Buurtbusvereniging Vechtdal
Beheer persoonsgegevens
De Buurtbusvereniging Vechtdal beheert een ledenlijst met persoonsgegevens van haar leden. Op 25 mei 2018 is de "Algemene verordening gegevensbescherming" (AVG) in werking getreden. Deze verordening is reeds in 2016 vastgesteld door de Europese Unie. Bij het in werking treden van de AVG vervalt de "Wet bescherming persoonsgegevens" (WBP) en moet worden voldaan aan de regelgeving volgens de AVG. Toezicht op naleving wordt gedaan door de autoriteit persoonsgegevens (AP).
Op grond daarvan moet onder meer het beheer en het gebruik van persoonsgegevens door de vereniging worden vastgelegd. Dit document beschrijft het beheer en de maatregelen, die getroffen zijn om te voldoen aan de nieuwe regelgeving.
Gegevens:
De Buurtbusvereniging Vechtdal beheert een database met gegevens van leden/ chauffeurs, zowel van de actieve chauffeurs als van ex-chauffeurs die op 75-jarige leeftijd moesten stoppen of om een andere reden zijn gestopt met het rijden op de Buurtbus.
De database staat op een USB Stick van de secretaris van de Buurtbusvereniging Vechtdal. De secretaris is de enige die rechtstreeks toegang heeft tot de gegevens van de leden /chauffeurs.
In de database worden van de leden de volgende gegevens bewaard. Er kunnen daarin twee groepen worden onderscheiden:
De "echte" persoonsgegevens:
voornaam, tussenvoegsel, achternaam, straatnaam, huisnummer, postcode, woonplaats, geboortedatum, leeftijd, datum lid, datum beëindiging lidmaatschap, datum medische keuring, datum medische herkeuring, soort rijbewijs en geldigheidsduur, geslacht, telefoon vast en/of mobiel, email adres, kledingmaat, bankrekening en Burger Service Nummer. Een digitale (pas)foto voor het alleen intern te gebruiken ‘smoelenboek’.
Administratieve gegevens:
-Volgnummer, voornaam en achternaam die worden gebruikt voor de
inroostering in de 4-maandelijkse rittenroosters.
-Vermelding van eventuele functie naast de basisfunctie van chauffeur; deze
extra functies zijn: coördinator kaartuitgifte en kleding; coördinator
onderhoud bus; coördinator rittenroosters; coördinator tellijsten, coördinator
schoonmaken bus en de diverse bestuursfuncties.
-Vermelding van de beschikbaarheidstijden in het aparte
beschikbaarheidsoverzicht.
De chauffeursgegevens zijn afkomstig van het ‘Inschrijfformulier voor Buurtbus Vereniging Vechtdal’ dat door elke chauffeur bij aanvang vrijwilligerswerk bij de BBV wordt ingevuld. De secretaris verwerkt deze gegevens in de database.
De lidgegevens worden gebruikt voor de volgende doeleinden:
- Emailadressenbestand voor verzending ritroosters, uitnodigingen vergaderingen en versturen van nieuwsbrieven en overige informatie naar de leden.
- Bankrekeningnummer wordt door de penningmeester gebruikt voor betaling van de reiskosten van de chauffeurs. De daartoe noodzakelijke gegevens worden door de secretaris doorgegeven aan de penningmeester die de financiële administratie van de vereniging verzorgt. Uitleg over het gebruik van beschikbare gegevens staat in de privacyverklaring op de website van de BBV. https:// www.buurtbusvechtdal.nl.Op de betreffende formulieren staat steeds een verwijzing naar deze privacy verklaring. Omdat aangetoond moet kunnen worden, dat door invulling en versturen van het “Inschrijfformulier voor Buurtbus Vereniging Vechtdal” de betreffende persoon aan de BBV toestemming geeft de gegevens te verwerken en op te slaan, staat op het formulier een zinsnede: "Ik ga akkoord met de lidmaatschapsvoorwaarden." met daarbij een vakje waarin verplicht een vinkje moet worden geplaatst. Om aantoning mogelijk te maken, moeten formulieren worden bewaard. Papieren formulieren mogen worden gescand en digitaal worden opgeslagen.
Toegang tot gegevens.
- De secretaris van de BBV heeft volledige toegang tot alle gegevens van de leden van de BBV. De penningmeester krijgt van ieder afzonderlijk lid de gegevens die nodig zijn voor de betaling van de reiskosten.
- De chauffeurs/ leden krijgen van de secretaris het emailadressenbestand dat nodig is om de collega chauffeurs te kunnen benaderen voor ruiling en/of overname van een rit.
- De coördinator rittenroosters krijgt van de secretaris de gegevens die nodig zijn voor het opstellen van de rittenroosters
Verantwoordingsplicht. Om te voldoen aan de verantwoordingsplicht plaatst de BBV bij de betreffende formulieren op de website en op de overeenkomstige formulieren op papier een verwijzing naar de lidmaatschapsvoorwaarden en een verwijzing naar de privacy verklaring van de BBV. Met daarbij op de website een verplicht aan te vinken vakje waarmee de invuller te kennen geeft, dat hij/zij zich akkoord te verklaren met de lidmaatschapsvoorwaarden En op het papieren formulier bij de ondertekening een vermelding, dat de invuller zich door invulling en opsturen van het formulier akkoord verklaart met die voorwaarden.
Verstrekken van gegevens. Ledenlijsten worden nooit aan derden verstrekt. Ook individuele adresgegevens worden niet aan derden versterkt.
Verzoek tot wijziging van gegevens. Een lid kan wijzigingen in de opgeslagen gegevens doorgeven. Dat kan per mail of telefonisch.
Verzoek om inzage in de gegevens. De leden hebben het wettelijke recht inzage te krijgen in alle over hen opgeslagen gegevens. Op verzoek krijgen ze dan een tabel toegestuurd met in de eerste kolom de naam van het betreffende veld in de database en in de tweede kolom de inhoud van het veld uit het record behorend bij het lid. Zo mogelijk per e-mail anders per briefpost. Altijd aan het adres zoals vermeld in het betreffende record in de database.
Verzoek gegevens te verwijderen. Een lid kan verzoeken alle betreffende gegevens te verwijderen uit de database inclusief alle kopieën en back-ups; het gevolg is dan dat zijn/haar lidmaatschap gelijktijdig beëindigd wordt. In principe worden dan in het record de persoonsgegevens gewist. In de privacyverklaring op de website staat, overeenkomstig punt 9 van dit document, opgesomd welke gegevens wel langer bewaard zullen worden.
Meldplicht datalek. De vereniging meldt een lek zelf, als het is opgetreden binnen de eigen administratie aan AP.
Bewaartermijn van verouderde gegevens. Gegevens van actieve leden worden nooit verwijderd. Van leden, die hebben opgezegd, zijn geschorst of zijn overleden worden gegevens vanaf die datum nog 10 jaar bewaard. De daadwerkelijke verwijdering vindt dan plaats op 1 januari daar op volgend. Op dat moment zal geen bijzondere inspanning worden verricht om de betreffende gegevens ook te verwijderen uit alle backups en kopieën.
Data protection impact assessment (DPIA): De vereniging is niet verplicht een DPIA uit te voeren, omdat niet systematisch en grootschalig zeer gevoelige gegevens worden verwerkt
Functionaris voor de gegevensbescherming (FG): De vereniging is niet verplicht een FG aan te stellen, omdat de vereniging geen overheid is, individuen niet grootschalig volgt en omdat geen bijzondere (gevoelige) persoonsgegevens worden verwerkt.
Nieuwleusen, 30-5-2018.