Privacy protocol

Dit protocol is bedoeld om vast te leggen hoe Aktie voor Aktie en haar kaderleden omgaan met privacygevoelige gegevens en bovendien om de begrippen rond privacy aan kaderleden duidelijk te maken. Er is gebruik gemaakt van een handboek uitgegeven door NSF/NOC over de Algemene verordening gegevensbescherming (AVG).

Wat is privacy?
Het recht op privacy kun je eenvoudig uitleggen als het recht om met rust gelaten te worden. Het recht op privacy is in de meeste landen een grondrecht. Het wordt gezien als een basisvoorwaarde in een vrije samenleving, waarin mensen tot op zekere hoogte vrij kunnen kiezen hoe zij hun leven inrichten. Die vrijheid kun je op meerdere manieren benaderen:

1. Ruimtelijk: de vrijheid om zelf te bepalen waar je verblijft;
2. Lichamelijk: de vrijheid om zelf te beslissen over jouw lichaam;
3. Relationeel: de vrijheid om zelf te kiezen met wie je omgaat; en
4. Informationeel: wat mag een ander met jouw persoonlijke informatie?

Dit protocol staat volledig in het teken van dat laatste, namelijk informationele privacy, ook wel de bescherming van persoonsgegevens genoemd.

Wat is een persoonsgegeven?
Een persoonsgegeven is elk gegeven over een levende en identificeerbare persoon. Het gaat dus ten eerste om álle informatie over een persoon. Het maakt niets uit of de informatie wel of niet ‘privé’, oud of nieuw, of misschien zelfs volstrekt onbelangrijk is. Een paar willekeurige voorbeelden van persoonsgegevens: voor- en achternaam, adres, telefoonnummer, lichaamslengte, hobby, land van herkomst, lidmaatschapsnummer, e-mailadres, locatie, haarkleur, dieetwens, outfit, favoriete film, etc.

Traditioneel denk je bij persoonsgegevens aan statische gegevens, maar ook gegevens over gedrag en zelfs voorspellingen daarover kunnen een persoonsgegeven zijn.

Identificeerbaar
Een gegeven is pas een persoonsgegeven als dit herleidbaar is tot een persoon. Meestal is informatie eenvoudig gekoppeld aan een naam of aan een uniek nummer, zodat je een persoon direct kunt identificeren. Soms is identificatie weliswaar niet direct, maar wel indirect mogelijk. Denk bijvoorbeeld aan een teamfoto. Hoewel er misschien geen namen onder de foto staan, kun je daar met een eenvoudige zoekopdracht op internet meestal snel achter komen. De foto is dan alsnog een persoonsgegeven.

Mogen we persoonsgegevens verwerken?
Persoonsgegevens mogen alleen worden verwerkt met een duidelijk omschreven en gerechtvaardigd doel. Die rechtvaardiging bestaat volgens de wet in zes gevallen.

Een verwerking kan op zes manieren gerechtvaardigd zijn:

  1. De betrokkene geeft uitdrukkelijk toestemming voor de verwerking
  2. De verwerking is noodzakelijk in verband met een overeenkomst met de betrokkene (het lidmaatschap, de donatie, de adoptie, de projectsteun, etc.)
  3. De verwerking is noodzakelijk om te voldoen aan een wettelijke plicht
  4. De verwerking is noodzakelijk om een vitaal belang van de betrokkene te beschermen
  5. De verwerking is noodzakelijk om een publiekrechtelijke taak te vervullen
  6. De verwerking is noodzakelijk om een gerechtvaardigd belang te behartigen

Stemt je beoogde doel voor verwerking niet overeen met minstens één van deze zes grondslagen, dan is de verwerking niet toegestaan. Ook als je beschikt over een geldige grondslag om persoonsgegevens te verwerken, moet je goed blijven opletten dat je uitsluitend gegevens gebruikt die noodzakelijk en voldoende relevant zijn voor het doel waarvoor je verwerkt. Binnen Aktie voor Aktie baseer je een verwerking altijd op een taak die je van het bestuur hebt gekregen en heb je alleen toestemming om de gegevens te gebruiken die voor die taak noodzakelijk zijn.

Mogen we persoonsgegevens gebruiken voor andere dan oorspronkelijke doeleinden?
Aktie voor Aktie zal persoonsgegevens alleen gebruiken voor verenigingsdoeleinden, aansluitend bij de statuten.

Het beschikbaar stellen van persoonsgegevens aan kaderleden legt aan die kaderleden de verplichting op om deze gegevens uitsluitend te gebruiken voor de taak die dit kaderlid binnen de vereniging heeft. Bij twijfel is overleg met de privacy functionaris vereist. Het beschikbaar stellen van persoonsgegevens aan anderen dan kaderleden mag alleen als de persoon of personen waarvan de persoonsgegevens zijn schriftelijk of via mail daarvoor toestemming hebben gegeven.

Verenigingen hechten er meestal waarde aan om een bepaald erfgoed van de club op te bouwen. Denk aan de hoogte van donaties of fotomateriaal. Dat is in principe geen probleem, maar zorg dan wel dat er geen onnodige gegevens in de archieven belanden. Bovendien moet je voorkomen dat persoonsgegevens uit het archief later alsnog voor andere dan historische doeleinden worden gebruikt.

