AVG KBO-Diessen

Een handleiding voor onze eigen afdeling

Inhoud

 1. Voorwoord
 2. De AVG in hoofdlijnen
 3. Wat zijn persoonsgegevens en de verwerking daarvan
 4. Informatieplicht
 5. Bijzondere onderdelen van die persoonsgegevens
 6. Het waarborgen van de bescherming van persoonsgegevens
 7. Dataverlies
 8. De verwerker en verwerkersovereenkomst
 9. Omgaan met verzoeken van ingeschreven leden
 10. Informatie verstrekken aan gemeente
 11. Uitwisselen van informatie met derden
 12. Onze website
 13. Onze nieuwsbrief
 14. Voorwoord

Vanaf 25 mei 2018 is bij wet geregeld dat alle lidstaten van de Europese Unie moeten voldoen aan de Algemene Verordening Gegevensbescherming – hierna te noemen AVG.

De AVG is zonder uitzondering van toepassing op alle organisaties die persoonsgegevens verwerken en bewaren. In de AVG wordt er echter ook rekening mee gehouden dat niet alle organisaties in dezelfde mate met privacygevoelige persoonsgegevens werken daarom zijn hiervoor bijzondere artikelen opgenomen waarmee die specifieke zeer gevoelige gegevens goed beschermd zijn.

Wij (KBO-Diessen) werken ook met persoonsgegevens; zoals ledenbestand, overzicht contactpersonen diverse activiteiten, deelnemers overzicht activiteiten, overzicht vrijwilligers, bezorgers magazine ONS – nieuwsbrief en andere informatie, , etc., etc.

Wij zullen dus goed na moeten gaan hoe wij vanuit onze eigen dagelijkse praktijk op de bepalingen in de AVG aan kunnen sluiten.

Wij stellen een functionaris aan die goed op de hoogte is van deze regelgeving en toeziet op de uitvoering binnen onze afdeling;  KBO-Diessen ligt deze coördinerende rol bij de secretaris.

 1. De AVG in hoofdlijnen

Op de eerste plaats alle organisaties die persoonlijke gegevens verwerken moeten kunnen aantonen dat ze zich aan de wet houden.

Dit heet dan de verantwoordingsplicht (artikel 5, lid 2 AVG ).

 1. Wat zijn persoonsgegevens en de verwerking

De definitie

De AVG definieert persoonsgegevens als alle informatie over een natuurlijk persoon en die wordt in de verordening “betrokkene” genoemd.

Persoonsgegevens zijn bijvoorbeeld naam, contactgegevens (zoals adres; woonplaats; telefoonnummer en email), registratienummer (zoals lidnummer; bankrekeningnummer; burger service nummer (BSN)), foto, etc. etc.

Dus alle soorten gegevens die afzonderlijk of in combinatie naar een persoon kunnen worden herleid.

De afdeling (KBO-Diessen) en KBO Brabant zijn gezamenlijk verantwoordelijk voor de verwerking in het ledenbestand; alle leden zijn immers lid van de afdeling èn van KBO-Brabant.

Leden melden zich aan bij de afdeling en die is verantwoordelijk voor een correcte verwerking in de ledenadministratie. KBO Brabant stelt een ledenadministratiesysteem “LEAWEB” aan de afdeling ter beschikking, onderhoudt een helpdesk en draagt zorg voor uitvoering van de contractafspraken met het automatiseringsbedrijf die als verwerker optreedt; dit geheel ligt in een protocol vast.

De verwerking

Met verwerking wordt in de AVG bedoeld alle vormen van verzamelen, opslaan, raadplegen, wijzigen, gebruiken van persoonsgegevens ongeacht of dit handmatig of elektronisch gebeurt. Het verwerken van persoonsgegevens is alleen rechtmatig indien

 • betrokkene toestemming heeft gegeven voor verwerking van zijn/haar persoonsgegevens voor een of meer specifieke doelen

of

 • verwerking noodzakelijk is voor de uitvoering van de overeenkomst waarbij de betrokkene partij is.

Persoonsgegevens die worden verwerkt moeten toereikend zijn, ter zake dienend en beperkt blijven voor het doeleinden waarvoor zij worden verwerkt. Er mogen dus niet meer gegevens worden gevraagd en verwerkt dan voor het doel van het lidmaatschap noodzakelijk is.

 1. Informatieplicht

De afdeling die de gegevens van betrokkene verwerkt, informeert betrokkene bij de ontvangst van deze gegevens schriftelijk over het volgende

 • naam en contactgegevens van de organisatie die gegevens verwerkt (in dit geval bestuur en ledenadministrateur).
 • het doel waarvoor de persoonsgegevens bestemd zijn
 • de periode dat deze gegevens worden opgeslagen of eventueel de criteria waarlangs deze termijn wordt bepaald
 • het recht op inzage, rectificatie of verwijdering van deze gegevens, alsmede het recht op bezwaar.
 1. Bijzondere onderdelen van die persoonsgegevens

Het verwerken van bijzondere onderdelen in deze persoonsgegevens is verboden, tenzij betrokkene hiervoor afzonderlijk toestemming heeft gegeven.

Bijzondere onderdelen zijn – volgens de AVG – bijvoorbeeld: etnische herkomst, politieke opvattingen, religieuze overtuigingen, lid van een vakbond, seksuele geaardheid etc. etc.

 1. Het waarborgen van bescherming van persoonsgegevens

De verwerkingsverantwoordelijke dient er zorg voor te dragen dat de technische en organisatorische maatregelen worden getroffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de verordening worden uitgevoerd.

Toelichting

Ieder vorm van verwerking hoort binnen de sfeer van de AVG. Het is dus zaak om als bestuur zeer bewust te zijn van de heersende normen met betrekking tot de privacy en hier ook naar te handelen.

