Protocol AVG
(Algemene Verordening Gegevensbescherming)
Privacyverklaring voor Stichting Utopa, Stichting Utopa-Weeshuis, Stichting het Orgelpark en Stichting Het Depot.
Persoonsgegevens
Persoonsgegevens zijn alle gegevens over een geïdentificeerd of identificeerbaar natuurlijk persoon. Hier gaat het bijvoorbeeld om de namen en contactgegevens van:
- Medewerkers van de diverse stichtingen, oproepmedewerkers, gedetacheerde medewerkers.
- Deelnemers aan diverse cursussen en deelnemers aan de Utopa Koorschool in Leiden
- Adresbestanden voor het verzenden van tijdschrift Fragment, adresbestanden voor het versturen van nieuwsbrieven van de in de aanhef genoemde stichtingen en het versturen van de concertladder van Stichting het Orgelpark
Aan het verwerken van persoonsgegevens zijn bijzondere wettelijke voorschriften verbonden. Wanneer wij persoonsgegevens verwerken, houden wij ons aan de toepasselijke wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (hierna: ‘AVG’).
Ad 1. Persoonsgegevens van personeelsleden
Het betreft hier persoonsgegevens van medewerkers in dienst van Stichting Utopa, Stichting Utopa-Weeshuis, Stichting Het Depot en Stichting het Orgelpark.
- Naam, geboortedatum, burgerlijke stand, adres en andere contactgegevens.
- E-mailadres, telefoonnummer, BSN-nummer en een kopie van een geldig legitimatiebewijs. De persoonsgegevens worden vastgelegd in een arbeidsovereenkomst en een lijst met NAW gegevens.
- De persoonsgegevens worden gebruikt voor verwerking door de salarisadministratie. De verwerking van de salarissen wordt uitgevoerd door de administrateur van Stichting Utopa en een extern bureau, te weten BCS.
- De persoonsgegevens van alle medewerkers van alle voornoemde stichtingen staan centraal geregistreerd op het kantoor in Leiden (Stichting Utopa) en worden centraal opgeslagen. Toegang tot dit archief met personeelsgegevens hebben alleen de directeur en administrateur.
- Personeelsgegevens staan geregistreerd in de computers van zowel de directie als administrateur.
- De gegevens staan niet op een centrale server, alle computers van bovengenoemde stichtingen zijn standalone.
- Medewerkers kunnen te allen tijde op verzoek hun eigen personeelsdossier inzien.
- Voor het gebruik van deze persoonsgegevens is Stichting Utopa i.s.m. BCS verwerkingsverantwoordelijke in de zin van de AVG.
- Stichting Utopa heeft voor alle stichtingen een verwerkingsovereenkomst afgesloten met BCS.
Doeleinden van de verwerkingen
Wij verwerken persoonsgegevens van personen waarmee wij een arbeidsrechtelijke relatie hebben. Deze persoonsgegevens hebben wij nodig om onze diensten zoals het uitkeren van salaris, het maken van arbeidscontracten en verslaglegging van functioneringsgesprekken op een goede manier te kunnen leveren. Wij verwerken informatie om te voldoen aan een wettelijke verplichting, in het kader van nakoming van wet- en regelgeving, voor het behandelen van geschillen en het laten uitvoeren van controles, waaronder financiële.
Beveiligingsmaatregelen
Conform de verplichtingen uit de AVG spannen wij ons in om een adequaat beveiligingsniveau bij de verwerking van persoonsgegevens te handhaven, dat gelet op de stand van de techniek voldoende is, om ongeoorloofde toegang tot, aanpassing, openbaarmaking of verlies van persoonsgegevens te voorkomen.
Delen en verstrekken van persoonsgegevens aan derden
In bijzondere omstandigheden stellen wij zonder toestemming persoonsgegevens van gebruikers ter beschikking aan derden, bijvoorbeeld in geval van een rechtmatig verzoek van een daartoe bevoegde autoriteit.
Wij stellen, voor zover noodzakelijk, tevens persoonsgegevens zonder toestemming ter beschikking in het kader van het opsporen of voorkomen van schade of fraude alsook om de veiligheid en continuïteit van onze werknemers te kunnen garanderen.
Opslag
Stichting Utopa bewaart deze persoonsgegevens in beginsel zolang als dat in redelijkheid noodzakelijk is voor bovengenoemde doeleinden en om te voldoen aan wettelijke en fiscale bewaarverplichtingen.
