PROTOCOL  AVG

Omgang met en bescherming van persoonsgegevens binnen

Jacht- Skeet- & Trapclub Waalsdorp

 

Inhoudsopgave

ALGEMEEN DEEL   3

1          Inleiding en begripsbepalingen   3

2          Samenvatting Wbp   4

PROTOCOL   6

3          De verwerking van persoonsgegevens (verkrijging, gebruik, bewaartermijnen en melding)  6

4          Beveiliging van persoonsgegevens  9

5          Informatieverstrekking aan de betrokkene  10

6          Rechten van de betrokkene  11

7          Klachten   11

 

 

 

ALGEMEEN DEEL

1                Inleiding en begripsbepalingen

Jacht- Skeet- & Trapclub Waalsdorp te Den Haag (hierna: de Vereniging) in geschreven bij de Kamer van Koophandel onder nummer 404010078 wordt veel waarde gehecht aan de veiligheid en privacy van (hun) leden, vrijwilligers en begunstigers. De vereniging wenst in dit verband waarborgen te bieden, onder andere door strikte naleving van de toepasselijke (privacy) wet- en regelgeving. De wijze waarop met persoonlijke gegevens van leden, vrijwilligers en begunstigers van de vereniging wordt omgegaan, alsmede de beveiliging daarvan is van cruciaal belang.

In dit protocol is beschreven op welke wijze de Vereniging omgaat met persoonsgegevens en de beveiliging daarvan. Het protocol heeft dus tot doel inzicht te verschaffen in de wijze waarop de gegevensverwerking binnen een Vereniging zou moeten plaatsvinden; het betreft een praktische uitwerking van de bepalingen van de AVG (Algemene Verordening Gegevensbescherming)

           

De AVG bevat de regels met betrekking tot de verkrijging/verzameling en verdere verwerking van persoonsgegevens van betrokkenen, zoals aspiranten, aspirant-leden, leden, zieke leden, vrijwilligers, begunstigers en deelnemers aan de door de Vereniging georganiseerde evenementen en/of competities, leden en ex-leden van een Vereniging. Bij het opstellen van dit document is de Wet bescherming persoonsgegevens dan ook als uitgangspunt genomen en is aangesloten bij de begrippen zoals deze zijn gedefinieerd in de AVG:

 

Persoonsgegeven                                 elk gegeven betreffende een geïdentificeerde of een identificeerbare natuurlijke persoon, dus: aspiranten, aspirant-leden, leden, zieke leden, vrijwilligers, begunstigers en deelnemers aan de door de vereniging georganiseerde evenementen en/of competities en ex- leden van een Vereniging.

 

Bijzondere Persoonsgegevens               de gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven of persoonsgegevens betreffende het lidmaatschap van een vakvereniging. Verder zijn bijzondere persoonsgegevens strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag.

 

Verwerken                                         elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

 

Verantwoordelijke                               de natuurlijke persoon, rechtspersoon of ieder ander die alleen of tezamen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; in dit geval zowel de KNSA als de desbetreffende Vereniging.

 

Bewerker                                           degene die ten behoeve van de verantwoordelijke, onder diens instructie en verantwoordelijkheid, persoonsgegevens verwerkt, zoals een hostingprovider, IT-dienstverlener, enzovoorts.

 

Betrokkene                                        degene waarvan de persoonsgegevens worden verwerkt; in dit geval de aspiranten, aspirant-leden, leden, zieke leden, vrijwilligers, begunstigers en deelnemers aan de door de vereniging georganiseerde evenementen en/of competities, leden en ex-leden van een Vereniging.

 

Derde                                                ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of bewerker gemachtigd is om persoonsgegevens te verwerken.

 

Verstrekken                                        het bekendmaken of ter beschikking stellen van gegevens.

 

Verzamelen                                         het verkrijgen van persoonsgegevens.

