Privacybeleid

Onderstaand privacybeleid is van kracht per 25 mei 2018.

Inleiding

De NKC hecht grote waarde aan de bescherming van de persoonsgegevens van haar leden, partners en andere relaties. Persoonlijke gegevens worden door de NKC dan ook met de grootst mogelijke zorgvuldigheid behandeld en beveiligd. De NKC voldoet aan de eisen die de Algemene Verordening Gegevensbescherming (AVG) stelt.

In dit privacybeleid staat hoe de NKC persoonsgegevens registreert, verwerkt en bewaart. Ook gerelateerde onderwerpen, zoals het raadplegen, muteren, uitwisselen en verstrekken van gegevens aan derden komen aan de orde. Dit privacybeleid omvat alle on- en offline systemen waarin persoonsgegevens voorkomen en is van toepassing op alle bij de NKC aangesloten organisatieonderdelen.

Vereisten verwerking persoonsgegevens voor verenigingen

De AVG kent zes grondslagen voor het verwerken van persoonsgegevens. Om persoonsgegevens te mogen verwerken, moet minimaal één van deze grondslagen van toepassing zijn:

  • De desbetreffende persoon geeft toestemming.
  • Het is nodig om een overeenkomst uit te voeren.
  • Het is nodig voor het nakomen van een wettelijke verplichting.
  • Het is nodig voor het beschermen van een vitaal belang.
  • Het is nodig voor het uitvoeren van een taak van algemeen belang of het openbaar gezag.
  • Het is nodig voor het behartigen van een gerechtvaardigd belangen.

Aanvullende vereisten
De NKC stelt met dit privacybeleid, naast de wettelijke vereisten, ook een aantal aanvullende richtlijnen vast voor het verwerken van persoonsgegevens. Dit beleid bevat aandachtspunten voor leden, gebruikers, beheerders en ontwerpers van systemen om niet alleen nu, maar ook in de toekomst de privacy te waarborgen.

Persoonsgegevens

Persoonsgegevens zijn alle soorten informatie over personen waarmee zij geïdentificeerd kunnen worden. Voorbeelden zijn naam- en adresgegevens, e-mail- en IP-adressen en pasfoto’s. 

Daarnaast onderscheidt de wet bijzondere persoonsgegevens, zoals informatie over gezondheid. Dit is informatie die iemands privacy ernstig kan beïnvloeden. Daarom mag deze informatie alleen onder strenge voorwaarden worden verwerkt.

Systemen

De NKC verwerkt persoonsgegevens in de verschillende systemen. Deze worden gehost op internetservers van de NKC in Europese datacenters.

Ledenadministratie

De administratieve applicatie van de NKC wordt gebruikt door individuele leden van de NKC. Het doel van deze applicatie is leden sneller te voorzien van de juiste informatie en om administratieve taken efficiënter te laten verlopen. De gegevens op één plaats opgeslagen. Met hun persoonlijke MijnNKC-account krijgen leden toegang tot de applicatie en hun eigen persoonsgegevens.

Digitale kanalen NKC

De NKC beheert een aantal websites en apps.

  • nkc.nl
  • campercontact.com
  • app Campercontact 
  • app Kampeerauto

De toegang voor de gebruikers wordt volledig afgehandeld door het centrale SingleSignOn-programma van de NKC; de websites en de apps maken gebruik van dezelfde persoonsgegevens.

Verzekeringsadministratie

De verzekeringsadministratie wordt samen met verzekeringsmakelaar Aon gebruikt en zowel de NKC als Aon zijn verantwoordelijk voor de verwerking van de persoonsgegevens. De persoonsgegevens die worden verwerkt, zijn nodig om de betreffende polissen te kunnen beheren. Niet om verzekeringen mogelijk te maken.

Recht op inzage

Als er persoonsgegevens van iemand worden verwerkt heeft deze persoon het recht te weten welke gegevens dit zijn, waarvoor ze precies worden gebruikt en met wie deze eventueel worden gedeeld. Iemand kan alleen gegevens over zichzelf opvragen, niet over anderen. 

