Privacyverklaring

Privacyverklaring Scouting Nederland

1. Inleiding

Scouting Nederland en de Matthijs Heldt Groep hechten grote waarde aan de bescherming van de persoonsgegevens van haar leden, partners en andere relaties. Persoonlijke gegevens worden door Scouting Nederland dan ook met de grootst mogelijke zorgvuldigheid behandeld en beveiligd. Scouting Nederland houdt zich dan ook in alle gevallen aan de eisen die de Algemene verordening gegevensbescherming (AVG) stelt.

In dit privacy beleid (‘Beleid’) staat beschreven hoe Scouting Nederland persoonsgegevens en gegevensbestanden registreert, verwerkt en bewaart. Ook gerelateerde onderwerpen, zoals het inzien, wijzigen, uitwisselen en versturen van gegevens staat in dit Beleid beschreven. Het Beleid omvat alle on- en offlinesystemen waarin persoonsgegevens voorkomen en is van toepassing op alle bij Scouting Nederland aangesloten organisatieonderdelen alsmede het Scouting Nederland Fonds.

De Matthijs Heldt Groep heeft ervoor gekozen om haar eigen systeem te bouwen voor zaken die Scouting Nederland niet bied. De Matthijs Heldt Groep hanteerd een eigen ledenadministratie en inlogomgeving die ervoor zorgt dat leden direct toegang hebben tot lesmateriaal, programma’s en wijzigingen kunnen maken aan hun ledenadministratie. Dit systeem is volledig in beheer van de Matthijs Heldt Groep en wordt onderhouden door het Team Administratie, bestaande uit Devyn de Vos, Niels Cabaret, Sijmen Lokers en Simon Klaren. Voor vragen en of opmerkingen is het team altijd te bereiken via administratie@waterscoutingmhg.nl. De Matthijs Heldt Groep hanteert dezelfde hoge eisen en standaarden als Scouting Nederland aan haar webaplicaties en houd zich aan alle verdere regels en/of standaarden die Scouting Nederland voor Scouts Online heeft opgesteld.

Bij de inschrijvingen en via het portaal kunnen leden hun AVG voorkeuren aangeven met betrekking tot foto’s en video’s. Beeldmateriaal dat intern gebruikt wordt heeft geen AVG toestemming nodig. 

1.1 Vereisten verwerking persoonsgegevens voor verenigingen
De AVG stelt eisen aan organisaties die gegevensbestanden beheren, zoals een ledenadministratie. Deze eisen zijn;
• toestemming van het lid voor het verwerken van de gegevens;
• juist en nauwkeurig bijhouden van de lidgegevens;
• beveiligen van de lidgegevens;
• op verzoek inzage verlenen in de eigen opgeslagen lidgegevens;
• uitsluitend gebruik van de lidgegevens voor het doel waarvoor ze verzameld zijn.
Scouting Nederland mag volgens de AVG wel persoonsgegevens verwerken, zelfs bijzondere persoonsgegevens. Dit is te vinden in artikel 9.2.d AVG en artikel 22.c UAVG: verwerkingen door verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties.

1.2 Aanvullende vereisten
Scouting Nederland stelt met dit Beleid, naast de wettelijke vereisten, ook een aantal aanvullende richtlijnen vast voor het verwerken van persoonsgegevens. Het Beleid bevat aandachtspunten voor leden, gebruikers, beheerders en ontwerpers van systemen om niet alleen nu maar ook in de toekomst de privacy te waarborgen.

1.3 Systemen
Scouting Nederland verwerkt persoonsgegevens in de volgende systemen. De eigen systemen worden gehost op met het internet verbonden servers van Scouting Nederland, uitsluitend in Nederlandse datacenters.

Dit Beleid heeft betrekking op de volgende systemen.

