Bescherming persoonsgegevens

Bescherming persoonsgegevens Hulpmiddel voor patiënten- en gehandicaptenorganisaties bij het toepassen van de geldende privacyregels

Deze brochure is gemaakt door

Brochure bescherming persoonsgegevens, januari 2016

Inhoud 1.

2.

3.

4.

Inleiding ........................................................................................................ 1 1.1.

Waarom deze brochure? ............................................................................ 1

1.2

De Wet bescherming persoonsgegevens (Wbp). ............................................ 1

Hoofdregels voor gegevensbestanden ................................................................ 2 2.1

Welke gegevens mag een pgo opvragen? ..................................................... 2

2.2.

Voor welk doel mag een pgo gegevens verwerken? ....................................... 3

Waaraan moet de verwerking voldoen ............................................................... 4 3.1.

Zorgvuldigheid en rechtmatigheid ............................................................... 4

3.2.

Kwaliteit van de gegevensverwerking ....................................................... 4

3.3.

Transparantie ........................................................................................... 5

3.4.

Inzagerechten van betrokkenen .................................................................. 5

3.5.

Beveiliging ............................................................................................... 6

3.6.

Externe gegevensverwerking ...................................................................... 6

Bijlagen ......................................................................................................... 8

Bijlage 1 : Registratieformulier ............................................................................... 9 Bijlage 2: Toestemmingsformulier (al dan niet digitaal) ............................................ 12 Bijlage 3: Privacyverklaring. ................................................................................. 13 Bijlage 4: Intern privacyreglement ........................................................................ 14 Bijlage 5: Bewerkersovereenkomst ........................................................................ 15 Bijlage 6: Inzageregeling ..................................................................................... 18 Bijlage 7: Wbp meldingsformulier. ......................................................................... 20

PGOsupport, versie januari 2016


1. 1.1.

Inleiding Waarom deze brochure?

We kunnen er niet omheen. Bij een patiënten- of gehandicaptenorganisatie (pgo) is het nodig om persoonsgegevens te registreren en gebruiken. Bijvoorbeeld de gegevens van leden en donateurs. En van relaties en mogelijk ook van personeelsleden en vrijwilligers. Bij een pgo bevat de administratie naast algemene gegevens meestal ook gezondheidsgegevens van de leden. Al deze gegevens dienen op een zorgvuldige manier te worden verwerkt. Deze brochure is ontwikkeld als hulpmiddel voor pgo's bij het toepassen van de geldende privacyregels.

1.2

De Wet bescherming persoonsgegevens (Wbp).

De Wet Bescherming Persoonsgegevens bevat de basisbeginselen waaraan iedere gegevensverwerking moet voldoen en de wettelijke regels waarin die basisbeginselen zijn uitgewerkt. De wet gaat uit van zelfregulering. Dat betekent dat uw organisatie zelf verantwoordelijk is voor het goed uitvoeren van de wet. Voor iedere verwerking moet er een verantwoordelijke zijn die maatregelen neemt om invulling te geven aan de basisbeginselen. Bij een pg-organisatie is dat het bestuur van de vereniging of stichting. Welke definities hanteert de wet? Persoonsgegevens: alle gegevens over een bepaalde levende natuurlijke persoon. Generieke persoonsgegevens: naam, adres, woonplaats, telefoon, e-mailadres, geboortedatum, m/v, beroep, burgerlijke staat, banknummer, nummers ID-kaart, paspoort, rijbewijs, BSN. Bijzondere persoonsgegevens: godsdienst, ras, politieke gezindheid, gezondheid, lidmaatschap vakbond, strafrechtelijk verleden. Bestand: gestructureerd geheel van persoonsgegevens van verschillende personen. Verwerken: alle handelingen met persoonsgegevens: verzamelen, opslaan, registreren, ordenen, gebruiken, delen, combineren, verstrekken, wijzigen, bijhouden, wissen, vernietigen. Verantwoordelijke: degene die doel en middelen van het verwerken bepaalt. Bewerker: externe partij die gegevens verwerkt of bewaart in opdracht van de verantwoordelijke. Betrokkene: degene wiens gegevens in een bestand zijn opgenomen. Derde: iedereen behalve de verantwoordelijke, bewerker of betrokkene.


1

2.

Hoofdregels voor gegevensbestanden

Voor het verwerken van persoonsgegevens moet de verantwoordelijke altijd toestemming vragen aan de betrokkene. Daarbij moet worden vermeld voor welk doel de gegevens gebruikt zullen worden. De verantwoordelijke mag niet meer persoonsgegevens opvragen dan hij nodig heeft. De verantwoordelijke mag de gegevens niet voor een ander doel gebruiken dan waarvoor ze zijn verstrekt. Onderverdeling gegevens: 

Generieke persoonsgegevens: o Generieke persoonsgegevens verwerken mag, mits zorgvuldig en conform de wettelijke regels en basisbeginselen. o Als een vereniging van haar leden alleen generieke persoonsgegevens in het bestand opneemt, hoeft het bestand niet te worden aangemeld bij het Autoriteit Persoonsgegevens of de Functionaris Gegevensbescherming.



