Privacy Protocol

Vereniging Soliferclub Nederland en de Algemene Verordening Gegevensbescherming

In het kader van de Algemene Verordening Gegevensbescherming (AVG) dient Vereniging Soliferclub Nederland (SCN) duidelijk en in eenvoudige taal vast te leggen welke bepalingen voor haar van toepassing zijn en hoe die bepalingen in de praktijk worden uitgewerkt. Daartoe dient het volgende

PRIVACY PROTOCOL

1. Welke persoonsgegevens worden verwerkt?
De gegevens die worden verwerkt zijn opgedeeld in twee groepen:

  1. Kerngegevens
    Dit zijn gegevens die noodzakelijk worden geacht in verband met de communicatie met de leden. Het betreft:
    1. Voor- en achternaam
    2. Geslacht
    3. Adresgegevens
    4. Telefoonnummer
    5. E-mailadres
    6. Geboortedatum
  2. Aanvullende gegevens
    Dit zijn gegevens die bruikbaar maar niet onmisbaar zijn bij de communicatie met de leden. Het betreft:
    1. Merk, type en kenteken caravan
    2. Merk, type en kenteken auto

Bovenstaande opsomming impliceert dat geen bijzondere persoonsgegevens (bijvoorbeeld betrekking hebbend op ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen).worden verwerkt. Evenmin worden persoonsgegevens verwerkt die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

2. Op welke grondslag(en) is het recht op het verwerken van persoonsgegevens gebaseerd?
Aanmelding als lid van de SCN geschiedt door gebruik te maken van een aanmeldingsformulier dat beschikbaar is gemaakt op de website. Om dat formulier te kunnen verzenden dienen tenminste alle verplichte velden (die betrekking hebben op de kerngegevens) te worden ingevuld. Bovendien moet expliciet worden verklaard dat de aanmelder toestemming geeft tot verwerking van alle in het aanmeldingsformulier verstrekte (persoons)gegevens conform dit privacy protocol en de privacy verklaring.
Alle leden die zich hebben aangemeld voordat die expliciete toestemming werd gevraagd zullen worden uitgenodigd de op hen betrekking hebbende gegevens te controleren en waar nodig te verbeteren dan wel aan te vullen en daarbij verplicht worden hun expliciete toestemming voor verwerking van hun persoonsgegevens te verlenen.

3. Is een functionaris gegevensbescherming nodig?
SCN verwerkt slechts een beperkt aantal gegevens van haar leden en wel uitsluitend ten behoeve van het goed kunnen realiseren van de doelstellingen van de vereniging. Er vindt geen grootschalige regelmatige of stelselmatige observatie van betrokkenen plaats en dat is ook geen kernactiviteit van de vereniging. Op grond van deze overwegingen is het niet nodig een functionaris gegevensbescherming aan te stellen.

4. Is het verplicht een Data Protection Impact Assessment (DPIA) uit te voeren?
Wanneer de gegevensverwerking waarschijnlijk een hoog privacy risico oplevert dient een DPIA te worden uitgevoerd. Om de noodzaak hiertoe te beoordelen is door de wetgever een lijst met 9 criteria opgesteld:

  1. Worden mensen op basis van persoonskenmerken beoordeeld?
  2. Worden er geautomatiseerde beslissingen genomen?
  3. Vindt stelselmatige en grootschalige monitoring plaats?
  4. Worden gevoelige gegevens verwerkt?
  5. Vinden grootschalige gegevensverwerkingen plaats?
  6. Worden gekoppelde databases gebruikt?
  7. Worden gegevens over kwetsbare personen verwerkt?
  8. Worden nieuwe technologieën gebruikt?
  9. Kan de gegevensverwerking leiden tot blokkering van een recht, dienst of contract?

De gegevensverwerking door SCN voldoet aan geen van deze criteria. Het is dus niet noodzakelijk een Data Protection Impact Assessment uit te (laten) voeren.

5. Wordt er gewerkt volgens de AVG-uitgangspunten van privacy by design en privacy by default?
Bij ontwerp en implementatie van de met HTTPS beveiligde website van SCN is uitgangspunt geweest te voldoen aan de in de AVG gestelde eisen. Zo worden zo min mogelijke gegevens verwerkt zonder de realisatie van de doelstellingen van de vereniging onmogelijk te maken. Bovendien worden de gegevens opgeslagen in een enkelvoudige, niet gekoppelde, database. Voor zover het voor een functionaris of instantie bij de uitvoering van een onder auspiciën van SCN plaats vindende activiteit noodzakelijk is over (een deel van) die gegevens te beschikken zullen de benodigde gegevens worden gedeeld onder het beding dat die slecht mogen worden gebruikt in overeenstemming met de geldende bepalingen en vernietigd dienen te worden zodra de reden waarom ze verstrekt zijn is komen te vervallen.
SCN zelf zal de gegevens van haar leden slechts bewaren zolang het lidmaatschap voortduurt.
Bovenstaande houdt in dat sprake is van privacy by default.