1.3.1 Scouts Online (SOL)
Scouts Online (ook wel SOL) is de administratieve applicatie van Scouting Nederland en wordt gebruikt door individuele leden in alle lagen van de organisatie. Het doel van Scouts Online is leden sneller te voorzien van de juiste informatie en om administratieve taken efficiënter te laten verlopen door de gegevens op één plaats op te slaan en voor de juiste personen beschikbaar te stellen. Met het persoonlijke Mijn Scouting-account krijgen leden toegang tot Scouts Online en andere online applicaties en websites (bijvoorbeeld groeps- of regiowebsite), mits zij hier zelf toestemming voor hebben gegeven.

1.3.2 Scouting.nl
De corporate website www.scouting.nl is het informatie- en nieuwsportaal van de vereniging. De informatie is openbaar toegankelijk. Via webformulieren worden persoonsgegevens verwerkt en opgeslagen. Op de speciale privacypagina wordt toegelicht hoe statistische informatie en cookies worden verwerkt.
Privacy beleid Vereniging Scouting Nederland (juni 2021) 5

1.3.3 OTRS
Het klantvraag-volg-systeem OTRS is een losse applicatie waarin klantvragen (per mail en telefoon) van leden en niet-leden als ‘ticket’ worden geregistreerd en afgehandeld door vrijwilligers en beroepskrachten van de teams waaraan vragen worden gesteld.

1.3.4 Scouting.nl emailadressen voor landelijk vrijwilligers en Mailadmin
Landelijke vrijwilligers hebben in Scouts Online de mogelijkheid een persoonlijk e-mailadres te registreren dat eindigt op @scouting.nl. De mail wordt door middel van een separate applicatie afgehandeld en doorgestuurd naar het ingestelde adres, tenzij een e-mailbox is ingesteld als onderdeel van MS365, zie 1.3.14). Via de Mailadmin applicatie worden voor landelijke teams en projecten e-mailaliassen aangemaakt en geregistreerd. Deze kunnen desgewenst worden doorgeleid naar OTRS of MS365. Online samenwerking en e-mailboxen zijn onderdeel van Microsoft 365, zie 1.3.14.

1.3.5 Beeldbank
Via het externe platform Flickr is een online beeldbank met rechtenvrij te gebruiken foto’s te raadplegen. Deze foto’s zijn gemaakt in opdracht van Scouting Nederland. Daarnaast beschikt Scouting Nederland over een uitgebreid digitaal beeldarchief waarin ook foto-, video- en diamateriaal vanuit de Scoutinghistorie is gearchiveerd.

1.3.6 Scoutingportal voor magazine
Het externe platform ‘Scoutingportal’ biedt Scoutingorganisaties de mogelijkheid eigen pagina’s voor het Scouting Magazine te bewerken en beheren. Op basis van de registratie in Scouts Online is een account voor iedere Scoutingorganisatie beschikbaar via de betreffende voorzitter en secretaris. Organisaties kunnen meerdere redactieleden toevoegen via het platform.

1.3.7 ScoutingApp
Het externe platform ‘ScoutingApp’ biedt Scoutingorganisaties de mogelijkheid een eigen app-in-app te realiseren. De ScoutingApp is vervolgens beschikbaar voor iOS en Android systemen. Op basis van de registratie in Scouts Online is een account voor iedere Scoutingorganisatie beschikbaar via de betreffende voorzitter en secretaris. Organisaties kunnen meerdere redactieleden toevoegen via het platform.

1.3.8 Registratie juridische zaken
De afdeling juridische zaken van het landelijk servicecentrum in Leusden archiveert data omtrent informatieverzoeken en zaak-meldingen in dossiers. Tevens worden contracten en overeenkomsten in de breedste zin van het woord gearchiveerd.

1.3.9 Onderzoek en evaluatie (Questback)
Voor onderzoeksdoeleinden en evaluatie van projecten en activiteiten maakt Scouting Nederland gebruik van Questback. Ruwe onderzoeksdata, zoals de antwoorden van respondenten op enquêtes, wordt in Questback opgeslagen. Evaluatierapporten worden gearchiveerd in het interne onderzoeksarchief van Scouting Nederland. Deelnemers aan onderzoeken hebben de mogelijkheid dit geanonimiseerd te doen en zich door middel van OPT-Out af te melden voor onderzoek in de toekomst.

