Privacy aanpak conform Algemene Verordening Gegevensbescherming (AVG) door de Stichting Wereldwinkel Leusden.
- Verantwoordelijk functionaris.
Als functionaris Gegevensbescherming van de Wereldwinkel wordt aangewezen:
De heer W.A. Visser, secretaris van het bestuur. M: 0614732679; e-mail: visserwim20@gmail.com
- Inventarisatie persoonsgegevens
De volgende gegevens worden verzameld van de vrijwilligers/medewerkers van de Stichting Wereldwinkel Leusden:
- Medewerker overeenkomsten, waarin opgenomen naam en adres van de medewerkers
- Jubileumlijst, waarin opgenomen naam, adres, telefoonnummer, e-mailadres, geboortedatum en datum in diensttreding
- Medewerkerslijst, waarin opgenomen naam, adres, telefoonnummer en e-mailadres
- Smoelenboek, waarin opgenomen portretfoto medewerkers en naam. Alleen pfd bestand bij bestuursleden Stichting en leden P&0
- Waarom worden de gegevens verzameld?
De gegevens als bedoeld onder 2, zijn nodig om medewerkers te kunnen bereiken, te informeren over nieuws, jubilea te kunnen vieren, aandacht te besteden aan verjaardagen, ziekte en elkaar op de hoogte te stellen van nieuwe ontwikkelingen. De overeenkomsten zijn nodig om wederzijdse afspraken vast te leggen.
- Diensten derden. Gegevens van gebruikers van diensten door de Stichting zullen worden geïnventariseerd
- Wie verzamelt de gegevens? De gegevens worden verzameld door de daartoe speciaal benoemde medewerker van de werkgroep Personeel &Organisatie.
- Hoe komt de Stichting aan de gegevens? De gegevens worden door de aspirant werknemers aangeleverd via een apart intake-formulier. Op het intake-formulier zal apart toestemming worden gevraagd aan de aspirant leden om de opgegeven gegevens te mogen gebruiken voor de doelstellingen zoals vermeld onder 3. Daarnaast zal actief ieder lid worden geïnformeerd over het gebruik van de gegevens van het desbetreffende lid.
- Hoe worden de gegevens bewaard?
Gegevens worden als volgt bewaard:
Ad 2 a. en d:
De harde gegevens worden bewaard in een kast met slotbeveiliging, de computers zijn beveiligd met beveiliging software en aparte toegangscodes. E-mailing naar de medewerkers gaat via BCC
Ad 2 b en c. De leden van de werkgroep P&O, de roosteraar en de secretaris.
De opslag van deze data vindt plaats op:
De computer van het betrokken lid van de werkgroep P&O. Het betreffende heeft de gegevens in een beveiligde omgeving opgeslagen.
De computer van de voorzitter, de coördinator P&O , de secretaris en de 2 andere leden van de commissie P&O. De betreffende personen hebben de gegevens in een beveiligde omgeving opgeslagen.
De computer van de secretaris van de Stichting en de roosteraar.
De volgende data van onze medewerkers wordt opgeslagen:
Opgeslagen gegevens | Doel |
Naam lid | Informatieverstrekking , medewerker- overeenkomst, |
Adres lid | Informatieverstrekking, medewerker- overeenkomst |
Postcode en woonplaats lid | informatieverstrekking ,medewerker- overeenkomst |
Telefoonnummer lid | informatieverstrekking ,medewerker- overeenkomst, bereikbaarheid |
E-mail adres lid | informatieverstrekking, medewerker- overeenkomst, bereikbaarheid |
Geboortedatum | informatieverstrekking ,medewerker- overeenkomst, jubilea |
Datum indiensttreding | Informatieverstrekking, medewerker- overeenkomst ,jubilea |
Privacy Er is een privacy- reglement ten behoeve van vertrouwelijk omgaan met kennis opgedaan als gevolg van het verlenen van een dienst. Zie bijlage 1.
- Hoe lang worden de gegevens bewaard?
De financiële gegevens van de Stichting zullen gedurende de verplichte termijn van 7 jaar worden bewaard. De gegevens van de medewerkers zullen worden bewaard gedurende de duur van hun medewerkerschap. Bij bedanken voor het medewerkerschap zullen de gegevens worden vernietigd en wel binnen één jaar na het bedanken.
- Wat is de rol van ICT? Op onze website zal een aparte AVG pagina worden geopend waarin de Stichting aangeeft wat de stichting doet op het terrein van privacy regelgeving conform de AVG.
Foto’s zullen alleen op de website worden gepubliceerd na verkregen toestemming van betrokkene(n)
Gegevens van bestuursleden, coördinatoren en leden werkgroepen zullen alleen worden gepubliceerd na verkregen toestemming van betrokkenen.
Met de beheerder van de website zal een verwerkingsovereenkomst worden gesloten.
