd indien er een aankoop voor geschoten is |
☑ Foto’s bestuursleden/vrijwilligers op de website
| persoonsgegevens | naam en foto |
| grondslag | bestuurs- en vrijwilligersovereenkomst |
| verwerkingen | foto’s bestuursleden/vrijwilligers op website |
| verwerkt door | werkgroep Communicatie |
| bewaartermijn | gedurende de periode dat men een overeenkomst heeft |
| situatie | toegevoegde waarde voor de website |
☑ Direct marketing (alleen bellen of papier)
| persoonsgegevens | naam en e-mailadres |
| grondslag | inschrijving bij HartslagNu |
| verwerkingen | toesturen van (of bellen over) informatie over de organisatie en/of producten/diensten |
| verwerkt door | werkgroep Communicatie |
| bewaartermijn | gedurende de periode dat men gezien wordt als prospect voor de organisatie of haar diensten/producten |
| situatie | wanneer een burgerhulpverlener zich aanmeld bij HartslagNu, sturen we éénmalig een email met daarin de mogelijkheid om aan te melden voor de nieuwsbrief |
4 Privacy policy vindbaar, verwijzing in documenten
De privacy policy van de organisatie moet voor iedereen waarvan je persoonsgegevens verwerkt vindbaar zijn. Het eenvoudigste is om deze op de website van de organisatie te zetten en op elke pagina (onderaan) een link hier naartoe te leggen.
☑ Wij als organisatie hebben onze privacy policy zichtbaar gemaakt op onze website.
☐ Wij als organisatie hebben onze privacy policy niet vindbaar gemaakt op onze website.
Situatie: in de voettekst van de website is een link naar het document opgenomen.
In alle overeenkomsten (documenten waarin persoonsgegevens gevraagd worden) moet een verwijzing staan naar de privacy policy.
☑ Wij als organisatie verwijzen in al onze documenten (contract, overeenkomst, aanmeldingsformulier, etc.) waarin persoonsgegevens staan naar onze privacy policy op de website van de organisatie.
☐ Wij als organisatie verwijzen in documenten (contract, overeenkomst, aanmeldingsformulier, etc.) waarin persoonsgegevens staan niet naar onze privacy policy op de website van de organisatie.
Situatie: voor nieuwsbrief, registratielijsten opleiding/cursus, overeenkomsten en webshop.
5 Werken met verwerkersovereenkomst
Als organisatie mag je persoonsgegevens niet doorgeven aan een andere partij welke ten behoeve van jou persoonsgegevens verwerkt zonder een verwerkersovereenkomst. In een verwerkersovereenkomst spreek je af wat de ander met de gegevens mag doen én ook vooral wat niet.
☑ Wij als organisatie verklaren dat wij nooit persoonsgegevens doorgeven aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten als dit noodzakelijk is voor uitvoering van de doeleinden waarvoor we ze hebben gekregen.
☐ Wij als organisatie verklaren dat wij ook persoonsgegevens doorgeven aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten.
☐ Wij als organisatie verklaren dat wij geen persoonsgegevens doorgeven aan andere partijen.
Situatie: zie inventarisatie verwerkersovereenkomsten.
6 Toegangsbeveiliging
Om zeker te weten dat alleen geautoriseerde personen de persoonsgegevens kunnen inzien en bewerken, moeten deze altijd beveiligd zijn met een wachtwoord en als het kan ook met een gebruikersnaam. Zo kun je een Excel-bestand beveiligen met een wachtwoord en een PC voorzien van een gebruikersnaam en een wachtwoord. Zorg er dus voor dat je altijd minimaal één keer een wachtwoord moet weten voordat je de persoonsgegevens van jouw organisatie kunt inzien of bewerken.
☑ Wij als organisatie hebben persoonsgegevens altijd opgeslagen achter de beveiliging van minimaal een gebruikersnaam en een wachtwoord.
☐ Wij als organisatie hebben persoonsgegevens niet altijd opgeslagen achter de beveiliging van minimaal een gebruikersnaam en een wachtwoord.
☐ Wij als organisatie hebben geen persoonsgegevens elektronisch opgeslagen en hebben daarom geen toegangsbeveiliging.
Situatie: inloggegevens zijn bekend bij degene die dit nodig hebben om betreffende handelingen te kunnen doen. Alle inloggegevens zijn bekend bij Werkgroep Communicatie.
7 Software en antivirussoftware up-to-date
Om systemen zo veilig mogelijk te laten zijn, moet je ze up-to-date houden. Dit doe je door het aanzetten van het automatisch ophalen en installeren van updates van de software. Zorg ook voor goede antivirussoftware. Zorg ervoor dat alle software ingesteld is op het automatisch ophalen en uitvoeren van updates. Maak goede afspraken met al je softwareleveranciers.
☑ Wij als organisatie hebben de persoonsgegevens alleen opgeslagen op computers/servers met beveiligingssoftware waarbij zowel de beveiligingssoftware als het besturingssysteem ingesteld zijn om automatisch updates op te halen en te installeren.
