Algemene Verordening Gegevensbescherming (AVG)
in het kader van de privacywet zijn we als verenigingen verplicht een aantal verklaringen te geven over welke persoonsgegevens we verzamelen en wat we ermee doen als verenigingen, wie toegang heeft en hoe lang en waar ze bewaard worden.
AVG - Leden en functionarissen
Leden, abonnementhouders en (oud) functionarissen / vrijwilligers
Gegevens van leden, functionarissen van Sportvisserij Nederland, federaties en verenigingen moeten in kaart worden gebracht.
Stap 1: Checklist persoonsgegevens 1.1 Welke (type) persoonsdata
NAW gegevens incl. historie
Evt. apart postadres bijvoorbeeld bij bewindvoering met daarbij de verklaring
E-mailadressen
Telefoonnummers
Fax
Geslacht
Geboortedatum
Overlijdensdatum
Accountgegevens (login) evt. gekoppelde Social accounts (Facebook, Google)
Lidmaatschap en abonnementsgegevens
Organisatie m.b.t. abonnement of lidmaatschap
Document-/ abonnementstype
Lid sinds
Contributie
IBAN
Betaalstatus
Betaalmethode
Machtiging
Betaaldatum
Facturen
VBL nummer
Lid categorie
Verzenddatum visdocumenten
Notities t.a.v. serviceverlening
Mutaties t.a.v. levering producten
Aanvulling bij functionaris
Cursus- / evenementsdeelname en evt. resultaten
Toesturen van verslagen
Functie (evt. bijbehorende pas)
Kledingmaten
Verklaring omtrent gedrag
Kerstpakketten
Pasfoto
Stap 2: Waar staan deze gegevens
HSV ledenadministratie
Aanvulling voor de VISpas worden gegevens extern gezet bij
PostNL / Sand,enz
Aanvulling bij functionaris
Adressenzoeker verenigingen
Vislesadministratie
Stap 3: Doel waarvoor de informatie is opgeslagen en wordt gebruikt
Leveren van visdocumenten die een wettelijke verplichting zijn om in een groot deel van het Nederlandse water te mogen sportvissen. Aan deze documenten is in verreweg de meeste gevallen een lidmaatschap met een hengelsportvereniging verbonden.
Persoons- en lidmaatschapsgegevens worden gedeeld via het Boa Registratie Portaal indien de visserijwet is overtreden.
Leveren van Hét VISblad, Stekkie Magazine, Visionair aan abonnementshouders of relaties.
D.m.v. een login (evt. via social account) op MijnSportvisserij geven wij inzage in deze gegevens aan de sportvisser.
Het inzichtelijk maken aan de sportvisser waar hij/zij mag sportvissen.
Aanvulling bij functionarissen
De gegevens zijn vergaard om helder te hebben wie welke functie invult bij de organisatie en vanwege zijn/haar functie specifieke informatie of (gepersonaliseerde) producten moet ontvangen voor zaken waar hij/zij verantwoordelijk voor is. Dit kan op fysiek of digitaal.
Voorafgaand aan een functie kan soms een cursus noodzakelijk of optioneel zijn. Of krijgen personen toegang tot bepaalde evenementen. Voor deze cursussen kan het noodzakelijk zijn dat iemand een VOG kan overleggen. Ook gelden voor cursussen minimum leeftijden.
De functie kan inhouden dat iemand toegang krijgt tot bepaalde ICT-systemen en op basis van de functie een selectie van rechten toebedeeld krijgt.
De functie kan inhouden dat iemand gecommuniceerd wordt als contactpersoon van de organisatie.
De functie kan inhouden dat iemand materialen of kleding ontvangt voor vrijwilligers activiteiten.
De functie kan inhouden dat iemand op bepaalde momenten een attentie ontvangt.
Stap 4: Privacy policy
Zie algemeen document over privacy
Stap 5: Verwerkers
Lijst met verwerkers:
Hosting interne en externe servers →
Software →
HSV ledenadministratie → , Sportvisserij Nederland met federaties en verenigingen
Fysieke visdocumenten →, PostNL, Sand, En anderen
Admin Portal, MijnSportvisserij →
VISpasnummers en NAW gegevens →
Boa Registratie portaal →
Aanvulling voor functionarissen
RCS → Xcess
Synchronisatie Divide producten →
Vislesadmnistratie →
VWRP →
Zie overzicht stand van zaken verwerkersovereenkomsten:
M:/Projecten/AVG/Actielijst – planning.xlsx → tabblad verwerkersovereenkomsten
Stap 6: ICT opslag en beveiliging
Zie algemeen document over ICT-beleidsplan
Stap 7: Organisatie en geautoriseerde medewerkers
De vereniging bepaalt wie namens hun vereniging toegang heeft tot lidmaatschapsgegevens.
