Privacy beleid Hoekschewaards Landschap. Inleiding; Hoekschewaards Landschap is onder te verdeling in 3 onderdelen te weten de: - vereniging Hoekschewaards Landschap - stichting natuurbeheer Hoekschewaards Landschap - stichting natuurbehoud Hoekschewaards Landschap Het algemeen bestuur legt aan de ledenvergadering van genoemde onderdelen verantwoording af in zaken zoals onder andere het privacy beleid. Dit veiligheidsbeleid is aan de hand van de eisen van de AVG opgesteld. Hierbij is gebruik gemaakt van de adviezen die de vereniging Nederlandse organisaties Vrijwilligerswerk (NOV) aangeeft. Het doel waarom persoonsgegevens in een bestand worden bewaard. Persoonsgegevens van drie hieronder genoemde doelgroepen met het hierbij gekoppelde doel bewaard voor: Leden: Het innen van contributie en het verzenden van verenigingsinformatie zoals het verenigingsblad de Waardezegger en nieuws- en agendaberichten. Vrijwilligers: Onderlinge communicatie tussen coördinator/bestuurslid over zaken die betrekking hebben op informatie over het vrijwilligerswerk. Medewerkers: arbeidscontracten ziekteverzuimbegeleiding salarisgegevens. Verantwoordelijkheden binnen Hoekschewaards Landschap ten aanzien van de bescherming persoonsgegevens. Het algemeen bestuur is verantwoordelijk voor de bescherming van de persoonsgegevens en het nakomen van de regels en afspraken, die zijn neergelegd in het privacy beleid. Overzicht van persoonsgegevens die in bestanden zijn opgenomen, De volgende persoonsgegeven van de genoemde doelgroepen worden in een bestand opgenomen: Leden; De ledenadministratie beheert in een bestand het e-mailadres en de bankgegevens van de leden. Bij inschrijving door een nieuw lid wordt toestemming gevraagd voor gebruik van het e-mailadres voor het verzenden van nieuws- en agendaberichten Vrijwilligers; De secretaris beheert in een bestand de e-mail, adres en telefoonnummers van de vrijwilligers. Onderdelen van dit bestand worden door het bestuurslid van de betreffende afdeling beheerd. De verklaring omtrent gedrag (VOG) van vrijwilligers wordt beheerd door de werkgroep veiligheid. 1
Medewerkers; Het dagelijks bestuur (voorzitter- penningmeester secretaris) beheert de NAW gegevens, de salarisgegevens en de gegevens m.b.t. ziekteverzuimbegeleiding en de VOG. Medewerkers kunnen op aanvraag hun eigen persoonsgegevens inzien. Zij kunnen hiertoe een verzoek indienen bij een van de leden van het dagelijks bestuur. In het aanstellingsgesprek wordt de medewerker op de hoogte gesteld van het privacy beleid en krijgt een afschrift hiervan uitgereikt. Bewaren van persoonsgegevens. Persoonsgegevens worden voor de volgende doelgroepen als volgt bewaard: Leden; De lijst met eerder genoemde gegevens worden bewaard in een standalone computer die is beveiligd met een wachtwoord. Vrijwilligers; de lijst met de complete gegevens wordt bewaard in de cloud (PYDIO) die alleen toegankelijk is voor bestuursleden. Gastvrouwen/heren van beide bezoekerscentra hebben toestemming gegeven om een lijst met namen en telefoonnummers in een lade achter de bar te bewaren. Medewerkers; alle relevante persoonsgegevens worden bewaard in de cloud (PYDIO) in het onderdeel dat alleen toegankelijk is voor het dagelijks bestuur. Publiceren van foto s. Bij het publiceren van foto s van personen wordt na het nemen van de foto aan betreffende persoon toestemming gevraagd voor het publiceren. Bij kinderen worden de ouders om toestemming gevraagd Foto s kunnen worden gepubliceerd op de facebook pagina website verenigingsblad De Waardzegger - nieuws en agendaberichten - of folders. Na mondelingen toestemming wordt dit alsnog per mail aan betreffende persoon gemeld. De toestemmingmail wordt opgeslagen in een bestand in de beschermde omgeving van de web redactie of andere werkgroepen van de afdeling communicatie. Maatregelen die genomen zijn om te voorkomen dat andere onbedoelde persoonsgegevens in kunnen zien. Persoonsgegevens van leden worden in een specifiek beveiligd programma opgeslagen op een standalone computer welke staat in een afgesloten ruimte en is beveiligd met een wachtwoord. Persoonsgegevens van vrijwilligers en medewerkers zijn opgeslagen in de cloud (externe server genaamd PYDIO). Voor de opslag in de cloud en het gebruik hiervan kan deze alleen met een account en wachtwoord worden geopend. Alle computers waar persoonsgegevens op worden bewaard zijn alle standalone computers, die beveiligd zijn met een wachtwoord. Binnen Hoekschewaards Landschap hebben de volgende personen toegang tot bestanden met persoonsgegevens. Toegang tot de volgende bestanden van de hieronder genoemde doelgroep hebben; 2
