Privacyverklaring Het Nieuwe Wonen Rivierenland

Versie 0.1 – 22 mei 2018

 

Inhoud

 

Privacybeleid “Het Nieuwe Wonen Rivierenland” Energie Dienstenbedrijf Rivierenland

 

B.A………………………………………………………………………………. 1

Definities…………………………………………………………………………………….. 2

  1. Inleiding……………………………………………………………………………….. 2
  2. Verantwoordelijkheden……………………………………………………………. 2
  3. Doelen, grondslagen, registratie en toestemming registratie persoonsgegevens………………………………………………………………………… 2
  4. Rechten van betrokkenen…………………………………………………………. 2
  5. Op verzoek informeren van relatie over de geregistreerde gegevens. 2
  6. Bewaartermijn gegevens………………………………………………………. 2
  7. Data governance…………………………………………………………………….. 3
  8. Systemen die gebruikt worden voor gegevensverwerking…………….. 3
  9. Verwerkersovereenkomst……………………………………………………… 3
  10. Gedragscode………………………………………………………………………. 3
  11. Data management en borging processen…………………………………….. 3
  12. Security awareness…………………………………………………………………. 3
  13. Verwerkingsregister………………………………………………………………… 3
  14. Register datalekken………………………………………………………………… 3
  15. Privacyverklaring………………………………………………………………….. 4
  16. Publicatie privacybeleid en privacyverklaring………………………………. 4
  17. Risicoanalyse (Privacy en data protection impact assessment)………… 4

Bijlage 1:  Technische en organisatorische maatregelen ter beveiliging van persoonsgegevens………………………………………………………………………… 4

 

 

Definities

 

Cooperatief Energie Dienstenbedrijf Rivierenland B.A. (hierna te noemen: EDBR): de Coöperatie Energie Dienstenbedrijf Rivierenland B.A. gevestigd te Culemborg ingeschreven bij de Kamer van Koophandel te Utrecht onder nummer 64201112.

  • Belangstellende: een niet-deelnemer van EDBR en/of Het Nieuwe Wonen Rivierenland die te kennen heeft gegeven belangstelling te hebben voor de activiteiten van EDBR en/of Het Nieuwe Wonen Rivierenland en op de hoogte te willen worden gehouden middels de digitale nieuwsbrief van EDBR of Het Nieuwe Wonen Rivierenland.
  • Klant: een afnemer van één of meer adviesdiensten van het EDBR en/of het project “Het Nieuwe Wonen Rivierenland”
  • Lid: een deelnemer van EDBR en afnemer van één of meer Participaties.
  • Donateur: een deelnemer van EDBR, maar zonder één of meer Participaties.
  • Vrijwilliger: een mede regiobewoner die zich namens “Het Nieuwe Wonen Rivierenland” en/of EDBR zich vrijwillig inzet om bewoners te informeren en ondersteunen bij verduurzaming van hun woning en/of leefomgeving.
  • Leverancier: een aanbiedende partij zoals installateurs, bouwbedrijven en of specialistische bedrijven op gebied van verduurzaming van gebouwen en/of leefomgeving.
  • Verwerkingsregister: Overzicht van persoonsgegevens die worden verwerkt, gegevensverwerkingen die worden gedaan en gegevensverwerkers.
  • Verwerker: Artikel 4 lid 8 AVG definieert een verwerker als ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.’

1.      Inleiding

 

Dit document beschrijft de afspraken en procedures voor verwerking van persoonsgegevens binnen onze coöperatie. Dit document wordt jaarlijks herzien.

 

2.      Verantwoordelijkheden

 

Het bestuur van de coöperatie is eindverantwoordelijk voor de uitvoering van dit privacybeleid. De betrokken Verwerkers hebben uiteraard ieder hun eigen verantwoordelijkheden, die ook zijn vastgelegd in de verwerkersovereenkomst.

 

3.      Doelen, grondslagen, registratie en toestemming registratie persoonsgegevens

 

De doelen, grondslagen, registratie en toestemming registratie van persoonsgegevens zijn beschreven in het Verwerkingsregister EDBR

 

4.      Rechten van betrokkenen

 

a.       Op verzoek informeren van relatie over de geregistreerde gegevens

 

Op verzoek van een relatie (betrokkene) maken wij een pdf-export van de geregistreerde gegevens in ons CRM. Deze pdf-export wordt aan de relatie verstrekt.