 

De volledige wettekst van de Wbp kan worden geraadpleegd op de website van het College bescherming persoonsgegevens (Cbp).[1]

 

2               Samenvatting Wbp

De Wbp is op 1 september 2001 in werking getreden. De wet is een uitwerking van de Europese privacyrichtlijn[2] en beslaat het gehele proces van gegevensverwerking. Dat wil zeggen van het verzamelen tot het vastleggen en het eventueel doorgeven van persoonsgegevens aan derden. Een organisatie kan pas rechtmatig persoonsgegevens verwerken indien is voldaan aan de (strenge) normen die in de Wbp zijn opgenomen. De voor de Vereniging meest belangrijke regels met betrekking tot gegevensbescherming kunnen als volgt worden samengevat:

 

  1. Wijze van verwerking.

Persoonsgegevens mogen alleen worden verwerkt indien dat geschiedt in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze.

 

  1. Doelbinding

Persoonsgegevens mogen alleen worden verzameld voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden en kunnen alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.

 

  1. Kwaliteit

Persoonsgegevens moeten relevant zijn voor de doeleinden waarvoor zij gebruikt worden. Daarnaast moeten persoonsgegevens nauwkeurig zijn, maar ook compleet en up-to-date.

 

  1. Transparantie

De betrokkene(n), degene van wie persoonsgegevens worden verwerkt, moet ten minste op de hoogte zijn van de identiteit van de verantwoordelijke en van het doel/de doeleinden van de verwerking.

 

  1. Beveiliging

De persoonsgegevens moeten op een passende wijze worden beschermd. De verantwoordelijke dient in dit verband voldoende technische en organisatorische beveiligingsmaatregelen te treffen tegen verlies of ongeautoriseerde toegang, vernietiging, gebruik, wijziging of openbaarmaking van persoonsgegevens.

 

  1. Verantwoordelijkheid

De verantwoordelijke voor de verwerking moet verantwoording afleggen voor het nemen van maatregelen die uitvoering geven aan de (voorgaande) vereisten met betrekking tot de bescherming van persoonsgegevens. Deze vereisten kunnen onder andere worden herzien in het licht van ’veranderende technologieën, markten en het gedrag van gebruikers’.

 

Het College bescherming persoonsgegevens (Cpb) is door de Wbp aangewezen als de instantie die een Vereniging kan aanspreken op het niet naleven van de wet en kan sancties opleggen.

 

Op 25 januari 2012 heeft de Europese Commissie een voorstel voor een nieuwe verordening gegevensbescherming gepubliceerd (‘Verordening’) die de huidige Privacy Richtlijn uit 1995 zal vervangen. De Verordening vormt één set uniforme regels die op alle lidstaten van de Europese Unie van toepassing zal zijn. Dit valt tot het moment van inwerkingtreding buiten de reikwijdte van dit protocol.

 

PROTOCOL

 

Jacht- Skeet- & Trapclub Waalsdorp (hierna: Vereniging) zal de Wbp naleven en toezien op naleving van de wet- en regelgeving door haar aspiranten, leden, medewerkers, vrijwilligers en overigens alle derden die persoonsgegevens ten behoeve van de Vereniging verwerken. De Vereniging zal zich houden aan de in dit protocol opgenomen principes en regels. Voorts zal de Vereniging dit protocol intern kenbaar maken, zowel aan haar leden als aan vrijwilligers.

3                De verwerking van persoonsgegevens (verkrijging, gebruik, bewaartermijnen en melding)

De Vereniging verzamelt en verwerkt alleen persoonsgegevens, zoals zij die van de betrokkene(n) door het invullen van het aanmeldingsformulier en de eigen verklaring heeft verkregen, tenzij anders door de Vereniging is vastgesteld.

