De nieuwe privacy wetgeving per 25 mei 2018

 

De General Data Protection Regulation (GDPR)

Vanaf 25 mei 2018 is de General Data Protection Regulation (GDPR) van toepassing. In Nederland wordt de GDPR ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Vanaf die datum geldt dezelfde privacywetgeving in de hele EU.

Organisaties die persoonsgegevens verwerken, zoals (sport- en patienten)verenigingen, stichtingen bijvoorbeeld, krijgen dan meer verplichtingen. De nadruk ligt - meer dan nu - op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Dat vergt (soms) een gedegen voorbereiding.

Wat verandert er?

De nieuwe AVG zorgt onder meer voor:

  •     versterking en uitbreiding van privacyrechten;
  •     meer verantwoordelijkheden voor organisaties;
  •     dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes op te leggen.

De nieuwe AVG in een notendop

De AVG heeft betrekking op een viertal onderdelen.

De grondslag

Uw organisatie verzamelt en beheert gegevens van leden en relaties. Op basis van een aantal factoren mag u gegevens verzamelen.

  • Toestemming van de gebruiker
  • Vitale belangen
  • Wettelijke verplichting
  • Overeenkomst
  • Algemeen belang
  • Gerechtvaardigd belang

Zorgvuldigheid

U bent verantwoordelijk voor de gegevens van en in uw organisatie. Hierbij spelen de onderstaande factoren een rol.

  • Mogelijk moet u een Functionaris gegevensbescherming aan te stellen.
  • Privacy by design. Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd.
  • U kunt verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen.

Verplichtingen

U dient technische en organisatorische maatregelen te nemen om de gegevens van uw leden en relaties te beschermen. U moet dan denken aan onderstaande onderdelen.

  • U kunt verplicht zijn een Register met alle verwerkingen te moeten bijhouden.
  • U moet een gegevensbeschermingsbeleid opstellen.
  • Uw gegevens moeten (digitaal) beveiligd zijn.

De digitale beveiliging van uw gegevens valt onder de verantwoording van e-Captain (DISPI). Dit doen wij onder andere op de volgende manier.

  • Beveiligde hosting omgeving. Onze servers worden gehost in het high tech datacenter van Interconnect in ’s-Hertogenbosch. De servers zijn voorzien van beveiligingssoftware en worden door ons voorzien van alle belangrijke updates.
  • Dagelijkse back-ups. Wij maken dagelijks een back-up van onze servers. Deze worden zowel intern als extern bewaard.
  • 3-traps inlogprocedure. Om in te loggen in e-Captain heeft u een loginnaam, wachtwoord en pincode nodig. Deze gegevens kunnen niet in uw browser worden opgeslagen om snel en automatisch in te loggen als u naar e-Captain gaat.
  • Sessie time-out. Als u een bepaalde periode niet actief bent in e-Captain wordt u automatisch uitgelogd.
  • Continuïteit. De broncode van e-Captain is gedeponeerd bij een notaris in ’s-Hertogenbosch alwaar een overeenkomst is gemaakt t.b.v. de continuïteit van e-Captain.

U leest meer over de beveiliging van e-Captain in de veelgestelde vragen.

Rechten van betrokkenen

Uw leden en relaties moeten controle kunnen uitoefenen op de gegevens die u beheert. Dit houdt het volgende in:

  • Zij hebben het recht om de gegevens in te zien.
  • Zij hebben het recht om de gegevens te wijzigen.
  • Zij hebben het recht om vergeten te worden.
  • Zij hebben het recht om gegevens over te dragen.
  • Zij hebben het recht op informatie.

De eerste twee punten kunt u in e-Captain eenvoudig oplossen door gebruik te maken van de Mijn Captain website.

Belangrijke vragen

De belangrijkste vragen voor u aangaande de nieuwe AVG zijn ons inziens:

  • Waarom hebben wij de persoonsgegevens nodig?
  • Waar bestaan deze persoonsgegevens uit? (Benoem bijvoorbeeld alle velden op uw aanmeldformulier die nodig zijn)
  • Klopt het vastleggen van de persoonsgegevens met de doelstellingen in onze statuten van onze organisatie?
  • Staat in onze statuten of huishoudelijk reglement dat leden de informatie van leden mogen inzien?
  • Leggen wij bijzondere gegevens vast op politiek, levensbeschouwlijk, godsdienstig of vakbondsgebied etc.?
  • Is dit te onderbouwen waarom wij dit doen?
  • Kunnen onze leden / begunstigers / donateurs etc. de eigen informatie inzien en aanpassen?
  • Hoe lang bewaren wij de gegevens van onze relaties nog als deze niet meer bij ons actief zijn?

e-Captain (DISPI) heeft een Verwerkersovereenkomst opgesteld waarin onze gezamelijke rechten en plichten zijn opgenomen.


De volledige wettekst van de AVG.

Naam: de AVG wettekst  Download
Type: pdf
Grootte: 1.04 MB

De e-Captain Verwerkersovereenkomst.