Bijzondere persoonsgegevens o Bijzondere persoonsgegevens verwerken mag niet, tenzij voor de organisatie vrijstelling geldt op grond van wet of vrijstellingsbesluit dan wel met uitdrukkelijke toestemming van de betrokkene. o Als er bijzondere gegevens in het bestand zijn opgenomen moet de verwerking worden aangemeld bij het Autoriteit Persoonsgegevens of de Functionaris Gegevensbescherming.

2.1

Welke gegevens mag een pgo opvragen?

De gegevens die opgevraagd mogen worden staan in volgorde van “normaal naar super gevoelig”. Naam, adres, postcode, woonplaats, e-mail, telefoon: Generieke gegevens

Generieke gegevens

 altijd opvragen bij registratie want nodig voor bereikbaarheid en verenigingswerk. Geboortedatum, beroep, gezinssamenstelling, bankrekeningnummer:  opvragen als relevant voor verenigingswerk, vermelden waarvoor gegevens gebruikt worden. Nummer ID, paspoort, rijbewijs, BSN

Generieke gegevens

Bijzondere gegevens

 opvragen mag maar bij voorkeur niet doen, immers vatbaar voor misbruik en niet nodig voor doelstellingen pgo. Gezondheidsgegevens: zijn meestal nodig voor pgo.


2

 Verwerken van gezondheidsgegevens mag alleen met uitdrukkelijke toestemming per specifiek gebruik en met extra waarborgen van controle en toezicht (= aanmelden bij Autoriteit Persoonsgegevens)

2.2.

Voor welk doel mag een pgo gegevens verwerken?

Voor alle persoonsgegevens, zowel de generieke als de bijzondere persoonsgegevens geldt: Doel

Toestemmingsgradatie

Administratie, contributie, accountantscontrole. Mailing aan leden, gebruikelijke activiteiten: informatie en nieuwsbrieven, toezenden uitnodigen en verslagen ALV, lotgenotendagen en andere bijeenkomsten.

Altijd toegestaan is normaal gebruik voor verenigingswerk.

Overige door ALV goedgekeurde activiteiten. Onderzoek/statistiek. Intern gebruik voor ander doel dan waarvoor gegevens zijn verstrekt, zoals verenigingslid benaderen voor vrijwilligerstaak op basis van vermeld beroep.

Toegestaan maar vraagt om extra zorgvuldigheid.

Gebruik voor marketing en pr, website. Extern verstrekken aan zorgprofessionals (bijv. arts, ziekenhuis, verpleegkundige, apotheker, farma, leverancier). Verstrekken aan professionele dienstverleners ter bewerking en/of bewaring (bijv. ICT-beheer).

Alleen toegestaan met toestemming per verwerking en onder strikte waarborgen.

Doorgeven aan (zuster)organisaties in EU of andere landen met goede privacywetgeving.


3

3.

Waaraan moet de verwerking voldoen

Dit hoofdstuk noemt de basisbeginselen van de Wet bescherming persoonsgegevens en licht die toe, per onderwerp aangevuld met een advies.

3.1.

Zorgvuldigheid en rechtmatigheid

•

Persoonsgegevens mogen alleen worden verwerkt voor duidelijk bepaalde, gerechtvaardigde en aan de betrokkene meegedeelde doeleinden.

•

Persoonsgegevens mogen alleen worden verwerkt met ondubbelzinnige toestemming van de betrokkene.  Of als de verwerking noodzakelijk is voor de uitvoering van de overeenkomst tussen de vereniging en de betrokkene, voor de uitvoering van een wettelijke plicht of rechterlijk vonnis, of ter waarborging van een vitaal belang (=levensbelang) van de betrokkene.  Dan wel voor een belang van de vereniging dat redelijkerwijs moet prevaleren boven het belang van de betrokkene.  Naarmate de te verwerken gegevens gevoeliger zijn moet de toestemming per specifieke verwerking uitdrukkelijk verkregen zijn.

DOEN  Gebruik een registratieformulier om toestemming te krijgen voor de voorgenomen gebruiksdoelen (bijlage 1) en/of een toestemmingsverlening voor specifieke verwerkingen (bijlage 2).  Gebruik een privacyverklaring waarin u toelicht dat en hoe u bij het verwerken van persoonsgegevens van uw leden zorgvuldig en volgens de wettelijke regels te werk gaat en plaats deze privacyverklaring op uw website (bijlage 3).

3.2.

Kwaliteit van de gegevensverwerking

•

De bestanden met persoonsgegevens moet voldoen aan strikte eisen van kwaliteit.

•

Vertrouwelijkheid en proportionaliteit moeten gegarandeerd zijn.