1.3.10 Landelijke evenementen
Landelijke evenementen maken gebruik van diverse applicaties ter ondersteuning van het administratieve proces van de activiteit. In het voortraject verloopt de inschrijving van deelnemers en vrijwilligers via Scouts Online. Gedurende de uitvoerfase van een activiteit hebben het organisatieteam en veiligheidsteams (zoals EHBO) de mogelijkheid deelnemersgegevens te raadplegen en incidenten dan wel hulpverzoeken te registreren. Registratie van incidenten is een plicht vanuit de evenementenvergunning. De registraties worden in een dossier gearchiveerd door de
Privacy beleid Vereniging Scouting Nederland (juni 2021) 6
afdeling juridische zaken van Scouting Nederland. Registraties die gedeeld worden met de vergunningverlener zijn geanonimiseerd en omvatten geen op de persoon herleidbare data.

1.3.11 Financiën en personeelszaken
De financiële administratie van Scouting Nederland verwerkt persoonsgegevens in de debiteuren- en crediteurenadministratie van de vereniging in Exact Globe. Fiattering van inkomende facturen en declaraties vindt plaats via Elvy waartoe tekenbevoegde beroepskrachten en vrijwilligers toegang hebben. Voor contributiezaken is er een koppeling met Scouts Online. De financiële administratie werkt voor de salarisadministratie samen met de afdeling personeelszaken in administratieprogramma SDB. Ook de digitalisering van de personeelsdossiers is opgenomen in SDB.

1.3.12 ScoutShop
De ScoutShop is de winkel van Scouting Nederland. Klanten in de webshop worden, al dan niet gekoppeld aan een account, geregistreerd. Voor de verwerking van bestellingen worden persoonsgegevens verwerkt. Omdat de ScoutShop een commerciële organisatie betreft, is het raadplegen en gebruiken van ledengegevens beperkt en aan strenge regelgeving gebonden, zoals omschreven in dit Beleid.

1.3.13 Spotler
Scouting Nederland werkt met het e-mailmarketingsystseem Spotler voor het (geautomatiseerd) versturen van e-mails. Om de juiste doelgroepen te mailen zijn in het systeem naast een e-mailadres beperkt aanvullende persoonsgegevens geregistreerd op basis van de data uit Scouts Online.

1.3.14 Microsoft 365
Scouting Nederland faciliteert landelijk vrijwilligers en hun teams met het Microsoft 365 platform voor online samenwerking. Dit omvat onder meer e-mailboxen voor medewerkers en vrijwilligers en communicatie via Teams (chat, vergaderen, agenda).

1.3.15 Mollie
Scouting Nederland werkt voor de ScoutShop en het Scouting Nederland Fonds met betalingsprovider Mollie om transacties te verwerken.

1.3.16 Steunscouting.nl
Steunscouting.nl is een extern online donatieplatform waar Scoutingorganisaties een eigen account en profiel aan kunnen maken. Donaties worden verwerkt via betalingsprovider (PSP) Mollie en via Scouting Nederland uitbetaald aan de deelnemende groepen.

1.3.17 ArcGIS
ArcGIS is een extern platform waar Scouting Nederland statistische data verwerkt in een geografisch informatiesysteem met als doel (geografische) managementdata ter beschikking te stellen aan de verschillende organisatieonderdelen van Scouting Nederland. Via de zogenaamde ‘groeps-GPS’ wordt geografische data geanonimiseerd en onherleidbaar publiek ter beschikking gesteld.

1.3.18 Registratielijst
Scouting Nederland kent een zwarte lijst. Wanneer het gedrag van een persoon die bij Scouting betrokken is (geweest) zodanig is, dat dit tot aanzienlijk risico voor Scouting of haar leden leidt, kan Scouting Nederland besluiten die persoon uit te sluiten van lidmaatschap in de toekomst. Om dit te waarborgen wordt dit vastgelegd in een lijst, de registratielijst. De registratielijst is in beheer van de afdeling juridische zaken van Scouting Nederland, zie ook hoofdstuk 9.
Privacy beleid Vereniging Scouting Nederland (juni 2021) 7

1.4 Privacy statement

Scouting Nederland verwerkt persoonsgegevens en wil daarover duidelijk en transparant communiceren. In het privacy statement wordt antwoord gegeven op de belangrijkste vragen over de verwerking van persoonsgegevens door Scouting Nederland en de aangesloten Scoutinggroepen. De laatste versie van het privacy statement is te vinden op de website (www.scouting.nl/privacy).

