Op de bestuursvergaderig van 10 december 2018 is het volgende vastgesteld met betrekking tot de omgang met de Algemene Verordening Gegevensbescherming:
Privacybeleid van de Drents Prehistorische Vereniging
Algemene verordening gegevensbescherming (AVG)
Vanaf 25 mei 2018 is de AVG van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacy-rechten en hun bestaande rechten worden sterker. Organisaties, waaronder ook verenigingen, die persoonsgegevens verwerken krijgen meer verplichtingen. De nadruk ligt, meer dan nu, op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden.
Beheer Persoonsgegevens
De DPV verplicht zich te houden aan de onderstaande bepalingen in de AVG met betrekking tot het beheer van persoonsgegevens van haar leden en relaties ten aanzien van:
De persoonsgegevens die de DPV nodig heeft om haar beleid uit te voeren
Toestemming van leden en relaties voor het opslaan en beheren van de persoonsgegevens en voor de duur daarvan
Het juist en nauwkeurig bijhouden van de persoonsgegevens
De beveiliging van de persoonsgegevens
Het verlenen van inzage in de opgeslagen persoonsgegevens
Het gebruik van de persoonsgegevens
De DPV heeft één bestand met persoonsgegevens van haar leden en relaties i.c. het Leden- en Relatiebestand.
De DPV verstrekt geen gegevens aan derden zonder toestemming, behalve:
een verzendlijst aan de drukker van De Spieker en aan de uitgever van de Nieuwe Drentse Volksalmanak voor de verzending aan haar leden en enkele relaties. De verzendlijst wordt aan de drukker en uitgever verstrekt op voorwaarde dat deze na gebruik wordt verwijderd
een deelnemerslijst van de meer-dagen-excursies aan het Reisbureau voor boeking van de accommodaties tijdens deze reizen
De DPV bewaart persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor deze persoonsgegevens zijn verkregen of verzameld. De DPV verwerkt van haar leden niet meer persoonsgegevens dan nodig is om leden te informeren en te laten deelnemen aan de verenigingsactiviteiten.
In het Leden- en Relatiebestand zijn de volgende gegevens opgenomen:
- Lid of Relatienummer
- Naam, voorletters, voorvoegsels
- Roepnaam
- Adres, postcode, woonplaats
- M/V
- Telefoonnummer
- E-mailadres
- Geboortejaar (mits door het lid zelf verstrekt)
- Status betrokkene (gewoon lid, jeugdlid, partnerlid, erelid, ruillid, relatie)
- Interessegebied
- Bijzonderheden bijvoorbeeld oud-bestuurslid, oud-spreker of beoogd spreker voor lezingen, oud-excursieleider, deelnemer excursie, lid van een werkgroep, functie op het (werk)terrein van de DPV w.o. archeoloog, conservator, contactpersonen musea, bestuurslid zustervereniging, e.d.
- IBAN-bankrekening-nummer en de tenaamstelling
- Incassomachtigingskenmerken
- Status betalingen en uitstaande (contributie)verplichtingen
Intern gebruik van het Leden- en Relatiebestand
Uit het Leden- en Relatiebestand wordt bij gelegenheid aan bestuursleden of redactieleden een relevant deel van dit bestand verstrekt, te gebruiken voor een evenement van de DPV, w.o. meer-dagen-excursies of dagexcursies, het versturen van de Nieuwsbrief, het zoeken en benaderen van sprekers voor lezingen en columnisten of auteurs voor het verenigingsblad De Spieker.
Onder aan iedere Nieuwsbrief staat een link waarmee men zich te allen tijde kan uitschrijven voor de Nieuwsbrief.
Ter controle van de financiële administratie krijgt de kascommissie jaarlijks inzage in de relevante financiële gegevens alsmede het Leden- en Relatiebestand.
Toestemming van betrokkenen en tijdsduur van het bewaren van gegevens
De gegevens door de aanvrager van het lidmaatschap aangegeven op het aanmeldformulier lidmaatschap zullen worden opgenomen in het Leden- en Relatiebestand.
Gegevens van leden en relaties die hun lidmaatschap opzeggen of die niet langer als relatie willen worden aangemerkt, zullen indien gewenst zo mogelijk direct, maar uiterlijk binnen zes maanden na afloop van het verenigingsjaar worden gewist.
