Privacybeleid van Voorne-Putten Energie
​
De Coöperatieve Vereniging Voorne-Putten Energie U.A (hierna te noemen: VPE) hecht grote waarde aan de bescherming van de persoonsgegevens van haar leden en die van andere relaties. Persoonlijke gegevens worden door VPE dan ook met de grootst mogelijke zorgvuldigheid behandeld en beveiligd. VPE houdt zich in alle gevallen aan de eisen die de GDPR of General Data Protection Regulation (in het Nederlands Algemene Verordening Gegevensbescherming, AVG) stelt.
​
In deze privacyverklaring staat beschreven welke principes VPE hanteert bij de registratie, verwerking en opslag van persoonsgegevens en gegevensbestanden. Ook gerelateerde onderwerpen, zoals het raadplegen, muteren, uitwisselen en verstrekken van gegevens staan in dit beleid beschreven. Het privacybeleid omvat alle on- en offline systemen van VPE waarin personen voorkomen.
De AVG
​
Het bestuur van VPE is verantwoordelijk voor het opstellen, uitvoeren en handhaven van het Privacybeleid. VPE is gebonden aan de Uitvoeringswet Algemene Verordening Gegevensbescherming (AVG).
Definities
​
De definities, die worden genoemd in dit privacybeleid en in het privacyreglement, hebben dezelfde betekenis.
​
-
De AVG Is de Nederlandse uitwerking van de nieuwe Europese privacywet GDPR (General Data Protection Regulation), die in de hele EU geldig is. De Uitvoeringswet AVG voorziet in de nationale regels die nodig zijn ter uitvoering van de GPDR. De AVG vervangt bovendien de huidige Wet Bescherming Persoonsgegevens (WBP) van 2001. De AVG is op 25 mei 2018 in werking getreden.
-
Een persoonsgegeven is ieder gegeven over een levende en identificeerbare persoon.
-
Normale persoonsgegevens zijn gegevens aan de hand waarvan een persoon geïdentificeerd kan worden. Denk aan naam- en adresgegevens, e-mailadressen.
-
Onder bijzondere persoonsgegevens vallen bijvoorbeeld medische gegevens, maar die zullen in ons systeem niet of nauwelijks voorkomen. Beveiliging van bijzondere persoonsgegevens is nog stringenter dan van algemene gegevens. Onder bijzondere persoonsgegevens vallen ook de financiële gegevens.
-
De betrokkene is de persoon van wie een persoonsgegeven is vastgelegd. Betrokkenen hebben een aantal belangrijke rechten. Zo kan ieder lid vragen om inzage, aanpassing en verwijdering van zijn of haar persoonsgegevens. VPE is meestal verplicht aan een dergelijk verzoek mee te werken.
-
Een externe dienstverlener of verwerkingsverantwoordelijke (of korter: verantwoordelijke) is als de baas van een verwerking van persoonsgegevens: de verantwoordelijke bepaalt waarom en hoe bepaalde gegevens wel of juist niet worden gebruikt.
-
Het begrip ‘verwerken’ is breed. In feite is iedere handeling met een persoonsgegeven een verwerking. Denk dus aan het verzamelen, opslaan, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken van persoonsgegevens. Dat laatste heet ‘datalek’.
-
Verwerking is rechtmatig als er toestemming van de betrokkene is of als de verwerking is noodzakelijk voor een wettelijke taak.
-
Een datalek is een inbreuk leidend tot het in handen vallen van persoonsgegevens van derden die geen toegang tot die gegevens zouden mogen hebben. Ook het onrechtmatig verwerken van gegevens valt hieronder.
​
Uitgangspunten
​
VPE gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. VPE houdt zich hierbij aan de volgende uitgangspunten:
​
- Rechtmatigheid, behoorlijkheid en transparantie
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
​​​
- Grondslag en doelbinding
VPE zorgt ervoor dat op alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen persoonsgegevens worden verzameld en verwerkt. Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt.
​​
- Data minimalisatie
VPE verwerkt alleen de gegevens die noodzakelijk zijn voor het vooraf bepaalde doel. VPE streeft naar minimale gegevensverwerking: waar mogelijk worden minder of geen verwerkt.
​​​
- Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de taken goed uit te kunnen oefenen.
