Privacy Beleid Koninklijk Roermond Mannenkoor

Inhoudsopgave

1 Inleiding

1.1 Vereisten verwerking persoonsgegevens voor verenigingen
1.2 Aanvullende vereisten
1.3 Systemen

2 Online beheren van het KRM-adressenbestand

2.1 Gegevensmatrix 
2.2 Registratie van aanvullende lid gegevens
2.3 Registratie van bijzondere gegeven
2.4 Systeem- en gegevensbeheer
2.5 Permissies

3 Datalekken

3.1 Aan de toezichthouder
3.2 Aan het lid


1. Inleiding

Het Koninklijk Roermonds Mannenkoor (in het vervolg het KRM) hecht grote waarde aan de bescherming van de persoonsgegevens van haar leden, partners en andere relaties. Persoonlijke gegevens worden door het KRM dan ook met de grootst mogelijke zorgvuldigheid behandeld en beveiligd. Het KRM houdt zich dan ook in alle gevallen aan de eisen die de Algemene Verordening Gegevensbescherming  stelt.
In dit privacy beleid staat beschreven hoe het KRM  persoonsgegevens en gegevensbestanden registreert, verwerkt en bewaart. Ook gerelateerde onderwerpen, zoals het raadplegen, muteren, uitwisselen en verstrekken van gegevens staat in dit beleid beschreven. Het privacy beleid omvat alle on- en offline systemen waarin persoonsgegevens voorkomen in het KRM adressenbestand.

1.1 Vereisten verwerking persoonsgegevens voor verenigingen

De Algemene Verordening Gegevensbescherming  stelt eisen aan organisaties die gegevensbestanden beheren, zoals een ledenadministratie. Deze eisen zijn;

  • toestemming van het lid voor het verwerken van de gegevens;
  • juist en nauwkeurig bijhouden van de lid gegevens;
  • beveiligen van de lid gegevens;
  • op verzoek inzage verlenen in de eigen opgeslagen lid gegevens;
  • uitsluitend gebruik van de lid gegevens voor het doel waarvoor ze verzameld zijn.


Conform de Algemene Verordening Gegevensbescherming  is het het KRM toegestaan persoonsgegevens te verwerken; categorie Bijzondere vereisten, vrijgestelde categorieën van verwerkingen (paragraaf 1): verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties.

1.2 Aanvullende vereisten

Het KRM stelt met dit privacy beleid, naast de wettelijke vereisten, ook een aantal aanvullende richtlijnen vast voor het verwerken van persoonsgegevens. Het beleid bevat ook aandachtspunten voor leden, gebruikers, beheerders en ontwerpers van systemen om niet alleen nu maar ook in de toekomst de privacy te waarborgen.

1.3 Systemen

Het KRM verwerkt persoonsgegevens in de volgende systemen. De systemen worden gehost op internetservers in uitsluitend Nederlandse datacenters.

1.3.1  Het KRM publieksgedeelte
Het KRM publieksgedeelte is het algemeen toegankelijk gedeelte van de website, bedoelt voor het informeren van belangstellenden van algemene KRM aangelegenheden (onder andere optredens).

1.3.2  Het KRM ledengedeelte
Het KRM ledengedeelte is de administratieve applicatie van het KRM  en wordt gebruikt door individuele leden in alle lagen van de organisatie. Het doel van het KRM ledengedeelte is leden sneller te voorzien van de juiste informatie en om administratieve taken efficiënter te laten verlopen door de gegevens op één plaats op te slaan en voor de juiste personen beschikbaar te stellen. Met het persoonlijke inlogcode krijgen leden toegang tot het KRM ledengedeelte.
Het ledengedeelte is het informatie- en nieuwsportaal van de vereniging. De informatie is toegankelijk door middel van inlog met de persoonlijke inlogcode.

