Hoe Stichting Museum Swaensteyn omgaat met persoonsgegevens in het licht van de nieuwe privacywetgeving

Sinds 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) van kracht. Organisaties die persoonsgegevens verwerken hebben de verplichting aan te tonen dat zij in organisatorische en technische zin aan de AVG voldoen. In dit kader vindt Stichting Museum Swaensteyn het van belang dat u weet dat de stichting niet aan grootschalige gegevensverwerking doet. 

De verantwoordingsverplichting 

Stichting Museum Swaensteyn doet niet aan grootschalige verwerking van persoonsgegevens en hoeft om die reden niet te beschikken over een verwerkingsregister en hoeft derhalve een dergelijk register niet te verstrekken wanneer de Autoriteit Persoonsgegevens daar om vraagt.

De eventuele noodzaak van het aanleggen van een dergelijk register hangt af van de omvang van de Museum Swaensteyn-organisatie en het type gegevens dat de stichting verwerkt:

• Stichting Museum Swaensteyn is een organisatie met minder dan 250 medewerkers;
• Stichting Museum Swaensteyn verwerkt geen persoonsgegevens die een hoog risico inhouden voor de privacyrechten van betrokkenen (de rechten en vrijheden van de mensen van wie Stichting Museum Swaensteyn gegevens verwerkt);
• Van de mensen waarvan gegevens worden verwerkt, is deze verwerking incidenteel. D.w.z. dat de gegevens die worden vastgelegd worden bepaald door de – toevallige en vrijwillige momenten – waarop een privé- of zakelijke verbintenis wordt aangegaan of verbroken;
• Stichting Museum Swaensteyn verwerkt geen gegevens die vallen onder de categorie bijzondere persoonsgegevens (zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens).

De gegevensverwerking van Stichting Museum Swaensteyn in kaart

Stichting Museum Swaensteyn is zelf de ‘verwerkingsverantwoordelijke’
Dit betekent dat Stichting Museum Swaensteyn geen gebruik maakt van de diensten van een verwerker: de stichting stelt zelf het doel en de middelen voor de verwerking van persoonsgegevens vast.

De verwerking van persoonsgegevens
Volgens de AVG heeft Stichting Museum Swaensteyn een documentatieplicht. Dit houdt in dat moet kunnen worden aangetoond dat de juiste organisatorische en technische maatregelen aanwezig zijn om te voldoen aan de rechten en verplichtingen als verwerkingsverantwoordelijke. Onderstaand worden de onderwerpen die moeten worden vastgelegd in algemene zin beschreven.

Naam van de organisatie, en de vertegenwoordiger van de organisatie

• Stichting Museum Swaensteyn, vertegenwoordigd door de heer P. van der Ploeg
  - er zijn geen andere organisaties met wie gezamenlijk de doelen en middelen van de verwerking zijn vastgesteld;
  - er is geen functionaris voor de gegevensbescherming (FG) aangesteld.

Het doel van de verwerking/doelen waarvoor Stichting Museum Swaensteyn verwerkt

• - Doel is het onderhouden van contacten met (zakelijke) in- en externe relaties door mondeling, schriftelijke en digitaal met hen te communiceren.
• - Dit varieert van het uitnodigen voor recepties en evenementen tot het organiseren van rondleidingen, behoud en beheer van het museum en de buitenplaats etc.

Onderwerp van verwerking

• - Het betreft de contactgegevens van (zakelijke) in -en externe relaties en het bankrekeningnummer in geval van financiële transacties.

De duur van de verwerking/ een algemene beschrijving van de datum waarop deze gegevens worden gewist (als dat/deze bekend is)

• - De gegevens worden vastgelegd op het moment dat de (zakelijke) relatie wordt aangegaan en worden niet meer gebruikt vanaf het moment dat deze relatie wordt verbroken.
• - De gegevens worden gearchiveerd in geval de betrokkenen een relatie met de Stichting Museum Swaensteyn hebben die historisch relevant is (bijv. bij restauraties en schenkingen).

De aard van de verwerking

• - De gegevens worden handmatig vastgelegd in Outlook, te raadplegen door een ieder die daar vanuit zijn of haar rol voor is geautoriseerd. Uit Outlook wordt op geëigende momenten een export gemaakt naar Excel teneinde de adressen te kunnen gebruiken voor adreslabels en mailbestanden.

Beveiliging

• - De maatregel die Stichting Museum Swaensteyn heeft genomen om persoonsgegevens te beveiligen bestaat eruit dat alleen degene die daarvoor door het management – uit hoofde van zijn of haar rol in de organisatie – is geautoriseerd, in staat worden gesteld de gegevens op systeemniveau te muteren en (digitaal/op print) te raadplegen.

Overzicht van verwerkingsactiviteiten

Stichting Museum Swaensteyn stelt de volgende categorieën van betrokkenen en categorieën/soort  persoonsgegevens vast:
 

Categorieën van betrokkenen: personen van wie Stichting Museum Swaensteyn gegevens verwerkt

Personeel

< 10

-     naam (titel, functie)
-     adres (privé)
-     e-mailadres (privé)
-     bankrekeningnummer (salarisbetalingen)

Aangeleverd door betrokkene
 

Vrijwilligers

<50

-     naam (titel, functie)
-     adres (privé)
-     e-mailadres (privé)
-     bankrekeningnummer (declaraties)

Aangeleverd door betrokkene
 

Openbaar publiek (nieuwsbrieflezers via Mailchimp )

>500

- naam (niet verplicht)
- e-mailadres (privé)

Anonieme eigen initiatieven
 

Externe relaties (donateurs, vrienden, pers, politiek, bestuurlijke overheid, vak en branchegenoten, etc.)

500- 1000

-     naam (titel, functie)
-     adres (privé of zakelijk)
-     e-mailadres (privé of zakelijk)

Aangeleverd door / namens betrokkene
 

Zakelijke relaties (leveranciers etc.)

0-100

-     naam (titel, functie)
-     adres (privé of zakelijk)
-     e-mailadres (privé of zakelijk)
-     bankrekeningnummer (facturen)

Aangeleverd door / namens betrokkene
 

Commerciële relaties (vergader- en feestarrangementen etc. )

>100

-     naam (titel, functie)
-     adres (privé of zakelijk)
-     e-mailadres (privé of          zakelijk)
-     bankrekeningnummer (facturen)

Reserveringen door bedrijven of privépersonen