Rechten van Betrokkenen
Na een verzoek tot inzage van persoonsgegevens kunnen gegevens onjuist of onvolledig blijken. Onjuiste of onvolledige gegevens kunnen gecorrigeerd of aangevuld worden door Stichting Utopa, door de directie en/of administratie te contacteren. Ook kan de gebruiker Stichting Utopa verzoeken om gegevens te wissen. Wij zullen aan een verzoek om het wissen van gegevens voldoen indien er geen wettelijke verplichting of andere gegronde redenen bestaan, waardoor wij de gegevens moeten bewaren. Hiervoor en voor eventuele klachten dient contact opgenomen te worden met de directie.
Ad 2. Deelnemers aan diverse cursussen
- Cursussen: Het betreft hier persoonsgegevens van deelnemers aan diverse cursussen zoals voor- en achternaam, telefoonnummer, e-mailadressen, leeftijd van minderjarige deelnemers en eventueel mailadressen van hun wettelijk verzorgers (ouders en/of voogd). We vragen geen woonadres.
- Individuele deelnemers melden zich aan via een website en geven digitaal toestemming voor het wel/niet gebruiken van eventueel fotomateriaal door middel van een toestemming formulier.
- De aangeleverde gegevens kunnen door de medewerkers van Stichting Utopa ingezien worden.
- Aanmelding van schoolklassen geschiedt op dezelfde wijze. Vooraf wordt er toestemming gevraagd voor het maken en/of publiceren van foto’s.
- De aanmeldingen geschieden via een beveiligde site.
- Gegevens staan opgeslagen op pc’s. Alle door de stichtingen gebruikte computers zijn standalone, er is geen centrale server.
- Gegevens worden opgeslagen zolang noodzakelijk – deelnemers nemen vaak deel gedurende een langere periode (soms jaren).
- Afmeldingen en gegevensverwijdering geschiedt op verzoek van de ouders. Dit kan schriftelijk, mondeling en/of digitaal.
- Na het stopzetten van de deelname verwijderd Stichting Utopa de papieren aanmelding en de digitale gegevens.
- Stichting Utopa heeft een verwerkingsovereenkomst met Ratio Design.
2a. Deelnemers aan Utopa Koorschool
- Aanmeldingen voor de Utopa Koorschool geschieden altijd schriftelijk, niet digitaal. Ouders melden hun kinderen aan via een inschrijfformulier.
- De Utopa Koorschool verwerkt deze gegevens daarna in een digitaal adressenbestand, bestaande uit naam, adres, telefoonnummer, en mailadres van ouders/verzorgers. Doel hierbij is informatievoorziening aan ouders en/of verzorgers. De projectmedewerker van Stichting Utopa heeft toegang tot dit adressenbestand.
- Ouders geven bij aanmelding schriftelijk toestemming voor gebruik adresgegevens en het wel/niet maken van foto’s, sociale media, etc.
Ad 3. Adresbestanden inzake verzenden tijdschriften, nieuwsbrieven e.d.
- Voor het versturen van digitale nieuwsbrieven maken we gebruik van een digitaal adressenbestand in het programma MailerLite. Hierbij wordt gebruikt gemaakt van de diensten van een extern bureau, Ratio Design.
- Stichting Utopa heeft voor bovengenoemde stichtingen een verwerkingsovereenkomst met Ratio Design.
3a Stichting Het Depot
- Voor het versturen van de nieuwsbrief van Stichting Het Depot worden de volgende persoonsgegevens opgeslagen: voor- en achternaam, e-mailadres. Dit bestand is gekoppeld aan het adressenbestand van tijdschrift Fragment (zie onder). Voor het ontvangen van de nieuwsbrief melden personen zich eerst persoonlijk digitaal aan.
- Aan iedere nieuwsbrief is een disclaimer toegevoegd met optie tot direct digitaal afmelden.
- Voor het versturen van tijdschrift Fragment maakt Stichting Het Depot gebruik van een lokaal opgeslagen adressenbestand bestaande uit naam, adres, postcode, plaats, telefoonnummer (evt.) en e-mailadres. Gebruikers hebben vooraf schriftelijk middels een ingevulde toestemmingskaart aangegeven het blad te willen ontvangen.
- Bij Stichting Het Depot worden gegevens opgeslagen op een separate laptop, waar verder geen gegevens op staan behalve het adressenbestand. Wijzigingen worden alleen door een medewerker uitgevoerd.