Bijzondere persoonsgegevens
Het bijhouden van bijzondere persoonsgegevens is binnen Aktie voor Aktie verboden. De wet noemt als bijzondere persoonsgegevens de gegevens over iemands:

– godsdienst of levensovertuiging;
– strafrechtelijke gegevens;
– ras;
– politieke gezindheid;
– gezondheid;
– genetische en biometrische gegevens;
– seksuele leven; en
– lidmaatschap van een vakbeweging.

Welke persoonsgegevens bewaart en verwerkt Aktie voor Aktie?

  • Lidsoort
  • Andere relatie met de vereniging (bv bestuurslid)
  • Titel
  • Voorletters of voornaam
  • Voorvoegsels
  • Naam
  • t.a.v. (bij organisaties)
  • Straat/huisnummer
  • Postcode
  • Plaats
  • Telefoon
  • Mailadres
  • Gegevens van eventuele bijbehorende adoptiekinderen, hun woonplaats en bijzonderheden
  • Betaalde contributies, adoptiegelden, donaties en andere bedragen, met de betalingswijze, het banknummer en de koppeling naar het gekozen project.
  • Datums van lid worden, betalen, vertrekken et cetera
  • Persoonsgegevens van mensen en organisaties waar Aktie voor Aktie mee samenwerkt om haar doelstellingen te bereiken

De gegevens worden bewaard en verwerkt om de verenigingsadministratie te kunnen voeren, om de noodzakelijke of door het lid/donateur/kaderlid/organisatie gewenste communicatie met het lid/donateur/kaderlid/organisatie mogelijk te maken en om een verenigingshistorie op te bouwen.

Enkele bijzondere toepassingen waar Aktie voor Aktie zich aan houdt
Het lidmaatschap is voor de vereniging geen vrijbrief voor het verrichten van verwerkingen waar geen geldige grondslag voor bestaat (zie de hierboven vermelde zes gevallen). Doorgifte van e-mailadressen aan sponsoren is in principe mogelijk, maar alleen na toestemming van betrokkene.

Ledenlijsten mogen door een vereniging niet geheel openbaar worden gepubliceerd, maar wel op afgeschermde wijze aan leden beschikbaar worden gesteld. De Autoriteit Persoonsgegevens is van oordeel dat het online publiceren van een ledenlijst slechts is toegestaan op een voor leden afgeschermde webpagina.

De enige elektronische berichten die Aktie voor Aktie naar haar leden en donateurs verzendt hebben direct te maken met het verenigingswerk. Nieuws over acties, projecten, adoptiekinderen, verenigingsorganisatie en dergelijke.

Foto’s en videobeelden
Het maken van foto- en videobeelden met herkenbaar in beeld gebrachte personen is een verwerking van persoonsgegevens. Dat betekent dat daarop alle privacy-regels van toepassing zijn. Naast de privacy-regels geldt ook het zogeheten portretrecht. Daarmee kan de geportretteerde zich verzetten tegen publicatie van beeldmateriaal waarop hij of zij herkenbaar in beeld wordt gebracht.

Voor in opdracht gemaakte portretten geldt dat voor publicatie altijd toestemming van de geportretteerde of zijn volmachtgever nodig is.

Voor niet in opdracht gemaakte portretten geldt dat de geportretteerde zich daartegen kan verzetten op grond van een redelijk belang. Dit kan zowel een privacybelang als een commercieel belang zijn. In dat laatste geval moet mogelijk een vergoeding worden betaald. Personen die herkenbaar in beeld worden gebracht kunnen zich soms namelijk beroepen op het portretrecht uit de Auteurswet. Volgens deze wet is een portret een afbeelding van het gelaat van een persoon. De geportretteerde kan zich soms verzetten tegen publicatie van een beeldopname.

Bij kinderen weegt het privacybelang extra zwaar ten opzichte van het eventuele nieuws- of promotiebelang. Het is daarom raadzaam om uitdrukkelijk toestemming te vragen aan de ouders of voogd voordat je overgaat tot publicatie. Informeer degene aan wie je toestemming vraagt bovendien waarvoor je het materiaal wel/niet voor wenst te gebruiken. Wordt achteraf bezwaar gemaakt tegen publicatie, dan moet je dit respecteren en (voor zover mogelijk) de publicatie verwijderen.

Rechten van degenen waarvan persoonsgegevens worden bewaard
Alle personen waarvan Aktie voor Aktie persoonsgegevens verwerkt hebben de volgende rechten:

  • Recht om de gegevens in te zien
  • Recht om de gegevens te wijzigen
  • Recht om vergeten te worden
  • Recht om gegevens over te dragen
  • Recht op informatie over de verwerking

Wie is bij Aktie voor Aktie de privacy functionaris?
De secretaris is de functionaris die toezicht houdt op de toepassing en de naleving van de privacy regels van dit protocol. Hij doet dat onder meer door:

  • Te weten welke persoonsgegevens de vereniging bewaart en gebruikt en met welk doel
  • Antwoord te geven op vragen van leden en donateurs over hun persoonsgegevens
  • Advies te geven aan kaderleden die twijfelen over het gebruik van persoonsgegevens van leden en donateurs en kaderleden
  • Bij nieuwe activiteiten onderzoek te doen naar het juiste gebruik van persoonsgegevens
  • Regelmatige controles uit te voeren op het gebruik en op de verspreiding van persoonsgegevens
  • Jaarlijks te beoordelen of dit protocol nog voldoet
  • En alle andere door hem noodzakelijk geachte acties