•

De opgevraagde persoonsgegevens moeten relevant zijn voor het doel waarvoor ze zijn verzameld en worden verwerkt, zij moeten met het oog op dat doel toereikend en volledig zijn, maar niet bovenmatig.

•

Gegevens mogen niet worden verwerkt op een manier die niet past binnen het doel waarvoor zij zijn verkregen.


4

DOEN  Hanteer een intern privacyreglement waarin het beheer en de bevoegdheden over en de toegang tot de bestanden met persoonsgegevens vastgelegd zijn (bijlage 4).  Controleer jaarlijks de kwaliteit van uw ledenadministratie: zijn de verwerkte gegevens nog noodzakelijk en relevant voor het doel waarvoor u ze hebt verzameld, zijn uw gegevensbestanden nauwkeurig, volledig en up-to-date, dienen er gegevens te worden verwijderd omdat ze niet langer nodig zijn voor het doel waarvoor ze zijn verstrekt of in verband met einde lidmaatschap en verstrijken bewaartermijn (meestal twee jaar). Zorg voor goede verslaglegging van deze periodieke controle.  Zend uw leden jaarlijks een overzicht van de opgeslagen persoonsgegevens met het verzoek die gegevens te controleren en te actualiseren. Vermeld de doelen waarvoor de gegevens zijn verzameld en gebruikt, en vraag toestemming voor gebruik voor eventueel beoogde nieuwe doelen.

3.3.

Transparantie

•

De pgo moet in het openbaar verantwoording afleggen voor het gehanteerde privacybeleid.

•

Wanneer een pgo behalve generieke gegevens ook bijzondere gegevens, namelijk gezondheidsgegevens verwerkt, worden aan die verantwoording extra eisen gesteld en moet ook het toezicht op de verwerking gewaarborgd zijn. Daarom moet de gegevensverwerking bij het Autoriteit Persoonsgegevens worden gemeld en in het openbare register van verwerkingen worden opgenomen.

DOEN  Publiceer de privacyverklaring waarin de pgo zich verantwoordt voor de verwerking van persoonsgegevens op de website van de vereniging (bijlage 3)  Advies: Meld de gegevensverwerking bij het Autoriteit Persoonsgegevens door het meldingsformulier te downloaden van https://autoriteitpersoonsgegevens.nl/ (bijlage 7)  Alternatief: melden bij de door PGOsupport aangestelde Functionaris Gegevensverwerking (FG)

3.4.

Inzagerechten van betrokkenen

•

Een betrokkene moet kennis kunnen nemen van de verwerking van zijn persoonsgegevens en de zorgvuldige en rechtmatige verwerking van die gegevens moet gewaarborgd zijn.

•

Een betrokkene die daar om vraagt moet binnen vier weken na dat verzoek inzage krijgen in de verwerking van zijn persoonsgegevens door de pgo. Voor de inzage mag een kostenvergoeding van 5 euro in rekening worden gebracht.


5

•

De betrokkene kan de pgo verzoeken zijn persoonsgegevens te corrigeren, af te schermen, te verwijderen of te vernietigen.

•

Een betrokkene kan zich verzetten tegen een verwerking die hij onrechtmatig acht. De verantwoordelijke moet het verzet binnen vier weken beoordelen. Bij ongegrondverklaring van het verzet moet de betrokkene gewezen worden op de rechtsmiddelen die hij tegen die beslissing kan aanwenden.

DOEN  Hanteer een inzageregeling waarin de inzageprocedure, verzet mogelijkheden en rechtsmiddelen worden beschreven en publiceer die regeling op de website van de pgo (bijlage 6).

3.5.

Beveiliging

•

Gegevensbestanden moeten beveiligd worden tegen onnodige verzameling en verdere verwerking van persoonsgegevens en tegen verlies en onrechtmatige verwerking. Daartoe moet de pgo technische en organisatorische maatregelen nemen die passend zijn in relatie tot de aard van de te beschermen gegevens en de risico’s die de verwerking van de te beschermen gegevens met zich meebrengt.

•

De pgo moet het Autoriteit Persoonsgegevens onmiddellijk op de hoogte brengen bij een inbreuk op de beveiliging die ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens of leidt tot een aanzienlijke kans op zodanige ernstige nadelige gevolgen.

•

De pgo moet ook de leden/betrokkenen informeren bij een eventuele inbreuk op de beveiliging van de bestanden die leidt tot nadelige gevolgen of de aanzienlijke kans op nadelige gevolgen voor de bescherming van de persoonsgegevens.

DOEN:  Verplicht degenen die de gegevens verwerken tot inachtneming van veiligheidsmaatregelen (zoals vernieuwing van wachtwoorden, installeren van updates, versleutelen van toegangscodes) en verifieer periodiek (jaarlijks en bij vernieuwing of aanpassing) bij de beheerder van de ICT-systemen en website of de beveiliging up–to-date is en aan de te stellen normen voldoet. Zorg voor goede schriftelijke vastlegging van de gehanteerde procedures en verslaglegging van uitgevoerde controles.