3b Stichting het Orgelpark
- Stichting het Orgelpark maakt gebruik van een adressenbestand voor het verzenden van de nieuwsbrief. Het betreft hier persoonsgegevens zoals voor- en achternaam, telefoonnummer, e-mailadressen, en woonadres. Dit bestand is gekoppeld aan het adressenbestand van voormalig tijdschrift Timbres en staat op een standalone laptop die geen onderdeel is van een netwerk.
- Voor het ontvangen van de nieuwsbrief moet men actief digitaal toestemming geven.
- Het afmelden kan ieder moment geschieden via de disclaimer die onder aan de nieuwsbrief staat en/of per mail of telefonisch.
- Stichting het Orgelpark heeft een adressenbestand van Gastvrienden. Beschikbare gegevens zijn naam, adres, postcode, plaats, telefoonnummer (evt.) en e-mailadres. Het adressenbestand staat op een standalone computer en de gegevens worden niet verder gedeeld.
- De Gastvrienden krijgen per post of e-mail informatie toegestuurd.
- Indien iemand die opgenomen is in het bestand van Gastvrienden zijn/haar gegevens wil wijzigen of laten verwijderen kan dit verzoek telefonisch of per e-mail gedaan worden.
Opslag
- Wij bewaren gegevens, die in verband met het aanbieden van communicatiediensten verwerkt worden, alleen zo lang als strikt noodzakelijk om de doelen te bereiken.
- Bezwaar tegen verwerkingen van persoonsgegevens binnen de groepsmaatschappijen vallende stichtingen kunnen aan Stichting Utopa gericht worden.
Ad 4. Online kaartverkoop Beeldengalerij Het Depot & het Orgelpark
4a Beeldengalerij Het Depot
- Bij Beeldengalerij Het Depot kunnen personen een kaartje reserveren voor een concert of andere activiteit via de website. Hierbij worden naam, adres en e-mailadres gevraagd.
- Ter bevestiging krijgt de persoon een bevestigingsmail dat kaartjes bij de kassa klaarliggen.
- Na afloop van het concert of andersoortige activiteit worden de gegevens vernietigd.
4b Het Orgelpark
- Om (online) een kaartje te kunnen kopen voor een concert moeten in ieder geval de volgende gegevens ingevuld worden: achternaam, voorletter(s), straat, huisnummer, postcode, plaats, telefoonnummer, en e-mailadres.
- De pagina voor het online kopen of reserveren van een concertkaart is een pagina van een externe organisatie, te weten LVP Reserveringssystemen B.V. (hierna: LVP). Dit is een beveiligde pagina.
- LVP heeft met het Orgelpark een verwerkingsovereenkomst afgesloten. LVP werkt middels een verwerkingsovereenkomst samen met ProData.
- (Automatische) incasso wordt alleen gebruikt voor Gastvrienden voor het voldoen van hun lidmaatschap. Het bankrekeningnummer staat dan in de klantenkaart van het kassasysteem.
- Kaarten worden betaald met iDeal. Het daarvoor gebruikte bankrekeningnummer wordt automatisch toegevoegd aan de klantenkaart.
- De klantgegevens staan op de server van de LVP, medewerkers van het Orgelpark kunnen deze gegevens inzien en gebruiken.
- De gegevens kunnen op verzoek gewijzigd, maar niet door medewerkers van het Orgelpark verwijderd worden, zoals bepaald door LVP.
- Er kan wel intern worden opgeschoond, namen worden in dat geval vervangen door XXX.
- Definitieve gegevensverwijdering dient te geschieden door LVP en vindt daarom in overleg met hen plaats.
Vragen en Contact
Heeft u naar aanleiding van deze informatie specifieke vragen of opmerkingen over ons privacy statement of uw gegevens? Neem dan gerust contact met ons op. U kunt hiervoor een e-mail sturen naar privacy@utopa.nl.
Wijzigingen in deze privacyverklaring
Wij kunnen deze privacyverklaring van tijd tot tijd wijzigen. Wijzigingen zullen op onze website worden gepubliceerd. Uw gegevens worden nooit zonder toestemming gebruikt voor andere doeleinden dan waarvoor ze zijn afgegeven.
Inwerkingtreding
Deze versie van de privacyverklaring is in werking getreden op 23 mei 2018.