1.5 Updates privacy beleid
Scouting Nederland behoudt zich het recht voor om wijzigingen aan te brengen in dit privacy beleid. Waar mogelijk informeren we betrokken personen over een wijziging. Daarnaast raadt Scouting Nederland aan dit privacy beleid periodiek te raadplegen, zodat je van de wijzigingen op de hoogte bent. Je kunt dit Beleid zelf opslaan of raadplegen via www.scouting.nl/privacy.

1.6 Functionaris Gegevensbescherming
Scouting Nederland beschikt over een Functionaris Gegevensbescherming (FG). De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. De FG is bereikbaar via het e-mailadres privacy@scouting.nl of via de contactgegevens als vermeld op www.scouting.nl/privacy.

2 Registratie en zichtbaarheid persoonsgegevens

2.1 Register van de verwerkingsactiviteiten
Scouting Nederland registreert de verwerkingen van persoonsgegevens door de verschillende organisatieonderdelen en systemen in een ‘register van verwerkingsactiviteiten’, ook wel verwerkingsregister of artikel 30 registratie.

2.2 Scouts Online
Scouts Online is als administratieve applicatie de primaire bron van verwerking van persoonsgegevens. In bijlage 1 is hiertoe gegevensmatrix opgenomen. Ieder record in de administratie voorzien wordt van een uniek kenmerk, het lidnummer en omvat een standaard set persoonsgegevens die door Scouting Nederland worden gezien als de basisgegevens. De basisgegevens zijn in zijn geheel door zowel het lid als de gegevensbeheerder van het organisatieonderdeel te ‘verbergen’. In dat geval zijn deze niet inzichtelijk voor anderen binnen de organisatie, met uitzondering van de functionarissen die hier gezien hun functie recht op hebben.

2.2.1 Registratie van aanvullende lidgegevens
Een organisatieonderdeel, zoals een Scoutinggroep, kan zelf velden voor aanvullende lidgegevens definiëren en deze gegevens registreren. Dit kan handig zijn, als er meer gegevens dan de onder 2.1 genoemde basisgegevens gewenst zijn vast te leggen. Denk hierbij aan het invullen van een beroep van een ouder/verzorger bij een jeugdlid om zo inzichtelijk te krijgen welke ouders benaderbaar zijn voor klussen aan het clubgebouw. Om deze gegevens te mogen registreren dient het organisatieonderdeel toestemming te hebben van de betreffende persoon. De betreffende velden worden opgenomen in het Privacybeleid van het organisatieonderdeel. Aanvullende lidgegevens worden zes maanden na uitschrijven van een lid, automatisch volledig verwijderd.

2.2.2 Registratie van bijzondere gegevens
Bijzondere gegevens mogen alleen geregistreerd worden als hiervoor een noodzaak bestaat. Binnen Scouting mogen volgens de wet alléén gegevens omtrent de gezondheid van een lid worden verzameld om op die manier een goede verzorging en behandeling te kunnen waarborgen. Alle andere gegevens zijn uitdrukkelijk niet toegestaan te registreren, tenzij hiervoor een duidelijke aanleiding is én het lid expliciete toestemming heeft gegeven.
Sommige gegevens zijn extra gevoelig. Denk hierbij aan bijvoorbeeld gegevens over iemands gezondheid of godsdienst. Deze gegevens vormen een extra risico voor de privacy van de leden, aangezien aan de hand van deze gegevens ongewenste koppelingen gemaakt kunnen worden. Toch kan er – bijvoorbeeld bij kampen – de noodzaak bestaan om deze gegevens, al dan niet hard-copy, paraat te hebben.
Onder bijzondere gegevens vallen:
• Godsdienst of levensovertuiging
• Ras
• Politieke gezindheid
• Seksualiteit
• Lidmaatschap van een vakvereniging
Het Burger Service Nummer (BSN) is geen bijzonder gegeven maar een wettelijk identificatienummer waarvoor een wettelijke basis nodig is om deze te registreren. Deze wettelijke basis is er voor Scouting niet. Een BSN mag binnen Scouting dus niet worden geregistreerd.