3.6.

Externe gegevensverwerking

•

De verantwoordelijke voor de gegevensverwerking is ook bij het verstrekken van een opdracht aan een derde (=bewerker) tot verdere verwerking van persoonsgegevens verantwoordelijk voor naleving van de privacyregels. Bijv. ICTbedrijf, leverancier financiële of commerciële diensten, bouwer website, virtueel kantoor, opslag gegevens in de ‘cloud’.

DOEN


6

 Sluit bij iedere opdracht aan een derde altijd een bewerkersovereenkomst waarin de bewerker verplicht wordt om de noodzakelijke vertrouwelijkheid en geheimhouding in acht te nemen, en de gegevens in overeenstemming met de eisen van de Wbp te verwerken en te beveiligen (bijlage 5)


7

4.

Bijlagen

In dit hoofdstuk staan 7 bijlagen. Deze bijlagen corresponderen met de tekst in de voorgaande hoofdstukken.

Bijlage 1: registratieformulier voor het verkrijgen van toestemming voor de voorgenomen gebruiksdoelen. Bijlage 2: toestemmingsverklaring voor specifieke verwerking. Bijlage 3: Privacyverklaring met toelichting over werkwijze verwerking persoonsgegevens (voor gebruik website). Bijlage 4: Intern privacy reglement. Bijlage 5: Bewerkersovereenkomst. Bijlage 6: Inzage regeling. Bijlage 7: Aanmeldingsformulier Autoriteit Persoonsgegevens.


8

Bijlage 1 : Registratieformulier Let op: dit is een voorbeeldformulier. Het formulier kan worden aangepast aan de specifieke situatie van de pgo. Als de vereniging alleen algemene persoonsgegevens registreert en die alleen gebruikt voor interne verenigingsdoeleinden, kunnen de rubrieken over de externe ICT-dienstverlening en verstrekking van gegevens aan derden worden weggelaten. Maar: als de gegevens wel extern worden verstrekt, is het verkrijgen van toestemming voor de externe verwerking verplicht. Als een pgo niet over de mogelijkheden beschikt om bij externe verstrekking te handelen conform de verkregen toestemming, is het beter om te besluiten van de externe verstrekking van gegevens af te zien. Een andere optie is om in dat geval in beginsel geen persoonsgegevens aan derden te verstrekken, en in voorkomende situaties de betrokkenen voor een bepaalde verstrekking afzonderlijk toestemming te vragen met een toestemmingsformulier zoals bijlage 2.

Hiermee meld ik mij aan als lid van de ..... vereniging. Algemene persoonsgegevens de heer/mevrouw *) voorletters/voornaam *) naam *) straat en huisnummer *) postcode en woonplaats *) telefoonnummer(s) *) e-mailadres *) geboortedatum beroep bankrekeningnummer IBAN *) verplichte gegevens Bijzondere persoonsgegevens reden van aanmelding: ik ben ... patiënt/iemand uit mijn naaste omgeving is patiënt, nl: .... datum diagnose: ...


9

belangrijke bijzonderheden met betrekking tot mijn ziekte(proces): ... Gebruik persoonsgegevens: Al mijn algemene en bijzondere persoonsgegevens mogen administratief worden verwerkt door de -vereniging/stichting zelf ja/nee -personen van organisaties met wie de vereniging/stichting een bewerkersovereenkomst heeft gesloten teneinde de kwaliteit en de beveiliging van de ledenadministratie te waarborgen, …….. (naam organisatie) ja/nee -ICT-bedrijf ..., ja/nee -ondersteunende dienst/organisatie ..., ja/nee ik wil dat de vereniging mij van eventuele wijzigingen hierin op de hoogte stelt ja/nee Mijn algemene persoonsgegevens mogen door de vereniging worden gebruikt voor -uitnodigingen voor verenigingsactiviteiten ja/nee -inning contributie: -per automatische incasso/factuur (doorhalen wat niet gewenst is) -per maand/kwartaal/halfjaar/jaar (doorhalen wat niet gewenst is) -anders, t.w. ...... -het toezenden van de nieuwsbrieven van de vereniging ja/nee -het toezenden van informatie over nieuwe ontwikkelingen of nieuwe diensten van de vereniging of van derden (behandeling, medicatie e.d.) ja/nee -informeren over activiteiten ja/nee - oproepen voor taken binnen de vereniging ja/nee -uitnodigen voor webforum (e.d.) ja/nee Mijn bereikbaarheidsgegevens (naw) mogen worden verstrekt aan -artsen, ziekenhuizen, gespecialiseerde hulpverleners voor: -uitnodigingen voor bijeenkomsten over de ziekte -uitnodigingen voor deelname aan onderzoek/behandeling -informatieve mailings over onderzoek of behandeling -commerciële mailings over behandeling/medicatie -overige doeleinden t.w. ..... -ik wil dat de vereniging voor een dergelijke verstrekking telkens per afzonderlijk geval mijn toestemming vraagt Mijn bereikbaarheidsgegevens (naw) mogen worden verstrekt aan leveranciers van medicijnen en medische of paramedische producten en diensten, voor -het verstrekken van informatie over nieuwe ontwikkelingen -het doen van aanbiedingen -ik wil dat de vereniging voor een dergelijke verstrekking telkens per afzonderlijk geval mijn toestemming vraagt Mijn gezondheidsgegevens mogen door de vereniging worden gebruikt voor: -het verzenden van selectieve/gerichte informatieve mailings -onderzoeks- en statistische doeleinden -overige doeleinden t.w...... -ik wil dat de vereniging voor een dergelijk gebruik telkens per afzonderlijk geval mijn toestemming vraagt