1.3.4 Media / Video, Foto’s en geluidsfragmenten
Via https://roermonds-mannenkoor.nl/  is een online beeldbank met rechten vrij te gebruiken foto’s te raadplegen, het KRM beschikt over een uitgebreid digital beeldarchief waarin ook foto- en videomateriaal is gearchiveerd.

1.3.5 Financiën
De financiële administratie van het KRM verwerkt persoonsgegevens in de debiteuren- en crediteurenadministratie van de vereniging. Beheer geschiedt door een extern online boekhoudprogramma, dat via een inlogcode benaderd kan worden. Onderling dataverkeer vindt uitsluitend plaats via een versleutelde verbinding.

1.3.6 KRM-Webshop
De KRM-Webshop is de winkel van het KRM. Voor de verwerking van bestellingen binnen het ledengedeelte worden voor de bestelling relevante persoonsgegevens gebruikt. De KRM-Webshop gebruikt ledengegevens en is aan strenge regelgeving gebonden, zoals omschreven in dit privacy beleid. De KRM-Webshop gebruikt in het openbare gedeelte bij bestellingen alleen aangeleverde gegevens t.b.v. de bestelling.

1.3.7 E-Mail
Ieder lid krijgt een gepersonaliseerd e-mailadres (naam@roermonds-mannenkoor.nl) toegewezen. Privé e-mailadressen worden dan ook nergens gebruikt en/of verspreid.
Het KRM werkt met een e-mailsystseem voor het (geautomatiseerd) versturen van e-mails. Om de juiste doelgroepen te be-emailen zijn in het systeem naast een e-mailadres beperkt aanvullende persoonsgegevens geregistreerd op basis van de data uit het KRM-adressenbestand.

2 Online beheren van het KRM-adressenbestand

2.1 Adressenbestand

Sinds 23 maart 2018 is het beheren van het KRM-adressenbestand een onderdeel van het besloten gedeelte van de KRM-Website.
Dit wil zeggen dat alle actuele gegevens van zangers, donateurs en anderen online beheerd kunnen worden. Het beheren van gegevens is voorbehouden aan enkele (bestuurs)leden.
De algemene ledenlijsten, bevatten alléén gegevens van (oud) zangers, dirigent, beschermheren en ereleden die de volgende gegevens kunnen bevatten:

  • Voornaam en Achternaam
  • Straatnaam en Huisnummer
  • Postcode en Plaatsnaam
  • Geboorte datum
  • Telefoonnummer
  • Pasfoto
  • Gepersonaliseerd KRM-e-mailadres
  • Stempartij
  • Startdatum van Lidmaatschap


Afhankelijk van diegene die is ingelogd, zijn de volgende gegevens beschikbaar:

Ingelogd als

Algemene ledenlijsten bekijken

Gebruiker details bekijken

Gebruiker details bewerken

Zanger

JA

NEE

NEE

Bestuurslid

JA

JA

NEE

1 ste en 2 de Secretaris

JA

JA

JA

2.2 Beveiliging.

Alle dataverkeer tussen bezoekers/leden en de websiteserver vindt uitsluitend plaats via een versleutelde verbinding.

2.3 Registratie van bijzondere gegevens

Sommige gegevens zijn extra gevoelig. Denk hierbij aan bijvoorbeeld gegevens over iemands gezondheid of godsdienst. Deze gegevens vormen een extra risico voor de privacy van de leden, aangezien aan de hand van deze gegevens ongewenste koppelingen gemaakt kunnen worden.
Bijzondere gegevens worden niet door het KRM geregistreerd

2.3.1 Definitie bijzondere gegevens
Onder bijzondere gegevens vallen:

  • Godsdienst of levensovertuiging
  • Ras
  • Politieke gezindheid
  • Seksualiteit
  • Lidmaatschap van een vakvereniging
  • Burger Service Nummer (BSN, voorheen Sofinummer)
  • Medische gegevens
  • Genetische en biometrische kenmerken


2.3.2 Geheimhouding
Personen die permissie hebben persoonsgegevens te registreren en raadplegen, zijn verplicht tot geheimhouding.

