Hoe Vereniging Hofwijck omgaat met persoonsgegevens in het licht van de nieuwe privacywetgeving

Sinds 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van kracht. Organisaties die persoonsgegevens verwerken hebben de verplichting aan te tonen dat zij in organisatorische en technische zin aan de AVG voldoen. In dit kader vindt de Vereniging Hofwijck het van belang dat u weet dat de vereniging niet aan grootschalige gegevensverwerking doet. 

De verantwoordingsverplichting 

Vereniging Hofwijck doet niet aan grootschalige verwerking van persoonsgegevens en hoeft om die reden niet te beschikken over een verwerkingsregister en hoeft derhalve een dergelijk register niet te verstrekken wanneer de Autoriteit Persoonsgegevens daar om vraagt.

De eventuele noodzaak van het aanleggen van een dergelijk register hangt af van de omvang van de Hofwijck-organisatie en het type gegevens dat de vereniging verwerkt:

• Vereniging Hofwijck is een organisatie met minder dan 250 medewerkers;
• Vereniging Hofwijck verwerkt geen persoonsgegevens die een hoog risico inhouden voor de privacyrechten van betrokkenen (de rechten en vrijheden van de mensen van wie Vereniging Hofwijck gegevens verwerkt);
• Van de mensen waarvan gegevens worden verwerkt, is deze verwerking incidenteel. D.w.z. dat de gegevens die worden vastgelegd worden bepaald door de – toevallige en vrijwillige momenten – waarop een privé- of zakelijke verbintenis wordt aangegaan of verbroken;
• Vereniging Hofwijck verwerkt geen gegevens die vallen onder de categorie bijzondere persoonsgegevens (zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens).

De gegevensverwerking van Vereniging Hofwijck in kaart

Vereniging Hofwijck is zelf de ‘verwerkingsverantwoordelijke’
Dit betekent dat Vereniging Hofwijck geen gebruik maakt van de diensten van een verwerker: de vereniging stelt zelf het doel en de middelen voor de verwerking van persoonsgegevens vast.

De verwerking van persoonsgegevens
Volgens de AVG heeft Vereniging Hofwijck een documentatieplicht. Dit houdt in dat moet kunnen worden aangetoond dat de juiste organisatorische en technische maatregelen aanwezig zijn om te voldoen aan de rechten en verplichtingen als verwerkingsverantwoordelijke. Onderstaand worden de onderwerpen die moeten worden vastgelegd in algemene zin beschreven.

Naam van de organisatie, en de vertegenwoordiger van de organisatie

• Vereniging Hofwijck, vertegenwoordigd door de heer P. van der Ploeg
  - er zijn geen andere organisaties met wie gezamenlijk de doelen en middelen van de verwerking zijn vastgesteld;
  - er is geen functionaris voor de gegevensbescherming (FG) aangesteld.

Het doel van de verwerking/doelen waarvoor Vereniging Hofwijck verwerkt

• - Doel is het onderhouden van contacten met (zakelijke) in- en externe relaties door mondeling, schriftelijke en digitaal met hen te communiceren.
• - Dit varieert van het uitnodigen voor recepties en evenementen tot het organiseren van rondleidingen, behoud en beheer van het museum en de buitenplaats etc.

Onderwerp van verwerking

• - Het betreft de contactgegevens van (zakelijke) in -en externe relaties en het bankrekeningnummer in geval van financiële transacties.

De duur van de verwerking/ een algemene beschrijving van de datum waarop deze gegevens worden gewist (als dat/deze bekend is)

• - De gegevens worden vastgelegd op het moment dat de (zakelijke) relatie wordt aangegaan en worden niet meer gebruikt vanaf het moment dat deze relatie wordt verbroken.
• - De gegevens worden gearchiveerd in geval de betrokkenen een relatie met de Vereniging Hofwijck hebben die historisch relevant is (bijv. bij restauraties en schenkingen).

De aard van de verwerking

• - De gegevens worden handmatig vastgelegd in Outlook, te raadplegen door een ieder die daar vanuit zijn of haar rol voor is geautoriseerd. Uit Outlook wordt op geëigende momenten een export gemaakt naar Excel teneinde de adressen te kunnen gebruiken voor adreslabels en mailbestanden.

Beveiliging

• - De maatregel die Vereniging Hofwijck heeft genomen om persoonsgegevens te beveiligen bestaat eruit dat alleen degene die daarvoor door het management – uit hoofde van zijn of haar rol in de organisatie – is geautoriseerd, in staat worden gesteld de gegevens op systeemniveau te muteren en (digitaal/op print) te raadplegen.

Overzicht van verwerkingsactiviteiten

Vereniging Hofwijck stelt de volgende categorieën van betrokkenen en categorieën/soort  persoonsgegevens vast:
 

Categorieën van betrokkenen: personen van wie Vereniging Hofwijck gegevens verwerkt

Personeel

< 10

-     naam (titel, functie)
-     adres (privé)
-     e-mailadres (privé)
-     bankrekeningnummer (salarisbetalingen)

Aangeleverd door betrokkene
 

Vrijwilligers

100-150

-     naam (titel, functie)
-     adres (privé)
-     e-mailadres (privé)
-     bankrekeningnummer (declaraties)

Aangeleverd door betrokkene
 

Openbaar publiek (nieuwsbrieflezers via Mailchimp )

>1000

- naam (niet verplicht)
- e-mailadres (privé)

Anonieme eigen initiatieven
 

Externe relaties (leden, pers, politiek, bestuurlijke overheid, vak en branchegenoten, etc.)

500- 1000

-     naam (titel, functie)
-     adres (privé of zakelijk)
-     e-mailadres (privé of zakelijk)

Aangeleverd door / namens betrokkene
 

Zakelijke relaties (leveranciers etc.)

0-100

-     naam (titel, functie)
-     adres (privé of zakelijk)
-     e-mailadres (privé of zakelijk)
-     bankrekeningnummer (facturen)

Aangeleverd door / namens betrokkene
 

Commerciële relaties (vergader- en huwelijksarrangementen etc. )

>1000

-     naam (titel, functie)
-     adres (privé of zakelijk)
-     e-mailadres (privé of          zakelijk)
-     bankrekeningnummer (facturen)

Reserveringen door bedrijven of privépersonen