De meeste gegevens die de NKC van personen verwerkt, zijn online in te zien op de persoonlijke MijnNKC-pagina. Daarnaast houdt de NKC nog andere gegevens bij, zoals device-id en IP-adressen. 

Met een schriftelijk verzoek is het mogelijk om inzage te krijgen in de geregistreerde persoonsgegevens en de verwerkingen die plaatsvinden. Dit verzoek kan via email gestuurd worden naar: privacy@nkc.nl. In de onderwerpregel graag ‘recht op inzage’ melden. De NKC reageert binnen de termijn van één maand.

Recht om vergeten te worden

Een betrokkene heeft in sommige gevallen het recht om vergeten te worden, ofwel om zijn persoonlijke gegevens te laten verwijderen uit de administratie van de NKC. De NKC moet een dergelijk verzoek inwilligen in de volgende situaties:

  • De gegevens zijn niet langer noodzakelijk voor het doel waarvoor zij zijn verzameld.
  • De gegeven toestemming wordt ingetrokken en er is geen andere rechtsgrond voor de verwerking.
  • Er wordt bezwaar gemaakt tegen de verwerking.
  • De gegevens zijn onrechtmatig verwerkt.

Een verzoek tot verwijdering van de persoonsgegevens dient schriftelijk te worden gedaan. Dit verzoek kan via email gestuurd worden naar: privacy@nkc.nl. In de onderwerpregel graag ‘recht om vergeten te worden’ melden. De NKC reageert binnen de termijn van één maand. In enkele gevallen kan de NKC het verzoek niet inwilligen, bijvoorbeeld als er een wettelijke verplichting bestaat om de gegevens te bewaren. De betrokkene wordt daarover geïnformeerd. Mogelijk heeft een dergelijke beslissing tot gevolg dat de dienstverlening niet optimaal is of helemaal niet kan worden uitgevoerd.

Geheimhouding

Personen die gemachtigd zijn persoonsgegevens (zowel algemene als bijzondere gegevens) te registreren en te raadplegen, zijn verplicht tot geheimhouding. Daarvan mag alleen worden afgeweken als er een wettelijke of redelijke noodzaak is gegevens aan derden te verstrekken.

Privacy statement

De NKC verwerkt persoonsgegevens en wil daarover zo duidelijk en transparant mogelijk communiceren. In het privacy statement wordt antwoord gegeven op de belangrijkste vragen over de verwerking van persoonsgegevens door de NKC. Het privacystatement is hier te vinden.

Updates privacybeleid

De NKC behoudt zich het recht voor om eenzijdig wijzigingen aan te brengen in dit privacybeleid. Wijzigingen worden altijd gecommuniceerd in de NKC-nieuwsbrief. Ook krijgen gebruikers van de websites en de apps een melding wanneer er wijzigingen zijn. Gebruikers kunnen op dat moment opnieuw toestemming geven voor gebruik van hun gegevens.

Verwerking en autorisatie

Verwerking in de ledenadministratie

In de ledenadministratieapplicatie worden de volgende processen afgehandeld:

  • Ledenadministratie.
  • Financiële administratie inclusief debiteuren- en crediteurenadministratie.
  • Inschrijving en facturering voor deelname aan reizen en evenementen.
  • Verkopen van winkelartikelen in de webshop.

Om deze processen goed te laten verlopen, worden algemene persoonsgegevens vastgelegd, zoals NAW-gegevens, emailadressen, telefoonnummers, geboortedatum en -plaats. Deze persoonsgegevens zijn nodig om de verplichtingen die voortkomen uit het NKC-lidmaatschap te kunnen uitvoeren.

De NKC baseert deze verwerkingen op de volgende grondslagen:

  • Gegevensverwerking is nodig om een overeenkomst uit te voeren. 
    Voor de dienstverlening die voortvloeit uit bijvoorbeeld het lidmaatschap is het noodzakelijk persoonsgegevens te verwerken, evenals voor het aangaan van andere overeenkomsten.
  • De desbetreffende persoon geeft toestemming voor de gegevensverwerking.
    De NKC verwerkt persoonsgegevens op basis van toestemming. Van deelnemers aan NKC Camperreizen of NKC Evenementen worden soms ook bijzondere persoonsgegevens vastgelegd. Het gaat dan alleen om gezondheidsgegevens die mogelijk noodzakelijk zijn om de reis of het evenement te kunnen uitvoeren. De deelnemer dient hiervoor expliciet toestemming te geven.

