Algemene Verordening Gegevensbescherming

 

Algemeen.

Zoals algemeen bekend heeft iedereen het recht op privacy. Dit betekent dat je niet zomaar iemands persoonlijke informatie mag gebruiken. Vanaf 25 mei 2018 geldt er nieuwe en strengere Europese regelgeving op het gebied van bescherming persoonsgegevens, de Algemene Verordening Gegevensbescherming (AVG). De nieuwe regelgeving en daarop gebaseerde Nederlandse privacywetgeving leiden tot een inspanningsverplichting voor verenigingen en stichtingen zoals WS-VA en de Stichting ABC; besturen zijn hoofdelijk aansprakelijk voor de naleving ervan. Als WS-VA zijn wij wettelijk verplicht tot het beschermen van de persoonsgegevens van leden, vrijwilligers, en alle andere personen van wie persoonsgegevens verwerkt worden. In dit artikel stel ik u op de hoogte van de belangrijkste regels en de gevolgen daarvan voor de Website Veteranen Artillerie (WS-VA). Bij het lezen van dit artikel zult u al te maken hebben gehad met een aantal gevolgen van de nieuwe regelgeving of op een andere wijze zijn geïnformeerd. Mogelijk volgt nog aanvullende informatie.

 

Enige termen en definities.

Verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke stelt doel en middelen van de persoonsgegevensverwerking vast. Voor de WS-VA zijn de beheerders verwerkingsverantwoordelijke. De beheerders van de website zijn als zodanig verantwoordelijk voor het naleven van de beginselen voor persoonsgegevensbeheer en houden daartoe (indien van toepassing) een register van verwerkingsactiviteiten (verwerkingsregister) bij. Bij het inrichten van de verwerkingen houdt zij rekening met de principes van ‘privacy door ontwerp en standaardinstellingen’ en treft passende beveiligingsmaatregelen. In geval van een datalek doet zij melding daarover aan de Autoriteit Persoonsgegevens.

Verwerker. Een verwerker is iemand die persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke zonder aan diens rechtstreeks gezag onderworpen te zijn. Van een verwerker is sprake als het beheer van persoonsgegevens wordt uitbesteed en als de verwerking van de persoonsgegevens de primaire opdracht is. De WS-VA heeft niet te maken met een verwerker.

Intern beheer. Als iemand namens of voor de verwerkingsverantwoordelijke verwerkingsactiviteiten uitvoert en aan diens gezag is onderworpen, dan is sprake van intern beheer. Voor de WS-VA is dit niet van toepassing.

Betrokkene. De betrokkene is degene van wie de persoonsgegevens worden verzameld en beheerd. Voor de WS-VA zijn betrokkenen de bezoekers van de website.

Privacy door ontwerp en standaardinstellingen. Dit principe beschrijft de verplichting van een verwerkingsverantwoordelijke om ervoor te zorgen dat een zo klein mogelijke inbreuk op de persoonlijke levenssfeer wordt gemaakt bij systemen waarmee persoonsgegevens worden verwerkt. Daarbij geldt:

  • Minimaliseer: Beperk zoveel mogelijk de verwerking van gegevens. Selecteer voor het verzamelen en verwijder wanneer mogelijk.
  • Scheid: Scheid persoonsgegevens zoveel mogelijk van elkaar en werk zo gedistribueerd mogelijk.
  • Abstraheer: Aggregeer tot het hoogst mogelijke niveau, beperk details zoveel als mogelijk.
  • Bescherm en maak onherleidbaar: Voorkom dat gegevens openbaar worden en beveilig gegevens. Verbreek waar mogelijk de link tussen personen en gegevens.

Verwerkingsregister

Het hier genoemde verwerkingsregister bevat een opsomming van de belangrijkste informatie over de verwerking van persoonsgegevens. Het bijhouden van een register is vanaf 25 mei 2018 wettelijk verplicht. Het bevat de volgende voor de WS-VA relevante elementen:

  • naam en contactgegevens van de verwerkingsverantwoordelijke;
  • indien van toepassing de naam en contactgegevens van de functionaris voor gegevensverwerking of voor intern beheer;
  • de verschillende doeleinden waarvoor de vereniging persoonsgegevens verwerkt;
  • een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Aangezien de WS-VA geen persoonsgegevens verwerkt is dit verwerkingsregister niet van toepassing

 

Privacyverklaring.

De doelen voor het verzamelen en vastleggen van persoonsgegevens moeten uitdrukkelijk omschreven en gerechtvaardigd zijn. Dat betekent dat een verwerkingsverantwoordelijke voordat hij begint met het verzamelen en verwerken van persoonsgegevens moet vastleggen waarvoor die gegevens nodig zijn. Anders gezegd: persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verwerkt. Als WS-VA zijn wij verplicht om alle bezoekers daarover vooraf te informeren. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging die zijn vastgelegd in het verwerkingsregister.

De privacyverklaring informeert een betrokkene over zijn rechten bij de verwerking van zijn persoonsgegevens. De informatie wordt aan betrokkene verstrekt voordat zijn gegevens worden verzameld en de gegevens worden pas verwerkt nadat hij daarvoor toestemming heeft gegeven. Die informatie vermeldt:

  • de identiteit en contactgegevens van de verwerkingsverantwoordelijke en degene die de persoonsgegeven opvraagt en beheert als vertegenwoordiger van de verwerkingsverantwoordelijke. Dit kan een daartoe aangestelde functionaris zijn;
  • de doelen waarvoor de persoonsgegevens worden verwerkt;
  • de grondslag waarop de verwerking is gebaseerd (voor de WS-VA: expliciete toestemming betrokkene);
  • de eventuele ontvangers van gegevens;
  • de bewaartermijn, of criteria voor het bepalen ervan;
  • de rechten van betrokkene;
  • in geval van toestemming dat betrokkenen die toestemming altijd weer kan intrekken;
  • dat betrokkene altijd het recht heeft een klacht in te dienen over de verwerking bij de Autoriteit

Persoonsgegevens.

