Databeleid Commissies

Als vereniging hechten wij waarde aan de privacy van onze leden. Tevens zijn wij verplicht om hier goed mee om te gaan vanwege de Algemene Verordening Gegevensbescherming. Op deze pagina leggen wij uit hoe wij verwachten dat commissies omgaan met persoonlijke gegevens van leden.

Persoonsgegevens
Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare persoon. Dat is alle informatie die over iemand gaat, of naar iemand te herleiden is. Hierbij maakt de vorm niet uit. Officieel zijn dus bijvoorbeeld foto’s ook persoonsgegevens. Gegevens over organisaties zijn echter weer geen persoonsgegevens, omdat het dan niet over een persoon gaat.

Het verzamelen van persoonsgegevens
Om persoonsgegevens te mogen verzamelen is een reden vereist. De AVG kent zes mogelijke redenen, maar als commissie gebruiken jullie standaard: toestemming van de betrokken persoon.

Toestemming vragen

Indien jullie persoonsgegevens verzamelen (bijvoorbeeld via een formulier) moeten jullie expliciet toestemming vragen voor het verwerken van die persoonsgegevens. Voeg dus aan het einde van het formulier een vinkje toe (die niet automatisch aangevinkt is), waarbij staat:

  • “Ik geef toestemming om deze gegevens te verwerken voor dit evenement tot maximaal 2 weken nadat dit evenement is afgelopen.”
  • of “Ik geef toestemming om deze gegevens te verwerken voor dit evenement tot maximaal 2 weken nadat ik voor dit evenement heb betaald.”
  • of “Ik geef toestemming om deze gegevens te verwerken tot maximaal 2 weken nadat mijn bestelling afgehandeld is.”

Dit zijn voorbeelden. Als deze niet passen, zorg er voor dat je aangeeft wat jullie met de gegevens gaan doen en hoelang jullie de gegevens (verwachten) te gaan bewaren.

Dit geldt dus ook als je op papier persoonsgegevens verzameld. Mondelinge toestemming is niet geldig.

Geen bijzondere gegevens
Bijzondere gegevens die iets zeggen over iemands gezondheid, ras, godsdienst, strafrechtelijk verleden of seksuele leven. Deze verwerken wij niet.

Uitzondering foto’s
Er is niet altijd uitdrukkelijke toestemming nodig voor het publiceren van foto’s, ook al zijn foto’s persoonsgegevens. Dit geldt voor foto’s die niet specifiek zijn gericht op het documenteren van het persoon die op de foto staat, maar waarbij de persoon wel toegevoegde waarde heeft voor de foto. Hier een aantal voorbeelden:

Geen toestemming vragen:

  • sfeerfoto’s: hierbij zeggen de foto’s niet veel over individuele personen, maar over wat de sfeer bij het evenement is.

Tenzij:

  • deze foto’s bijzondere persoonsgegevens bevatten, zoals gezondheid, ras, godsdienst, strafrechtelijk verleden of seksuele leven.

Wel toestemming vragen:

  • profielfoto’s: foto’s die gekoppeld zijn aan andere persoonsgegevens.
  • groepsfoto’s: foto’s die gemaakt zijn om personen in een groep (zoals een commissie) door te geven.

Het verwerken van persoonsgegevens

Zelf verzameld
Op het momenten dat jullie persoonsgegevens hebben verzameld en gaan gebruiken verachten wij dat jullie er op elk moment zorgvuldig mee omgaan. De belangrijkste punten waar jullie je aan dienen te houden zijn:

  • Gebruik de gegevens slechts daarvoor waar jullie toestemming voor hebben gevraagd. Dus ga bijvoorbeeld niet mailadressen gebruiken voor ongevraagde email over andere activiteiten dan degene waar mensen zich voor hebben aangemeld op jullie formulier.
  • Zorg dat jullie de gegevens op zo min mogelijk plekken bewaren, zodat als het tijd wordt om ze te verwijderen dat dat ook daadwerkelijk kan.
  • Deel gegevens alleen met anderen wanneer dit noodzakelijk is, en de personen waar de gegevens van zijn dit weten en hier toestemming voor hebben gegeven
  • Verwijder gegevens daadwerkelijk op het moment, of maximaal twee weken er na, dat jullie ze niet meer nodig hebben voor het doel waar jullie ze voor verzameld hebben.
  • Zorg er voor dat iedereen die toegang heeft tot de gegevens hiervoor een goed wachtwoord en eventueel bij voorkeur 2-factor authenticatie heeft (verificatie via SMS/google authenticator oid.). Check deze pagina voor goede tips over wat écht goede wachtwoorden zijn: https://ssd.eff.org/en/module/creating-strong-passwords.

Van de site
Een aantal commissies hebben toegang tot de volledige database van de website. Hier staan ontzettend veel persoonsgegevens in die in goed vertrouwen zijn verstrekt aan de USAC. Daarom vinden wij het zeer belangrijk dat dit vertrouwen niet wordt geschaad en er in elk geval zorgvuldig mee wordt omgegaan. Van ieder die gebruik maakt van deze toegang verwachten wij het volgende:

  • Indien jullie toegang hebben tot extra gegevens op de site, zorg dan dat je account goed beveiligd is. Zorg er dus voor dat jullie een wachtwoord gebruiken die sterk is, en die daarnaast niemand anders dan jezelf weet.
  • Maak geen kopieën van de gegevens, tenzij jullie het echt nodig hebben voor het uitvoeren van jullie taak als commissie.
  • Op het moment dat jullie wel kopieën maken uit noodzaak, verwijder deze dan gelijk nadat jullie klaar zijn. We zitten er niet op te wachten dat stukjes uit de ledendatabase blijven slingeren in download-mapjes en oude harde schijven.
  • Zorg er voor dat persoonlijke apparaten waar je kopieën op gebruikt goed fysiek en niet-fysiek beveiligd zijn. Dit betekent dat je het apparaat niet onbeheerd achterlaat zolang er gegevens van leden op staan. Dit betekent ook dat je een goed wachtwoord op het apparaat gebruikt.
  • Als jullie kopieën van de gegevens verwerken, gebruik dan hiervoor geen willekeurige cloud-diensten. Het bestuur werkt met Google Drive en Google Docs, iets wat ook in ons privacybeleid vermeld (gaat worden) is. Google bied ons ook een dataverwerkers-overeenkomst aan, waardoor we hierbij overeenkomstig met het Avg handelen. Daarom mogen jullie ook eventueel gegevens verwerken met tools van Google.
  • Deel gegevens niet met derden, tenzij degene waar dit over gaat expliciet toestemming geeft.
  • Gebruik extra gegevens niet voor persoonlijke doeleinden.