Het staat leden vrij de toestemming te onthouden of in te trekken. Mogelijk heeft een dergelijke beslissing tot gevolg dat de dienstverlening niet optimaal is of helemaal niet kan worden uitgevoerd.

Registratie van aanvullende gegevens

Voor onderzoeksdoeleinden kunnen er aanvullende gegevens worden opgeslagen. Leden kunnen zich hiervoor zelf online aan- en afmelden en de gegevens wijzigen. Het betreft informatie over de camper die zij bezitten en aan welke onderzoeken zij bereid zijn deel te nemen.

Verstrekking aan derden

Om de dienstverlening van de NKC optimaal uit te voeren, worden derde partijen ingeschakeld. Voor hun activiteiten is het soms noodzakelijk persoonsgegevens te verstrekken. Om de privacy te waarborgen worden met deze partijen overeenkomsten gesloten over het gebruik en de beveiliging van de persoonsgegevens. 
Het gaat om:

  • Verwerkers van de verzending van postzendingen en periodieken, zoals de Kampeerauto.
  • Onderzoekbureaus voor het uitvoeren van onderzoek en enquêtes.
  • Emailservice-providers voor het verzenden van digitale mailings en nieuwsbrieven.
  • Derde partijen in het kader van de uitvoering van reizen of evenementen zoals ferry-maatschappijen en campings.

De NKC verkoopt nooit gegevens aan derden. Data wordt alleen verstrekt voor een functionele werking van de dienstverlening van de NKC.

Autorisatie ledenadministratie

Leden
Leden zijn zelf verantwoordelijk voor de kwaliteit van hun gegevens in de ledenadministratie. Zij dienen wijzigingen in hun persoonsgegevens door te geven, online in MijnNKC of met een emailbericht aan de ledenadministratie van de NKC, die dan de mutaties zal doorvoeren. 
In hun persoonlijke MijnNKC-account kunnen leden hun gegevens inzien en (deels) zelf bewerken.

Medewerkers
Elke medewerker van de NKC kan gegevens van leden van de NKC inzien in de ledenadministratie. Indien functioneel noodzakelijk kan aan medewerkers van de NKC autorisatie worden toegekend die het ook mogelijk maakt om de gegevens van leden te bewerken. Wanneer deze medewerker een andere functie binnen de organisatie krijgt wordt de noodzaak tot autorisatie opnieuw beschouwd. Binnen de applicatie wordt het toekennen van rechten gedaan op het bovenliggende niveau; een gebruiker kan zich zodoende nooit zelf rechten toe-eigenen.
Medewerkers mogen geen persoonsgegevens van deelnemers aan een reis of evenement of van leden van een specifieke groep doorgegeven aan de andere deelnemers of leden van die groep.

Vrijwilligers
NKC-vrijwilligers die een evenement of een reis organiseren, mogen de gegevens van de voor de ledenactiviteit ingeschreven leden gebruiken onder de volgende voorwaarden:

  • In de deelnemersvoorwaarden staat beschreven dat de gegevens uitsluitend gebruikt worden voor het evenement.
  • Er is een opt-in voor het gebruik van bijzondere persoonsgegevens die op het inschrijfformulier worden gevraagd.
  • Deelnemerslijsten in bezit van de vrijwilliger worden binnen vier weken na afloop van het evenement of de reis vernietigd. Dit geldt voor deelnemersgegevens zowel op papier als digitaal.
  • Persoonsgegevens van deelnemers aan een reis of evenement of van leden van een specifieke groep worden nooit doorgegeven aan de andere deelnemers of leden van die groep.