 

Doeleinden aanmeldingsformulier

In het kader van de ledenadministratie en andere verenigingsactiviteiten is een Vereniging genoodzaakt door middel van het aanmeldingsformulier (een aantal) algemene persoonsgegevens van haar aspiranten/aspirant-leden/leden, zoals naam, geboortedatum, adres en woonplaats, telefoon, e-mailadres, nationaliteit, KNSA-licentienummer en het soort lidmaatschap te verwerken. Ook worden door de Vereniging (een aantal) bijzondere of gevoelige persoonsgegevens verzameld, zoals gegevens met betrekking tot het strafrechtelijk verleden van de betrokkene(n). De Verenigingen verwerken deze algemene en bijzondere persoonsgegevens, die worden in gevuld op het aanmeldingsformulier, alleen voor nauwkeurig omschreven doeleinden. Door de KNSA zijn de volgende doeleinden geformuleerd:

 

  1. Het voeren van de ledenadministratie van de Verengingen in verband met het aanmelden van personen als aspirant/aspirant-lid/lid, de verzending van post, de opgave bij de verzekering en het innen, berekenen van gedifferentieerde contributie en de organisatie van de gebruikelijke verenigingsactiviteiten (vraag 1, 2, 4, 5 t/m 9, 16 en 17);

 

  1. Het al naar gelang van het beroep van een lid, een beroep kunnen doen op diens medewerking vanwege de vele werkzaamheden die door vrijwilligers voor de Verenigingen moeten worden verricht (vraag 10);

 

  1. De organisatie van wedstrijden en competities, landenwedstrijden (tevens internationaal) en om, in verband met de veiligheid, te kunnen beoordelen of de betrokkene de Nederlandse taal beheerst (vraag 11 t/m 13);

 

  1. Het waarborgen van de veiligheid van betrokkene, aspiranten/aspirant-leden/leden en de maatschappelijke veiligheid en het zoveel mogelijk beperken van de kans op misbruik (vraag 14, 15 en 19);
  2. Marketingdoeleinden (vraag 18);

 

  1. De screening van aspiranten:

 

  • om te voorkomen dat ongewenste personen lid kunnen worden van een Vereniging en daarmee de beschikking kunnen krijgen over vuurwapens (vraag 20 t/m 25)
  • om te kunnen beoordelen (verenigingsbestuur) of een persoon geschikt is voor het lidmaatschap van een Vereniging en de beschikking die die persoon krijgt over vuurwapens (vraag 20 t/m 25)
  • op andere overtredingen en/of misdrijven dan waar de VOG op screent, zoals overtredingen en misdrijven waarvoor nog geen veroordeling heeft plaatsgevonden of waarvan de terugkijktermijn van 8 jaar (VOG) inmiddels is verstreken (vraag 26 en 27);

 

Doeleinden eigen verklaring

De Minister van Veiligheid & Justitie heeft bepaald dat de Verenigingen aspiranten/aspirant-leden/leden moeten toetsen op door het Ministerie van Veiligheid & Justitie en het Ministerie van Volksgezondheid Welzijn en Sport opgestelde risicofactoren, zoals stressvolle omstandigheden, klinische factoren en persoonlijke kenmerken. De Vereniging verwerkt de persoonsgegevens, die zijn ingevuld op en verkregen bij de eigen verklaring, dan ook enkel en uitsluitend voor de volgende doeleinden:

 

  1. voor het waarborgen van de veiligheid van de betrokkene, de veiligheid van alle leden en/of de veiligheid van de openbare orde;
  2. om te kunnen achterhalen of bepaalde klinische factoren en/of stressvolle omstandigheden en/of eventuele andere specifieke kenmerken van de betrokkene een veilige beoefening van de schietsport en de beschikking over vuurwapens kunnen belemmeren.

 

Vragen om legitimatie en kopie paspoort

De Vereniging is verplicht aspiranten te legitimeren aan de hand van een geldig legitimatiebewijs, zoals een geldig Nederlands paspoort, een geldige Nederlandse identiteitskaart of een geldig Nederlands rijbewijs. Het is de Vereniging echter niet toegestaan een kopie paspoort te bewaren.