ja/nee ja/nee ja/nee ja/nee ja/nee ja/nee

ja/nee ja/nee ja/nee

ja/nee ja/nee ja/nee ja/nee

10

Mijn gezondheidsgegevens mogen worden verstrekt aan artsen, ziekenhuizen, gespecialiseerde hulpverleners bij wie geheimhouding gewaarborgd is, voor: -uitnodigingen voor bijeenkomsten over de ziekte -wetenschappelijk onderzoek -uitnodiging voor deelname aan onderzoek/behandeling -gerichte informatieverstrekking -gerichte commerciële activiteiten/aanbiedingen van behandeling -ik wil dat de vereniging voor een dergelijke verstrekking telkens per afzonderlijk geval mijn toestemming vraagt mijn gezondheidsgegevens mogen worden verstrekt aan leveranciers van medicijnen en medische of paramedische producten en diensten voor -het gericht verstrekken van informatie -het doen van specifieke aanbiedingen -ik wil dat de vereniging voor een dergelijke verstrekking telkens per afzonderlijk geval mij toestemming vraagt


ja/nee ja/nee ja/nee ja/nee ja/nee ja/nee

ja/nee ja/nee ja/nee

11

Bijlage 2: Toestemmingsformulier (al dan niet digitaal) Geacht lid, Onze vereniging heeft van ... (naam instelling of bedrijf) het verzoek ontvangen om verstrekking van persoonsgegevens die in onze administratie zijn geregistreerd. Het gaat om de volgende gegevens: De verzoeker wil de gegevens gebruiken voor het volgende doel: Als u akkoord gaat met de verstrekking van uw persoonsgegevens voor dat doel, wilt u ons dat dan laten weten door dit formulier voor akkoord te ondertekenen en aan ons te retourneren/(of op andere manier, bijvoorbeeld door reply e-mail)? Als wij binnen ... dagen geen reactie van u hebben ontvangen, gaan wij ervan uit dat u geen toestemming verleent en zullen wij uw gegevens niet aan de verzoeker verstrekken. Met vriendelijke groet,

voor akkoord: datum plaats handtekening


12

Bijlage 3: Privacyverklaring. Let op: deze verklaring moet nog worden gecompleteerd naar de specifieke situatie van uw organisatie. Alle betrokkenen van wie uw organisatie persoonsgegevens in de administratie heeft geregistreerd, moeten kennis kunnen nemen van deze verklaring. Publiceer daartoe de privacyverklaring in elk geval op de website van uw organisatie. Soms zal het daarnaast verstandig zijn de verklaring aan de betrokkenen toe te zenden (bijvoorbeeld als uw organisatie leden heeft die geen toegang hebben tot het internet).

Dit is de privacyverklaring van de ...... vereniging/stichting (vermeld naam en inschrijfnummer vereniging/stichtingenregister KvK) De vereniging/stichting respecteert de privacy van al haar leden/begunstigers en de gebruikers van haar website en draagt er zorg voor dat de door u verschafte persoonlijke informatie vertrouwelijk wordt behandeld. De vereniging/stichting is niet verantwoordelijk voor het privacybeleid van andere sites die via een link met deze website bereikbaar zijn. U kunt het privacybeleid van die andere sites raadplegen door hun privacyverklaringen aan te klikken. Verwerking van persoonsgegevens door onze vereniging/stichting. Als u zich aanmeldt als lid of begunstiger van onze vereniging/stichting vragen wij u om persoonsgegevens te verstrekken. Deze gegevens worden opgeslagen in onze administratie en worden gebruikt om onze diensten aan u te kunnen leveren en u te kunnen informeren over onze bijeenkomsten en activiteiten. Uw gegevens kunnen ook gebruikt worden om u met nieuwsbrieven of anderszins te informeren over producten en diensten van derden die het onderwerp van onze vereniging/stichting betreffen. Uw e-mailadres zal daarvoor alleen gebruikt worden als u ons daarvoor toestemming hebt gegeven. U kunt het ontvangen van die informatie altijd stopzetten op de in de mailings aangegeven methode (opt-out). Uw persoonsgegevens worden in beginsel alleen gebruikt door de vereniging/stichting. Wij verstrekken uw gegevens niet aan derden tenzij wij daartoe verplicht zijn door de wet of een rechterlijke uitspraak, als u toestemming hebt gegeven voor die verstrekking of de verstrekking noodzakelijk is voor de uitvoering van een overeenkomst tussen u en onze vereniging/stichting. U heeft altijd de mogelijkheid uw persoonsgegevens in te zien, te veranderen of te laten verwijderen. U kunt daartoe een verzoek doen bij .... De inzageprocedure is vastgelegd in een regeling die u kunt opvragen bij ..... De vereniging/stichting bewaart uw persoonsgegevens niet langer dan nodig voor het doel waarvoor ze in de administratie zijn opgenomen en gebruikt. Uw persoonsgegevens zullen uiterlijk twee jaar na beëindiging van uw lidmaatschap van de vereniging/begunstiging van de stichting uit de administratie worden verwijderd.


