Privacybeleid

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking. In heel Europa geldt dan één en dezelfde privacywetgeving. De Wet bescherming persoonsgegevens (Wbp) komt te vervallen. De AVG geldt voor iedereen die persoonsgegevens verwerkt. Dus ook Stichting Cellebroederskapel. In deze notitie wordt aangegeven, hoe we hiermee om gaan.

Inventarisatie
De stichting heeft geïnventariseerd welke persoonsgegevens de stichting registreert. Het gaat daarbij om gegevens die te herleiden zijn tot een persoon. We hebben daarbij stilgestaan welk doel het verzamelen van die gegevens dient, hoe ze worden opgeslagen en wie daar toegang toe heeft. Dat heeft geleid tot verschillende aanpassingen, met als doel de privacy optimaal te bewaken.

Informeren
Stichting Cellebroederskapel hanteert een relatielijst, waarop vaste gebruikers, concertbezoekers, vrienden en bestuursleden vermeld staan, die gebruikt wordt om de maandelijkse nieuwsbrief digitaal te verspreiden. Dat gebeurt als blind copy. In de nieuwsbrief van april 2018 is gevraagd of we vanwege de nieuwe AVG de persoonsgegevens voor dit doel mogen blijven gebruiken. Hierop is één afmelding gekomen. In de nieuwsbrief wordt voortaan ook een disclaimer opgenomen. Op het aanmeldformulier voor nieuwe abonnees zal toestemming gevraagd worden voor opslag van gegevens.
Daarnaast worden de gegevens bijgehouden van incidentele huurders (bijv bruidsparen) en is er een bestand van potentiele optredende artiesten, die zich daarvoor gemeld hebben. Ook in huurcontracten en bij de werving van musici voor zondagmiddagconcerten zal voortaan een zinsnede worden opgenomen, waarin de registratie vermeld wordt.
Bij de vermelding op de Wall of Fame is dit al gedaan.

Vastleggen
We hebben in de inventarisatie vastgelegd wie verantwoordelijk is voor de data, op welke computer deze worden opgeslagen, wie toegang heeft en op welke wijze deze wordt beschermd tegen virussen en hacken.
De persoonsgegevens worden alleen gebruikt voor het doel waarvoor ze zijn bestemd. Ze worden nooit doorgeleverd voor commerciële doeleinden. In geval van een onderzoek of een actie van de stichting (bijv. een crowdfundingsactie), die door een derde wordt uitgevoerd, wordt een verwerkersovereenkomst gesloten. In deze overeenkomst wordt een duidelijke afspraak gemaakt over vernietigen van de gegevens na gebruik. Hierover zullen de geregistreerden voorafgaand geïnformeerd (met optie om geen toestemming te verlenen). Het Bestuur zal in het jaarverslag verantwoording afleggen over de uitvoering van het Privacybeleid.

Procedure datalekken
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben, bijv. uitgelekte computerbestanden of een verloren geprinte lijst of usbstick.
Een datalek wordt binnen 72 uur na ontdekken gemeld bij de voorzitter, die de melding vastlegt
- de aard van de inbreuk;
- de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen;
- de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
- een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
- de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen
- of de ernst van het lek zodanig is dat melding gemaakt moet worden bij de autoriteit persoonsgegevens via http://datalekken.autoriteitpersoonsgegevens.nl