 

b.      Bewaartermijn gegevens

 

De bewaartermijn voor gegevens van leden/klanten is 7 jaar na de laatste financiële transactie (bv. betaling lidmaatschap, uitkering rendement). De bewaartermijn voor gegevens van bewoners na het laatste contactmoment is 3 jaar. Dit ivm met de monitoringsrapportages die gevraagd worden door lokale, regionale en landelijke overheden ivm beleidsevaluaties inzake verduurzaming gebouwde omgeving.
De bewaartermijn voor gegevens van donateurs (aspirantleden) en nieuwsbrieflezers (belangstellenden) is tot het moment dat zij hun donateurschap dan wel aanmelding voor de nieuwsbrief beëindigen / intrekken. Direct na afmelding worden de persoonsgegevens uit ons CRM verwijderd.
Voor persoonsgegevens van overige relaties geldt dat wij deze na afmelding of op verzoek kunnen verwijderen, tenzij met deze relatie in de afgelopen 7 jaar nog een financiële transactie heeft plaatsgevonden.

 

5.      Data governance

 

a.       Systemen die gebruikt worden voor gegevensverwerking

 

In het Verwerkingsregister EDBR zijn de systemen beschreven die door coöperatie EDBR en verwerkers t.b.v. coöperatie EDBR  worden gebruikt. Elke verwerking van persoonsgegevens wordt vastgelegd in het Overzicht verwerkingsactiviteiten. Ook zijn in dit Verwerkingsregister per systeem de gebruikers en vastgelegde gegevens beschreven.

b.      Verwerkersovereenkomst

 

Met alle verwerkers is een verwerkersovereenkomst afgesloten. In het Verwerkingsregister EDBR wordt de datum van elke verwerkersovereenkomst geregistreerd.

 

c.       Gedragscode

 

Voor diegenen die gegevens verwerken of kunnen inzien, maar geen verwerker zijn, zijn de afspraken omtrent gegevensbescherming beschreven in de Gedragscode Het Nieuwe Wonen Rivierenland/EDBR Dit gaat bv. om bestuursleden en vrijwilligers EDBR/Het Nieuwe Wonen Rivierenland. In het Verwerkingsregister EDBR wordt de datum van het ondertekenen van elke Gedragscode geregistreerd.

 

6.      Data management en borging processen

 

In alle procesbeschrijvingen benoemen we de privacyoverwegingen die van toepassing zijn en geven we aan hoe maatregelen om de privacy te waarborgen geïmplementeerd zijn.

 

7.      Security awareness

 

Iedereen binnen de organisatie en alle verwerkers die met persoonsgegevens werken, moeten goed geïnformeerd worden over de verplichtingen van de AVG en het privacybeleid. Iedereen moet secuur en veilig (gaan) werken met persoonsgegevens en ook de toegang daartoe.

Om dat te bewerkstelligen ondernemen we een aantal (terugkerende) acties:

  • Tijdens bijeenkomsten met vrijwilligers, bestuur en verwerkers toelichting geven op de nieuwe wetgeving (AVG) en het privacybeleid.
  • Jaarlijkse informatiebijeenkomst over privacybeleid voor iedereen die toegang heeft tot het systeem, wie niet aanwezig kan zijn, wordt individueel bijgepraat;
  • Tussentijdse informatie en reminders per e-mail en mondeling;
  • Aanspreken van personen bij waargenomen of opgetreden risico’s op basis van monitoring of ad-hoc.
  • Een, niet-uitputtend, overzicht van technische en organisatorisch maatregelen ter beveiliging van persoonsgegevens (zie bijlage 1).

8.      Verwerkingsregister

 

De coöperatie en de verwerkers houden een Verwerkingsregister bij.

Het verwerkingsregister wordt ieder kwartaal gecontroleerd op correct gebruik en volledigheid. De datum van deze controle wordt vastgelegd in het register.

 

9.      Register datalekken

 

De coöperatie en de verwerkers houden een Register datalekken bij. Dit register datalekken is onderdeel van het Verwerkingsregister EDBR

Het register datalekken wordt ieder kwartaal gecontroleerd op correct gebruik en volledigheid. De datum van deze controle wordt vastgelegd in het register.

 

10. Privacyverklaring

 

De coöperatie heeft een Privacyverklaring opgesteld waarin staat beschreven hoe wordt omgegaan met persoonsgegevens.

 

11. Publicatie privacybeleid en privacyverklaring

 

Dit privacybeleid en de privacyverklaring worden: