Privacy Beleid
Deze notitie beschrijft het privacy-beleid van onze stichting, in vervolg op de nieuwe Europese richtlijnen over dit onderwerp. De landelijke stichting SHM heeft voorbeeldvragen aangegeven, die behulpzaam zijn bij het opstellen van dit beleid. In deze notitie worden de voorbeeldvragen cursief en vet weergegeven, waarna onze aanpak per vraag volgt.
- Met welk doel worden in uw eigen organisatie persoonsgegevens verzameld, bewaard en verwerkt?
Ons doel is hulpverlening aan burgers van de gemeente Oude IJsselstreek, die financiële problemen hebben en onze hulp hebben ingeroepen om de moeilijkheden samen met hen op te lossen. Hierbij geldt, dat onze hulp uitdrukkelijk vrijwilligerswerk naar beste vermogen is, waarbij de cliënt zelf verantwoordelijk blijft voor het al dan niet nemen van actie. - Wie binnen de organisatie zijn verantwoordelijk voor de bescherming van persoonsgegevens
In eerste instantie de beheerder van onze database. Vervolgens enkele geautoriseerde leden van de coördinatiecommissie, die de bestanden kunnen raadplegen. Eindverantwoordelijk is uiteraard het bestuur.
Daarnaast is elk maatje persoonlijk verantwoordelijk voor hetgeen hij/zij vastlegt op zijn eigen computer. Hij/zij draagt zorgt voor geheimhouding en voorkoming van onbevoegde kennisname van gegevens. - Welke persoonsgegevens worden verzameld en verwerkt, is daar een overzicht van?
De coördinator registreert NAW-gegevens en contactgegevens (telefoonnummer en e-mail), geboortedatum, nationaliteit, datum van aanmelding, de naam van de persoon die de aanmelding heeft gedaan en in het kort de informatie verkregen van de aanmelder of verkregen na telefonisch contact.
De maatjes hebben daarnaast ook informatie over schuldposities bij schuldeisers, correspondentie hierover en de gemaakte afspraken met schuldeisers. - Worden er bijzondere persoonsgegevens bewaard (godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele geaardheid, lidmaatschap van een vakvereniging of politieke partij, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, genetische en biometrische kenmerken. Onder deze laatste vallen vingerafdrukken, stem, handschrift, geometrie van de handomtrek en scans van netvlies, iris en gelaat)? En welke wettelijke uitzonderingsregel is van toepassing?
Wij bewaren geen van bovenstaande gegevens. - Hoe worden de personen geïnformeerd over welke persoonsgegevens worden bewaard? Denk daarbij aan een privacy-statement maar ook aan mondelinge toelichting bij een intake of start van een vrijwilliger.
Wij informeren de cliënt bij de start over de vastlegging van gegevens door het betreffende maatje en over de registratie in onze centrale database en vragen toestemming tot vastlegging door middel van een machtigingsformulier. Wij leggen daarbij ons privacy beleid uit. Cliënten wordt gewezen op de notitie privacy-beleid op onze website.
In ons jaarverslag beschrijven we de manier waarop we in het betreffende jaar gehandeld hebben m.b.t. de beveiliging van persoonsgegevens. We evalueren daarbij de doeltreffendheid van de maatregelen, inclusief de registratie van datalekken en de daaruit volgende acties. - Wat is er geregeld voor personen om hun eigen persoonsgegevens in te zien?
Cliënten worden er op gewezen dat ze inzage kunnen krijgen in hun informatie, zoals het maatje die vastlegt. Deze informatie kan op verzoek ook digitaal beschikbaar worden gesteld. - Hoe worden de persoonsgegevens bewaard (in fysieke mappen, computer, cloud, …) en hoe lang? Geaggregeerde gegevens worden in een database opgeslagen in de computer van de beheerder. De informatie wordt (besloten) gedeeld via toegang tot de in de cloud opgeslagen gegevens met enkele geautoriseerde leden van de coördinatiecommissie. De betreffende informatie wordt na afloop van het betreffende boekjaar geanonimiseerd in het jaarverslag verwerkt. Na 1 jaar worden de NAW-gegevens van afgesloten ondersteuningen uit de centrale database verwijderd.
De cliënt kan bij stoppen van de begeleiding een digitale kopie krijgen van de te verwijderen informatie. Deze verwijdering door de maatjes vindt plaats wanneer er een jaar verstreken is zonder enig contact. Hierdoor is er altijd gelegenheid om bij “nazorg” de benodigde informatie terug te vinden. - Zijn er kopieën of wordt er een back-up van het gegevensbestand gemaakt en hoe wordt die bewaard?
Maatjes wordt aangeraden om periodiek back-ups van hun bestanden te maken. Van de Cloud registratie van de centrale database worden automatisch back-ups gemaakt. - Welke maatregelen heeft de organisatie genomen om te voorkomen dat anderen onbedoeld persoonsgegevens kunnen inzien? Denk hierbij aan zowel digitaal als geprinte opgeslagen gegevens en aan technische (wachtwoorden/slot op de kast) en organisatorische maatregelen (rollen/rechten van personen).
Elk maatje en ook de beheerder van de geaggregeerde informatie dragen zorg voor adequate en actuele beveiliging van hun laptop volgens de geldende standaarden (goede software, regelmatige updates, gebruik wachtwoorden enz.) voor particulier gebruik. - Wie binnen de organisatie hebben toegang tot de bestanden met de persoonsgegevens?
De database is alleen toegankelijk voor – door de beheerder geautoriseerde – leden van de coördinatiecommissie. Maatjes hebben geen toegang tot deze gegevens. Maatjes maken alleen gebruik van hun eigen laptop om gegevens per cliënt op te slaan. Onze organisatie wijst maatjes regelmatig op de noodzaak om hun laptop en hun dataverkeer goed te beveiligen. - Is er een functionaris voor de gegevensbescherming in de organisatie?
Nee, gegevensbescherming is een algemene bestuursverantwoordelijkheid. - Zijn er afspraken gemaakt met externe partijen die de persoonsgegevens verwerken, is er een verwerkersovereenkomst?
Wij hebben – als verwerker van gegevens- een verwerkersovereenkomst met wooncorporatie Wonion. - Worden er overeenkomsten afgesloten met derden die de persoonsgegevens gebruiken en staat daar in dat de bestanden na gebruik vernietigd worden?
Niet van toepassing. - Heeft de organisatie een procedure opgesteld voor het melden van datalekken en staat die op papier?
Maatjes dienen datalekken (zoals bijv. verlies van usb-sticks, onbevoegde kennisname van gegevens (hacks), onterecht doorgeven van informatie aan derden) onverwijld te melden aan het bestuur SHM. Het bestuur zal voor zover relevant op basis van een gesloten verwerkersovereenkomst de betrokken Verwerkingsverantwoordelijke zo mogelijk binnen een uur informeren. Eveneens worden de betrokken cliënten geïnformeerd.
Deze procedure is beschreven in de interne documentatie voor de maatjes.
Versie 4; januari 2020/ HB
Versie 4a, juli 2022 / SS