Privacyverklaring
De onderhavige door het bestuur van de Stichting Cultuurhuys De Kroon op 16 mei 2018 in zijn vergadering vastgestelde PRIVACYVERKLARING CULTUURHUYS DE KROON (hierna 'De Kroon') omvat de volgende vier onderdelen:
- De uitgangspunten voor gegevensverwerkingen
- Het register van de gegevensverwerkingen
- De wijze waarop met de beelden van het cameratoezicht wordt omgegaan
- De organisatie van de gegevensbescherming.
-> Uitschrijven nieuwsbrief / aanpassen gegevens Ticketmatic.
I. Uitgangspunten gegevensverwerkingen
- Gegevensverwerking vindt alleen plaats:
- indien deze noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van De Kroon (d.w.z. dat de verwerking noodzakelijk moet zijn voor het functioneren van De Kroon in overeenstemming met zijn statuten);
- na een afweging van de gerechtvaardigde belangen van De Kroon met de belangen van degenen van wie gegevens worden verwerkt;
- indien en zolang daartoe uitdrukkelijk toestemming is gegeven door degene van wie gegevens worden verwerkt.
- Bij De Kroon worden alleen gewone persoonsgegevens verwerkt, dus geen bijzondere en strafrechtelijke.
II. Register gegevensverwerkingen
De gegevensverwerkingen dienen voor de communicatie van De Kroon hetzij met de (potentiëele) klanten, hetzij met zijn sociale partners, hetzij met de vrijwilligers waarop De Kroon draait. Het gaat in totaal om de volgende gegevensverwerkingen, die elk voldoen aan de hiervoor vermelde uitgangspunten:
- het kaartsysteem Ticketmatic met gegevens van personen die een of meer kaartjes gekocht hebben voor een voorstelling in De Kroon
- MailChimp met gegevens benodigd voor de verzending van de digitale nieuwsbrief van De Kroon aan personen die zich hiervoor aangemeld hebben
- het overzicht van de sociale en zakelijke partners (de Kroonjuwelen en de Vrienden van De Kroon).
- het overzicht van de vrijwilligers van De Kroon
Ad 1
Het kaartsysteem Ticketmatic is een Cloud oplossing en wordt niet door De Kroon beheerd. Er wordt gebruik gemaakt van de aangeboden service. De Kroon heeft met Ticketmatic een Verwerkersovereenkomst. Zowel aan de balie als via het registreren via het internet worden door de applicatie standaard NAW gegevens gevraagd en het telefoonnummer en/of e-mail adres voor communicatie met de klant bij wijzigingen of het vervallen van evenementen. Een aantal velden die ingevuld dienen te worden is verplicht, maar de klant kan via een link in een e-ticket bij de gegevens en deze waar nodig zelf aanpassen met inachtneming van de door Ticketmatic verplicht gestelde velden. De wijze waarop Ticketmatic met privacy omgaat is op internet te vinden via het adres https://www.ticketmatic.com/nl/privacy-disclaimer/
Aan de balie kan de klant ook anoniem de kaartjes aanschaffen, maar dan is communicatie niet mogelijk bij wijzigingen van evenementen.
De Kroon gebruikt de gegevens alleen voor communicatie rondom de eigen evenementen en geeft de gegevens niet aan derden.
Ad 2
De enige klantinformatie die nodig is voor de nieuwsbrief die via MailChimp verstuurd wordt is het emailadres. Het emailadres kan niet direct aan een persoon worden gekoppeld. Alle e-mail adressen zijn verkregen via een aanvraag van de klant zelf na het invullen van een aanmeldingskaartje of via het internet. In de nieuwsbrief staat onderaan 'Hier kunt u uw voorkeuren wijzigen of uitschrijven uit deze lijst' met daaraan 2 links gekoppeld.
De privacy policy van MailChimp is op internet te vinden via het adres https://mailchimp.com/legal/privacy/
De Kroon gebruikt de gegevens alleen voor communicatie rondom de eigen evenementen en geeft de gegevens niet aan derden.
Ad 3
In het overzicht van de sociale en zakelijke partners worden uitsluitend de volgende gegevens opgenomen: naam bedrijf, contactpersoon (dir. en of eigenaar(s), vestigingsadres, postbusnummer, tel. nummer en e-mailadres.
