AVG-protocol stichting Luanda Jinja

Gegevensbescherming van persoonsgegevens

auteur: Geert Akkermans; versie 1.0 d.d. 25 mei 2018

SAMENVATTING

In dit protocol wordt vastgelegd welke procedures, reglementen, afspraken en communicatiemiddelen gehanteerd worden binnen de stichting Luanda Jinja ter voldoening aan de Europese AVG zoals deze per 25 mei 2018 van toepassing is op kleine verenigingen en stichtingen.
Inhoudsopgave

1. Inleiding pagina 3

2. Register Verwerkingen pagina 4

3. Privacy verklaring pagina 7

4. Bestuursbesluiten inzake AVG pagina 8

5. Beleid rondom continuïteit pagina 9

6. Toezicht pagina 10

7. Bewustwording pagina 11

8. Website pagina 12

9. Diversen pagina 13

1. Inleiding

Het AVG-protocol van de stichting Luanda Jinja te Tilburg bestaat uit de volgende documenten:
• Register verwerkingen; 

• Privacy Verklaring; 

• Bestuursbesluiten inzake AVG; 

• Beleid rondom continuïteit 

• Aanstelling Functionaris Gegevensbescherming 


2. Register Verwerkingen

In dit dossier is vastgelegd hoe de Stichting Luanda Jinja omgaat met de aan haar toevertrouwde persoonsgegevens, met welke instanties de gegevens worden gedeeld en waarom, en hoe hiervoor de toestemming van de betrokkenen is geregeld.
Ook is de privacyverklaring van de stichting in dit dossier opgenomen, en staat beschreven hoe de privacyverklaring onder de aandacht wordt gebracht van allen die met de stichting van doen hebben.
De Stichting Luanda Jinja hanteert het volgende systeem voor de vastlegging van persoonsgegevens:
2.1 Beheer Donateuradministratie
Het bestand donateursadministratie wordt lokaal beheerd op een PC bij bestuurder C. van den Donk-Evers. 
Bestuurder C. van den Donk-Evers maakt iedere maand een back-up van de systemen. De back-up staat op een losse schijf die zij bewaart in een afsluitbare lade.
Afspraak:
Nieuwe donateurs en belangstellenden melden zich aan bij het secretariaat dat wordt bemand door bestuurder G.J.M. Akkermans.
Bestuurder G.J.M. Akkermans levert de nieuwe aanmeldingen maandelijks aan bij bestuurder C. van den Donk-Evers, die de aanmelding in het betreffende bestand verwerkt.
Afmeldingen komen eveneens binnen bij het secretariaat. De afmeldingen worden eveneens maandelijks verwerkt door bestuurder C. van den Donk-Evers. Afmeldingen worden nog 2 jaar in het systeem bewaard. Daarna wordt de betrokkene uit het systeem verwijderd.
De stichting bewaart de donateurgegevens voor de periode die nodig is voor de administratieve verantwoording. Indien de donateur onmiddellijk uit het systeem verwijderen wordt, dan worden ook de betalingsgegevens verwijderd, en kan er, als ernaar gevraagd wordt, geen kloppende administratie worden overlegd.

2.2 Bestand Persoonsgegevens Donateuradministratie
• Naam en voorvoegsel
• Voorletters
• Adres
• Postcode
• Woonplaats
• Nieuwsbrief: J/N
• Emailadres: wordt alleen gevraagd aan donateurs die de Nieuwsbrief per email willen ontvangen.
• Toegezegd bedrag donatie: alleen indien er een vaste toezegging is gedaan.
• Betaalwijze: acceptgiro of incassomachtiging.
• Banknummer: alleen indien er sprake is van een incassomachtiging
• Bedanken: niet structureel, alleen bij donaties boven de € 500,00 en de donateur daar prijs op stelt. Uitvoering altijd per post.
• Afmeldingsdatum

2.3 Bestand Persoonsgegevens Belangstellendenadministratie
• Naam en voorvoegsel
• Voorletters
• Adres
• Postcode
• Woonplaats
• Nieuwsbrief: J/N
• Emailadres: wordt alleen gevraagd aan belangstellenden die de Nieuwsbrief per email willen ontvangen.

2.4 Verwerkingsafspraken persoonsgegevens Donateurs en Belangstellenden
In dit dossier is vastgelegd welke verwerkingen met de persoonsgegevens gedaan worden en hoe dit proces verloopt.

• Incassomachtigingen.
Donateurs die een incassomachtiging hebben afgegeven worden per opgegeven betaalperiode automatisch geïncasseerd. Daartoe worden hun naam, voorletters en banknummer ingebracht in het systeem van de bank. Voordat er geïncasseerd wordt, bekijken wij of er geen afmeldingen zijn geweest. Indien de donateur zich heeft afgemeld, wordt dit per direct verwerkt in het incassosysteem van de bank.