Verwerking in de verzekeringsadministratie

De verzekeringsadministratie wordt ingezet voor de (registratie van) de volgende processen:

  • Het leveren van de gevraagde diensten.
  • Het bemiddelen bij het totstandkomen van verzekeringen.
  • Het afhandelen van schades.
  • Het onderzoeken van schades of klachten in verband met verzekeringspolissen en/of de dienstverlening.
  • Het onderzoeken van de klanttevredenheid.
  • Het onderzoeken van de kredietwaardigheid en het debiteurenbeleid.
  • Het onderzoeken van opgelegde sancties, validatie van gegevens, faciliteren van voorkoming, opsporing en/of onderzoek naar criminaliteit.
  • Het intern rapporteren, analyseren, en verbeteren van producten en diensten
  • Het nakomen van wettelijke verplichtingen.

In de verzekeringsadministratie zijn persoonsgegevens verwerkt die nodig zijn om de diensten uit te voeren die voortvloeien uit de afgenomen verzekeringsproducten. Het gaat om NAW-gegevens, e-mailadressen, geboortedatum, geslacht, nationaliteit, huwelijkse staat, bankrekeningnummers en creditcardgegevens, informatie over krediethistorie en faillissements- of surseancestatus. Daarnaast worden gegevens vastgelegd over rijgedrag, rijbewijs, verzekeringshistorie en schadeverleden.

De NKC en Aon baseren deze verwerkingen op de volgende grondslagen:

  • Gegevensverwerking is nodig om een overeenkomst uit te voeren.
    Voor de dienstverlening die voortvloeit uit het afsluiten van verzekeringen is het noodzakelijk persoonsgegevens te verwerken.
  • Gegevensverwerking is nodig om aan een wettelijke verplichting te voldoen.
    De Wet Financieel Toezicht en De Nederlandse Bank vereisen het registreren van bepaalde persoonsgegevens wanneer verzekeringsproducten worden afgenomen. 
  • Gegevensverwerking is nodig voor het behartigen van een gerechtvaardigd belang.
    Bijvoorbeeld informatie over fraude en kredietwaardigheid speelt mee in de beoordeling van een aanvrager van een verzekering.
  • De desbetreffende persoon geeft toestemming voor gegevensbewerking.
    De NKC en Aon verwerken persoonsgegevens op basis van toestemming. Voor het registreren van profileringskenmerken dient expliciet toestemming te worden gevraagd.

Het staat leden vrij de toestemming te onthouden of in te trekken. Mogelijk heeft een dergelijke beslissing tot gevolg dat de dienstverlening niet optimaal is of helemaal niet kan worden uitgevoerd.

In het kader van onze dienstverlening schakelen wij derde partijen in. Wij kunnen in dat kader gegevens verstrekken aan:

  • verzekeraars en tussenpersonen waar nodig voor het sluiten van verzekeringen en het verlenen van onze diensten.
  • expertisebureaus, juristen, en onderzoeksbureaus voor werkzaamheden in het geval van schade en benodigde rapportages.
  • Opsporingsinstanties waar nodig om fraude en criminaliteit te voorkomen of op te sporen.
  • Overheidsinstanties waar nodig voor Aon om aan haar wettelijke verplichtingen te voldoen. In het kader van motorrijtuigenverzekeringen worden gegevens doorgegeven aan de Rijksdienst voor het Wegverkeer.
  • Medische deskundigen bijvoorbeeld in geval van dienstverlening omtrent ziektekostenverzekeringen en claimafhandeling.
  • Onderzoeksbureaus die worden ingeschakeld in het kader van onderzoek naar kredietwaardigheid, strafrechtelijk verleden, fraude (en het afgeven van verklaringen omtrent gedrag) teneinde fraude in de verzekeringsindustrie op te sporen en te voorkomen.

Verwerking NKC Online

Onder NKC online vallen nkc.nl, campercontact.com en de apps Campercontact en Kampeerauto. Deze systemen maken onderling gebruik van dezelfde persoonsgegevens. Het gaat om namen, geboortedata, emailadressen, lidmaatschapsnummers, postcodes en IP-adressen.