Als er meerdere doelen zijn vermeld op een privacyverklaring kan een betrokkene met geen, alle of een deel van die doelen instemmen.

 

Rechten betrokkene.

Betrokkene heeft recht op:

  • informatie over de verwerkingen;
  • inzage in zijn/haar gegevens;
  • correctie van de gegevens als die niet kloppen;
  • verwijdering van de gegevens en ‘vergeten worden’;
  • beperking van de gegevensverwerking;
  • verzet tegen de gegevensverwerking;
  • overdracht van de gegevens;
  • het niet onderworpen worden aan geautomatiseerde besluitvorming.

 

Toestemming gebruik gegevens.

Voor het gebruik van persoonsgegevens door de WS-VA is expliciete en geldige toestemming van betrokkenen nodig. Voor een geldige toestemming moet:

  • de toestemming vrij gegeven zijn;
  • de toestemming specifiek zijn en geïnformeerd. De verwerkingsverantwoordelijke moet dus duidelijke informatie verstrekken over de redenen waarom hij de gegevens gaat verwerken;
  • de toestemming ondubbelzinnig zijn; er mag geen twijfel over bestaan.

Er is niet voor ieder verwerking toestemming nodig, zolang het gaat om verwerkingen als gevolg van het bezoek van de WS-VA.

Bij de rechtsgrondslag ‘toestemming’ zijn nog de volgende aanvullende voorwaarden van toepassing:

  • de verwerkingsverantwoordelijke moet kunnen aantonen dat betrokkene toestemming heeft gegeven;
  • als de toestemming is opgenomen in een tekst die ook op andere onderwerpen betrekking heeft, moet de verwerkingsverantwoordelijke op een duidelijke manier het onderscheid aangeven tussen dat waarvoor betrokkene toestemming geeft en de andere onderwerpen;
  • betrokkene mag te allen tijde zijn toestemming intrekken.

De WS-VA bezoekers hebben door het bezoeken van de WS-VA en het lezen van deze AGV WS-VA geldige toestemming gegeven in de zin van deze regelgeving.

 

Beveiliging

De WS-VA moet passende maatregelen treffen om te voorkomen dat persoonsgegevens worden blootgesteld aan onrechtmatige verwerking. Informatiebeveiliging is echter meer dan het beschermen tegen diefstal en virussen. De praktijk leert dat de meeste beveiligingsincidenten het gevolg zijn van niet-opzettelijke nalatigheid. Uiteindelijk draait informatiebeveiliging om een juiste combinatie van zowel technische als organisatorische maatregelen. Welke maatregelen nodig zijn, hangt af van de risico’s die met de verwerking van persoonsgegevens zijn verbonden. De autoriteit Persoonsgegevens heeft de ‘Beleidsregels beveiliging persoonsgegevens’ gepubliceerd. Leidt een beveiligingsincident tot de vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens, dan is mogelijk sprake van een datalek. Tenzij het datalek waarschijnlijk geen nadelige gevolgen heeft voor de betrokken personen, moet het lek tijdig worden gemeld bij de Autoriteit Persoonsgegevens. Heeft het lek bovendien een hoog risico op nadelige gevolgen voor de personen wier gegevens het betreft, dan moet het incident ook aan deze personen worden gemeld.

 

Geheimhoudingsplicht

Beheerders van de WS-VA hebben een geheimhoudingsplicht.
 

SPAM

Het SPAM-verbod houdt in dat de Ws-VA geen ongevraagde elektronische berichten mag sturen, tenzij de ontvanger daar vooraf mee instemt.

 

Regels omtrent het maken en publiceren van foto’s en video’s

Bij foto’s en video’s met een herkenbaar in beeld gebrachte personen en daaraan gekoppelde tekst is veelal sprake van tot personen herleidbare informatie en dus persoonsgegevens. Voor het maken en publiceren ervan heeft de WS-VA vaak toestemming nodig van de betrokkene. Daarbij geldt tevens dat iemand die toestemming geeft voor het maken van een foto, niet per definitie toestemming geeft voor de publicatie ervan. Een herkenbaar in beeld gebrachte persoon heeft in sommige gevallen het recht om zich te verzetten tegen publicatie van dergelijke beelden. Ook op sociale media zijn wij als WS-VA verantwoordelijk voor het publiceren van persoonsgegevens (zoals foto’s). Bij publicaties op de WS-VA zal met deze beperking rekening moeten worden gehouden

Ter afsluiting.

De nieuwe regelgeving op het gebied van beheer van persoonsgegevens heeft nogal wat voeten in aarde. In bepaalde gevallen kan nog aanvullende regelgeving volgen voortvloeiend uit Nederlandse wetgeving. Uiteraard doen de beheerders WS-VA er alles aan tijdig en op de juiste wijze te voldoen aan alle bepalingen. Voor vragen op dit gebied kunt u zich wenden tot de beheerders van de WS-VA; wij zullen u zo goed mogelijk blijven informeren.

Toestemming algemeen

Nadat u als bezoeker van de WS-VA deze bovenstaande tekst heeft gelezen en u daarna verder gaat met het bezoeken van de WS-VA heeft u bij deze ingestemd met deze AVG WS-VA

 

 

Contactgegevens:

Beheerders WS-VA

info@veteranenartillerie.nl