Isala en de Algemene Verrdening Gegevensbescherming Vanaf 25 mei 2018 is de General Data Prtectin Regulatin (GDPR) van kracht in alle EU-lidstaten. De Nederlandse implementatie daarvan is de Algemene Verrdening Gegevensbescherming (AVG). Alle rganisaties die persnsgegevens verwerken, dus k sprtverenigingen zals Isala, krijgen dan meer verplichtingen ten aanzien van de bescherming van persnsgegevens. De nadruk ligt daarbij meer dan nu p de verantwrdelijkheid van rganisaties m aan te kunnen tnen dat zij zich aan de wet huden. De AVG heeft p hfdlijnen betrekking p vier belangrijke nderdelen: 1. De grndslag 2. Zrgvuldigheid 3. Verplichtingen 4. Rechten van betrkkenen In de nderstaande paragrafen is per nderdeel aangegeven welke impact de invering van de AVG heeft vr Isala en p welke wijze Isala aan de AVG-verplichtingen vldet. 1. De grndslag Een rganisatie mag persnsgegevens verzamelen, beheren en gebruiken (in de terminlgie van de AVG heet dit verwerken ) als dit is gebaseerd p minimaal één van de vlgende grndslagen: Testemming van de gebruiker Een rechtsgeldige testemming vldet aan de vlgende eisen: Vrijelijk gegeven niet nder druk f nadeel bij geen testemming Ondubbelzinnig er met sprake zijn van een duidelijke actieve handeling Geïnfrmeerd duidelijk del en aard van de verwerking, heldere rechten van betrkkenen Specifiek testemming met steeds gelden vr een specifieke verwerking en een specifiek del Vitale belangen Hiervan is sprake als het verwerken van gegevens essentieel is vr iemands leven f gezndheid en de persn zelf geen testemming kan wrden gevraagd. Denk aan medische gegevens. Wettelijke verplichting Verwerking van gegevens is ndzakelijk m aan een wettelijke plicht te kunnen vlden. Overeenkmst Verwerking van gegevens is ndzakelijk m te kunnen vlden aan een vereenkmst met betrkken persn. Algemeen belang Hiervan is sprake als gegevens wrden verwerkt m te kunnen vlden aan wettelijk vastgelegde publieke taken vr het algemeen belang f penbaar gezag. Gerechtvaardigd belang De verwerking van gegevens is aantnbaar ndzakelijk m bijvrbeeld bedrijfsactiviteiten uit te kunnen veren. Denk aan een persneelsadministratie. Cnclusie t.a.v. grndslag: Isala is p basis van de grndslag Overeenkmst gerechtigd m persnsgegevens te verwerken. Daarbij verwerkt Isala uitsluitend de persnsgegevens die ndzakelijk zijn vr de vastlegging van de vereenkmst tussen een lid f andere geregistreerde relatie en Isala. 1
Indien een lid f andere relatie hier niet mee instemt kan de vereenkmst niet tt stand wrden gebracht. Vr verwerking van andere persnsgegevens buiten de minimaal vr de vereenkmst bendigde gegevens zal Isala altijd expliciet testemming vragen aan betrkkenen. Pas na verkregen testemming wrden deze gegeven p basis van de grndslag Testemming van de gebruiker geregistreerd. Denk bijv. aan een (pas)ft vr p de ledenlijst. Indien geen testemming wrdt gegeven zal Isala geen (pas)ft registreren, znder dat dit negatieve gevlgen heeft vr het betreffende lid. Isala verwerkt geen bijzndere persnsgegevens zals gegevens m.b.t. etnische afkmst, plitieke f religieuze vertuiging, medische gegevens, etc. 2. Zrgvuldigheid Een rganisatie is verantwrdelijk vr een zrgvuldige mgang met de gegevens van en in de eigen rganisatie. Daarbij spelen de vlgende factren een rl: Mgelijk met er een Functinaris Gegevensbescherming (FG) wrden aangesteld. Dit is iemand die binnen de rganisatie tezicht hudt p de tepassing en naleving van de AVG. Dit is p grnd van de AVG in drie situaties verplicht: Vr verheden en publieke rganisaties. Vr rganisaties die vanuit hun kernactiviteiten p grte schaal individuen vlgen. Denk aan prfilering van mensen, maken van risic-inschattingen, cameratezicht en mnitring van iemands gezndheid via wearables. Vr rganisaties die p grte schaal bijzndere persnsgegevens verzamelen. Denk aan iemands gezndheid, ras, plitieke pvatting, gelfsvertuiging f strafrechtelijk verleden. Cnclusie t.a.v. aanstelling Functinaris Gegevensbescherming: Isala is p basis van de van tepassing zijnde factren niet verplicht een FG aan te stellen. Privacy by design en Privacy by default. Dit hudt in dat er bij het ntwerpen van prducten en diensten vr wrdt gezrgd dat persnsgegevens ged wrden beschermd (Privacy by design) en dat leden bewuste keuzes