Daarnaast slaat de app Campercontact met toestemming van de gebruiker de device-id en de locatiegegevens van de gebruiker op. De gebruiker heeft altijd de mogelijkheid zijn toestemming weer in te trekken. Dat kan via de app Campercontact.

De NKC baseert deze verwerkingen op de volgende grondslagen

  • Gegevensverwerking is nodig voor het behartigen van een gerechtvaardigd belang.
    Het verzamelen van bepaalde gegevens is nodig om bezoekers van NKC.nl en Campercontact.com relevante informatie op basis van het gebruik van de websites te kunnen aanbieden. Ook dient die registratie statistische doeleinden om het gebruik van de websites te kunnen volgen en te kunnen aanpassen aan de wensen van de bezoekers.
  • De desbetreffende persoon geeft toestemming voor gegevensbewerking.
    De NKC verwerkt persoonsgegevens op basis van toestemming. Voor het registreren van profileringskenmerken dient expliciet toestemming te worden gevraagd.

NKC Online verstrekt geen persoonsgegevens aan derden.

Bewaren van persoonsgegevens

Het systeem voor de ledenadministratie voorziet in ex- en importmogelijkheden, bijvoorbeeld om deelnemerslijsten van reizen of evenementen te maken voor de begeleiders. Hier wordt met grote zorgvuldigheid mee omgegaan.

Kopiëren
Het is verboden geëxporteerde gegevens te vermenigvuldigen. De export is strikt persoonlijk.

Publiceren
De gegevens in de ledenadministratie zijn strikt persoonlijk. Deze mogen niet zonder uitdrukkelijke toestemming van het betreffende lid worden gepubliceerd.

Verwijderen
Geëxporteerde bestanden mogen slechts tijdelijk worden benut en dienen vervolgens te worden vernietigd, zodanig dat deze zowel op papier als digitaal onbruikbaar zijn.

Bewaren
Gegevens in de ledenadministratie worden bewaard zo lang het lidmaatschap van het betreffende lid loopt. Dit omvat zowel de persoonsgegevens als bijvoorbeeld inschrijvingen en bankgegevens.
Ook na afloop van het lidmaatschap worden de gegevens nog bewaard voor de wettelijk verplichte termijn van zeven jaar. Daarna worden de gegevens van het ex-lid verwijderd of geanonimiseerd.

Mailings

De NKC (Campercontact) verzendt met grote regelmaat berichten via de post, e-mail en andere kanalen naar leden, klanten en belangstellenden die zich hebben aangemeld voor bepaalde mailings. Hiervoor houdt de NKC zich aan onderstaande regels.

Opt in / opt out
De NKC kan en mag klanten en leden de voor hun aankoop, lidmaatschap en/of deelname aan activiteiten relevante informatie, ongevraagd toesturen. Voor deze berichten moet een opt-out mogelijkheid actief worden aangeboden.
Systeemberichten, zoals facturen en aanmaningen en berichten die essentieel zijn voor het lidmaatschap en/of aankopen hebben volgens de AVG geen opt-out mogelijkheid.

Bulkmail
Het begrip bulkmail omvat e-mailberichten, postzendingen, SMS- en telemarketingacties die in grote aantallen worden verspreid. Om overlast voor de ontvangers te voorkomen, werkt de NKC met een protocol bulkmail, waarin onder meer regels zijn opgenomen over aantallen en frequentie van bulkmailzendingen.

Uitzonderingen
Berichten met minder dan twintig unieke ontvangers zijn géén bulkmail. Daarnaast zijn systeemberichten en functionele e-mails (berichtgeving die essentieel is voor het lidmaatschap van de NKC) uitgesloten van bulkmail en de opt-outmogelijkheid. Het gaat dan om berichten met bijvoorbeeld toegangsbewijzen of deelnamebevestiging.

Cookies

De NKC maakt op beide websites - nkc.nl en Campercontact.com - gebruik van cookies. Een cookie is een klein bestandje dat met pagina’s van de website wordt meegestuurd naar de computer van een gebruiker. De browser van deze computer slaat de cookie op op de harde schrijf. De daarin opgeslagen informatie kan bij een volgend bezoek weer naar de servers van de NKC worden teruggestuurd.