2.2.3 Registratie van medische gegevens
Voor activiteiten als kampen kan het noodzakelijk zijn dat een deelnemer medische gegevens verstrekt aan de organisator (de speltak, groep, regio of landelijk team). Deze medische gegevens
Privacy beleid Vereniging Scouting Nederland (juni 2021) 9
mogen niet langer geregistreerd worden dan waarvoor de gegevens zijn verstrekt. De onder 2.2.2. genoemde bijzondere gegevens mogen niet als medisch gegeven worden geregistreerd.

2.2.4 Geheimhouding
Personen of organisaties die toestemming hebben persoonsgegevens te registreren en raadplegen (zowel basisgegevens als bijzondere gegevens), zijn verplicht tot geheimhouding tenzij er een wettelijke of redelijke noodzaak bestaat gegevens te verstrekken.

2.2.5 Vervaltermijn
Bijzondere gegevens mogen alleen voor een vooraf bepaalde en kenbaar gemaakte periode worden geregistreerd en moeten na deze periode worden verwijderd. Bijvoorbeeld een gezondheidsformulier voor een zomerkamp, dat na het kamp vernietigd moet worden.

2.2.6 Controle
De systemen worden continu automatisch gescand op het opslaan van bijzondere gegevens waarvoor géén toestemming is van een persoon dan wel een wettelijke basis. Zo worden bijvoorbeeld Burger Service Nummers direct en automatisch verwijderd zodra deze worden geregistreerd in één van de systemen.

2.3 Systeem- en gegevensbeheer
De gegevens en applicaties die Scouting Nederland in eigen beheer gebruikt, worden actief onderhouden. Landelijk team Internet beheert namens Scouting Nederland diverse systemen, zowel hardware- als softwarematig. Doordat de leden van Landelijk team Internet toegang hebben tot deze systemen en services, hebben ze direct of indirect ook toegang tot de gegevens van leden.
Aan externe platforms worden dezelfde eisen gesteld en dit wordt voor gebruik technisch getoetst door de specialisten van Landelijk team Internet. Zowel voor (nieuwe) interne als externe systemen geldt dat door de Functionaris Gegevensbescherming getoetst wordt of aan de vereisten van de AVG wordt voldaan. Indien daar aanleiding toe is wordt een Data protection impact assessment (DPIA) uitgevoerd.
Alleen personen die qua functie daadwerkelijk toegang tot deze systemen moeten hebben, krijgen toegang tot deze systemen en services. Zij zijn conform het huishoudelijk reglement verplicht tot het overleggen van een Verklaring Omtrent Gedrag (VOG) en het ondertekenen van een integriteits- en geheimhoudingsverklaring. Deze verplichting waarborgt juridisch de privacy van leden. Op technisch vlak worden logboeken bijgehouden voor de systemen waarin gegevens worden opgeslagen, waarin te zien is wanneer en door wie welke gegevens zijn geraadpleegd.

2.4 Autorisatie
Het toekennen van permissies binnen de ontwikkelde applicaties is opgenomen in het autorisatiemodel. Over het algemeen zijn de autorisaties gekoppeld aan de functie die een persoon vervult binnen Scouting Nederland, zoals geregistreerd binnen Scouts Online. Bij verandering van een functie worden ook de autorisaties meegenomen. Binnen de applicaties is het gebruikelijk dat het toekennen van rechten gebeurt op een bovenliggend niveau. De gebruiker kan dus niet zelf rechten toekennen voor zijn eigen autorisatieniveau (toe-eigenen van rechten).