☐ Wij als organisatie hebben de persoonsgegevens niet alleen opgeslagen op computers/servers met beveiligingssoftware waarbij zowel de beveiligingssoftware als het besturingssysteem ingesteld zijn om automatisch updates op te halen en te installeren.
☐ Wij als organisatie hebben geen persoonsgegevens elektronisch opgeslagen en hebben daarom geen software updates.
Situatie: in de bestuurs- en vrijwilligersovereenkomst is opgenomen dat de computers zo ingesteld dat updates van software automatisch opgehaald en geïnstalleerd worden en dat de computer voorzien is van antivirussoftware.
8 Opslaan alleen binnen de EU
Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU-lidstaten moeten voldoen aan de AVG. Als je persoonsgegevens verwerkt buiten de EU, bijvoorbeeld door deze te laten verwerken door een partij buiten de EU of er een passend beschermingsniveau bestaat voor dat land, bijvoorbeeld door een adequaatheidbesluit van de Europese Commissie.
De wetgever is dus extra streng als je persoonsgegevens wilt verwerken/opslaan buiten de EU. Als je dat toch zou willen, dan moet er heel veel geregeld worden bovenop de normale AVG-verplichtingen. Dus check of je dienstverlener (drukker, verspreider, enz.) de toevertrouwde persoonsgegevens binnen de EU opslaat.
Het is dus het makkelijkste om persoonsgegevens alleen te verwerken binnen de EU, dit raden wij daarom ook sterk aan.
☑ Wij als organisatie verklaren dat wij nooit persoonsgegevens overdragen aan of opslaan bij partijen die gevestigd zijn buiten de EU.
☐ Wij als organisatie verklaren dat wij ook persoonsgegevens overdragen aan of opslaan bij partijen die gevestigd zijn buiten de EU.
Situatie: Zie bestand verwerkerovereenkomsten overzicht. Hierin is een kolom opgenomen over de plek van bewaren.
9 Data back-up
Om de persoonsgegevens te beschermen tegen het verlies of diefstal moet je back-ups maken. Het is noodzakelijk om dat regelmatig te doen. Zorg ervoor dat deze back-up veilig wordt opgeborgen.
☑ Wij als organisatie hebben de opgeslagen persoonsgegevens beveiligd met een back-up.
☐ Wij als organisatie hebben de persoonsgegevens niet beveiligd met een back-up.
☐ Wij als organisatie hebben geen persoonsgegevens elektronisch opgeslagen en hebben daarom geen back- up.
Situatie:
Bestuursleden zorgen zelf voor een back-up van de bestanden op de eigen computer.
Algemene documenten zijn opgeslagen op de Google account.
IXL maakt automatisch een back-up van de website.
10 Geautoriseerde medewerkers
Via autorisatie regel je wie binnen de organisatie welke persoonsgegevens mag verwerken.
☑ In onze organisatie hebben alleen geautoriseerde personen toegang tot de persoonsgegevens van de organisatie.
☐ In onze organisatie hebben ook niet geautoriseerde personen toegang tot de persoonsgegevens van de organisatie.
Situatie: zie ‘inventarisatie: geautoriseerde medewerkers’
11 Vernietigen persoonsgegevens
Geef hieronder aan dat je organisatie alle persoonsgegevens vernietigt door bijvoorbeeld een regel te wissen in Excel en/of het versnipperen van een aanmeldingsformulier als er geen overeenkomst meer is.
Persoonsgegevens mogen niet langer worden bewaard dan voor verwezenlijking van de doeleinden waarvoor ze worden verwerkt. Dus: na beëindiging van een overeenkomst worden de persoonsgegevens van die persoon vernietigd.
Wijs aan wie verantwoordelijk is voor het vernietigen van persoonsgegevens of de controle op de vernietiging. Een versnipperaar wordt gebruikt in geval van papieren documenten.
Let op: In de financiële administratie mogen (of eigenlijk: moeten!) deze persoonsgegevens nog wel blijven staan, want daar geldt een (wettelijke) bewaarplicht van 7 jaar.
☑ Wij als organisatie verklaren dat wij alle persoonsgegevens vernietigen (na de bewaartermijn) als de overeenkomst op grond waarvan ze verkregen zijn verlopen is of de toestemming is ingetrokken.
☐ Wij als organisatie verklaren dat wij geen persoonsgegevens vernietigen als de overeenkomst op grond waarvan ze verkregen zijn verlopen is of de toestemming is ingetrokken.
Situatie: de secretaris ziet toe op de naleving van het vernietigen van persoonsgegevens.
12 Toestemming voor direct marketing en bij minderjarigheid
Bij direct marketing
De wetgever maakt onderscheid tussen gewone direct marketing (bellen en post sturen) of digitale marketing (via e-mail, fax, Facebook, LinkedIn of sms). Doordat gewone direct marketing een organisatie bij de verspreiding veel geld kost zal dat altijd beperkt blijven. Juist digitale marketing is nagenoeg gratis en kan daardoor heel veel toegepast worden met alle gevolgen van dien.
