Privacy Verklaring

AVG verklaring
Hierbij verklaart de Stichting AVG voor Verenigingen dat Figaro Haarmode Nunspeet het AVG-programma geheel
heeft doorlopen.

Figaro Haarmode Nunspeet verklaart hiermee dat de benodigde inspanningen zijn verricht
zoals die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG).

Indien niet alle programmaonderdelen zijn afgewerkt en de verklaring toch wordt aangevraagd, dan is geen
volledige invulling gegeven aan de eisen van de wetgever.

In de hierna volgende verklaring staan alle onderdelen/stappen die Figaro Haarmode Nunspeet heeft doorlopen om
te voldoen aan de AVG-wetgeving. Per onderdeel is duidelijk aangegeven welke gegevens en onderdelen van de
wet van toepassing zijn en hoe daar aan voldaan is. Waar nodig is additionele informatie verstrekt ter
verduidelijking van de situatie.
Figaro Haarmode Nunspeet begrijpt dat AVG-wetgeving continu van toepassing is en dat wij regelmatig de
gegevens moeten controleren en updaten.
Met het volledig doorlopen van het AVG-programma van de Stichting AVG voor Verenigingen heeft Figaro
Haarmode Nunspeet kennis over de materie ontvangen die door de AVG wordt geraakt, en verklaart zelf naar eer
en geweten aan de wet te voldoen.

De onderdelen van de zelfverklaring door Figaro Haarmode Nunspeet zijn te
vinden op de volgende pagina(‘s) van deze verklaring.
Aldus opgemaakt te Gorinchem,
d.d. 28-5-2018,
door Stichting AVG voor Verenigingen
gevestigd aan de Stephensonweg 14 te Gorinchem.

2.1 Inventarisatie persoonsgegevens.
Geef hieronder aan welke persoonsgegevens binnen de organisatie gebruikt worden.
Gewone persoonsgegevens
 Naam/ voorletters/ tussenvoegsel
 Adres
 Postcode
 Plaats
 Woonplaats
 Telefoonnummer
 Geboortedatum

3.1 Inventarisatie doelbinding.

Grondslag: Grondslag is een reden op basis waarvan je de persoonsgegevens mag verwerken. Een reden kan zijn
een verkregen toestemming (b.v. het krijgen van een visitekaartje of een inschrijving voor een nieuwsbrief). Een
reden kan ook zijn dat je deze persoonsgegevens nodig hebt voor het uitvoeren van een overeenkomst (b.v. een
koopcontract of een lidmaatschapsovereenkomst).
LET OP: Het is verstandig zo min mogelijk persoonsgegevens te hanteren. Vraag dus alleen de gegevens die je
echt nodig hebt voor het goed functioneren van je organisatie.
(N = Naam, A = Adres, W = Woonplaats, T = Telefoon, E = e-mailadres)
 Klant
Persoonsgegevens: NAWTE.
Verwerkingen: Administratie
Verwerkt door: Afdeling sales
Bewaartermijn: Gedurende de looptijd van de overeenkomst.
Beschrijf hieronder kort uw situatie:
Kapsalon met 7 werknemers, geen online klantenbestand en geen mogelijkheid voor online afspraak maken.

Medewerkers
Persoonsgegevens: NAWTE + geboortedatum, kopie ID en bankgegevens.
Grondslag: Arbeidsovereenkomst.
Verwerkingen: Salariëring.
Verwerkt door: HRM-afdeling.
Bewaartermijn: Gedurende de periode dat men een contract heeft.
Beschrijf hieronder kort uw situatie:
 Medewerkersfoto’s op de website
Persoonsgegevens: Naam + foto.
Grondslag: Aanvullende personeelsovereenkomst.
Verwerkingen: Medewerkersfoto’s op website.
Verwerkt door: Administratie, afdeling communicatie.
Bewaartermijn: Gedurende de periode dat men een contract heeft.

4.1 Privacy policy vindbaar, verwijzing in documenten.
De privacy policy van de organisatie moet voor iedereen waarvan je persoonsgegevens verwerkt vindbaar zijn. Het
eenvoudigste is om deze op de website van de organisatie te zetten en op elke pagina (onderaan) een link hier
naartoe te leggen.
Wij als organisatie hebben onze privacy policy zichtbaar gemaakt op onze website.

5.1 Werken met verwerkersovereenkomst.
Als organisatie mag je persoonsgegevens niet doorgeven aan een andere partij welke ten behoeve van jou
persoonsgegevens verwerkt zonder een verwerkersovereenkomst. In een verwerkersovereenkomst spreek je af wat
de ander met de gegevens mag doen én ook vooral wat niet.
Wij als organisatie verklaren dat wij geen persoonsgegevens doorgeven aan andere partijen.

6.1 Toegangsbeveiliging.
Om zeker te weten dat alleen geautoriseerde personen de persoonsgegevens kunnen inzien en bewerken, moeten
deze altijd beveiligd zijn met een wachtwoord en als het kan ook met een gebruikersnaam. Zo kun je een Excelbestand
beveiligen met een wachtwoord en een PC voorzien van een gebruikersnaam en een wachtwoord. Zorg er
dus voor dat je altijd minimaal één keer een wachtwoord moet weten voordat je de persoonsgegevens van jouw
organisatie kunt inzien of bewerken.
Wij als organisatie hebben persoonsgegevens altijd opgeslagen achter de beveiliging van minimaal een
gebruikersnaam en een wachtwoord.

7.1 Software en antivirussoftware up-to-date.
Om systemen zo veilig mogelijk te laten zijn, moet je ze up-to-date houden. Dit doe je door het aanzetten van het
automatisch ophalen en installeren van updates van de software. Zorg ook voor goede antivirussoftware. Zorg
ervoor dat alle software ingesteld is op het automatisch ophalen en uitvoeren van updates. Maak goede afspraken
met al je softwareleveranciers.
Beschrijf hieronder kort uw situatie:
 Wij als organisatie hebben de persoonsgegevens alleen opgeslagen op computers/servers met
beveiligingssoftware waarbij zowel de beveiligingssoftware als het besturingssysteem ingesteld zijn om
automatisch updates op te halen en te installeren.

8.1 Opslaan alleen binnen de EU.

Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU-lidstaten moeten voldoen
aan de AVG. Als je persoonsgegevens verwerkt buiten de EU, bijvoorbeeld door deze te laten verwerken door een
partij buiten de EU of er een passend beschermingsniveau bestaat voor dat land , bijvoorbeeld door een
adequaatheidbesluit van de Europese Commissie. Je moet ook weten en kunnen aantonen dat er passende of
geschikte waarborgen zijn, en hoe er een kopie van kan worden verkregen of waar ze kunnen worden
geraadpleegd.
De wetgever is dus extra streng als je persoonsgegevens wilt verwerken/opslaan buiten de EU. Als je dat toch zou
willen, dan moet er heel veel geregeld worden bovenop de normale AVG-verplichtingen. Dus check of je
dienstverlener (drukker, verspreider, enz.) de toevertrouwde persoonsgegevens binnen de EU opslaat.
Het is dus het makkelijkste om persoonsgegevens alleen te verwerken binnen de EU, dit raden wij daarom ook
sterk aan.
 Wij als organisatie verklaren dat wij nooit persoonsgegevens overdragen aan of opslaan bij partijen die
gevestigd zijn buiten de EU.

9.1 Data back-up.

Om de persoonsgegevens te beschermen tegen het verlies of diefstal moet je back-ups maken.
Wij als organisatie hebben de opgeslagen persoonsgegevens beveiligd met een back-up.

10.1 Geautoriseerde medewerkers.
Beschrijf hieronder kort hoe jullie de autorisatie geregeld hebben:
Onderstaande vragen zijn alleen ter bewustwording en hoeven niet precies ingevuld te worden!
Wij als organisatie hebben 8 personen geautoriseerd om de persoonsgegevens van de organisatie in te zien en te
verwerken indien dit nodig in voor de uitoefening van hun functie.
Wij als organisatie hebben van 6 personen de persoonsgegevens geregistreerd.
In onze organisatie hebben alleen geautoriseerde personen toegang tot de persoonsgegevens van de
organisatie.