• Acceptgiro’s.
Het afdrukken van blanco acceptgiro’s (minder dan 1000 acceptgiro’s per keer) besteden wij uit aan Acceptgirobestellen.nl onderdeel van Speciaaldrukkerij Lijnco Groningen B.V. Er worden door onze stichting geen persoonsgegevens uit onze bestanden aan deze dienstverlener verstrekt. Op onze acceptgiro’s worden vooralsnog geen naam- en/of adresgegevens van onze donateurs/belangstellenden gedrukt.

• Etiketten ten behoeve verzenden Nieuwsbrieven
Het afdrukken van etiketten (minder dan 1000 acceptgiro’s per keer) besteden wij uit aan Drukkerij Tielen te Boxtel. Dit is een gerenommeerde dienstverlener waarvan wij aannemen dat deze zorgvuldig met onze bestanden omgaat en dat de bestanden uitsluitend worden gebruikt voor het doel waarvoor wij ze aanleveren. Geleverd worden de gegevens: voorletters, voorvoegsels, naam, adres, postcode, woonplaats. Drukkerij Tielen drukt onze Nieuwsbrief en maakt deze verzend gereed voor PostNL.
Voor de zekerheid vermelden wij deze tekst bij het plaatsen van de order:
Hierbij ontvangt u ons belangstellendenbestand voor het vervaardigen van etiketten t.b.v. onze Nieuwsbrieven. Graag zou ik van u in het kader van de AVG (Algemene Verordening Gegevensbescherming) gelijker tijd bij het bevestigen van de order per mail bevestigd willen hebben dat:
•het door ons aangeleverd bestand uitsluitend gebruikt wordt voor het drukken van etiketten; 

•u ons bestand uiterlijk een week na levering van de etiketten aan onze stichting hebt verwijderd. 


3. Privacyverklaring

In het vorige hoofdstuk (Register Verwerkingen) is vastgelegd hoe er binnen onze stichting omgegaan wordt met persoonsgegevens.
 In dit hoofdstuk leggen wij vast hoe en wat wij naar onze donateurs en belangstellenden communiceren inzake de aan ons toevertrouwde gegevens.

3.1 Privacyverklaring stichting Luanda Jinja
Stichting Luanda Jinja legt gegevens vast zoals naam, adres, woonplaats, emailadres en overige gegevens die noodzakelijk zijn voor de uitvoering van het donateurschap, verzending van onze Nieuwsbrieven of de verwerking van een eenmalige gift. Wij verstrekken uw gegevens uitsluitend aan partijen die diensten voor onze stichting uitvoeren, zoals drukkers voor het afdrukken van acceptgiro’s en etiketten en banken voor de verwerking van incassomachtigingen, en alleen die gegevens die voor de betreffende verwerking noodzakelijk zijn. Alle aan ons toevertrouwde informatie wordt door ons en door onze leveranciers vertrouwelijk behandeld.
Uw emailadres wordt uitsluitend gebruikt om informatie te sturen die onze stichting betreffen zoals nieuwsbrieven over gestarte en afgesloten projecten.
Uw gegevens worden alleen gebruikt voor de doeleinden waarvoor ze zijn verkregen.
U kunt zich te allen tijde afmelden als donateur of belangstellende voor onze Nieuwsbrieven. Stuur daarvoor een mail aan Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Ook adreswijzigingen en andere wijzigingen kunt u doorgeven aan ons secretariaat.
De stichting Luanda Jinja zorgt voor een goede en passende beveiliging (zowel technisch als fysiek) van de aan haar toevertrouwde persoonsbestanden.

4. Bestuursbesluiten inzake AVG

4.1 Verwerkersovereenkomst
Het bestuur heeft besloten dat het aangaan van een verwerkersovereenkomst met onze huisdrukkerij, bij de aantallen die wij laten drukken, een te zwaar middel is. Het ligt in de lijn der verwachting dat verwerkers niet zitten te wachten op kleine klanten zoals wij als ze ook nog de uitgebreide administratieve last hebben van het aangaan van een formele overeenkomst.
Het bestuur is ervan overtuigd dat Drukkerij Tielen een gerenommeerde partij is die zorgvuldig omgaat met de aan hen geleverde bestanden.
4.2 Opslag persoonsgegevens belangstellenden en donateurs
In haar vergadering van 12 mei 2018 heeft het bestuur besloten, gelet om de uiterst beperkte omvang van het bestand, dat een veilige opslag van de persoonsgegevens voldoende gewaarborgd is indien het bestuurslid dat verantwoordelijk is voor het beheer van de persoonsgegevens, het bestand opslaat op een aparte USB-stick. Deze USB-stick moet wel op een veilige plaats worden opgeborgen.