6. Is het verplicht een register van verwerkingsactiviteiten op te stellen?
Omdat de verwerking van een aantal persoonsgegevens niet incidenteel is dient een register van verwerkingsactiviteiten te worden opgesteld:

Register van verwerkingsactiviteiten

    • De organisatie is Vereniging Soliferclub Nederland, te bereiken via email op het adres: secretaris@soliferclub.nl
    • Het doel waarvoor de persoonsgegevens worden verwerkt is communicatie met de leden.
    • Personen van wie gegevens worden verwerkt: leden van de SCN.
    • De verwerkte persoonsgegevens zijn: Voor- en achternaam, Geslacht, Adresgegevens, Telefoonnummer, E-mailadres, Geboortedatum, Merk, type en kenteken caravan, Merk, type en kenteken auto.
    • Datum waarop gegevens moeten worden gewist: na beëindiging van het lidmaatschap.
    • Voor zover het voor een functionaris of instantie bij de uitvoering van een onder auspiciën van Soliferclub Nederland plaats vindende activiteit noodzakelijk is over (een deel van) de gegevens te beschikken zullen de benodigde gegevens worden gedeeld. Het gaat hier bijvoorbeeld om de lijst van deelnemers aan een activiteit of de verzendlijst voor het clubblad.
    • Met betrekking tot de verzending van het clubblad heeft Editoo bv de algemene voorwaarden zodanig aangepast dat die geacht kunnen worden in de plaats te kunnen treden van een specifieke verwerkingsovereenkomst
    • De gegevens worden niet gedeeld met een land of internationale organisatie buiten de EU.
    • De gegevens worden bewaard in de database die onderdeel is van de website. Die wordt geacht veilig te zijn op grond van door de hosting provider getroffen maatregelen.
    • De website en database zijn slechts toegankelijk voor een zeer beperkt aantal ‘administrators’, die expliciet verklaard moeten hebben het in dit document neergelegde privacy beleid te onderschrijven en daarnaar te handelen.

7. Zijn de juiste maatregelen genomen om persoonsgegevens te beveiligen?
Alle informatie betreffende informatiebeveiliging en de getroffen technische en organisatorische maatregelen zijn bevat in dit protocol.

8. Zijn er vereiste overeenkomsten met partijen die persoonsgegevens verwerken?
Indien andere partijen persoonsgegevens van SCN verwerken zou met elk van dergelijke partijen een volledige verwerkingsovereenkomst moeten zijn gesloten.
De enige partij waarmee dat is gerealiseerd is Editoo bv, de drukker en verzender van het clubblad. Die partij heeft de door de AVG gestelde vereisten verwerkt in haar algemene voorwaarden.
Met de Nederlandse Caravan Club is een alliantie overeenkomst gesloten die geacht kan worden te voldoen aan de door de AVG gestelde eisen. Er is hier alleen sprake van een ledenlijst met NAW gegevens uitsluitend te gebruiken om de terreinbeheerders van NCC terreinen leden van de SCN die van die terreinen gebruik maken te kunnen identificeren teneinde het van toepassing zijnde tarief in rekening te kunnen brengen.
Met geen andere partij is een dergelijke overeenkomst gesloten omdat er geen andere partij is die geacht wordt zich met een dergelijke verwerking bezig te houden.
Voor leden van de SCN is er op het slechts voor leden toegankelijke gedeelte van de website de mogelijkheid een ledenlijst met NAW gegevens in te zien.
Wat niet is uit te sluiten is dat er een partij is die onderdelen voor de, voor de website gebruikte, software heeft geleverd en daarin gebruik maakt van cookies. Om die reden wordt de bezoeker van de website attent gemaakt op het mogelijk gebruik van cookies en de gebruiker er op gewezen dat het gebruik daarvan kan worden geregeld met de browser instellingen.

9. Wordt voldaan aan de informatieplicht?
Ter voldoening aan de informatieplicht naar betrokkenen (de leden van SCN) is het onderhavige document opgesteld.
Dit protocol en de (verkorte) cookieverklaring zijn te vinden op de website.

10. Hoe zijn de (nieuwe) privacy rechten geborgd?
Onder de AVG gelden de volgende rechten:

  1. Recht op inzage
    Op de website is er voor ingelogde leden de mogelijkheid een overzicht van alle bewaarde gegevens op te vragen.
  2. Recht op rectificatie en aanvulling
    In het overzicht van de bewaarde gegevens kan de gebruiker zelf correcties aanbrengen, ontbrekende gegevens aanvullen en, behoudens voor kerngegevens, informatie verwijderen. Zou een gebruiker kerninformatie willen verwijderen dan kan dat slechts door opzeggen van het lidmaatschap.
  3. Recht op vergetelheid
    Zodra het lidmaatschap eindigt zal SCN alle gegevens betreffende dat lidmaatschap verwijderen.
  4. Recht op dataportabiliteit
    Op verzoek van een gebruiker, te richten aan secretaris@soliferclub.nl, kunnen de van die gebruiker bekende gegevens beschikbaar worden gesteld in een gestructureerd, veelgebruikt en machine leesbaar formaat.
  5. Recht op beperking van de verwerking
    Leden kunnen aan het bestuur van de SCN verzoeken de verwerking van hun gegevens te beperken. Een dergelijk verzoek dient gericht te worden aan secretaris@soliferclub.nl. Het bestuur zal binnen een termijn van 1 maand een besluit nemen over een dergelijk verzoek en de betrokkene in kennis stellen van haar standpunt.
  6. Rechten met betrekking tot geautomatiseerde besluitvorming en profilering
    SCN maakt geen gebruik van geautomatiseerde besluitvorming en profilering.
  7. Recht van bezwaar
    Leden kunnen bij het bestuur van de SCN bezwaar maken tegen de verwerking van hun gegevens. Een dergelijk bezwaar dient gericht te worden aan secretaris@soliferclub.nl. Het bestuur zal binnen een termijn van 1 maand een besluit nemen over een dergelijk bezwaar en de betrokkene in kennis stellen van haar standpunt.

11. Hoe wordt omgegaan met datalekken?
Zodra wordt vastgesteld dat er sprake is van een ernstig datalek zal dat conform de daarvoor geldende regels via het meldloket datalekken gemeld worden aan de Autoriteit Persoonsgegevens en indien nodig ook aan de betrokkenen.