13

Bijlage 4: Intern privacyreglement Let op: dit is een basisreglement, waarin de minimaal te regelen aspecten zijn benoemd. Het is aan te raden dit reglement per pgo aan te vullen en specifiek te maken naar de feitelijke situatie binnen de organisatie.

Het bestuur van de vereniging/stichting ... (naam pgo) is ten aanzien van de persoonsgegevens van haar leden/de aangesloten personen die in de administratie van de vereniging/stichting zijn opgenomen verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (Wbp). Om de kwaliteit, integriteit en vertrouwelijkheid van de in de administratie opgenomen persoonsgegevens te waarborgen gelden binnen de vereniging/stichting de volgende regels. 1.

De datasystemen waarin de door de vereniging/stichting verwerkte persoonsgegevens zijn opgenomen worden binnen de vereniging/stichting beheerd door .... (naam en functie beheerder noemen). Degene die toegang tot de persoonsgegevens wil verkrijgen voor inzage of gebruik van die gegevens, dient zich tot de beheerder te wenden, en zich bij de inzage of het gebruik te houden aan de van de beheerder verkregen instructies.

2.

Toegang voor inzage zal worden verleend aan de betrokkenen van wie persoonsgegevens in de administratie zijn opgenomen. Voor de inzage geldt een inzageregeling die door de beheerder aan de betrokkene, of in voorkomende gevallen aan diens wettelijk vertegenwoordiger, zal worden uitgereikt.

3.

Toegang voor het verwerken/gebruik van de gegevens zal worden verleend aan medewerkers/vrijwilligers van de stichting, indien en voor zover dat voor de uitoefening van de taken van die medewerkers/vrijwilligers noodzakelijk is.

4.

Het bestuur van de vereniging/stichting draagt zorg voor een duidelijke omschrijving van de taken van de medewerkers/vrijwilligers aan wie met het oog op hun werkzaamheden toegang tot de persoonsgegevens wordt verleend. Daarbij zullen ook de aard en omvang van de bevoegdheden van die medewerkers/vrijwilligers ten aanzien van de verwerking van persoonsgegevens duidelijk worden omschreven.

5.

De toegang tot de persoonsgegevens is alleen mogelijk met een door de beheerder vast te stellen wachtwoord en autorisatieprocedure.

6.

De medewerker/vrijwilliger die toegang heeft tot de door de vereniging/stichting verwerkte persoonsgegevens heeft een geheimhoudingsplicht zowel ten aanzien van die persoonsgegevens als ten aanzien van de door de vereniging/stichting aan hem/haar verstrekte wachtwoorden en autorisatie. Deze geheimhoudingsplicht wordt vastgelegd in een schriftelijke verklaring die door de desbetreffende medewerker/vrijwilliger wordt ondertekend voordat aan hem/haar de toegang tot de administratie wordt verleend.

7.

...

6.

...


14

Bijlage 5: Bewerkersovereenkomst Partijen: De vereniging/stichting ... (de pgo), in haar hoedanigheid van verantwoordelijke in de zin van de Wbp ten aanzien van haar ledenadministratie, hierna te noemen 'de verantwoordelijke' en ..... (bijvoorbeeld ICT-dienstverlener), in zijn/haar hoedanigheid van bewerker in de zin van de Wbp, hierna te noemen 'de bewerker' nemen in aanmerking: a.

de vereniging/stichting ... is verantwoordelijke in de zin van de Wbp ten aanzien van haar ledenadministratie.

b.

de vereniging/stichting heeft de ..... (bewerking noemen, bijvoorbeeld structurering, inrichting) van haar ledenadministratie opgedragen aan ...., die daarvoor aan te merken is als bewerker in de zin van de Wbp.

c.

de gegevens die door de verantwoordelijke aan de bewerker worden verstrekt zijn privacygevoelig

d.

zowel de verantwoordelijke als de bewerker hechten groot belang aan de bescherming van de privacy en aan de naleving van de regels die daarvoor gelden op grond van de Wbp

e.

daarom hebben de verantwoordelijke en de bewerker de volgende afspraken gemaakt over de bewerking van de persoonsgegevens:

zijn overeengekomen als volgt: Artikel 1: opdracht en instructies verantwoordelijke aan bewerker 1. 2.