maken t.a.v. de verwerking. Er mgen geen vraf ingevulde waardes wrden gebruikt (Privacy by default). Isala maakt vr de verwerking van persnsgegevens gebruik van het geautmatiseerde verenigingspakket e-captain. Er wrden niet meer gegevens verwerkt dan minimaal ndzakelijk is m de verenigingsdelen te realiseren. Binnen e-captain zijn alle persnsgegevens ged beschermd en beveiligd pgeslagen. De vastlegging, inzage, wijziging en verwijdering van deze gegevens gebeurt altijd p basis van unieke authenticatie van de gebruiker f bewerker. Uitsluitend geautriseerde functinarissen hebben tegang tt de verwerkte persnsgegevens en de delen vr het gebruik zijn helder gespecificeerd. Dit is binnen e-captain geregeld dr middel van specifieke beheerprfielen met bijbehrende autrisaties. Frmulieren die tt del hebben m persnsgegevens te registeren bevatten nit vraf ingevulde (default) waardes vr invul- f keuzevelden. Cnclusie t.a.v. Privacy by design en Privacy by default: Isala vldet aan de in de AVG gestelde criteria. Mgelijk is het uitveren van een Data Prtectin Impact Assessment (DPIA) verplicht. De DPIA is een instrument m vraf de privacy risic s van een gegevensverwerking in 2
kaart te brengen. Een DPIA is verplicht als aan één f meer van de vlgende criteria van tepassing is: Berdeling van mensen p basis van persnskenmerken (bijv. prfiling, prgnses, betruwbaarheid, gezndheid, vrkeuren) Geautmatiseerde beslissingen (met wezenlijke (rechts)gevlgen vr betrkkenen) Stelselmatige en grtschalige mnitring (bijv. cameratezicht penbare ruimte) Gevelige gegevens (bijv. plitieke vrkeuren, strafrechtelijke gegevens) Grtschalige gegevensverwerking (bijv. ziekenhuizen, verversmaatschappijen, marktnderzeken, prviders, zekmachines) Gekppelde databases (met meerdere delen en verantwrdelijken en p een manier die betrkkenen niet redelijkerwijs kunnen verwachten) Gegevens ver kwetsbare persnen (waarbij sprak is van ngelijke machtsverhudingen, bijv. werknemers, kinderen, patiënten) Gebruik van nieuwe technlgieën (met grte privacy risic s, bijv. Internet-fthings tepassingen) Blkkering van een recht, dienst f cntract (bijv. een bank die persnsgegevens verwerkt m te bepalen f iemand wel f niet een lening krijgt) Cnclusie t.a.v. verplichting tt uitvering DPIA: Vr de gegevensverwerking binnen Isala is geen van de in de AVG gestelde criteria van tepassing. Isala is daarm niet verplicht m een DPIA uit te veren vr de verwerking van persnsgegevens in de ledenadministratie. 3. Verplichtingen Een rganisatie met technische en rganisatrische maatregelen nemen m de persnsgegevens van leden en relaties te beschermen. Deze verplichting mvat tenminste de vlgende drie nderdelen: Bijhuden van een register met alle verwerkingen. Dit register van verwerkingsactiviteiten bevat infrmatie ver de persnsgegevens die wrden verwerkt binnen de rganisatie. De AVG schrijft daarbij minimaal de vlgende verplichte infrmatie vr: Naam en cntactgegevens van de rganisatie. In de terminlgie van de AVG is dit de verantwrdelijke De delen waarvr de persnsgegevens wrden verwerkt Een beschrijving van de categrieën persnen van wie de persnsgegevens wrden verwerkt Een beschrijving van de categrieën persnsgegevens die wrden verwerkt De datum waarp de persnsgegevens wrden gewist De categrieën ntvangers aan wie persnsgegevens wrden verstrekt Een algemene beschrijving van de technische en rganisatrische maatregelen die zijn genmen m de persnsgegevens die wrden verwerkt te beveiligen He vldet Isala aan de verplichting tt het bijhuden van een register met verwerkingen: De verplichte infrmatie is weergegeven in het dcument Isala Privacybeleid. De meest actuele versie van dit dcument is vr alle betrkkenen beschikbaar p de Isala website. Opstellen van een gegevensbeschermingsbeleid Dit gegevensbeschermingsbeleid (k wel Privacybeleid genemd) is niet altijd verplicht, maar wrdt sterk aanbevlen m aan zwel de betrkkenen binnen de eigen rganisatie 3
