Privacybeleid IVN Heeze-Leende

Dit document beschrijft op welke manier IVN Heeze-Leende omgaat met persoonsgegevens. Het is een aanvulling op het Privacystatement van het landelijk IVN. Daarin maakt het IVN duidelijk hoe zij omgaan met persoonsgegevens van leden, donateurs, belangstellenden en deelnemers aan activiteiten.  De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat organisaties alleen persoonsgegevens verwerkt als de organisatie daar toestemming voor heeft en daar transparant over is. 
 
Waarom slaan wij persoonsgegevens op?
 
Wanneer iemand lid of donateur wordt van het IVN worden persoonsgegevens vastgelegd. We gebruiken de gegevens voor zaken die voor leden van belang zijn, zoals: • De inning van lidmaatschapsgelden en donaties. • Onze leden via een digitale nieuwsbrief te informeren over wetenswaardigheden en activiteiten van IVN Heeze-Leende en andere organisaties. • Om leden en donateurs het Groene Blaadje enkele malen per jaar thuis te bezorgen. • Om leden in het algemeen en leden van werkgroepen in het bijzonder te informeren over activiteiten en aangelegenheden van de afdeling. • Om bijzondere data te kunnen bepalen, zoals jubilea. 
 
Bij mailings maken wij standaard gebruik van “bcc” om te vermijden dat mailadressen van andere leden onbedoeld bekend raken.
 
Wie is binnen IVN Heeze-Leende verantwoordelijk voor de bescherming van de persoonsgegevens?
 
Binnen de afdeling zijn de ledenadministrateur en de penningmeester verantwoordelijk voor de bescherming persoonsgegevens. Alleen zij hebben inzage in deze gegevens. 
 
Wie kan er binnen IVN Heeze-Leende bij de persoonsgegevens?
 
Het bestuur heeft inzage in de gegevens om in voorkomende gevallen contact op te kunnen nemen met leden. Persoonsgegevens worden niet met derden gedeeld. Contactgegevens worden uitsluitend gebruikt om leden te informeren over aangelegenheden van het IVN. 
 
Welke persoonsgegevens worden bewaard?
 
Gegevens van leden en donateurs worden opgeslagen in Procurios, het centrale ledenadministratiesysteem van het IVN. Gegevens die daarin worden opgeslagen zijn: • Naam, adres, woonplaats • Contactgegevens (telefoon, e-mail) • Aanvullende gegevens: geslacht, geboortedatum (voor een correcte aanhef en om jeugdleden te kunnen identificeren, die betalen minder) • Financiële gegevens rondom contributie, donaties en de inning daarvan • Inschrijfdatum, uitschrijfdatum • Soort relatie: lid, donateur
 
Emailadressen worden ook opgeslagen binnen Editoo voor de digitale verzending van Het Groene Blaadje en in Laposta voor het kunnen toesturen van digitale nieuwsbrieven. Met deze verwerkers zijn ook verwerkersovereenkomsten afgesloten. 
 
Voor sommige activiteiten, zoals wandelingen of cursussen kunnen belangstellenden zich aanmelden via een online formulier. De gegevens blijven slechts bewaard gedurende de activiteit of cursus. Na afloop worden die gegevens weer verwijderd. 
 
Van personen, die aangeven op de hoogte gehouden te willen worden van bepaalde activiteiten, wordt een apart bestand bijgehouden. De gegevens worden verwijderd zodra de betrokkene aangeeft dat hij of zij geen belangstelling meer heeft. 
 
Welke maatregelen zijn er genomen om te voorkomen dat anderen onbedoeld persoonsgegevens kunnen inzien?
 
Persoonsgegevens worden beschermd tegen onbedoeld gebruik: • Alleen de ledenadministrateur en de penningmeester hebben toegang tot Procurios. Het systeem is beschermd met een inlog en wachtwoord.  • Gegevens worden niet langer bewaard dan nodig om een goede ledenadministratie te voeren. Na het beëindigen van het lidmaatschap worden de gegevens na x maanden (volgt zodra bekend) verwijderd uit Procurios.  • Lokale gegevens van leden en donateurs staan op een met een wachtwoord beveiligde omgeving.  • Lokale gegevens van leden en donateurs worden maximaal één jaar na uitschrijven bewaard: éénmaal per jaar wordt het eigen ledenbestand opgeschoond. • Er is een procedure opgesteld voor het melden van datalekken.
 
Fotobeleid
 
Bij activiteiten van het IVN worden regelmatig foto's gemaakt. Een selectie van die foto's kan gepubliceerd worden op de website of in de nieuwsbrief voor promotiedoeleinden. Wij gaan er van uit dat deelnemers aan activiteiten geen bezwaar hebben tegen publicatie. Wanneer iemand toch bezwaar heeft tegen een gepubliceerde foto, kan die dat kenbaar maken bij de webmaster. De foto wordt dan per ommegaande verwijderd.  Foto's waar kinderen herkenbaar op staan, worden nooit gepubliceerd, tenzij ouders daar expliciet toestemming voor gegeven hebben. 
 
Wat is er geregeld voor leden en relaties om hun eigen persoonsgegevens in te zien?
 
Onze leden kunnen altijd contact opnemen met de ledenadministrateur van IVN Heeze-Leende om hun persoonsgegevens op te vragen, dit kan door middel van het sturen van een e-mail naar: ledenadmivnhl@live.nl Om de gegevens op te vragen die IVN-landelijk binnen de ledenadministratie Procurios heeft opgeslagen kan men contact opnemen met de servicedesk van IVN via het e-mailadres: info@ivn.nl

PROCEDURE VOOR HET MELDEN VAN DATALEKKEN
 
Wat is een datalek?
 
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, of om een gestolen of verloren geprinte ledenlijst. Andere voorbeelden zijn cyberaanvallen, verkeerd verzonden e-mail, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usbsticks.
 
Bij wie in de organisatie moet een datalek gemeld worden?
 
De ledenadministrateur en de penningmeester hebben de beschikking over de gegevens van de leden. Zij zullen checken wat er gelekt is en vervolgens in kaart brengen wat de gevolgen zijn voor de personen van wie de persoonsgegevens gelekt zijn en welke gegevens nodig zijn voor de melding. De penningmeester zal vervolgens de melding doen bij de Autoriteit Persoonsgegevens. De melding moet in ieder geval bestaan uit: • de aard van de inbreuk; • de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen; • de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te  beperken; • een beschrijving van de geconstateerde en de vermoedelijke gevolgen van  de inbreuk voor de verwerking van persoonsgegevens; • de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.
 
Meldingen kunnen digitaal gedaan worden bij het meldloket van de Autoriteit Persoonsgegevens: http://datalekken.autoriteitpersoonsgegevens.nl
 
Mei 2018 IVN Heeze-Leende