Naam: De e-Captain verwerkersovereenkomst  Download
Type: pdf
Grootte: 583 kB

Voorbeeld privacy verklaring voor uw website.

Naam: Voorbeeld privacy verklaring voor uw website  Download
Type: doc
Grootte: 36 kB

Veelgestelde vragen

De antwoorden op onderstaande veelgestelde vragen zijn totstand gekomen met de medewerking van de Autoriteit Persoonsgegevens.

Moeten mijn leden (relaties) het nieuwe privacybeleid accepteren?

Nee. U heeft slechts een informatie plicht.

Een privacyverklaring is een eenzijdig document en gebruikt u om uw privacy beleid te verantwoorden. Leden of andere relaties hoeven er geen akkoord op te geven, maar ze moeten er wel naar kunnen handelen. Daarom moet het privacybeleid altijd goed vindbaar zijn, zodat een klant zijn rechten kan inroepen als hij of zij dat wil. Plaats daarom het privacybeleid duidelijk op uw website.

Mag de vereniging mijn persoonsgegevens aan andere leden doorgeven?

Ja, uw vereniging mag uw gegevens (zoals uw naam, adres en woonplaats) doorgeven aan bepaalde mensen binnen de vereniging. Dit is nodig om de vereniging draaiende te houden. De penningmeester bijvoorbeeld heeft uw gegevens nodig om de contributie te innen.

Ledenlijst verstrekken

Uw vereniging mag de ledenlijst niet zomaar verstrekken aan alle leden. Dit mag alleen als er een zogeheten gerechtvaardigd belang voor is. Bijvoorbeeld als het noodzakelijk is dat teamleden met elkaar kunnen afspreken om te gaan sporten.

Verstrekt uw vereniging uw gegevens aan andere leden? Dan moet de vereniging u daarover informeren.

Mag de vereniging mijn persoonsgegevens aan bedrijven doorgeven voor reclame of sponsoring?

Ja, dat mag. Maar uw vereniging moet u wel daarover informeren. Bijvoorbeeld via de website of het clubblad.

Bovendien moet uw vereniging u een redelijke tijd de kans geven om verzet aan te tekenen. Zodra u verzet aantekent, moet uw vereniging direct stoppen met het doorgeven van uw gegevens. U hoeft niet te zeggen waarom u verzet aantekent. Uw vereniging mag geen vergoeding vragen om uw verzoek in behandeling te nemen.

Mag de vereniging een lijst op de website publiceren met leden die hun contributie nog niet hebben betaald?

Nee, dat mag niet. Ook niet op een afgeschermd deel van de website van de vereniging dat alleen voor leden toegankelijk is.

Het is niet nodig dat alle leden van de vereniging weten dat iemand zijn of haar contributie niet heeft betaald. De vereniging kan op andere manieren de openstaande contributie innen, die minder ingrijpend zijn voor de privacy van deze persoon. Bijvoorbeeld via een incassobureau.

Mag de vereniging mijn persoonsgegevens publiceren op internet?

Ja, maar alleen op een afgeschermde internetpagina en als het is opgenomen in de doelstellingen van de vereniging. Heeft de ledenvergadering publicatie goedgekeurd? Dan hoeft de vereniging hiervoor geen expliciete toestemming aan de leden te vragen.

De vereniging moet er wel voor zorgen dat niet zomaar iedereen de ledengegevens op internet kan inzien. Alleen leden mogen toegang hebben. Bijvoorbeeld door een verplicht wachtwoord en door de pagina’s met ledengegevens af te schermen voor zoekmachines.

Kan ik mijn persoonsgegevens bij de vereniging inzien en/of laten verbeteren of verwijderen?

Ja, dat kan. U heeft het recht om uw gegevens bij uw vereniging in te zien. Ook kunt u vragen uw persoonsgegevens te corrigeren of verwijderen.

Hoe is de beveiliging van e-Captain geregeld?

Wij hebben diverse maatregelen genomen voor de beveiliging van e-Captain. Wij hebben deze voor u op een rijtje gezet op een speciale pagina: Hoe is de beveiliging van e-Captain geregeld?

Meer weten?

De informatie op deze pagina is ontleend aan de website van de Autoriteit Persoonsgegevens. Wij adviseren u zich goed in te lezen in de nieuwe AVG. De website van de Autoriteit Persoonsgegevens helpt u daarbij.

 
 
 

Haal meer uit e-Captain!

e-Captain is een zeer uitgebreid ledenadministratie pakket. Wij bieden verschillende basis trainingen aan waarbij u op toegankelijke wijze leert werken met e-Captain. De trainingen vinden plaats op ons kantoor in 's-Hertogenbosch.

Bekijk onze trainingen

 

TeamViewer

Om u optimaal support te kunnen geven is het in sommige gevallen handig als we op afstand kunnen meekijken op uw eigen computer. Hiervoor maken wij gebruik van TeamViewer. Met TeamViewer kunnen wij op afstand uw computer overnemen.

 Download TeamViewer

 

Deze pagina is voor het laatst bijgewerkt op: 5 augustus 2019