​​
- Integriteit en vertrouwelijkheid
VPE gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zij worden alleen verwerkt door personen (gebruikers) met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij zorgt VPE voor passende beveiliging van de gegevens.
​​​
- Delen met derden
VPE deelt geen persoonsgegevens met derden, behalve in geval van wettelijke verplichtingen.
Op de eerste Algemene LedenVergadering (ALV) zal worden verzocht de ledenlijst beschikbaar te stellen aan de leden. Gegevens, verslagen en nieuwsbrieven staan achter een inlogcode.
Als verwerkers worden ingeschakeld worden verwerrkersovereenkomsten opgesteld. Daarin wordt verklaard dat persoonsgegevens geheim blijven en alleen voor het doel worden gebruikt, dat in de overeenkomst staat. In deze verwerkersovereenkomsten en de gebruiksvoorwaarden van van de verwerkers is opgenomen hoe zij zorg dragen voor verwerking van persoonsgegevens. Zij nemen de juiste beveiligingsmaatregelen waardoor ongeautoriseerde personen geen toegang kunnen krijgen tot persoonsgegevens.
De gegevens blijven binnen de EU.
​​
- Subsidiariteit
Het principe van subsidiariteit houdt in dat VPE zich steeds afvraagt of de registratie van noodzakelijk is en dat zij steeds zal onderzoeken of er niet een manier is om te voorkomen dat registratie van een persoonsgegeven nodig is.
​​
- Proportionaliteit
VPE zal steeds de afweging maken of de registratie van een persoonsgegeven de belangen van de betrokkene niet onevenredig schaadt in verhouding tot het doel dat met de verwerking van persoonsgegevens wordt beoogd.
​​
- Transparantie / toetsbaarheid
De betrokkene weet weten wat er met zijn/haar persoonsgegevens gebeurt en welke gegevens dat zijn. Hij heeft daarvoor toestemming gegeven. In eenvoudige en duidelijke taal wordt uitgelegd wanneer persoonsgegevens worden verzameld en welke de rechten van betrokkene zijn, namelijk
-
recht op inzage,
-
recht op rectificatie,
-
recht om te worden vergeten,
-
recht op beperking van de verwerking,
-
kennisgevingsplicht,
-
recht op overdraagbaarheid van gegevens.
​
VPE zoekt Samenwerking met een persoon die toezicht houdt op ons privacybeleid, bijvoorbeeld een Functioneel Gegevensbeschermer als toezichthouder vanuit REScoopNL.
​
Datalek
Een datalek of een vermoeden daarop wordt binnen 72 uur gemeld aan de Autoriteit Persoonsgegevens. Als een datalek zich heeft voorgedaan wordt bekeken of dit voorkomen had kunnen worden en welke maatregelen genomen moeten worden om de kans op een datalek zo klein mogelijk te houden.
​
Verwerkingsregister VPE
​
Wanneer worden persoonsgegevens ‘verwerkt’?
Het begrip ‘verwerken’ is breed. In feite is iedere handeling met een persoonsgegeven een verwerking. Te denken is dus aan het verzamelen, opslaan, bewaren, verplaatsen, wissen, doorsturen of aanpassen, maar ook aan het kwijtraken van persoonsgegevens. Dat laatste heet ‘datalek’.
Voorbeelden van verwerkingen:
​
-
De VPE neemt de persoonsgegevens van een nieuw lid op in het ledenbestand.
-
Bepaalde gegevens worden verwerkt in een softwarepakket van REScoopNL.
-
De VPE factureert het lid jaarlijks voor het lidmaatschapsgeld.
-
Ook stuurt de VPE regelmatig nieuwsbrieven aan haar leden.
-
Nadat het lid is uitgetreden, worden haar/zijn gegevens uit het ledenbestand verwijderd.
-
Ook als gegevens op papier staan of geprint om in een bestand te worden opgenomen, is sprake van een verwerking.