Juist en nauwkeurig bijhouden van persoonsgegevens
Elk lid is verantwoordelijk voor het tijdig en correct doorgeven van veranderingen in zijn of haar persoonsgegevens.
Leden en relaties hebben te allen tijde de mogelijkheid op verzoek de persoonsgegevens te verifiëren, bij te laten werken, of te laten verwijderen. Deze inzage blijft beperkt tot de eigen persoonsgegevens.
Beveiliging van persoonsgegevens
De DPV heeft de plicht de persoonsgegevens van haar leden en relaties die zij in haar beheer heeft te beschermen. De door de DPV beheerde persoonsgegevens zullen door een bestuurslid worden beheerd.
De DPV maakt gebruik van een goed beveiligde cloud-dienst voor backup, synchronisatie en interne uitwisseling van gegevens voor bestuursleden. Er zullen geen bestanden met persoonsgegevens worden bewaard op onbeveiligde gegevensdragers.
Bij het aftreden van het bestuurslid dat verantwoordelijk is voor de ledenadministratie zullen de gegevens en het beheer van de gegevens worden overgedragen aan een ander bestuurslid.
Toegang tot eigen gegevens
Leden en relaties hebben:
- de mogelijkheid om zijn toestemming in te trekken
- het recht op correctie
- het recht om vergeten te worden
In geval van correctie zal deze zo snel mogelijk, in ieder geval binnen drie maanden, worden doorgevoerd in het Leden- en Relatiebestand.
In het geval van intrekken van de toestemming, zullen de betreffende gegevens zo snel mogelijk en in ieder geval binnen drie maanden worden verwijderd uit het Leden- en Relatiebestand. Dit kan consequenties hebben voor de mogelijkheden van de DPV om aan haar doelstellingen te voldoen voor de betreffende persoon. Daarnaast ontheft dit de betreffende persoon niet van zijn of haar lopende verplichtingen.
Delen van gegevens met derden
De DPV deelt de door haar beheerde persoonsgegevens niet met andere partijen, tenzij dat nodig is om de met betrokkenen afgesproken diensten te kunnen leveren wanneer daar wettelijk een verplichting toe bestaat; of als betrokkenen daar zelf toestemming voor hebben gegeven.
Notulen van verenigingsbijeenkomsten, zoals de Algemene Ledenvergadering kunnen ook persoonsgegevens bevatten en zullen daarom uitsluitend aan haar leden ter beschikking worden gesteld via de beveiligde pagina’s voor leden op de DPV-website.
Bij collectieve mailingen naar leden en relaties worden emailadressen in de geadresseerdenregel BCC gezet.
Foto’s en portretten
In de AVG zijn aangescherpte regels voor portretten zoals foto’s waarop personen herkenbaar voorkomen. Dit geldt vooral voor sociale media en websites, maar ook voor het verenigingstijdschrift De Spieker. Hierop bestaat echter een uitzondering indien gehandeld wordt onder de zogenaamde journalistieke exceptie. Bij journalistieke verslagen van evenementen, lezingen en excursies mogen wel zonder toestemming foto’s worden gepubliceerd van personen.
Dit neemt niet weg dat de redactie van De Spieker er naar streeft om geen herkenbare foto’s of afbeeldingen openbaar te maken van leden en relaties die daar bezwaar tegen hebben. Deelnemers kunnen hun bezwaar tegen publicatie kenbaar te maken bij de fotograaf of bij de redactie voor, tijdens of na een evenement, tot uiterlijk de kopij-sluitingsdatum van De Spieker. Een bezwaar kan eenmalig zijn, maar kan ook gelden voor onbepaalde tijd. In veel gevallen bestaat de mogelijkheid dat deelnemers inzage krijgen in foto’s van een evenement voorafgaand aan publicatie.
Bezwaren tegen publicatie van geposeerde groepsfoto’s, bij bijvoorbeeld excursies, zullen door de redactie in de regel niet worden ingewilligd.
Ten aanzien van foto’s en portretten volgt de redactie van de DPV-website en de redactie van de Nieuwsbrief het beleid van de redactie van De Spieker.
De redactie of het DPV-bestuur kan derden toestemming geven artikelen over te nemen inclusief de daarbij behorende foto’s. Dit betreft bijvoorbeeld periodieken of websites van zusterverenigingen en het Hunebedcentrum.
10 december 2018