Leden; de penningmeester, secretaris en de leden van de ledenadministratie hebben toegang tot de persoonsgegevens van de leden. Vrijwilligers; de bestuursleden hebben toegang tot de vrijwilligerslijsten met persoonsgegevens van hun onderdeel. Medewerkers; het dagelijks bestuur heeft toegang tot de persoonsgegevens van de medewerkers. Verantwoording voor gegevensbescherming Hoekschewaards Landschap. De leden van de werkgroep veiligheid beheren de gegevensbescherming van de organisatie. Zij overleggen en ondernemen actie daar waar nodig is. Verwerkingsovereenkomst. Met twee administratiekantoren zijn verwerkingsovereenkomsten afgesloten. (zie bijlage 1) Datalekken. Er is een procedure voor het melden van datalekken. (zie bijlage 2) 3
Bijlage 1. Verwerkingsovereenkomst De volgende afspraken worden in onderstaande overeenkomst volgens artikel 28 AVG met externe partijen, die persoonsgegeven voor HWL verwerken, vastgelegd: - Naam verwerker Welke (soort) persoonsgegevens worden verwerkt en eventueel de wettelijke basis. - Welke verwerkingen de verwerker precies moet doen. Hierbij kan ook geregeld worden wat de verwerker (in ieder geval) niet mag doen. - Doeleinden De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de opdracht en instructies in de overeenkomst - Kopieën De verwerker maakt geen kopieën van de persoonsgegevens zonder toestemming en vernietigd de bestanden of geeft deze terug na gebruik. - Beveiliging De verwerker draagt zorg voor passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies e.d. en informeert de verantwoordelijk hierover - Onderaannemers Indien de verwerker gebruik maakt van onderaannemers, dan worden in de overeenkomst afspraken gemaakt over de voorwaarden waarop de verwerker de onderaannemers mag inschakelen. De verwerker geeft inzicht in de overeenkomst en afspraken met de onderaannemers. - Geheimhouding De verwerker heeft een geheimhoudingsplicht. In de overeenkomst met onderaannemer wordt deze ook opgelegd aan de onderaannemer. Bij schending van deze geheimhoudingsplicht wordt een boete opgelegd door de verantwoordelijke. De hoogte van de boete is vooraf vastgelegd door de verantwoordelijke. - Controle De verantwoordelijke heeft de mogelijkheid om te controleren of de verwerker zich aan de afspraken houdt. In de overeenkomst worden daar afspraken over gemaakt - Rapportage Afspraken over rapportage van beveiligingsincidenten en datalekken en na ontdekking de termijn waarbinnen deze incidenten moeten worden gemeld bij verantwoordelijke. Ook wordt opgenomen dat tot zeker 5 jaar na de opdrachtverstrekking voor verwerking van de persoonsgegevens datalekken worden gemeld. 4
- Criteria rapportage De criteria voor rapportage van incidenten, de inhoud van rapportages over beveiligingsincidenten en datalekken, en de snelheid waarmee wordt gerapporteerd aan verantwoordelijke. In de afspraken is opgenomen dat de verwerker beveiligingsincidenten en datalekken, die (mogelijk) gevolgen hebben voor betrokkenen, meteen rapporteert aan de verantwoordelijke en dat de verwerker waar nodig ook meewerkt aan het adequaat informeren van de betrokkenen. - Schade Afspraken over de verdeling schade voor personen als gevolg van datalekken door de verwerker, wanneer de verantwoordelijke daarvoor aansprakelijk wordt gesteld. De verwerker is zelfstandig aansprakelijk voor schade die door de verwerker is veroorzaakt en die hem kan worden toegerekend. Eventueel met vrijwaringsbepaling voor verantwoordelijke voor aansprakelijkheid van schade als gevolg van het verwerken van persoonsgegevens door verwerker. 5
Bijlage 2. Procedure datalekken. Bij het vaststellen van een datalek bij onderstaande systemen en programma s die voor HWL persoonsgegevens bevatten wordt onderstaande procedure gevolgd. Systemen waar persoonsgegeven zijn; Ledenadministratie Vrijwilligersadministratie Personeelsadministratie inclusief stagiaires Verantwoordelijk voor deze systemen zijn het algemeen bestuur dat werkt met deze systemen en heeft gedelegeerd aan: Ledenadministratie; aangewezen vrijwilligers Vrijwilligersadministratie; secretaris Personeelsadministratie; dagelijks bestuur en bedrijfsleider Stichting Natuurbeheer Het evalueren en bewaken van het privacy beleid is bij HWL onder gebracht bij de werkgroep veiligheid. De werkgroep bestaat uit vier bestuursleden. Als specifiek onderdeel van de werkgroep wordt wanneer nodig een afvaardiging van de werkgroep ICT betrokken. Wanneer er een vermoeden is van een datalek neemt degene, die dit constateert, contact op met de voorzitter van de werkgroep veiligheid. De voorzitter verzamelt de informatie en neemt contact op met de ICT werkgroep en beiden stellen vast of het wel of niet een datalek is. Bij vaststelling van een datalek wordt deze met bijzonderheden gemeld bij de autoriteit gegevensbescherming. Herstel, informatie aan betrokkenen en advies vanuit de werkgroepen veiligheid en ICT worden opgevolgd. 6