 

Grondslag

Door het ondertekenen van het aanmeldingsformulier en de eigen verklaring komt er tussen de betrokkene, de Vereniging en de KNSA een overeenkomst tot stand. Op basis hiervan is de Vereniging gerechtigd de verzamelde en verkregen persoonsgegevens (verder) te verwerken. Dit geldt dus voor zowel de algemene als de bijzondere persoonsgegevens, mits de persoonsgegevens alleen worden verwerkt voor de doeleinden zoals eerder in dit protocol zijn beschreven. Dit betekent dat de Vereniging de persoonsgegevens in de eerste plaats verzamelt, verkrijgt en verwerkt in verband met het voeren van een efficiënte en effectieve (leden)administratie, het kunnen aanbieden van informatie en het organiseren van wedstrijden, competities en andere (sociale) activiteiten. Daarnaast is de verwerking van persoonsgegevens door de Vereniging, meer in het bijzonder, gericht op het waarborgen van zowel de persoonlijke veiligheid van de betrokkene(n) als de maatschappelijke veiligheid.

 

Bewaartermijn

De persoonsgegevens worden door de Vereniging niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan voor zover dit noodzakelijk is voor de verwerking van de doeleinden waarvoor de persoonsgegevens zijn verzameld/verkregen en worden gebruikt:

 

  • De persoonsgegevens die in het kader van de ledenadministratie zijn verzameld en verkregen, worden door de Vereniging in ieder geval uiterlijk twee (2) jaren nadat het lidmaatschap is beëindigd verwijderd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening van een wettelijke bewaarplicht (te denken valt aan fiscale bewaartermijnen en termijnen zoals gesteld in de Archiefwet);
  • De persoonsgegevens die in het kader van de financiële administratie zijn verzameld en verkregen, worden door de Vereniging in ieder geval zeven (7) jaren te bewaren;
  • De door de Vereniging bij te houden registers en staten worden, conform de Circulaire wapens en munitie, door de Vereniging gedurende minimaal drie (3) jaren bewaard;
  • De Vereniging stelt zelf vast op welke wijze de persoonsgegevens worden vernietigd (bijvoorbeeld door een erkend bedrijf voor archiefvernietiging).
  • Voor administratieve doeleinden worden na afloop van de bewaartermijn, indien de betrokkene daartoe zijn toestemming heeft gegeven, alleen de volgende gegevens bewaard: naam, adres, woonplaats en de periode van het lidmaatschap van betrokkene;
  • De Vereniging mag persoonsgegevens ook langer bewaren voor historische, statistische of wetenschappelijke doeleinden indien de Vereniging de nodige voorzieningen heeft getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor die doeleinden worden gebruikt;
  • Persoonsgegevens kunnen in geanonimiseerde vorm eventueel langer worden bewaard; de gegevens worden dan zodanig door de Vereniging bewerkt, dat deze niet meer tot identificeerbare personen te herleiden zijn.

 

Melding van de verwerking van persoonsgegevens bij het Cbp

Het overgrote deel van de diverse verwerkingen van persoonsgegevens door de KNSA en de Verenigingen is vrijgesteld van de meldplicht bij het Cbp, zoals de verwerking van persoonsgegevens in het kader van de ledenadministratie. Dit geldt echter niet voor de verwerking van bijzondere persoonsgegevens door de KNSA en de Verenigingen in het kader van de screening van aspirant-leden en introducés. Deze verwerking, die tot doel heeft de maatschappelijke en persoonlijke veiligheid te waarborgen, is niet vrijgesteld van melding bij het Cbp. De KNSA heeft daarom, als verantwoordelijke in de zin van de Wbp, mede namens de Verenigingen (in dit verband bewerkers in de zin van de Wbp) melding gedaan bij het Cbp van deze verwerking van bijzondere persoonsgegevens, die door de KNSA en de

Verenigingen worden verkregen en (verder) verwerkt in verband met de screening van aspirant-leden en introducés. Dit betekent dat de Verenigingen in beginsel zelf geen meldingen meer hoeven te doen bij het Cbp, mits zij zich houden aan de afspraken die de KNSA hierover heeft gemaakt en die zijn opgenomen in zowel het in oktober 2013 aan de Verenigingen verspreide memo als dit model Protocol.