Deze gegevens worden uitsluitend gebruikt voor:
- de opmaak en realisatie van z.g. partnershipovereenkomsten;
- correspondentie als uitvloeisel van deze samenwerking.
T.b.v. het beheer resp. de uitvoering van de in de genoemde overeenkomsten gebezigde info beschikken uitsluitend de volgende personen over deze gegevens:
- voorzitter Cultuurhuys De Kroon: binnen zijn functie primair verantwoordelijk voor deze activiteiten;
- voorzitter Communicatie: t.b.v. benodigde werkzaamheden als back-up van de voorzitter;
- facilitair manager: t.b.v. de uitvoering van de in de overeenkomsten genoemde tegenprestaties van Cultuurhuys De Kroon.
Bij mutaties zoals einde van de samenwerking worden de genoemde gegevens in hun geheel gewist.
Ad 4
In het overzicht van de vrijwilligers worden van elke vrijwilliger uitsluitend de volgende gegevens opgenomen:
voornaam, achternaam, huisadres, emailadres, telefoonnummer(s), gevolgde cursussen (voorzover voor de werkzaamheden bij De Kroon relevant), de functie binnen De Kroon, de startdatum en (als de vrijwilliger daar geen bezwaar tegen heeft) ook de geboortedatum.
Vrijwilligers die hun gegevens willen wijzigen kunnen dit doorgeven aan de secretaris. Van wie stopt als vrijwilliger worden de gegevens door de secretaris uit het overzicht verwijderd.
Het overzicht wordt gebruikt om bij te houden wie vrijwilliger bij De Kroon zijn en voor de verzending van emails en nieuwsbrieven aan de vrijwilligers, bijvoorbeeld om hen uit te nodigen voor bijeenkomsten. Het complete overzicht ligt uitsluitend bij het secretariaat en is verder (met weglating van startdatum en geboortedatum) alleen voor de dienstdoende vrijwilliger in De Kroon beschikbaar om in voorkomende gevallen te controleren of iemand zich terecht uitgeeft als vrijwilliger. De commissievoorzitters ontvangen als er voldoende mutaties zijn een uittreksel van het overzicht, dat alleen betrekking heeft op de leden van de eigen commissie.
In het Cultuurhuys is overigens ook een lijst aanwezig met uitsluitend voornaam en achternaam van alleen de vrijwilligers die de Instructie Verantwoord Alcoholgebruik hebben gevolgd.
Volledigheidshalve nog aandacht voor Facebook, Mollie en Vigilate.
- Facebook is een openbaar medium dat door De Kroon gebruikt wordt om berichten over het programma, een voorstelling, te plaatsen. De informatie welke door De Kroon geplaatst wordt, is veelal ook terug te vinden op onze website, nieuwsbrief, posters in het Cultuurhuys en in het programmaboekje. Persoonsgegevens worden niet gedeeld via Facebook. Fotomateriaal komt van eigen fotografen, plaatsing met toestemming artiest en fotograaf, of direct van boekingsbureaus. Verder worden vanuit De Kroon berichten gedeeld (geliked) van artiesten of andere (openbare) pagina’s.
- Mollie is het betaalsysteem waarvan in Ticketmatic gebruik wordt gemaakt. Als het gaat om de verwerking van persoonsgegevens werkt Mollie niet in opdracht van De Kroon en De Kroon niet in opdracht van Mollie. De gegevens die Mollie ontvangt worden verwerkt op basis van een eigen verantwoordelijkheid. Mollie is daarom geen verwerker, maar een zelfstandig verwerkingsverantwoordelijke als bedoeld in de Algemene Verordening Gegevensbescherming. Voor de verwerking van persoonsgegevens door Mollie hoeft De Kroon dan ook geen verwerkersovereenkomst met Mollie te sluiten.
- Vigilate is de accountant die door De Kroon wordt ingeschakeld voor het controleren en beoordelen van de Jaarrekening. De wet stelt dat ook Vigilate dan geen verwerker is, maar verwerkingsverantwoordelijke. Een verwerkersovereenkomst met De Kroon is daarom niet aan de orde. Voor het eventuele geval dat Vigilate werkzaamheden voor De Kroon gaat verrichten waarbij Vigilate ook verwerker is, heeft Vigilate De Kroon geïnformeerd over de verwerkersovereenkomst waaraan het zich dan zal houden.