Permanente cookies
Met behulp van een permanente cookie registreert nkc.nl en campercontact.com dat een bezoeker terugkomt. De websites kunnen zo beter worden ingesteld op de voorkeuren van deze bezoeker. Wanneer een bezoeker toestemming heeft gegeven voor het plaatsen van cookies kunnen de websites dit door middel van een cookie onthouden. Hierdoor hoeft de bezoeker niet steeds zijn voorkeuren te herhalen, wat tijdsbesparing en gebruiksgemak van de website oplevert. Permanente cookies kan de bezoeker verwijderen via de instellingen van zijn browser.

Sessie cookies
Met behulp van een sessie cookie registreert de NKC welke onderdelen van de website de bezoeker tijdens een specifiek bezoek heeft bekeken. Met deze informatie kan de NKC de diensten zoveel mogelijk aanpassen aan het surfgedrag van de bezoekers. Deze cookies worden automatisch verwijderd wanneer iemand zijn webbrowser afsluit.

Tracking cookies van de NKC
Enkel met toestemming plaatst de NKC een cookie op de apparatuur van bezoekers. Deze kunnen worden opgevraagd zodra de bezoeker een website uit het netwerk van de NKC bezoekt. Zo weet de NKC dat die bezoeker ook op de betreffende andere website(s) uit het netwerk van de NKC is geweest. Met die informatie wordt een profiel opgebouwd dat niet is gekoppeld aan een persoon met een naam, adres, e-mailadres en dergelijke. Dat profiel wordt gebruikt om persoonlijk relevante boodschappen af te stemmen op de bezoeker. Tracking cookies kan de bezoeker verwijderen via de instellingen van zijn browser.

Tracking cookies van adverteerders
Enkel met toestemming plaatsen adverteerders tracking cookies op de apparatuur van bezoekers van nkc.nl en campercontact.com. Deze cookies gebruiken zij om bij te houden welke pagina’s uit hun netwerk de bezoeker bekijkt, om zo een profiel op te bouwen van het online surfgedrag van die bezoeker. Dit profiel wordt mede opgebouwd op basis van vergelijkbare informatie die zij van het bezoek aan andere websites uit hun netwerk krijgen. Dit profiel wordt niet gekoppeld aan een persoon met een naam, adres, e-mailadres en dergelijke zoals bij de NKC bekend. Dat profiel wordt gebruikt om advertenties af te stemmen op de bezoeker.
Deze cookies zijn centraal te verwijderen via Your Online Choices zodat ze niet bij een website van een derde teruggeplaatst worden.

Google Analytics
Via de NKC-websites wordt een cookie geplaatst van Google, als deel van de Analytics-dienst. De NKC gebruikt deze dienst om bij te houden en rapportages te krijgen over hoe bezoekers de websites gebruiken met als doel het gebruiksgemak te verbeteren.
Google kan deze informatie aan derden verschaffen indien Google hiertoe wettelijk wordt verplicht, of voor zover derden de informatie namens Google verwerken. De NKC heeft hier geen invloed op. De NKC heeft als gebruiker Google toegestaan de verkregen analytics-informatie te gebruiken voor andere Googlediensten.
De informatie die Google verzamelt wordt zo veel mogelijk geanonimiseerd. Zo worden IP-adressen niet meegegeven. De informatie wordt overgebracht naar en door Google opgeslagen op servers in de Verenigde Staten. Google stelt zich te houden aan de Privacy Shield principles en is aangesloten bij het Privacy Shield-programma van het Amerikaanse Ministerie van Handel. Dit houdt in dat er sprake is van een passend beschermingsniveau voor de verwerking van eventuele persoonsgegevens.

Sociale netwerken
Op de NKC-websites staan buttons om webpagina’s te kunnen promoten of delen op sociale netwerken als Facebook en Twitter. Deze buttons werken door middel van stukjes code die van Facebook respectievelijk Twitter zelf afkomstig zijn. Alleen wanneer op zo’n button wordt geklikt, worden cookies op de computer van de bezoeker geplaatst. 