3.

De bewerker zal de persoonsgegevens alleen verwerken volgens de opdracht en instructies van de verantwoordelijke, en niet voor eigen doeleinden. De bewerker heeft geen zeggenschap over het doel en de middelen voor de bewerking van persoonsgegevens. Hij neemt geen beslissingen over de ontvangst en het gebruik van de gegevens, de verstrekking aan derden en de duur en opslag van de gegevens. De volledige zeggenschap over die onderwerpen berust bij de verantwoordelijke. Daarnaast heeft de bewerker een eigen verantwoordelijkheid om ervoor zorg te dragen dat hij bij de verwerking van de persoonsgegevens steeds handelt overeenkomstig de daaraan in de Wbp gestelde eisen en voorwaarden.

Artikel 2: geheimhouding 1.

Alle personen die werkzaamheden verrichten ter uitvoering van deze overeenkomst en daarbij de beschikking krijgen over persoonsgegevens die deel uitmaken van de


15

2. 3.

ledenadministratie van de verantwoordelijke zijn verplicht tot geheimhouding van die gegevens. De bewerker zal die personen schriftelijk tot die geheimhouding verplichten. De bewerker is aansprakelijk voor eventuele schade die optreedt als deze geheimhoudingsplicht wordt geschonden.

Artikel 3: beveiligingsmaatregelen 1.

2.

De bewerker zal passende administratieve, fysieke, en technische voorzorgsmaatregelen nemen om verlies of onrechtmatige verwerking van de persoonsgegevens in de ledenadministratie te voorkomen. De bewerker zal zorgen dat de beveiliging voldoet aan de actuele geldende standaardeisen/minimaal voldoet aan de eisen van het geldende beveiligingsadvies van het Autoriteit Persoonsgegevens. De bewerker zal eventuele veiligheidsincidenten waarvan hij kennis krijgt onmiddellijk aan de verantwoordelijke melden. De verantwoordelijke draagt vervolgens zorg voor onverwijlde doormelding aan het Autoriteit Persoonsgegevens.

Artikel 4: inschakelen van derden (onderaannemers, sub-bewerkers) 1. 2.

3.

De bewerker zal bij de uitvoering van zijn werkzaamheden alleen met toestemming van de verantwoordelijke gebruik kunnen maken van de diensten van een derde. Als de bewerker bij de uitvoering van zijn werkzaamheden gebruik maakt van de diensten van een derde, zal hij met die derde een sub-bewerkersovereenkomst sluiten waarin alle verplichtingen die op grond van deze overeenkomst gelden voor de bewerker, aan de sub-bewerker worden opgelegd. De bewerker blijft in dat geval verantwoordelijk voor de nakoming van de verplichtingen op grond van deze overeenkomst en zal aansprakelijk zijn voor eventuele schade als gevolg schending van die verplichtingen.

Artikel 5: informatieplicht 1. 2. 3.

De bewerker is verplicht de verantwoordelijke steeds op de hoogte te houden van de plaats waar de verwerkte gegevens zijn opgeslagen. De bewerker zal de gegevens niet verwerken of opslaan buiten de Europese Unie, tenzij met uitdrukkelijke toestemming van de verantwoordelijke. Als gegevens buiten de Europese Unie worden opgeslagen of verwerkt zal de bewerker garanderen dat dit gebeurt met inachtneming van de bepalingen van de artikelen 76 en 77 Wbp.

Artikel 6: positie betrokkenen 1. 2.

Het is de verantwoordelijkheid van de vereniging/stichting ... om de betrokkenen toestemming te vragen voor/op de hoogte te stellen van de verwerking van hun persoonsgegevens op grond van deze overeenkomst  De bewerker draagt er zorg voor en garandeert dat de verantwoordelijke te allen tijde in staat is zijn verplichtingen tegenover de betrokkene ten aanzien van inzage, verbetering, en verwijdering van gegevens na te komen.



Als bij de registratie van het lidmaatschap al toestemming is gevraagd kan met een mededeling worden volstaan


16

Artikel 7: aansprakelijkheid De bewerker is aansprakelijk voor schade die het gevolg is van het schenden van zijn verplichtingen op grond van deze overeenkomst. Artikel 8: duur van de overeenkomst 1. 2. 3.

