1. Doel en reikwijdte

Dit databeleid beschrijft hoe Stichting VTBN omgaat met persoonsgegevens en andere data die in het kader van de dienstverlening aan leden worden verzameld, verwerkt, gedeeld en beheerd. Het beleid geldt voor alle medewerkers, bestuursleden en partners die toegang hebben tot data via VTBN.

2. Uitgangspunten

– Transparantie: leden worden duidelijk geïnformeerd over welke gegevens worden verzameld, waarom en met wie deze worden gedeeld.
– Dataminimalisatie: we verzamelen alleen data die nodig is voor de uitvoering van onze taken.
– Beveiliging: we treffen passende technische en organisatorische maatregelen om data te beschermen.
– Doelbinding: gegevens worden uitsluitend gebruikt voor het doel waarvoor ze zijn verzameld.

3. Soorten data

VTBN verwerkt onder meer:
– Persoonsgegevens van leden (naam, e-mail, lidnummer, contactgegevens)
– Gebruiksdata van de website of ledenomgeving
– Gegevens die gedeeld worden met partners t.b.v. ledenvoordelen

4. Data-eigenaarschap en verantwoordelijkheid

– VTBN is verantwoordelijk voor de gegevens van haar leden.
– In samenwerking met partners zijn partijen gezamenlijk verwerkingsverantwoordelijk.
– Bestuursleden en gemachtigden mogen data uitsluitend gebruiken voor hun taken en zijn gehouden aan geheimhouding.

5. Delen van data

– Gegevens worden gedeeld met partners op basis van samenwerkingsovereenkomsten waarin privacy-afspraken zijn vastgelegd.
– Alleen noodzakelijke gegevens worden gedeeld (bijvoorbeeld naam, e-mailadres, lidnummer).
– VTBN beoordeelt nieuwe partners ook op hun dataveiligheid en privacybeleid.

6. Toegang en beveiliging

– Toegang tot persoonsgegevens is beperkt tot bevoegde personen.
– Er wordt gebruik gemaakt van veilige opslag- en communicatiemiddelen.
– Bij uitbesteding aan IT-leveranciers wordt een verwerkersovereenkomst gesloten.

7. Bewaartermijnen

– Gegevens worden niet langer bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld.
– Na beëindiging van het lidmaatschap worden persoonsgegevens binnen 12 maanden verwijderd of geanonimiseerd.

8. Inzage, wijziging en verwijdering

Leden kunnen altijd een verzoek indienen om hun gegevens in te zien, te laten corrigeren of te verwijderen via privacy@vtbn.nl.

9. Datalekken en incidenten

VTBN registreert datalekken en meldt deze, indien nodig, bij de Autoriteit Persoonsgegevens en betrokkenen conform de AVG.
Protocol bij datalek:
1. Incident identificeren en melden aan het bestuur binnen 24 uur.
2. Beoordeling of het een datalek betreft.
3. Indien ja, documenteren en analyseren (wie, wat, wanneer, hoe).
4. Binnen 72 uur melden aan de Autoriteit Persoonsgegevens indien risico voor betrokkenen.
5. Eventueel betrokkenen informeren.
6. Actieplan opstellen om herhaling te voorkomen.

10. Toezicht en evaluatie

Dit databeleid wordt jaarlijks geëvalueerd door het bestuur en aangepast indien wetgeving of praktijk daarom vraagt.

11. Verantwoordelijkheid en aanspreekpunt

De verantwoordelijkheid voor de naleving van dit databeleid ligt bij het bestuur van VTBN.
Een lid van het bestuur is aangewezen als privacy contactpersoon en draagt zorg voor het coördineren van privacyvraagstukken, afhandeling van inzageverzoeken en melding van datalekken.
Het huidige aanspreekpunt voor privacyzaken is: De heer Cannoo onze dataspecialist – te bereiken via privacy@vtbn.nl