AVG Protocol SNF
In dit dossier is vastgelegd hoe de Stichting Noodhulp Filippijnen (SNF) omgaat met de aan haar
toevertrouwde persoonsgegevens, met welke instanties de gegevens worden gedeeld en waarom,
en hoe hiervoor de toestemming van de betrokkenen is geregeld.
Ook is de privacyverklaring van de stichting in dit dossier opgenomen, en staat beschreven hoe de
privacyverklaring onder de aandacht wordt gebracht van allen die met de stichting van doen
hebben. SNF hanteert het volgende systeem voor de vastlegging van persoonsgegevens:
Spreadsheet donateurs administratie, persoonsgegevens
– Aanmelddatum; (vanaf medio 2018 voor zover bekend opgenomen in de administratie)
– Naam:
– Adres:
– Postcode:
– Woonplaats:
– Telefoonnummer:
– Emailadres:
– Bankgegevens:
– Betaalperiode per maand:
– Toegezegd bedrag donateur:
– Betaalwijze: incassomachtiging
– Banknummer:
– Bedanken: J/N
Het emailadres is optioneel en wordt alleen gevraagd aan donateurs die de nieuwsbrief per email
wil ontvangen. Wij vragen toestemming om het telefoonnummer op te nemen in onze administratie
om onze donateurs incidenteel (hooguit 2 x per jaar) te benaderen voor onze stichting en het
nummer kan tevens worden gebruikt voor wervingsdoeleinden.
Indien de donateur aangeeft dat hij / zij niet benaderd wenst te worden, verwerken we dat in de
spreadsheet. Wij bedanken per mail indien het emailadres beschikbaar is.
Donateurs kunnen zich aanmelden via de website. Wij vragen uitsluitend die gegevens welke
nodig zijn voor de incasso opdracht in onze administratie.
De spreadsheet donateurs administratie wordt lokaal beheerd op een PC bij het secretariaat.
Dit computersysteem maakt dagelijks een back-up die tevens op een externe schijf wordt
vastgelegd, alsmede in de cloud. Tevens kunnen de gegevens worden gebruikt door een tweede
bestuurslid t.b.v. donateurswerving. Daarnaast worden bestanden in Dropbox gezet als extra
beveiliging van de administratie en bescherming persoonsgegevens.
Nieuwe donateurs melden zich aan bij de stichting via het secretariaat, de website of middels de
fondsenwerver, die allen deel uit maken van het bestuur. Het secretariaat verwerkt alle nieuwe
aanmeldingen in de spreadsheet.
Afmeldingen komen eveneens binnen bij het secretariaat en worden daar verwerkt.
De afmeldingen worden nog twee jaar in het systeem bewaard. Daarna wordt de betrokkene uit
het systeem verwijderd. Die periode is nodig voor de administratieve verantwoording van
betalingsgegevens, die – als ernaar gevraagd wordt – overlegd moeten worden.
Donateurs administratie, verwerkingen
-Incassomachtigingen.
Donateurs die een incassomachtiging hebben afgegeven, worden per opgegeven betaalperiode
automatisch geïncasseerd. Daartoe worden hun naam, voorletters en banknummer ingebracht in
het systeem van de bank. Maandelijks en voordat er geïncasseerd wordt, bekijken wij of er
afmeldingen zijn geweest. Indien de donateur zich heeft afgemeld, wordt dit per direct verwerkt in
het incassosysteem van de bank.
SNF legt gegevens vast zoals naam, adres, woonplaats, emailadres en overige gegevens die
noodzakelijk zijn voor de uitvoering van het donateurschap of de verwerking van een eenmalige
gift. Wij verstrekken geen gegevens aan overige partijen die diensten voor onze stichting
uitvoeren. Drukwerk, correspondentie e.d. wordt vanuit het secretariaat verstuurd.
E-mailadressen worden uitsluitend gebruikt om informatie te sturen over onze stichting zoals
nieuwsbrieven over gestarte en afgesloten projecten.
Persoonsgegevens worden alleen gebruikt voor de doeleinden waarvoor ze zijn verkregen.
Een donateur kan zich te allen tijde afmelden als donateur.
Stuur daarvoor een mail aan info@bahayaurora.org
Ook adreswijzigingen en andere wijzigingen kunnen worden doorgegeven aan ons secretariaat.
De Stichting Noodhulp Filippijnen) zorgt voor een goede en passende beveiliging (zowel technisch
als fysiek) van de aan haar toevertrouwde persoonsbestanden.
Voor het publiceren van herkenbare foto’s met naam en toenaam wordt toestemming gevraagd.
Foto’s die in een openbare ruimte/openbare gelegenheid gemaakt zijn kunnen redelijkerwijze
worden gepubliceerd, tenzij iemand expliciet heeft aangegeven niet op de foto te willen.
2.5. Beleid rondom continuïteit
Back-ups en encryptie
Eén van de grootste risico’s op datalekken is diefstal van computer of laptop. Behalve dat de
gegevens van uw vereniging / stichting op straat kunnen komen te liggen is het natuurlijk en vooral
lastig voor uzelf: u kunt tijdelijk niet voor de organisatie aan de slag en mogelijkerwijs zijn er zelfs
gegevens verloren gegaan.
De AVG stelt dan ook dat iedere organisatie een back-up beleid dient te hebben en zich daaraan
moet houden. Leg dit vast in het dossier.
Voorbeeld: De spreadsheet donateursadministratie wordt lokaal beheerd op een PC bij
bestuurder X.
Bestuurder X maakt iedere maand een back-up van de systemen. De back-up staat op een
losse schijf die hij bewaart in een afsluitbare lade.
Privacy Verklaring
Publiceer de privacyverklaring uit paragraaf 2.3 op een goed zichtbare plek op uw website.
SSL-certificaat
Bovendien dient uw website te zijn voorzien van een SSL-certificaat. Gegevens worden dan
versleuteld verzonden. Een ‘veilige website herkent u aan het slotje en https:// in het websiteadres
in plaats van http://
De aanmeldprocedure via de website kunt u vastleggen in het dossier.
Vermeld in uw dossier dat uw website voorzien is van een SSL-certificaat.
Voorbeeld: Nieuwe donateurs melden zich aan bij het secretariaat dat wordt bemand door
bestuurder Y. Ook de antwoordformulieren die worden ingevuld op de website, komen binnen bij
het secretariaat.
De aanmeldformulieren worden versleuteld verstuurd.
4. Diversen
Foto’s
Voor het publiceren van herkenbare foto’s met naam en toenaam moet u toestemming vragen.
Foto’s die in een openbare ruimte/openbare gelegenheid gemaakt zijn kunnen redelijkerwijze
worden gepubliceerd, tenzij iemand expliciet heeft aangegeven niet op de foto te willen.
Twijfel?
Stel voor: u wilt een grote donateur bedanken in uw jaarverslag. Mag u daarbij zijn of haar naam
afdrukken? Nee, eigenlijk niet, want vooral als uw stichting lokaal opereert, zijn de overige
persoonsgegevens op basis van alleen de naam best te vinden.
Als u twijfelt aan uw handelen geldt maar één ding: toestemming vragen.