Privacy statement Stichting Spel en Sport 55 Plus

In het kader van de Algemene Verordening Gegevensbescherming (AVG), die van kracht is vanaf
25 mei 2018, meldt het bestuur van Spel & Sport De Ronde Venen dat:
1. de volgende bestanden met rubrieken worden vastgelegd:

  1. deelnemersregistratie: naam-adres-woonplaats, telefoonnummer, emailadres, geboortedatum, bankgironummer, leeftijd, M/V
  2. Groepslijsten: naam-adres-woonplaats, telefoonnummer, emailadres, geboortedatum
  3. debiteuren-administratie: naam-adres-woonplaats, bankgironummer, gevolgde activiteit(en)
  4. crediteuren-administratie: naam-adres-woonplaats, bankgironummer,
  5. vrijwilligersregistratie: naam-adres-woonplaats, telefoonnummer, emailadres, activiteit(en)
  6. docentenregistratie: naam-adres-woonplaats, telefoonnummer, emailadres, lesonderdeel
  7. salarisadministratie docenten in vaste dienst: naam-adres-woonplaats, telefoonnummer, emailadres, salaris
  8. donateurs registratie: naam-adres-woonplaats, contactpersoon, bankgironummer, bedrag
  9. Gezondheidsformulier van deelnemers aan de docent: naam-adres-woonplaats, telefoonnummer, + facultatief:aandoeningen en klachten
  10.  Presentielijst van groepsvertegenwoordigers: naam, groep, aan/afwezigheid op les data
  11.  Projectbestanden:
    1. Oktober Aktief: deelnemerslijst bij provider ….: naam-adres-woonplaats, geboortedatum, emailadres, telefoonnummer
    2. Deellijsten van Oktober Aktief gaan via email naar sportaanbieders
    3. Fittest en Valpreventie: naam, telefoonnummer via excelbestand (in cloud), dat wordt bewaard t.b.v. follow-up met deelnemers, hard-copy tijdens het projectevent.

De deelnemers geven hun gegevens zelf op via het inschrijfformulier, wijzigingen en opzeggingen gaan via
hetzelfde formulier. De deelnemersregistratie (ad 1) vindt plaats op een computer van een medewerkster
bedrijfsbureau en vervolgens in de cloud 1) gebracht. De groepslijsten (2) worden daarvan afgeleid. De
bestanden ad 3 en 4 bevinden zich in het financiële pakket dat wordt gehost door een accountantskantoor
dat met ons een verwerkingsovereenkomst heeft.
Het bestand ad 7 wordt gehost door Sportkader Nederland dat de loonadministratie verzorgt en met ons een verwerkingsovereenkomst heeft. De bestanden ad 5, 6 en 8 worden bijgehouden door diverse medewerkers in de cloud 1). Het gezondheidsformulier ad 9 dient ervoor om de docent aan te geven met welke aandoeningen hij/zij rekening moet houden en wordt alleen ingevuld als de deelnemer dat wenst.

Deelnemers aan projecten ad 11 geven zich op via een speciale website of telefonisch. In een speciale
projectomgeving worden de gegevens verwerkt.
1) de cloud: voor optimale bescherming wordt office365 van Microsoft gebruikt door de bestuursleden,
notulist, projectleider en projectmedewerker. Folders worden waar nodig gedeeld, waardoor er geen
bestanden via email worden uitgewisseld. De gebruikers hebben hun devices beschermd volgens de huidige
standaarden.
2. indien de deelnemers, docenten, leveranciers of donateurs inzage willen hebben in de van hen
opgeslagen gegevens, kunnen zij daartoe een verzoek kunnen richten aan het bestuurslid hoofd
bedrijfsbureau, emailadres: bebu@spelensportdrv.nl
3. bestuursleden, vrijwilligers en docenten bij email-verkeer met groepen deelnemers, vrijwilligers en
docenten maken gebruik van Bcc, zodat de emailadressen niet zichtbaar zijn.
4. van de deelnemers, docenten en vrijwilligers wordt gevraagd om een datalek (vinden van de hier
genoemde bestanden op een andere plaats dan gebruikelijk) te melden aan het bestuur. De
voorzitter doet de melding vervolgens digitaal bij het meldloket van de Autoriteit Persoonsgegevens.
Opmerking 1: De AVG is een Europese wet met in Nederland als toezichthouder de Autoriteit
Persoonsgegevens. Awareness, jezelf bewust zijn van wat je doet, is een belangrijke pijler onder de wet.

Het is helaas zo dat een betere beveiliging enig ongemak met zich meebrengt.
Opmerking 2: De inhoud van de melding die gedaan wordt aan de autoriteit persoonsgegevens betreft:
Inhoud van de melding:

  • de aard van de inbreuk;
  • de instanties of persoon waar meer informatie over de inbreuk kan worden verkregen;
  • de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
  • een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
  • de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.