11.1 Vernietigen persoonsgegevens.
Geef hieronder aan dat je organisatie alle persoonsgegevens vernietigt door bijvoorbeeld een regel te wissen in
Excel en/of het versnipperen van een aanmeldingsformulier als er geen overeenkomst meer is. Persoonsgegevens
mogen niet langer worden bewaard dan voor verwezenlijking van de doeleinden waarvoor ze worden verwerkt. Dus:
na beëindiging van een overeenkomst worden de persoonsgegevens van die persoon vernietigd.
Wijs aan wie verantwoordelijk is voor het vernietigen van persoonsgegevens of de controle op de vernietiging.
NB: Verscheuren en weggooien is onvoldoende. Schaf daarom een versnipperaar aan.
Let op: In de financiële administratie mogen (of eigenlijk: moeten!) deze persoonsgegevens nog wel blijven staan,
want daar geldt een (wettelijke) bewaarplicht van 7 jaar.
Beschrijf hieronder kort uw situatie:
Wij als organisatie verklaren dat wij alle persoonsgegevens vernietigen als de overeenkomst op grond
waarvan ze verkregen zijn verlopen is of de toestemming is ingetrokken.

12.1 Toestemming voor direct marketing en bij minderjarigheid.
Bij direct marketing.
De wetgever maakt onderscheid tussen gewone direct marketing (bellen en post sturen) of digitale marketing (via email,
fax, Facebook, LinkedIn of sms). Doordat gewone direct marketing een organisatie geld kost zal dat altijd
beperkt blijven. Juist digitale marketing is nagenoeg gratis en kan daardoor heel veel toegepast worden met alle
gevolgen van dien.
Beschrijf hieronder kort uw situatie:
Bij minderjarigheid (jonger dan 16 jaar).
Als je persoonsgegevens online verwerkt van personen jonger dan 16 jaar via bijvoorbeeld een app, online game,
webwinkel of via sociale media, dan moet je daarvoor altijd schriftelijk een toestemming hebben van de ouder,
verzorger of wettelijke vertegenwoordiger. Geef hieronder aan dat je organisatie dat ook altijd zo doet.
Wij als organisatie maken geen gebruik van digitale direct marketing.
Wij als organisatie verklaren dat wij geen persoonsgegevens van minderjarigen online verwerken bijvoorbeeld
een app, online game, webwinkel of via sociale media.

13.1 Papieren documenten en beveiliging.
Wij als organisatie hebben papieren documenten waarop de persoonsgegevens staan, opgeslagen achter slot
en grendel.

14.1 Datalekken.
Iedereen in de organisatie moet op de hoogte zijn wat een een datalek is en wat je eraan moet doen. Geef aan wat
voor jullie van toepassing is:
Beschrijf hieronder kort hoe jullie met datalekken omgaan:
Binnen onze organisatie is iedereen op de hoogte van wat een datalek is. Ook is bekend waar dit intern
gemeld moet worden zodat wij als organisatie adequaat het datalek kunnen afhandelen en documenteren.<

15.1 Medewerkers geïnstrueerd
Wij hebben onze medewerkers als volgt geïnstrueerd:
We hebben het onderwerp privacy bescherming in alle afdelingsoverleggen besproken.
Onze werkgever heeft alle medewerkers opgeroepen extra aandacht te besteden aan privacy
bescherming.

16.3 Ondertekening.
Met het inzenden van dit stappenplan verklaar ik hierbij dat ik naar eer en geweten dit stappenplan heb ingevuld
namens de organisatie.
Aldus verklaard door:
Naam organisatie: Figaro Haarmode Nunspeet
Naam persoon: J.Rutgers-Vierhout
Plaats: Nunspeet
Datum: 28 mei 2018