Deze overeenkomst is aangegaan voor de duur van de opdracht/de overeengekomen bewerking/voor ... maanden/voor ... jaren/ voor onbepaalde tijd. Partijen kunnen de overeenkomst opzeggen met inachtneming van een opzegtermijn van .... weken/maanden. De opzegging moet schriftelijk worden gedaan. De overeenkomst kan met onmiddellijke ingang worden beëindigd als een partij zijn verplichtingen op grond van de overeenkomst niet nakomt.

Artikel 9: Geschillen 1. 2.

Op deze overeenkomst is Nederlands recht van toepassing. Bij eventuele geschillen over de uitvoering van deze overeenkomst zullen partijen in onderling overleg een mediator of arbiter aanstellen om door bemiddeling of een bindend advies een oplossing te bereiken. Als dit niet tot een oplossing leidt, zal het geschil aan de bevoegde rechter worden voorgelegd.

Aldus overeengekomen en in tweevoud ondertekend: de verantwoordelijke

de bewerker

naam plaats datum

naam plaats datum

handtekening

handtekening


17

Bijlage 6: Inzageregeling Let op: het bestuur van de organisatie is als verantwoordelijke voor de gegevensverwerking ook als enige bevoegd om op verzoeken tot inzage, verbeteren, afschermen, en vernietigen van gegevens te beslissen. Om praktische redenen mag het bestuur de behandeling van de verzoeken vanzelfsprekend wel laten voorbereiden door een medewerker, die in de inzageregeling ook als contactpersoon kan worden genoemd. Deze medewerker zal echter steeds namens het bestuur handelen en de bevoegdheden van deze medewerker moeten door het bestuur ook duidelijk worden omschreven.

1.

Iedereen van wie persoonsgegevens in de administratie van de vereniging zijn opgenomen heeft recht op inzage van die gegevens. Het gaat daarbij alleen om persoonsgegevens van de betrokkene zelf, gegevens van andere betrokkenen zullen niet ter inzage worden verstrekt. Een betrokkene mag meermalen een verzoek tot inzage van persoonsgegevens doen, maar niet onredelijk vaak. Als er sinds de vorige opvraag niets is veranderd, mag de inzage worden geweigerd.

2.

Een verzoek tot inzage moet worden ingediend bij het bestuur van de organisatie. Het bestuur zal na ontvangst van verzoek binnen vier weken aan de betrokkene een overzicht verstrekken van alle persoonsgegevens die verwerkt zijn, de aard van de verwerking, en het doel waarvoor de gegevens zijn verwerkt. Ook zal worden vermeld of gegevens aan derden zijn verstrekt en zo ja, aan welke derden en met welk doel die verstrekking heeft plaatsgevonden.

3.

Als de organisatie denkt dat een derde bedenkingen zal hebben tegen het verstrekken van het overzicht aan de betrokkene zal die derde door het bestuur van de organisatie zo mogelijk in de gelegenheid worden gesteld zijn zienswijze mee te delen. De eindbeslissing over het verstrekken van de inzage is aan het bestuur.

4.

Voor het verstrekken van de verzochte gegevens is de betrokkene een kostenvergoeding van € 5 verschuldigd.

5.

Degene die van het bestuur een overzicht van de verwerking van zijn persoonsgegevens heeft ontvangen, kan het bestuur vervolgens vragen bepaalde gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Dit verzoek zal worden ingewilligd als de gegevens onjuist of onvolledig zijn gebleken, of niet relevant zijn voor het doel waarvoor zij zijn verwerkt.

6.

Het bestuur beslist binnen vier weken op een verzoek tot verbetering, wijziging, verwijdering of afscherming van persoonsgegevens. Als het verzoek wordt ingewilligd zorgt het bestuur dat de verbetering, wijziging, verwijdering of afscherming zo spoedig mogelijk wordt doorgevoerd. Als het verzoek wordt afgewezen, wordt de weigering schriftelijk aan de betrokkene meegedeeld, met vermelding van de redenen voor de afwijzing.

7.

Als de betrokkene de verwerking van zijn persoonsgegevens onjuist acht omdat daarmee het belang van de vereniging of van een derde is gediend, terwijl het belang op privacy van de betrokkene had moeten prevaleren, kan de betrokkene bij het bestuur schriftelijk in verzet komen tegen de verwerking.

8.

Het bestuur beoordeelt het verzet binnen vier weken na ontvangst daarvan. Als het bestuur het verzet gegrond oordeelt, zorgt het ervoor dat de verwerking van de gegevens zo spoedig mogelijk wordt beëindigd. Als het bestuur het verzet


18

ongegrond oordeelt, kan de betrokkene binnen zes weken na ontvangst van die beslissing bij de klachtencommissie van de pgo een klacht indienen.


19

Bijlage 7: Wbp meldingsformulier. Zie de website: https://autoriteitpersoonsgegevens.nl/nl/melden/meldingsprogramma


20

Bescherming persoonsgegevens

Recommend Documents