Op grond van de Telecommunicatiewet mag je bestaande klanten benaderen via digitale direct marketing zonder toestemming (maar met een opt-out).
☐ Wij als organisatie vragen vooraf altijd toestemming voordat we iemand benaderen via digitale direct marketing.
☑ Wij als organisatie vragen vooraf geen toestemming voordat we iemand benaderen via digitale direct marketing.
☐ Wij als organisatie maken geen gebruik van digitale direct marketing.
Situatie: wanneer een burgerhulpverlener zich aanmeld bij HartslagNu, sturen we éénmalig een email met daarin de mogelijkheid om aan te melden voor de nieuwsbrief.
Bij minderjarigheid (jonger dan 16 jaar)
Als je persoonsgegevens online verwerkt van personen jonger dan 16 jaar via bijvoorbeeld een app, online game, webwinkel of via sociale media, dan moet je daarvoor altijd schriftelijk/elektronisch een toestemming hebben van de ouder, verzorger of wettelijke vertegenwoordiger. Geef hieronder aan dat je organisatie dat ook altijd zo doet.
☑ Wij als organisatie verklaren dat wij alleen online persoonsgegevens van minderjarigen verwerken bijvoorbeeld een app, online game, webwinkel of via sociale media als daarvoor schriftelijke toestemming is gegeven door de ouder, verzorger of wettelijke vertegenwoordiger.
☐ Wij als organisatie verklaren dat wij persoonsgegevens van minderjarigen online verwerken bijvoorbeeld een app, online game, webwinkel of via sociale media zonder dat daarvoor schriftelijke toestemming is gegeven door de ouder, verzorger of wettelijke vertegenwoordiger.
☐ Wij als organisatie verklaren dat wij geen persoonsgegevens van minderjarigen online verwerken bijvoorbeeld een app, online game, webwinkel of via sociale media.
Situatie: wanneer een burgerhulpverlener zich aanmeld bij HartslagNu, sturen we éénmalig een email met daarin de mogelijkheid om aan te melden voor de nieuwsbrief. Als blijkt dat deze persoon minderjarig is, vragen we schriftelijke toestemming van de ouder, verzorger of wettelijke vertegenwoordiger.
13 Papieren documenten en beveiliging
Als persoonsgegevens ook vastliggen op papier (denk aan contracten), dan moeten die papieren met persoonsgegevens achter slot en grendel zijn opgeslagen. Praktisch: bewaar dus alle papieren met persoonsgegevens in een kast die je steeds op slot doet. Alleen personen die voor hun werk voor de organisatie daarvoor toestemming hebben, mogen in die kast komen.
☑ Wij als organisatie hebben papieren documenten waarop de persoonsgegevens staan, opgeslagen achter slot en grendel.
☐ Wij als organisatie hebben niet alle papieren documenten waarop de persoonsgegevens staan, opgeslagen achter slot en grendel.
☐ Wij als organisatie hebben geen papieren documenten waarop de persoonsgegevens staan.
Situatie: De presentielijsten worden bewaard. De secretaris bewaart de overige papieren documenten.
14 Datalekken
Iedereen in de organisatie moet op de hoogte zijn wat een een datalek is en wat je eraan moet doen. Geef aan wat voor jullie van toepassing is:
☑ Binnen onze organisatie is iedereen op de hoogte van wat een datalek is. Ook is bekend waar dit intern gemeld moet worden zodat wij als organisatie adequaat het datalek kunnen afhandelen en documenteren.
☐ Binnen onze organisatie is niet iedereen op de hoogte van wat een datalek is. Ook is niet bekend waar dit intern gemeld moet worden zodat wij als organisatie adequaat het datalek kunnen afhandelen en documenteren.
Situatie: Wanneer er een datalek optreedt, zullen we handelen volgens het 'Stappenplan bij datalekken', een standaarddocument van Autoriteit Persoonsgegevens.
15 Bestuursleden en vrijwilligers geïnstrueerd
Wij hebben onze bestuursleden en vrijwilligers als volgt geïnstrueerd:
☑ We hebben het onderwerp privacy bescherming in de bestuursvergadering besproken.
☐ We hebben uitlegposters opgehangen.
☐ We hebben alle bestuursleden en vrijwilligers een brief gestuurd met uitleg en instructie.
☑ In de bestuurs- en vrijwilligersovereenkomst is een punt over privacy bescherming opgenomen.
☐ We hebben met alle bestuursleden en vrijwilligers een workshop over privacy bescherming gevolgd.
☐ We hebben een nieuwsbrief voor alle bestuursleden en vrijwilligers waarin we regelmatig aandacht besteden aan privacy bescherming.
☑ Onze voorzitter heeft alle bestuursleden en vrijwilligers opgeroepen extra aandacht te besteden aan privacy bescherming.
16 Afronding
Naam organisatie: Stichting Reanimatie Aalsmeer Kudelstaart
Plaats: Kudelstaart
Datum: 24-12-2020