5. Beleid rondom continuïteit

Eén van de grootste risico’s op datalekken is diefstal van computer of laptop. Behalve dat de gegevens van onze stichting op straat kunnen komen te liggen is het natuurlijk ook lastig voor de stichting zelf: wij kunnen wellicht tijdelijk niet voor de organisatie aan de slag en mogelijkerwijs zijn er zelfs gegevens verloren gegaan. De AVG stelt dan ook dat iedere organisatie een back-upbeleid dient te hebben en zich daaraan moet houden.
5.1 Bestanden Belangstellenden- en Donateursadministratie
De bestanden donateursadministratie en belangstellendenadministratie wordt lokaal beheerd op een PC bij bestuurder C. Van den Donk-Evers.
Bestuurder C. Van den Donk-Evers maakt iedere maand een back-up van de systemen. Deze back-up staat op een losse schijf (of USB-stick) die zij bewaart in een afsluitbare lade.
Het bestuur overweegt om de PC van bestuurder C. van den Donk-Evers op kosten van de stichting Luanda Jinja te laten beveiligen met encryptiesoftware. Zelfs bij diefstal van haar PC is er dan toch geen sprake van een datalek.
5.2 Meldplicht datalekken
Ons land kent de meldplicht voor een serieus datalek. Komen op één of andere manier alle persoonsgegevens van onze donateurs of geregistreerde belangstellenden op straat te liggen, dan zijn wij verplicht dat te melden bij Autoriteit Persoonsgegevens. Dat kan via navolgende website:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht- datalekken

6. Toezicht

Onze stichting slaat in haar bestanden geen bijzondere persoonsgegevens op. Evenmin is er sprake van het opslaan van grootschalige overige gegevens. De AVG staat in een dergelijke situatie toe dat een stichting niet verplicht is een onafhankelijke toezichthouder aan te stellen.
6.1 Toezichthouder
Omdat de stichting Luanda Jinja geen onafhankelijke toezichthouder heeft aangesteld, dit vanwege de kleinschaligheid en het niet opslaan van bijzondere gegevens, zijn de privacytaken belegd bij een bestuurslid. In hoofdstuk 2 (Register Verwerkingen) van dit AVG-protocol staat de afgesproken procedure vermeld, inclusief de namen van de betrokken bestuursleden.

7. Bewustwording

De invoering en de praktische gevolgen van de AVG zullen regelmatig onderwerp van gesprek zijn tijdens de bestuursvergaderingen van de stichting Luanda Jinja.
Het is van belang dat alle bestuursleden op de hoogte zijn van de ontwikkelingen op het gebied van beheer van persoonsgegevens en de gevolgen voor de stichting indien de wettelijke verplichtingen niet, of niet geheel, worden nagekomen.

8. Website

De privacyverklaring uit paragraaf 3.1 zal op een goed zichtbare plek op de website van onze stichting worden geplaatst.
8.1 Aanmeldformulier
Bij gebruik van een aanmeldformulier op onze website, zoals aanmelden voor de nieuwsbrief en/of als donateur, dan wordt de invuller gewezen op de privacyverklaring en wordt er gevraagd expliciet akkoord te gaan met deze privacyverklaring. Dat kan via een vinkje zetten dat men akkoord gaat en bovendien met een link naar de verklaring.
8.2 SSL-certificaat
Onze website is voorzien van een SSL-certificaat. Gegevens worden daardoor versleuteld verzonden. Een ‘veilige website herkent u aan het slotje en https:// in het website-adres in plaats van http://
De aanmeldprocedure via de website kunt u vastleggen in het dossier.
Vermeld in uw dossier dat uw website voorzien is van een SSL-certificaat.
8.3 Cookie notice
De stichting Luanda Jinja verzamelt geen informaties over bezoekers van haar website. Het daarom niet nodig een cookie notice te plaatsen op de website www.luandajinja.com.
8.4 Nieuwe donateurs
Nieuwe donateurs melden zich aan bij het secretariaat dat wordt bemand door bestuurder G.J.M. Akkermans. Ook de antwoordformulieren die worden ingevuld op de website, komen binnen bij het secretariaat.
De aanmeldformulieren worden niet versleuteld verstuurd.

9. Diversen

9.1 Foto’s
Voor het publiceren van herkenbare foto’s met naam en toenaam zal de stichting altijd toestemming vragen. Foto’s die in een openbare ruimte/openbare gelegenheid gemaakt zijn kunnen redelijkerwijze worden gepubliceerd, tenzij iemand expliciet heeft aangegeven niet op de foto te willen.
9.2 Twijfel
Voor bestuursleden geldt bij twijfel over gebruik van foto’s en/of persoonsgegevens: altijd toestemming vragen aan de betreffende persoon.