2.3.3 Controle
De online applicaties worden continu automatisch gescand op het opslaan van bijzondere gegevens waarvoor géén toestemming is van de wet dan wel persoon.

2.4 Systeem- en gegevensbeheer

De gegevens en applicaties die gebruikt worden binnen het KRM zijn aan onderhoud onderhevig. De webmaster beheert namens het KRM diverse systemen, zowel hardware- als softwarematig. Doordat de webmaster toegang heeft tot deze systemen en services, heeft hij direct of indirect ook toegang tot de gegevens van leden. Deze toegang wordt zoveel mogelijk beperkt en alleen aan die mensen verstrekt die daadwerkelijk toegang tot deze systemen nodig hebben. Zij zijn conform het huishoudelijk reglement verplicht tot het overleggen van een Verklaring Omtrent Gedrag (VOG) en het ondertekenen van een integriteits- en geheimhoudingsverklaring. Deze overeenkomst waarborgt op juridische wijze de privacy van leden. Op technisch vlak worden logboeken bijgehouden op de systemen waarin gegevens worden opgeslagen, waarin te zien is door wie welke gegevens zijn geraadpleegd.

2.5 Permissies

Het toekennen van permissies binnen de ontwikkelde applicaties is opgenomen in het permissiemodel. Deze persmissies gekoppeld aan de functie die een persoon vervult binnen het KRM. Bij verandering van een functie, worden ook de permissies meegenomen. Binnen de applicaties is het gebruikelijk dat het toekennen van rechten gebeurt op het bovenliggende niveau en dus nooit door de gebruiker zelf kan gebeuren (toe-eigenen van rechten).

3 Datalekken

Uiteraard doet het KRM er alles aan om de in dit document genoemde persoonsgegevens niet in handen van derden die geen toegang tot die gegevens zouden mogen hebben te laten vallen. Gebeurt dit wel, dan spreken we over een datalek. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, een gestolen geprinte ledenlijst of cliëntengegevens.
Andere voorbeelden zijn cyberaanvallen, verkeerd verzonden e-mail of verloren usb-stick.

In de Algemene Verordening Gegevensbescherming staat dat als er een datalek plaats vindt dit gemeld moet worden. Er wordt hier echter met klemtoon gesproken over het lekken van persoonsgegevens als gevolg van beveiligingsproblemen. Deze datalekken moeten –als ze voldoende ernstig zijn- onverwijld worden gemeld aan de toezichthouder, de Autoriteit Persoonsgegevens (AP).
Meldingen worden digitaal gedaan bij het meldloket Autoriteit Persoonsgegevens: https://datalekken.autoriteitpersoonsgegevens.nl

3.1 Aan de toezichthouder

Zodra er een datalek is geconstateerd zal binnen 72 uur dit gemeld moeten worden bij de toezichthouder de Autoriteit Persoonsgegevens. De melding hieraan bevat tenminste:

  • De aard van de inbreuk
  • De persoon waar meer informatie over de inbreuk kan worden verkregen
  • De aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken
  • Een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van de persoonsgegevens
  • De maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.


3.2 Aan het lid

Nadat er een datalek heeft plaatsgevonden en het waarschijnlijk is dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van het betrokken lid, dient dit lid een melding te ontvangen. In deze melding zal tenminste de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken bevatten.

Secretariaat KRM
Postbus 1145
6040 KC Roermond
  T: +31 (0)475 333275
E: secretaris@roermonds-mannenkoor.nl

Kvk: 40175112  IBAN: NL42 RABO 0131298984

Wilt u op de hoogte blijven van onze activiteiten?

Volg ons dan op Facebook.
U ontvangt dan van ons een bericht, zodra er een nieuwe uitvoering of activiteit zal plaatsvinden.

facebook 120   YoutubeKanaal
Uw Privacy

© Copyright: Koninklijk Roermonds  Mannenkoor 1999 - 2019.
Deze website wordt onderhouden door Herman Aben