U bent hier
Privacy Procedure
Privacy Procedure
Deze pagina is bedoeld als interne handleiding voor Veldhoven Duurzaam over hoe om te gaan met privacy gerelateerde onderwerpen.
Onderhoud Privacy Verklaring en deze Privacy Procedure
De beide privacy pagina's worden onderhouden door het bestuur. De Privacy Verklaring staat publiek te lezen op de site, de privacy procedure is afgeschermd en is alleen te lezen voor het bestuur en vrijwilligers van Veldhoven Duurzaam.
Email structuur
De volgende email adressen bestaan ivm privacy activiteiten:
- info@veldhovenduurzaam.nl: mail account voor algemeen gebruik en voor vragen van publiek en leden over privacy
- bestuur@veldhovenduurzaam.nl: forwarder naar de persoonlijke mailboxen van de bestuursleden
- privacy@veldhovenduurzaam.nl: forwarder naar bestuur@veldhovenduurzaam.nl, bedoeld voor privacy gevoelige verzoeken zoals beschreven in de privacy verklaring.
Verzoeken tot gegevens inzien, -aanpassen, -verwijderen, -meenemen, -blokkeren
Er dient binnen 4 weken gereageerd te worden op deze verzoeken
Bij ieder verzoek nemen we contact op met de aanvrager op het ons bekende telefoon nummer en onderzoeken of het verzoek legitiem is. In geval legitiem nemen we gepaste actie en bevestigen we de actie naar het ons bekende email adres. In geval van een niet geautoriseerd verzoek melden we dat bij de betreffende persoon, liefst mondeling via telefoon met een schriftelijke bevestiging via email. Persoonlijk contact geeft ons de kans te begrijpen wat de achterliggende reden is voor het verzoek. Mogelijk dient er naar aanleiding daarvan ook verdere actie binnen de vereniging plaats te vinden.
Als antwoord op een formeel verzoek tot inzien van gegevens kan de bewoner verwezen worden naar zijn/haar persoonlijke gegevens (profiel) in de site. We relateren alle persoonsinformatie aan dat profiel en geven de profiel eigenaar altijd inzicht in zijn/haar eigen gegevens.
Persoonlijke gegevens aanpassen kan meestal ook door de persoon zelf gedaan worden in zijn/haar profiel. Uitzondering is het wijzigen van gebruikernaam en email adres om technische redenen. Hier kan de webmaster helpen.
Verwijderen van gegevens doen we door middel van de standaard Drupal functie voor het verwijderen van een account. Er zal de optie gekozen worden om alle gerelateerde informatie ook te verwijderen tegelijk met het account. De site stuurt een email waarmee de gebruiker zelf dient te bevestigen alvorens de verwijdering echt plaats vindt.
In het geval een gebruiker zijn gegevens mee wil nemen naar een ander zal de webmaster kunnen helpen een zip bestand te maken met alle aanwezige gegevens. Dit zal bestaan uit de aanwezige advies bestanden, andere bestanden en een pdf van de persoonlijke gegevens zoals bij ons bekend.
Een verzoek tot blokkeren van een site gebruiker kan door de webmaster met standaard drupal mechanismes gehonoreerd worden. De gebruiker kan dan ook niet meer aanloggen. Meestal zal zo'n verzoek gedaan worden in afwachting van andere stappen door de betreffende persoon. We bevriezen dan ook alle verdere mutaties tot nader order.
Delen van persoonsgegevens met derden
Delen van data met derden doen we in principe niet. Alleen op verzoek van een bewoner kan het voorkomen dat we informatie uitwisselen met derden, maar dat is dan altijd met expliciete toestemming van deze bewoner.
Informatie bewaar termijn
Een gebruiker die wel heeft geregistreerd maar nooit heeft aangemeld op de site wordt automatisch eenmalig herinnerd na 7 dagen (account reminder).
Een gebruiker (niet lid) die 1 jaar lang niet is aangelogd geweest krijgt een herinnering via email en wordt 2 maanden later automatisch verwijderd van de site. Zo voorkomen we dat we onnodig persoons gegevens blijven bewaren.
Een gebruiker lid die niet betaalt krijgt een herinnering en vervalt na verloop van tijd bij uitblijven van betaling tot gewone gebruiker (niet lid). Vervolgens valt die gebruiker in de voorgaande mechanismes. Hiermee stellen we zeker dat ook een niet actief lid niet langer dan nodig blijft opgeslagen in de site.
Hoe beschermen we persoonsgegevens
De volgende maatregelen en beleid zijn onder andere van kracht:
- We gebruiken een professioneel website platform (drupal.org) met een hoge mate van security bewustzijn. De webmaster is geabonneerd op de security mailing list en volgt adviezen voor het dichten van kwetsbaarheden zo snel mogelijk op. Er is dagelijks actief beheer op de site.
- Er is een rollen structuur actief waarmee gebruikers alleen die informatie kunnen zien en gebruiken waartoe ze gerechtigd zijn. Er zijn speciale rollen voor vrijwilligers, redactie en bestuur met meer rechten dan de gewone rollen gebruiker en lid.
Bewustzijn binnen de Vereniging
Vrijwilligers en bestuur werken steeds met persoonsgegevens van onze leden en geregistreerde gebruikers. Om te zorgen dat iedereen zich bewust is van wat mag en niet mag is er een presentatie over privacy die eens per jaar aan de vrijwilligers gegeven wordt. De presentatie is op de site te vinden. Vrijwilligers tekenen voor het vertrouwelijk omgaan met persoonlijke gegevens (geheimhouding).
Melden van data lekken
Mocht het gebeuren dat we een data lek hebben dan dienen we dat binnen 72 uur (=3 dagen) te melden aan de authoriteiten en aan de betrokken personen. We dienen ook maatregelen te nemen om het lek te dichten
Wat is een datalek:
Waar wordt de datalek gemeld: aan het bestuur
Wie checkt wat er gelekt is en welke gevolgen dat heeft: bestuur wijst een persoon aan
Formele melding documenteren, met aard van het lek, waar meer info te verkrijgen, aanbevolen maatregelen voor gevolg bestrijding, beschrijving geconstateerde gevolgen, genomen maatregelen ter voorkoming
Bestuur doet de melding bij https://datalekken.autoriteitpersoonsgegevens.nl/