Algemene verordening gegevensbescherming

  • Hoe Stichting Duivenvoorde omgaat met persoonsgegevens in het licht van de nieuwe privacywetgeving

    Sinds 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van kracht. Organisaties die persoonsgegevens verwerken hebben de verplichting aan te tonen dat zij in organisatorische en technische zin aan de AVG voldoen. In dit kader vindt de Stichting Duivenvoorde het van belang dat u weet dat de stichting niet aan grootschalige gegevensverwerking doet. 

    De verantwoordingsverplichting 
    Stichting Duivenvoorde doet niet aan grootschalige verwerking van persoonsgegevens en hoeft om die reden niet te beschikken over een verwerkingsregister en hoeft derhalve een dergelijk register niet te verstrekken wanneer de Autoriteit Persoonsgegevens daar om vraagt.

    De eventuele noodzaak van het aanleggen van een dergelijk register hangt af van de omvang van de Duivenvoorde-organisatie en het type gegevens dat de stichting verwerkt:

    • Stichting Duivenvoorde is een organisatie met minder dan 250 medewerkers;
    • Stichting Duivenvoorde verwerkt geen persoonsgegevens die een hoog risico inhouden voor de privacyrechten van betrokkenen (de rechten en vrijheden van de mensen van wie Stichting Duivenvoorde gegevens verwerkt);
    • Van de mensen waarvan gegevens worden verwerkt, is deze verwerking incidenteel. D.w.z. dat de gegevens die worden vastgelegd worden bepaald door de – toevallige en vrijwillige momenten – waarop een privé- of zakelijke verbintenis wordt aangegaan of verbroken;
    • Stichting Duivenvoorde verwerkt geen gegevens die vallen onder de categorie bijzondere persoonsgegevens (zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens).

     

    De gegevensverwerking van Stichting Duivenvoorde in kaart

    Stichting Duivenvoorde is zelf de ‘verwerkingsverantwoordelijke’
    Dit betekent dat Stichting Duivenvoorde geen gebruik maakt van de diensten van een verwerker: de stichting stelt zelf het doel en de middelen voor de verwerking van persoonsgegevens vast.

    De verwerking van persoonsgegevens
    Volgens de AVG heeft Stichting Duivenvoorde een documentatieplicht. Dit houdt in dat moet kunnen worden aangetoond dat de juiste organisatorische en technische maatregelen aanwezig zijn om te voldoen aan de rechten en verplichtingen als verwerkingsverantwoordelijke. Onderstaand worden de onderwerpen die moeten worden vastgelegd in algemene zin beschreven.

    1. Naam van de organisatie, en de vertegenwoordiger van de organisatie
    • Stichting Duivenvoorde, vertegenwoordigd door de heer P. van Winden
      - er zijn geen andere organisaties met wie gezamenlijk de doelen en middelen van de verwerking zijn vastgesteld;
      - er is geen functionaris voor de gegevensbescherming (FG) aangesteld.
    1. Het doel van de verwerking/doelen waarvoor Stichting Duivenvoorde persoonsgegevens verwerkt
    • - Doel is het onderhouden van contacten met (zakelijke) in- en externe relaties door mondeling, schriftelijke en digitaal met hen te communiceren.
    • - Dit varieert van het uitnodigen voor recepties en evenementen tot het organiseren van rondleidingen, behoud en beheer van het kasteel en landgoed etc.
    1. Onderwerp van verwerking
    • - Het betreft de contactgegevens van (zakelijke) in -en externe relaties en het bankrekeningnummer in geval van financiële transacties.
    1. De duur van de verwerking/ een algemene beschrijving van de datum waarop deze gegevens worden gewist (als dat/deze bekend is)
    • - De gegevens worden vastgelegd op het moment dat de (zakelijke) relatie wordt aangegaan en worden niet meer gebruikt vanaf het moment dat deze relatie wordt verbroken.
    • - De gegevens worden gearchiveerd in geval de betrokkenen een relatie met de Stichting Duivenvoorde hebben die historisch relevant is (bijv. bij restauraties en schenkingen).
    1. De aard van de verwerking
    • - De gegevens worden handmatig vastgelegd in Outlook, te raadplegen door een ieder die daar vanuit zijn of haar rol voor is geautoriseerd. Uit Outlook wordt op geëigende momenten een export gemaakt naar Excel teneinde de adressen te kunnen gebruiken voor adreslabels en mailbestanden.
    1. Beveiliging
    • - De maatregel die Stichting Duivenvoorde heeft genomen om persoonsgegevens te beveiligen bestaat eruit dat alleen degene die daarvoor door het management – uit hoofde van zijn of haar rol in de organisatie – is geautoriseerd, in staat worden gesteld de gegevens op systeemniveau te muteren en (digitaal/op print) te raadplegen.

     

    Overzicht van verwerkingsactiviteiten
    Stichting Duivenvoorde stelt de volgende categorieën van betrokkenen en categorieën/soort  persoonsgegevens vast:

    Categorieën van betrokkenen: personen van wie Stichting Duivenvoorde  gegevens verwerkt

    Aantal

    Categorieën/soort  persoonsgegevens

    Oorsprong

    Personeel

    < 10

    -     naam (titel, functie)
    -     adres (privé)
    -     e-mailadres (privé)
    -     bankrekeningnummer (salarisbetalingen)

    Aangeleverd door betrokkene

    Vrijwilligers

    100-150

    -     naam (titel, functie)
    -     adres (privé)
    -     e-mailadres (privé)
    -     bankrekeningnummer (declaraties)

    Aangeleverd door betrokkene

    Interne relaties (pachters, accountant, sectorgenoten etc.)

    < 100

    -     naam (titel, functie)
    -     adres (privé of zakelijk)
    -     e-mailadres (privé of zakelijk)
    -     bankrekeningnummer (pachtgelden)

    Aangeleverd door betrokkene

    Externe relaties (pers, politiek, bestuurlijke overheid, vak en branchegenoten, etc.)

    500- 1000

    -     naam (titel, functie)
    -     adres (privé of zakelijk)
    -     e-mailadres (privé of zakelijk)

    Aangeleverd door / namens betrokkene

    Zakelijke relaties (leveranciers, restaurateurs, obligatiehouders paviljoen Hof van Duivenvoorde, donateurs etc.)

    50-100

    -     naam (titel, functie)
    -     adres (privé of zakelijk)
    -     e-mailadres (privé of zakelijk)
    -     bankrekeningnummer (facturen)

    Aangeleverd door / namens betrokkene

    Commerciële relaties (vergader- en huwelijksarrangementen etc. )

    >1000

    -     naam (titel, functie)
    -     adres (privé of zakelijk)
    -     e-mailadres (privé of          zakelijk)
    -     bankrekeningnummer (facturen)

    Reserveringen door bedrijven of privépersonen

    Particuliere verkoop

    (digitale ticketverkoop kasteelbezoek en evenementen)

     

    -     naam
    -     adres (niet verplicht)
    -     privé e-mailadressen

    Reserveringen door privépersonen

    Openbaar publiek (nieuwsbrieflezers via Mailchimp )

    >1000

    -     naam (niet verplicht)
    -     privé e-mailadressen

    Anonieme eigen initiatieven

     

    Deel deze pagina