 

Indien een Vereniging het noodzakelijk acht persoonsgegevens (verder) te verwerken voor buiten de in dit Protocol beschreven doeleinden, dan zal uitsluitend de Vereniging de verantwoordelijke zijn voor die verwerkingen in de zin van de Wbp. Indien de Vereniging daartoe besluit, zal zij dat zelf moeten melden bij het Cbp.

4               Beveiliging van persoonsgegevens

Technische en organisatorische maatregelen

De Vereniging doet er alles aan om de persoonsgegevens van haar aspiranten/aspirant-leden/leden/ex-leden, vrijwilligers en begunstigers op een zorgvuldige wijze te beschermen en te beveiligen. De Vereniging legt dan ook passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beschermen tegen verlies, aantasting, onbevoegde kennisneming, wijziging of verstrekking. In de Wbp en de rechtspraak is niet vastgelegd of uitgekristalliseerd wat deze maatregelen (moeten) inhouden. Dit dienen Verenigingen in beginsel zelf te bepalen in bijvoorbeeld (aanvullende) protocollen en technische voorzieningen in ICT-systemen. Teneinde de beveiliging van persoonsgegevens in de systemen en (leden)administratie van de Verenigingen te waarborgen, heeft de KNSA de volgende maatregelen geformuleerd, die door een Vereniging in ieder geval zouden moeten worden getroffen:

 

  • Installatie van een inbraakalarm in het clubhuis van de Vereniging;
  • Het bewaren van de (leden)administratie in een met inlogcode en wachtwoord beveiligde computer. Het systeem kent gradaties in de mate van bevoegdheid van bepaalde bestuursleden/leden-vrijwilligers als het gaat om toegang tot en verwerking van persoonsgegevens. Indien de (leden)administratie, om welke reden dan ook, vanuit huis van een (bestuurs)lid wordt gevoerd, worden hierover nadere afspraken gemaakt met het betreffende (bestuurs)lid dat de (leden)administratie voert. Het is om veiligheidsreden bijvoorbeeld niet toegestaan persoonsgegevens te kopiëren naar een USB-stick of een privé-computer;
  • Indien met persoonsgegevens wordt gewerkt, worden deze te allen tijde afgeschermd voor onbevoegde aspirant-leden, leden, bestuursleden, en andere derden;
  • Het bewaren van aanmeldingsformulieren, eigen verklaringen en bijzondere persoonsgegevens (hardcopy) geschiedt in afgesloten en vergrendelde dossierkasten. Ook de papieren dossiers zijn dus zeer beperkt toegankelijk;

 

Verantwoordelijkheid

De secretaris van het bestuur is verantwoordelijk voor het beheer van zowel de papieren als digitale (leden)administratie en draagt er voor zorg dat de verzameling/verkrijging, de (verdere) verwerking, het beheer en de bewaring van persoonsgegevens wordt uitgevoerd conform de Wbp, dit protocol en de overige documenten omtrent gegevensbescherming zoals deze gelden binnen de KNSA.

 

Mate van bevoegdheid (intern en extern)

Intern. Vanwege de taken die voortvloeien uit hun functie zijn binnen de Vereniging de volgende personen bevoegd tot het inzien van en belast met de verwerking van persoonsgegevens:

 

  • De voorzitter van het bestuur van de Vereniging ten aanzien van alle binnen de Vereniging te verwerken persoonsgegevens, waaronder mede de Bijzondere persoonsgegevens moeten worden verstaan;
  • De secretaris en penningmeester van het bestuur van de Vereniging ten aanzien van de voor hen noodzakelijke persoonsgegevens, zoals de leden- en de financiële administratie, maar in ieder geval met uitzondering van bijzondere persoonsgegevens;
  • Leden die deelnemen in een (wedstrijd)commissie, een en ander beperkt tot de voor hen – in het kader van de commissieactiviteiten - noodzakelijke gegevens, zoals geboortedatum, geslacht en prestatieniveau, maar in ieder geval met uitzondering van bijzondere persoonsgegevens;
  • Bestuurslid belast met de opleidingen en cursussen in het belang van de Vereniging, een en ander beperkt tot de voor hen – in het kader van de commissieactiviteiten - noodzakelijke gegevens, zoals geboortedatum, geslacht en prestatieniveau, maar in ieder geval met uitzondering van bijzondere persoonsgegevens;