De federatie bepaalt wie er namens hun federatie toegang hebben tot hun gegevens en leden van hun verenigingen.
Medewerkers van Sportvisserij Nederland hebben toegang tot de gegevens van alle federaties en vereniging.
Er is een overzicht van alle accounts en die zijn centraal beheersbaar.
Er is een notitie over toegang, geheimhouding en bewustwording
Stap 8: Verwijderen van gegevens/ bewaartermijn
Er is nog geen richtlijn voor het verwijderen van data die herleidbaar is tot een functionaris.
Dit geld voor data in CRM systemen als data op ons netwerk(archief.).
Stap 9: Direct Marketing
T.a.v. functionarissen worden gegevens niet voor marketing-doeleinden gebruikt. Wel worden gegevens van functionarissen extra gebruikt bij het verstrekken van informatie als dit in lijn ligt met het werkt dat de functie met zich meebrengt. Bijvoorbeeld: een verenigingsnieuwsbrief wordt verstrekt aan relevante functionarissen, afhankelijk van de inhoud van de nieuwsbrief (wijzigingen t.a.v. viswaterbeheer wordt gecommuniceerd met de viswaterbeheerders).
Stap 10: Controle en evaluatie
Openstaande vragen
– Wie hebben naast de ledenadministrateurs andere functionarissen toegang tot HSV ledenadministrateur.
– Hebben naast federatieve medewerkers andere functionarissen van de federatie toegang tot HSV leden
– Hebben alle medewerkers van de federatie toegang tot HSV leden.
– Hebben functionarissen van Sportvisserij Nederland toegang tot HSV leden.
– Hebben alle medewerkers van Sportvisserij Nederland toegang nodig tot functionarisgegevens.
Risico’s |
|
||||||||||
Accounts verenigingen tot HSV-leden zijn niet gekoppeld aan een functie maar worden door de HSV beheerd. Wij hebben geen goed overzicht wie waar bij welke vereniging of federatie toegang heeft. |
|
||||||||||
Accounts HSV leden hebben een wachtwoord dat nooit verloopt. |
|
||||||||||
Er is bij medewerkers SVN geen policy t.a.v. veranderingen van werkzaamheden en de gevolgen voor toegang tot HSV leden. |
|
||||||||||
De sessie van HSV-leden verloopt niet. |
|
||||||||||
Er is geen richtlijn voor inzage in functionarisgegevens voor Sportvisserij Nederland medewerkers. |
|
||||||||||
Er is niet duidelijk wat de samenhang is tussen de functionaris en de toegang tot systemen voor functionarissen |
|
||||||||||
Er is geen richtlijn over het verwijderen van data. AVG: Personeel 1: Persoonsgegevens Opgeslagen persoonsgegevens in Softwarepramma van Sportvisserij oost nederland
Overige gegevens
In NAAM opgenomen niet in gebruik zijnde of onnodige tools
Een aantal gegevens kunnen ook elders in Profit zijn opgeslagen, zoals lidmaatschapsgegevens. Het gaat daarbij om NAW-gegevens. Zie betreffende beschrijving onder lidmaatschapsgegevens.
1 B. Toestemming (Nieuwe) medewerkers geven schriftelijk toestemming voor het opslaan en bewaren van hun persoonlijke gegevens. Naast het arbeidscontract, ondertekent een ieder een brief waarin de opslag van data staat vermeld en waarom deze data wordt bewaard. Daarnaast kunnen zij een schrijven ondertekenen waarin zij toestemming geven om de salarisstroken digitaal te ontvangen. Dit laatste is niet verplicht.
2. Waar staat deze data Netwerk shares Sportvisserij Nederland Afas Profit NAW, contracten, afspraakbrieven (ouderschapsverlof, studie-regeling) worden (tevens) op papier opgeslagen en bewaard in de Personeelskluis. Hierin is ook een kopie paspoort of ID-kaart opgeslagen. De locatie van de sleutel is alleen bekend bij het hoofd Bedrijfsvoering en P&O. Zij hebben inzicht in de persoonlijke dossiers, evenals de directeur, leidinggevende en medewerker zelf (in het bijzijn van P&O of leidinggevende. De accountant kan op verzoek steekproeven doen om financiële zaken te controleren.