3. Verstrekken, uitwisselen en gebruik van persoonsgegevens

Het verstrekken, uitwisselen en gebruik van persoonsgegevens voor verwerkingen binnen de organisatie is gebonden aan de wetgeving. Scouting Nederland heeft hiertoe beleidsafspraken gemaakt waarmee voor ieder niveau binnen de organisatie duidelijk is onder welke voorwaarden verwerking plaats mag vinden.

3.1 Wie verwerkt?
1. Het lid (of de wettelijk vertegenwoordiger) zelf
Met een persoonlijk Mijn Scouting-account kan een lid zelf gegevens raadplegen en muteren.
2. (Team)leider(s)
Een leidinggevende kan de gegevens van de eigen speleenheid raadplegen. Een teamleider kan een nieuw lid aanmelden, kwalificaties uit zijn organisatie aan leden toekennen en ploeggegevens inschrijven en muteren.
3. Penningmeester
De penningmeester beheert de contributie- en debiteurenadministraties (per organisatieniveau) en kan zodoende gegevens raadplegen en financiële gegevens muteren.
4. Gegevensbeheerders (secretaris) op elk niveau
De gegevensbeheerder mag mutaties uitvoeren voor alle leden in zijn eigen speleenheid of in de eigen groep. Regionale gegevensbeheerders kunnen gegevens muteren van de eigen organisatie en gegevens raadplegen van onderliggende organisatieonderdelen. Van onderliggende organisatieonderdelen kunnen regio’s geen mutaties doorvoeren. Landelijk gegevensbeheerders kunnen gegevens raadplegen en mutaties doorvoeren voor (leden van) alle aangesloten organisaties.
5. Teamleden
Leden uit dezelfde ‘speleenheid’ (bijvoorbeeld een speltak, projectteam of bestuur) kunnen elkaars NAW-gegevens raadplegen, tenzij het lid de gegevens als ‘geheim’ heeft aangemerkt.
6. Exclusieve rechten
In uitzonderlijke gevallen kunnen exclusieve rechten worden toegekend om gegevens in te zien (raadplegen). Deze afspraken worden voor bepaalde tijd gemaakt en vastgelegd door Landelijk team Juridische Zaken en gecontroleerd door de FG.

3.2 Voorwaarden voor verwerking van persoonsgegevens
Het gebruik van gegevens moet aan de volgende voorwaarden voldoen:
1. Er moet een duidelijk doel zijn waarvoor de gegevens gebruikt gaan worden, waarbij duidelijk wordt wie voor welke periode toegang heeft tot welke gegevens;
2. Er mogen alleen relevante gegevens gebruikt worden. Met andere woorden, er mogen geen onnodige of bovenmatige gegevens verzameld of gebruikt worden;
3. Er wordt een permissiemodel opgesteld waarin vastligt welke personen toegang krijgen tot welke gegevens. Tevens dient er een gedegen beveiliging te worden aangebracht op het gebruik van de gegevens;
4. De gegevens mogen niet aan derden worden verstrekt tenzij daar expliciet toestemming voor gegeven is door het lid of daartoe een wettelijke verplichting bestaat;
5. De gegevens mogen alleen voor een vastgestelde periode worden gebruikt en dienen daarna verwijderd te worden. Tussentijds moeten gegevens op het verzoek van het lid verwijderd kunnen worden. Langer gebruik dan de vooraf vastgestelde periode (bijvoorbeeld voor de duur van een evenement) kan alleen met expliciete toestemming van het lid;
Privacy beleid Vereniging Scouting Nederland (juni 2021) 11
6. Bijzondere gegevens, waaronder godsdienst, gezondheid of strafrechtelijke gegevens, mogen alleen verzameld worden indien daartoe een strikte noodzaak bestaat en met uitdrukkelijke toestemming van het lid. Deze gegevens dienen volledig te worden verwijderd na afloop van de gestelde periode.