als aan de Autriteit Persnsgegevens te laten zien dat wrdt vldaan aan de AVGverplichtingen. Om het nakmen van de AVG-verplichtingen aan te tnen met het Privacybeleid tenminste de vlgende infrmatie bevatten: De delen waarvr de persnsgegevens wrden verwerkt Verplichting m niet meer gegevens te verwerken dan ndzakelijk is Een beschrijving van de categrieën persnsgegevens die wrden verwerkt De datum waarp de persnsgegevens wrden gewist Welke rechten betrkkenen hebben en he zij deze rechten kunnen uitefenen Een algemene beschrijving van de technische en rganisatrische maatregelen die zijn genmen m de persnsgegevens die wrden verwerkt te beveiligen He vldet Isala aan de verplichting tt het pstellen van een gegevensbeschermingsbeleid: Het gegevensbeschermingsbeleid is weergegeven in het dcument Isala Privacybeleid. De meest actuele versie van dit dcument is vr alle betrkkenen beschikbaar p de Isala website. De gegevens meten beveiligd zijn Deze beveiliging mvat zwel rganisatrische als digitale maatregelen. Organisatrisch: Dit mvat alle beveiligingsmaatregelen die betrekking hebben p het verlenen van geautriseerde tegang tt gegevens vr beheer en nderhud dr specifieke functinarissen binnen Isala. En maatregelen m te vrkmen dat gegevens in handen kmen van nbevegde derden (datalek). Digitaal: Dit betreft de digitale beveiliging van gegevens binnen het verenigingspakket e-captain. Deze beveiliging valt nder de verantwrdelijkheid van Dispi BV te Den Bsch die e-captain levert en hst. In de terminlgie van de AVG is Dispi BV daarmee een zgenaamde bewerker. Dispi BV geeft invulling aan deze digitale beveiliging dr nder meer: Beveiligde hsting mgeving in high tech datacenter. Servers wrden altijd vrzien van ndzakelijke beveiligingssftware en alle belangrijke updates. Hiermee wrdt het risic p nbevegde tegang tt gegevens, alsmede het ntstaan van datalekken geminimaliseerd. Dagelijkse backups van alle servers. Deze wrden zwel intern als extern bewaard 3-traps inlgprcedure d.m.v. lginnaam, wachtwrd en pincde. Deze gegevens kunnen niet in de brwser wrden pgeslagen en meten dus expliciet wrden ingeverd Sessie time-ut. Autmatische uitlg na bepaalde peride van niet actief zijn Cntinuïteit. De brncde van e-captain is gedepneerd bij een ntaris in Den Bsch waar tevens een vereenkmst is gemaakt t.b.v. de cntinuïteit van e-captain He vldet Isala aan de verplichting tt beveiliging van de gegevens: De rganisatrische beveiligingsmaatregelen binnen Isala zijn weergegeven in het dcument Isala Privacybeleid. De meest actuele versie van dit dcument is vr alle betrkkenen beschikbaar p de Isala website. De digitale en technische beveiligingsmaatregelen wrden uitgeverd dr bewerker Dispi BV te Den Bsch. Isala heeft ten beheve van deze uitvering een Bewerkersvereenkmst afgeslten met Dispi BV. Deze Bewerkersvereenkmst vldet aan de verplichtingen die de AVG hierte stelt. De meest actuele versie van dit dcument is vr alle betrkkenen beschikbaar p de Isala website. 4
4. Rechten van betrkkenen Leden en verige relaties meten cntrle kunnen uitefenen p de gegevens die wrden verwerkt. Dit hudt het vlgende in: Recht m de gegevens in te zien Recht m de gegevens te wijzigen Recht m vergeten te wrden Recht m gegevens ver te dragen Recht p infrmatie He vldet Isala aan de rechten van betrkkenen: Het recht p inzage en wijziging van eigen gegevens is gebrgd drdat Isala hierte gebruik maakt van de website functinaliteit binnen e-captain. Ieder lid heeft de mgelijkheid m p het beslten, uitsluitend vr leden tegankelijke deel van de website de eigen gegeven in te zien en (deels) zelf te wijzigen. Alle andere rechten zijn dr middel van prcedures gebrgd. Deze rechten en prcedures zijn pgenmen in het dcument Isala Privacybeleid. De meest actuele versie van dit dcument is vr alle betrkkenen beschikbaar p de Isala website. 5. Publicatie en wijziging van dit dcument De meest actuele versie van dit dcument is nder de naam Isala en de AVG vr alle betrkkenen beschikbaar p de Isala website. Het Isala Bestuur is verantwrdelijk vr het nderhud p dit dcument. Eventuele wijzigingen p basis van wettelijke verplichtingen, vrtschrijdend inzicht f verbetering van prcedures wrden dr het Bestuur verwerkt. Wijzigingen wrden p de Isala website gepubliceerd. Vragen f pmerkingen ver dit dcument kunnen wrden gericht aan het vr privacy eerstverantwrdelijke bestuurslid via email: privacy@zrzv-isala.nl Versiebeheer: 0.1 20180406 Eerste cnceptversie 0.2 20180406 Tekstuele aanpassingen, diverse crrecties 0.3 20180407 Grndslag Overeenkmst tegevegd. Tekstuele aanpassingen. 0.4 20180426 Tekstuele aanpassingen, diverse crrecties 5