Het verwerkingsregister
​
VPE moet zorgvuldig omgaan met persoonsgegevens. In een register worden de verwerkingen vastgelegd, het zogenaamde verwerkingsregister (hierna: "register"). Het bijhouden van een register is vanaf 25 mei 2018 wettelijk verplicht. Aan de hand van het register kan worden nagegaan wie er binnen de VPE omgaat met persoonsgegevens, of een bepaald gebruik van persoonsgegevens wel of niet is toegestaan en of de gebruikte gegevens niet te lang worden bewaard. Het register is een schematisch overzicht van de verwerkingen van persoonsgegevens binnen de vereniging. Het register geeft antwoord op de volgende vragen:
​
-
Voor welk doel worden persoonsgegevens verwerkt? De verwerking is bij voorbeeld noodzakelijk voor de uitvoering of de totstandkoming van een overeenkomst met de betrokkene (voorbeeld: het opnemen van een nieuw lid in de ledenadministratie). Om welke persoonsgegevens gaat het? Wie zijn de betrokkenen?
-
Hoe lang worden de betreffende persoonsgegevens bewaard? De persoonsgegevens van een uitgetreden lid worden in principe niet langer bewaard dan twee jaren na het einde van het lidmaatschap.
-
Verstrekt de vereniging persoonsgegevens aan derden, wie zijn dit en wat is het doel daarvan?
-
Welke beveiligingsmaatregelen ter bescherming van de betrokken persoonsgegeven zijn getroffen? Bijvoorbeeld beschermen tegen diefstal en virussen (antivirusprogramma), maar ook voorkomen dat USB-sticks met leden- en deelnemerslijsten rondslingeren of dat bij een computercrash persoonsgegevens definitief verloren gaan (dus back-ups), beveiligen met degelijke wachtwoorden en regelmatig veranderen van wachtwoorden.
-
Heeft iedereen een geheimhoudingsplicht aanvaard?
-
Worden er persoonsgegevens doorgegeven aan of opgeslagen in landen buiten de Europese Economische Ruimte en/of internationale organisaties en, zo ja, welke landen en/of organisaties zijn dit? Wie zijn binnen de vereniging belast met deze verwerking? Welke IT-systemen worden daarbij gebruikt?
-
Hoe zijn betrokkenen geïnformeerd?
​
Verwerkingsregister in tabel:​
​
​
​
Wanneer is toestemming nodig voor een verwerking van persoonsgegevens?
Persoonsgegevens mogen slechts in bepaalde gevallen worden verwerkt. Eén van deze gevallen is dat de betrokkene uitdrukkelijk toestemming geeft. Toestemming is echter niet nodig voor iedere verwerking. Denk bijvoorbeeld aan verwerkingen die noodzakelijk zijn om als vereniging uitvoering te geven aan de lidmaatschapsovereenkomst met leden.
​
Praktische tips
​
Het softwarepakket biedt technisch een aantal waarborgen en wordt regelmatig getest op veiligheid, maar kan niet volledig afdwingen hoe gebruikers met het systeem omgaan. Vandaar de volgende aanbevelingen:
​
-
Sla vertrouwelijke documenten nooit op op openbare computers.
-
Voorkom verlies van losse gegevensdragers.
-
Vergrendel altijd je beeldscherm bij het verlaten van je werkplek.
-
Wees bewust van “meelezers”.
-
Laat documenten met persoonsgegevens nooit onbeheerd achter op bureau of bij de printer.
-
Kies nooit voor automatisch opslaan van inloggegevens op je computer.
-
Besef dat openbare netwerken niet veilig zijn.
-
Let op wat je deelt via sociale media.
-
Bedek altijd je webcam om 'meekijken' te voorkomen.
-
Gebruik nooit de inlog van een collega en geef je inloggegevens ook niet door aan een collega of secretaresse.
-
Zorg ervoor dat je mobiele telefoon beveiligd is met een inlogcode of vingerherkenning.
-
Persoonsgegevens kunnen worden opgeslagen op Google Drive en OneDrive, maar niet in iCloud van Apple.[1]
​
Rechten van betrokkenen
VPE honoreert alle rechten van betrokkenen. Dit privacybeleid is vastgesteld door de algemene ledenvergadering van VPE op 27 november 2018.
[1] Gmail en Outlook mag je gebruiken om persoonsgegevens te versturen. De reden hiervoor is de volgende: Er is een landenlijst, waarop staat welke landen een passend beschermingsniveau bieden. Voor de VS geldt dit alleen als dit gebeurt op grond van de EU-VS privacy shield. Dat is een akkoord, waarbij de bedrijven op deze lijst verklaren dat zij geen persoonsgegevens van Europese burgers delen met de Amerikaanse geheime dienst. Google en Microsoft staan op deze lijst, maar Apple niet.