 

Overige leden van de Vereniging hebben slechts toegang tot persoonsgegevens, indien dit noodzakelijk is bij de uitvoering van een bepaalde aan hen toegewezen taak en/of indien zij hiervoor toestemming hebben gekregen van (de voorzitter van) het bestuur van de Vereniging. De leden van de Verenging (waaronder mede verstaan de bestuursleden van de Vereniging) die inzage hebben in persoonsgegevens hebben een geheimhoudingsplicht. Het bestuur van de Vereniging zien er voor zover dat mogelijk is - op toe, dat deze geheimhoudingsplicht door de leden wordt nageleefd.

 

Extern. Buiten de Vereniging kunnen persoonsgegevens worden verstrekt aan personen en organisaties voor zover dit noodzakelijk is voor hun taakuitoefening en/of op basis van een wettelijk voorschrift dan wel een wettelijke verplichting dan wel in het kader van de persoonlijke en maatschappelijke veiligheid. Te denken valt aan:

 

  • de KNSA;
  • Auditors in het kader van onder meer de KNSA-certificering;
  • Politie en justitie;
  • Externe hulpverleners in geval van een incident;

5                Informatieverstrekking aan de betrokkene

De aspiranten, aspirant-leden en leden van de Vereniging worden door middel van de toelichting op het aanmeldingsformulier en de eigen verklaring en het model KNSA-informatiebrochure ‘Privacy binnen de KNSA en de bij haar aangesloten schietsportverenigingen’ (april 2014) geïnformeerd over de rechten en de wijze waarop door de Vereniging (en de KNSA) met persoonsgegevens wordt omgegaan. Door ondertekening van het aanmeldingsformulier en de eigen verklaring komt bovendien een overeenkomst tot stand tussen de betrokkene, de KNSA en de Vereniging op basis waarvan bepaalde op de betrokkene betrekking hebbende persoonsgegevens mogen worden verwerkt en waarin tevens wordt verwezen naar de Informatiebrochure. In principe heeft de Vereniging hiermee aan haar informatieplicht voldaan. Indien gewenst kan het bestuur van de Vereniging en/of het bestuur van de KNSA vanzelfsprekend aanvullende informatie verstrekken aan betrokkene(n).

6               Rechten van de betrokkene

In het KNSA-model Informatiebrochure “Privacy binnen de KNSA en de bij haar aangesloten schietsportverenigingen” wordt uitgebreid aandacht besteed aan de rechten die betrokkenen hebben ten aanzien van de persoonsgegevens die van hen worden verwerkt en/of bewerkt. Het gaat om de volgende rechten:

 

  • Het recht op inzage in en afschrift van persoonsgegevens;
  • Het recht op correctie van persoonsgegevens.

 

Voor nadere toelichting over de rechten van betrokkenen wordt verwezen naar deze KNSA Informatiebrochure “Privacy”.

7                Klachten

Het bestuur van de Vereniging streeft ernaar om binnen de Vereniging een klachtenfunctionaris aan te wijzen (bijvoorbeeld een lid van het bestuur of vertrouwenspersoon) en kenbaar te maken, bij wie een betrokkene eventuele klachten kan indien over de wijze waarop door de Vereniging met zijn of haar persoonsgegevens wordt omgegaan dan wel over de wijze waarop de Wbp wordt nageleefd.

Als klachtenfunctionaris binnen JST Waalsdorp is de secretaris aangewezen.

+++

[1] www.cbpweb.nl

[2] Richtlijn 95/46/EG van het Europese Parlement en de Raad van 24 oktober 1995 betreffen de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.