 • door KBO-Brabant is een privacyverklaring opgesteld die het bestuur kan aanvullen en aan haar leden beschikbaar kan stellen. Hierdoor wordt voldaan aan de informatie overdracht van de AVG (deze is te verkrijgen bij KBO-Brabant)
 • KBO-Brabant heeft met de afdeling een convenantafspraak gemaakt over het gebruik van LeaWeb.

De ICT medewerker van KBO-Brabant heeft een centrale rol als administrator.

Het bestuur KBO-Diessen stelt vast welke persoon/personen gebruiksrecht toegewezen dienen te worden; vanuit privacybescherming dient dit aantal zo klein mogelijk te zijn.

 • aan ieder bestand dat wordt gehanteerd kleven beveiligingsrisico’s. Laat alles zo veel mogelijk via LeaWeb lopen, zodat eigen bestanden niet nodig zijn. Maak tevens tot beleid dat mailadressen bij e-mails die aan groepen van personen worden verstuurd bij voorkeur in BCC worden geplaatst want op deze manier komen ze niet in verkeerde handen.

Note: alles wat vanuit LeaWeb wordt verzonden wordt automatisch in BCC geplaatst.

 • belastinginvullers en gedeeltelijk OA’s verrichten hun werkzaamheden namens de afdeling; de verantwoording voor de gegevensverwerking ligt bij het bestuur.

Deze ondersteuners werken overeenkomstig gegeven richtlijnen, waardoor tevens de verantwoordelijkheid van de afdeling is geregeld. De ondersteuners hanteren een meegeefbrief die cliënt ondertekent; door ondertekenen door cliënt is tevens de toestemming voor verwerken geregeld.

 • bij twijfel zoek contact met het bureau van KBO-Brabant.
 1. Dataverlies

Indien door wat voor oorzaak dan ook, sprake is van het verloren zijn van persoonlijke gegevens, dient de verwerkingsverantwoordelijke deze zonder onredelijke vertraging

(uiterlijk binnen 72 uur) aan de autoriteit persoonsgegevens te melden.

Win hiervoor inlichtingen in bij het bureau van KBO-Brabant en volg hun richtlijnen.

 1. Verwerker en verwerkersovereenkomst

De verwerker is een natuurlijk persoon of rechtspersoon die voor de gegevens-verantwoordelijke persoonsgegevens verwerkt (lid 8 AVG).

Ten behoeve van belastinginvullers worden richtlijnen gehanteerd, waarin tevens bepalingen met betrekking tot de privacybescherming zijn opgenomen.

Nogmaals als afdeling beperken we de toegang tot het ledenbestand voor een zo klein mogelijk aantal om te kunnen functioneren (bij KBO-Diessen alleen bestuur).

Bij twijfel neem contact op met het bureau van KBO Brabant.

 1. Omgaan met verzoeken van ingeschreven leden

Doorgaans zal een verzoek om inzage, wijziging of verwijdering van persoonsgegevens als redelijk worden ervaren en worden uitgevoerd. Waarschijnlijk is het zeldzaam dat er een verzoek wordt gedaan waarvan het minder vanzelfsprekend is om hieraan te voldoen.

KBO-Brabant stelt een beroepscommissie “bescherming persoonsgegevens” in.

Deze bestaat uit een lid van het Algemeen Bestuur, een lid van de werkgroep LeaWeb en de ICT medewerker; op deze wijze kunnen we een objectieve uitspraak verwachten.

 1. Informatie verstrekken aan gemeente

Als de gemeente subsidievoorwaarden hanteert – waardoor de afdeling ter verantwoording van de subsidie inzage in het ledenbestand moet geven – staat dit natuurlijk op gespannen voet met de AVG.

Het doorgeven van persoonsgegevens aan een andere organisatie (in AVG termen een ontvanger) is niet verboden. De leden dienen in dit geval vooraf te worden geïnformeerd dat er een verplichte inzage wordt geëist. De leden kunnen derhalve aangeven geen toestemming te geven en hierover moet dan de vraagsteller (gemeente) worden geïnformeerd.

 1. Uitwisselen van informatie met derden

De personen die in LeaWeb zijn opgenomen, hebben hun gegevens beschikbaar gesteld om als lid verbonden te zijn met de afdeling.

Deze gegevens mogen daarom uitsluitend voor dit doel gebruikt worden.

Als afdeling hanteren wij de regel dat geen informatie met derden wordt uitgewisseld.

 1. Onze website

De website wordt in belangrijke mate gebruikt als informatiemedium voor leden en overige geïnteresseerden. Wij verzamelen hier geen persoonsgegevens van gebruikers.

Wel komen we foto’s tegen, aankondigingen van speciale festiviteiten etc. etc.

De AVG is hierop van toepassing; informeer de belanghebbende(n) en vraag toestemming. Ook kan bij foto’s de auteurswet (portretrecht) om de hoek komen kijken.

Het is voor het bestuur zaak om een bewust privacy beleid te voeren.

 1. Onze Nieuwsbrief

Via onze Nieuwsbrief brengen wij u op de hoogte van activiteiten/bijeenkomsten, etc. die plaats gaan vinden en kijken we terug op plaatsgevonden activiteiten.

Hierbij komt het voor dat gegevens worden vermeld waar u zich kunt aanmelden of informatie kunt opvragen.

Als namen en gegevens genoemd worden in de Nieuwsbrief vragen wij vooraf altijd toestemming aan betrokkene(n) en wordt volstaan met naam, telefoonnummer en mailadres.

Wij plaatsen geen foto’s in de Nieuwsbrief; wel kunnen van activiteiten foto’s worden geplaatst op de website – in dat geval zijn het groepsfoto’s.

Bestuur KBO-Diessen

Januari 2020