In de privacyverklaringen van Facebook en Twitter staat wat zij met (persoons)gegevens doen die zij via deze cookies verwerken.
De informatie die ze verzamelen wordt zo veel mogelijk geanonimiseerd. De informatie wordt overgebracht naar en door Twitter, Facebook, Google + en LinkedIn en opgeslagen op servers in de Verenigde Staten. LinkedIn, Twitter, Facebook en Google + stellen zich te houden aan de Privacy Shield principes en zijn aangesloten bij het Privacy Shield-programma van het Amerikaanse Ministerie van Handel. Dit houdt in dat er sprake is van een passend beschermingsniveau voor de verwerking van eventuele persoonsgegevens.

Meer informatie over Cookies
Op de volgende websites kan je meer informatie over cookies vinden:
Consumentenbond: “Wat zijn cookies?
Your Online Choices: “A guide to online behavioural advertising”

Datalekken

Uiteraard doet NKC er alles aan om de in dit document genoemde persoonsgegevens niet in handen van derden die geen recht hebben op deze gegevens te laten vallen. Gebeurt dit wel, dan spreken we over een datalek.

In artikel 34 van de Algemene Verordering Gegevensbescherming is geregeld dat als er een datalek plaatsvindt, dit gemeld moet worden. Er wordt hier gesproken over het lekken van persoonsgegevens als gevolg van beveiligingsproblemen. Deze datalekken moeten onverwijld worden gemeld aan de toezichthouder, de Autoriteit Persoonsgegevens (AP).

Wat is een datalek?
Er wordt gesproken over een datalek wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten. Onder onrechtmatige verwerking wordt verstaan het aanpassen en/of veranderen van persoonsgegevens en een onbevoegde toegang tot deze gegevens. Een datalek omvat veel meer dan alleen een hacker of malware die toegang krijgt tot persoonsgegevens. 

Voorbeelden van een datalek zijn:

  • Een ransomware (cryptolocker) die data versleutelt.
  • Het verliezen van een USB-stick.
  • Het sturen van een mailing met adressen in het CC-veld.
  • Een lijst met persoonsgegevens die naar een verkeerd adres is gestuurd.

Datalek melden
Een datalek kan op verschillende manieren herkend worden. Over het algemeen zal het een melding zijn dat er een manier is om buiten de beveiliging om data op te vragen die niet publiek beschikbaar zou mogen zijn. Dit houdt echter nog niet in dat deze kwetsbaarheid gebruikt is door derden. Doordat er een uitgebreide logging plaatsvindt, kan er hierna gekeken worden of er daadwerkelijk een datalek heeft plaatsgevonden.

Procedure datalekken communiceren

Bij constatering van een datalek of een vermoeden van een datalek moet dit direct worden gemeld aan de verantwoordelijke binnen de NKC.

Aan de toezichthouder
Zodra er een datalek is geconstateerd, moet dit binnen 72 uur gemeld worden bij de toezichthouder. De melding hieraan bevat tenminste:

  • De aard van de inbreuk
  • De instanties waar meer informatie over de inbreuk kan worden verkregen
  • De aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken
  • Een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van de persoonsgegevens
  • De maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen

Aan het lid
Nadat er een datalek heeft plaatsgevonden en het waarschijnlijk is dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van het betrokken lid, dient dit lid een melding te ontvangen. In deze melding zal tenminste de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken bevatten.

Klachten

Wie klachten heeft over de verwerking van zijn persoonsgegevens door NKC, kan daarover contact opnemen. Dit kan door een email te richten aan contactpersoon Hans Inkenhaag, manager Bedrijfsvoering en financiën via privacy@nkc.nl. De NKC zoekt dan samen met de betrokkene naar een oplossing. Lukt dat niet naar tevredenheid, dan is er nog de mogelijkheid een klacht in te dienen bij de privacy toezichthouder, de Autoriteit Persoonsgegevens.