3 Doel waarvoor de informatie is opgeslagen en wordt gebruikt De gegevens 1 tot en met 7, 14 t/m 21 zijn voor in dienst zijnde medewerkers noodzakelijk voor het maandelijks overmaken van het salaris. Tevens worden de gegevens gebruik voor de verplichte aansluiting bij PFZW (pensioenfonds) en de uitvoerder (PGGM) en belastingdienst. Indien nodig kunnen NAW,BSN en verzuimdata worden doorgegeven aan de bedrijfsarts (wanneer een consult gewenst is). 8. I.v.m. eventueel noodzakelijke verblijf- of werkvergunning 9. Intern voor herkenbaarheid bij collega’s. Eventueel bij documenten te gebruiken (EHBO-pas). 10 en 11: alleen bij gehuwden die niet de eigen geboortenaam als eerste achternaam willen gebruiken. 7, 13, 14: aanhef persoonlijke brief, tijdschriften, kerstpakket en andere correspondentie vanuit de werkgever 12: Stopzetten briefings (zoals tijdschriften) 1 t/m 3, 16, 18 t/m 22: Gegevens voor de verwerking en het overmaken van het salaris. 22: Alleen nodig bij loonbetaling wanneer van toepassing 23: Geeft aan wie leidinggevende is, i.v.m. bijvoorbeeld accorderen verlof en functioneringsgesprekken 24: Ter info voor medewerker en leidinggevende 25: Ter info en eventueel actie leidinggevende, P&O (bedrijfsarts, wet Poortwachter) 26 en 27: Ter info en eventueel actie (loopbaan- salariswijziging, opleidingsbehoefte) leidinggevende 28: Ter info medewerker, schrijfrechten Salarisadmin, H BV en P&O 29 t/m 36: Kunnen worden verwijderd uit Profit
De gegevens zijn vergaard om helder te hebben wie welke functie invult bij de organisatie en vanwege zijn/haar functie specifieke informatie of (gepersonaliseerde) producten moet ontvangen voor zaken waar hij/zij verantwoordelijk voor is. Dit kan of fysiek of digitaal. Algemeen worden (niet gepersonaliseerde) gegevens gebruikt om bedrijfsinzicht te verkrijgen (zoals leeftijdsopbouw, verzuimcijfers, duur dienstverband).
Stap 4: Privacy policy Zie algemeen document over privacy
Stap 5: Verwerkers Lijst met verwerkers: Hosting interne en externe servers → Diesignloods Softwarepakket → Belastingdienst PFZW PGGM Bedrijfsarts
Zie overzicht stand van zaken verwerkersovereenkomsten: M:/Projecten/AVG/Actielijst – planning.xlsx → tabblad verwerkersovereenkomsten
Stap 6: ICT opslag en beveiliging Zie algemeen document over ICT-beleidsplan
Stap 7: Organisatie en geautoriseerde medewerkers Medewerkers Sportvisserij Nederland hebben sinds februari 2018 beperkt toegang tot het netwerk met de daarop gedeelde bestanden. Medewerkers: toegang tot gegevens Alle gegevens onder punt 1 kunnen digitaal worden ingezien door de medewerker zelf, de leidinggevende en de directeur. Tevens door de salarisadministratie, P&O, hoofd Bedrijfsvoering, die ook schrijfrechten hebben. Schrijfrechten op NAW heeft ook de medewerker zelf. NAW= naw + tel, e-mail
Alle op papier opgeslagen gegevens staan het dossier van de betreffende medewerker in de Personeelskluis. Alleen FUNCTIE en FUNCTIE hebben toegang tot de kluis. Financiële papieren afschriften worden per jaar bewaard op de Financiële afdeling in een afgesloten kast. Toegang tot de afgesloten kast hebben FUNCTIES.
Stap 8: Verwijderen van gegevens Acht jaar na uitdiensttreding worden de persoonsgegevens verwijderd. I.v.m. evenementen in de toekomst (reünie, jubileum organisatie, afscheid van oud-collega) kunnen NAW-gegevens langer (passief) worden bewaard. (Alleen wanneer een voormalig medewerker een adreswijziging doorgeeft, wordt deze geadministreerd). De NAW-gegevens kunnen zo tientallen jaren worden bewaard.
Dit geldt voor zowel data in CRM systemen als data op het netwerk(archief).
Stap 9: Marketing Gegevens van medewerkers worden niet voor marketing doeleinden gebruikt. Wel ontvangen alle medewerkers uitgaven van Sportvisserij Nederland op hun prive-adres (Hét Visblad, Visionair, Jaarverslag), dit om de eventuele gezinsleden van de medewerker te informeren/betrekken bij de werkzaamheden.
Stap 10: Controle en evaluatie Openstaande vragen – Hebben alle medewerkers van Sportvisserij Nederland toegang nodig tot functionarisgegevens?
|
|
||||||||||
|
|
||||||||||
|
|