3.3 Verstrekken van persoonsgegevens
Voor het verwerken van persoonsgegevens en / of het verstrekken van persoonsgegevens door landelijke, bovenregionale of regionale teams zijn de volgende aanvullende voorwaarden van toepassing. Onder landelijke teams worden ook landelijke projecten en evenementen geschaard.
1. Het verstrekken van persoonsgegevens van leden van Scouting Nederland door de landelijke organisatie, het steunpunt of de regio aan een team is niet toegestaan. De uitzondering hiervoor geldt voor verstrekking bij deelname aan een project, als vermeld onder paragraaf 3.4.
2. Landelijke teams en bovenregionale teams kunnen gebruik maken van de bestaande communicatie uitingen via Landelijk team Communicatie om hun (potentiële) doelgroepen te bereiken.
a. (Boven)regionale teams kunnen daarnaast gebruik maken van de algemene secretariaatsadressen (als publiek bekend bij de KvK) van een onderliggende organisatie. De onderliggende organisatie kan vervolgens haar leden informeren.

3.4 Gebruik van persoonsgegevens bij deelname
Een uitzondering voor het gebruik van persoonsgegevens geldt voor gegevens van leden van het landelijk, bovenregionaal, regionaal, of lokaal team en / of ingeschreven deelnemers of vrijwilligers van een project van deze teams. Dit kan mits:
b. In de deelnemers- of medewerkersvoorwaarden staat beschreven dat de gegevens uitsluitend gebruikt worden voor het betreffende project;
c. Er een ondubbelzinnige OPT-IN is voor het gebruik van telefoonnummer en e-mailadres op het inschrijfformulier;
d. Het post- of e-mailadres mag een uitzondering zijn voor het verstrekken van essentiële informatie (zoals een ticket);
e. Er is altijd een OPT-OUT mogelijkheid.
3. De gegevens mogen alleen gebruikt worden voor het project waarvoor is aangemeld. Het is niet toegestaan de gegevens te gebruiken voor een opeenvolgend project (zoals de volgende editie van een evenement), tenzij een persoon hiertoe een aparte OPT-IN heeft gedaan. Ook hier is een OPT-OUT altijd verplicht.

3.5 Gebruik van gegevens op groepsniveau
Lokale groepen kunnen voor communicatie naar hun eigen leden, gebruik maken van de eigen communicatiemiddelen en de gegevens van hun leden. Let wel, een OPT-OUT mogelijkheid is altijd verplicht. Het verstrekken van gegevens kan alleen op basis van de permissiestructuur in Scouts Online. Dat wil zeggen dat een leidinggevende van een speleenheid alleen kan beschikken over de gegevens van de leden uit de eigen speleenheid.

3.6 Externe partijen
3.6.1 Verstrekken van persoonsgegevens aan externe partijen
Het verstrekken van persoonsgegevens van leden van Scouting Nederland aan een niet bij Scouting Nederland aangesloten of door Scouting Nederland gecontracteerde organisatie is in geen enkel geval toegestaan. Landelijk team Communicatie biedt organisaties onder voorwaarden de mogelijkheid om via de bestaande communicatie uitingen van Scouting Nederland leden te bereiken.
Indien bij onderliggend organisatieonderdeel, zoals een groep, regio of steunpunt, door een externe partij het verzoek wordt gedaan om informatie te delen met leden, kan het organisatieonderdeel dit verzoek in overweging nemen. Via bestaande communicatie uitingen van het organisatieonderdeel kan dit tot uitvoer worden gebracht. Het verstrekken van gegevens door het organisatieonderdeel aan
Privacy beleid Vereniging Scouting Nederland (juni 2021) 12
de externe partij is daarbij nooit toegestaan. Bij twijfel kan advies worden ingewonnen via privacy@scouting.nl.

3.6.2 Verwerken van persoonsgegevens door externe partijen
In sommige situaties worden persoonsgegevens van leden van Scouting Nederland verwerkt door externe partijen. Denk hierbij aan het verwerken van adresgegevens voor het versturen van een postzending of het verwerken van gegevens door aanbieders van software. Dit Beleid beschrijft onder welke voorwaarden dit kan (zie paragraaf 2.3, 2.4 en 3.2). Tevens is het afsluiten van een verwerkersovereenkomst een vereiste.

4. Registreren persoonsgegevens ten behoeve van dienstverlening

Scouting Nederland hecht veel waarde aan een optimale dienstverlening naar haar leden. Daarnaast zijn er andere ‘klantcontacten’ met niet-leden, waarbij wel sprake is van dienstverlening.