Bij e-mail verkeer zal de volgende of een gelijkwaardige disclaimer worden gebruikt: “De informatie in dit e-mail bericht, inclusief attachment, is uitsluitend bestemd voor de geadresseerde en kan vertrouwelijke informatie bevatten. Verstrekking aan en gebruik door anderen is niet toegestaan. Indien u niet de geadresseerde bent, gelieve u zich te onthouden van verspreiding van deze e-mail. Indien deze e-mail per vergissing naar u is verzonden, verzoeken wij u onverwijld contact met ons op te nemen en deze e-mail te vernietigen.”
- Externe partijen. Externe partijen hebben geen bevoegdheid de bestanden te gebruiken. Met de provider van de Website zal bezien worden of er een verwerkersovereenkomst dient te worden gesloten.
- Informatie en correctiemogelijkheden medewerkers. Alle medewerkers worden/ zijn geïnformeerd over het bestaan van de personeelsgegevens als bedoeld onder 2 en het doel te weten: alleen voor intern gebruik. Daarnaast zullen zij worden geïnformeerd over de mogelijkheid een klacht in te dienen over de wijze waarop de gegevens verwerkt zijn en over de mogelijkheid de gegevens in te zien, te corrigeren dan wel desgewenst te laten verwijderen. Op interne formulieren komt de volgende standaard tekst te staan: “Uw gegevens zijn opgenomen in de administratie van de Stichting, in overeenstemming met de richtlijnen van de Algemene verordening Gegevensbescherming.”
- Datalekken. Datalekken naar derden zullen worden gemeld aan de Autoriteit Persoonsgegevens via een intern nader vast te stellen intern protocol. Voor een eerste opzet zie bijlage 2.
- Verdere procedure. Deze notitie zal worden behandeld in het bestuur van de Stichting en in een samenvatting gepubliceerd worden in onze nieuwsbrief. In concept zal deze notitie nu reeds worden gepubliceerd op onze website en periodiek worden aangepast.
Bijlage 1
Privacy document Stichting Wereldwinkel Leusden, omgaan met persoonlijke gegevens
De beschikbare gegevens over medewerkers worden alleen voor activiteiten van de wereldwinkel gebruikt en niet met derden gedeeld, tenzij op uitdrukkelijk verzoek van de medewerker.
De betreffende coördinator(groep) van de Wereldwinkel gaat zorgvuldig om met uw gegevens.
Zij hebben tegenover anderen een geheimhoudingsplicht. De gegevens worden bewaard zolang de medewerker een overeenkomst heeft met de Wereldwinkel.
Als u vindt dat de Wereldwinkel niet correct omgaat met uw gegevens kunt u daarover opheldering vragen of een klacht indienen bij het bestuur van de Wereldwinkel.
Als u nog vragen hebt, kunt u zich wenden tot de secretaris van het bestuur,
per adres: info@wereldwinkelleusden.nl
Bijlage 2
PROTOCOL DATALEK
- Bij een datalek wordt binnen 24 uur de functionaris gegevensbescherming op de hoogte gesteld, door degene die binnen de Wereldwinkel het lek heeft veroorzaakt. De gegevens van de meldingsverantwoordelijke zijn:
W.A. Visser
M. :0614732679
De melding gebeurt bij voorkeur in persoon door te bellen of via een whatsapp-bericht of SMS
- Onder een datalek wordt verstaan: een incident, waardoor een ernstige inbreuk op de vertrouwelijkheid van de persoonsgegevens, die door de Wereldwinkel verwerkt worden gevreesd wordt. Onder andere wordt onder een ernstig incident verstaan:
- het versturen van een e-mail dan wel fysiek document, die persoonsgegevens bevat aan een e-mailadres dat toebehoort aan een partij waarvoor de organisatie niet, direct of indirect, toestemming heeft van de betrokkenen waarop de persoonsgegevens zien.
- Het verschaffen van toegang tot een databestand, die persoonsgegevens bevat, aan een persoon, die niet een lid is van de Wereldwinkel.
- De functionaris gegevensbescherming is verantwoordelijk voor de melding. Hij is belast met het melden van inbreuken op de vertrouwelijkheid van de personeelsgegevens, die door de Wereldwinkel verwerkt worden, aan de autoriteit persoonsgegevens.
- Binnen 48 uur wordt betrokkene(n) op wiens vertrouwelijkheid van de persoonsgegevens een inbreuk is gemaakt per e-mail op de hoogte gesteld van het lek. Tevens wordt degenen naar wie gelekt is binnen 48 uur verzocht het lek te stoppen door vernietiging van onterecht verkregen informatie.
- De functionaris stelt binnen 72 uur de Autoriteit Persoonsgegevens op de hoogte van het lek door aanmelding conform de door de Autoriteit opgestelde procedure via het meldloket datalekken.( https://datalekken.autoriteitpersoonsgegevens.nl/melding/aanmaken?1.)