III. De wijze waarop met de beelden van het cameratoezicht wordt omgegaan.
Van een andere orde dan de onder II. vermelde gegevensverwerkingen is de wijze waarop met de uit cameratoezicht verkregen beelden wordt omgegaan.
Het doel van dit cameratoezicht is:
- het vastleggen van eventuele calamiteiten (schending openbare orde, diefstal, fraude) binnen Cultuurhuys De Kroon door personen;
- daarna het herkennen van deze personen op de beelden in overleg met en door de politie.
Er zijn drie camera’s, goed zichtbaar opgehangen. Bij de entree van De Kroon is aangegeven dat er sprake is van cameratoezicht.
Alleen de facilitair beheerder heeft toegang tot de beelden en kan/zal alleen indien nodig (na een calamiteit) deze beelden terugkijken. Hij kan daarbij met het oog op de herkenning anderen (vrijwilligers of vaste gebruikers van De Kroon) inschakelen.
De bewaartijd van de beelden is lastig aan te geven. Er wordt opgenomen zolang er beweging is in het pand. Zodra de harde schijf vol is (2 TB) zullen de alleen lokaal opgenomen en bewaarde beelden overschreven worden door actuele beelden. In drukke tijden zullen de beelden sneller overschreven worden dan bv. in de vakantieperiode(n). Naar verwachting worden op deze wijze de opgeslagen beelden standaard binnen 24 weken gewist. Alleen in het kader van nader onderzoek met en door de politie naar concrete calamiteiten en eventuele vervolgacties kan deze termijn overschreden worden.
IV. De organisatie van de gegevensbescherming.
Door het bestuur van De Kroon is de secretaris belast met de toepassing en naleving van de AVG en met het toezicht op de toepassing en naleving door anderen binnen de Kroon. Bij anderen gaat het om de facilitair beheerder, degene die de financiële administratie uitvoert en de vrijwilligers in de verschillende commissies, indien en voorzover die voor hun werkzaamheden met (de resultaten van) de in dit reglement genoemde gegevensverwerkingen werken.
(Potentiëele) klanten, sociale en zakelijke partners en vrijwilligers van De Kroon wenden zich bij voorkeur via het emailadres voor het uitoefenen van hun privacyrechten (waaronder het inzien, het rectificeren en het aanvullen van over hen verwerkte persoonsgegevens en het bezwaarmaken daartegen) tot de secretaris, die een en ander binnen De Kroon zal (doen) afhandelen en de betrokkene(n) daarover binnen een redelijke termijn zal informeren.
De secretaris informeert het bestuur van De Kroon en zonodig de Autoriteit Persoonsgegevens en de betrokkene(n) over datalekken (verlies of onrechtmatige verwerking van persoonsgegevens) en houdt een register bij waarin de datalekken, het verhelpen daarvan en de gemaakte afwegingen over het informeren van de Autoriteit Persoonsgegevens en de betrokkene(n) worden vastgelegd. Gelet op de geringe omvang van de verwerkingsactiviteiten en het feit dat het uitsluitend om gewone persoonsgegevens gaat zullen naar verwachting de Autoriteit Persoonsgegevens en de betrokkene(n) niet over eventuele datalekken geïnformeerd hoeven te worden.
Om dezelfde redenen kent De Kroon geen aparte functionaris gegevensbescherming.
Waddinxveen, 16 mei 2018 (geactualiseerd tot en met 14 oktober 2018)
Uitschrijven / aanpassen gegevens.
- Nieuwsbrief:
- Onderaan de nieuwsbrief is een link opgenomen waar u zich kunt uitschrijven.
- Zie ook punt II Ad 1
- Ticketmatic:
- Bij het bestellen van kaartjes via de website krijgt u een e-mail met de e-tickets. Daarin is ook een link aanwezig naar uw gegevens die in Ticketmatic opgenomen zijn. Hier kunt u bijvoorbeeld uw adres, huisnummer en postcode leeg maken. Ook uw woonplaats kunt u leegmaken maar graag zien wij uw woonplaats gehandhaafd om een idee van de spreiding in de regio te kunnen zien. Uw e-mail en/of telefoonnummer hebben wij nodig om bij uitvallen of verplaatsen van evenementen u op de hoogte te kunnen stellen. Ook die kunt u wanneer gewenst verwijderen, maar dan kunnen wij u niet op de hoogte brengen van verplaatsing of vervallen van evenementen.
- Zie ook punt II Ad 2