4.1 Klantvraag-volgsysteem (OTRS)
Klantvragen worden bij Scouting Nederland geregistreerd en afgehandeld in klantvraag-volgsysteem OTRS. Getracht wordt vragen rechtstreeks naar het juiste team door te sturen, zodat een vraag snel afgehandeld kan worden. OTRS heeft geen koppeling met de ledenadministratie en de gegevens die worden opgeslagen zijn data die de vragensteller (klant) meestuurt per e-mail, webformulier of live-helpdeskformulier. De informatie wordt voor een periode van maximaal 6 maanden opgeslagen, zodat eerder gestelde vragen kunnen worden teruggezocht en/of vervolgvragen gekoppeld kunnen worden aan het eerdere ‘ticket’. Zes maanden nadat het ticket gesloten is, wordt dit automatisch gewist uit OTRS. Informatie uit OTRS wordt niet gedeeld met externe partijen.

4.1.1 Uitzonderingen
Enkele ‘wachtrijen’ waarin tickets binnen kunnen komen, hebben een langere bewaartermijn of géén termijn. Dit betreft voornamelijk hulpvragen waarbij dossiervorming essentieel is voor de klant, zoals vragen rondom nieuw- of verbouw van een clubhuis, juridische vragen, enzovoorts. Indien voor een klantvraag contact met een externe partij van belang is (denk aan afstemming met een verzekeringsmaatschappij), dan gebeurt dat alleen als de klant hiermee akkoord is en op de hoogte is gesteld.

4.2 Livehelp
Scouting Nederland biedt klanten de mogelijkheid direct een vraag te stellen via de website of Scouts Online (SOL). Chats worden voor maximaal zes (6) maanden gearchiveerd en daarna automatisch gewist. Indien de livehelp offline is, worden vragen rechtstreeks naar het klantvraag-volgsysteem (OTRS) doorgestuurd. Zie daarvoor: 5.1.

4.3 Groeps- en regioarchief
Correspondentie met onderliggende organisaties naar aanleiding van hulpvragen of ondersteuning wordt vastgelegd in het groeps- en regioarchief. De bewaartermijn is maximaal 6 maanden na afronding van het betreffende issue.

5. Persoonsgegevens voor onderzoek

Scouting Nederland is geïnteresseerd in ontwikkelingen bij jeugd, in de maatschappij en soms in het bedrijfsleven. Daarbij zijn we op zoek naar informatie om onze vereniging te versterken, bijvoorbeeld: eigentijdse programma’s afgestemd op de betreffende leeftijdsgroep, wat is de financiële draagkracht van ouders of op welke soort plekken in het werkveld komen scouts uiteindelijk terecht?
Bij de meeste onderzoeken komt dan ook naar voren dat we onze eigen leden vergelijken met een referentie; inwoners van Nederland die geen scout zijn of zijn geweest. Aangezien deze onderzoeken ook worden uitgevoerd door studenten en/of externe organisaties, hanteren we regels voor de omgang met de gegevens van scouts.

5.1 Raadplegen van persoonsgegevens
Zoals vermeld in hoofdstuk 3, is de vereniging terughoudend in het geven van inzicht in persoonsgegevens: ook voor onderzoek moet duidelijk zijn wat de echt noodzakelijke gegevens zijn om te gebruiken voor dat onderzoek. De onderzoeker moet vooraf duidelijk maken wat het doel van het onderzoek is, welke gegevens hij denkt te nodig te hebben van de vereniging en hoe hij de gegevens gaat bewerken of verwerken.

5.1.1 Statistiek
Scouting Nederland heeft vanzelfsprekend leden die een bepaalde tijd wél lid zijn en daarna niet meer. Sommige onderzoeken kijken juist naar dit verloop. Hoewel een oorspronkelijk lid zijn persoonsgegevens na zijn lidmaatschap niet zal bijhouden, heeft Scouting Nederland wel de plicht om zorgvuldig met die gegevens om te gaan. Zo maakt de vereniging zelf maandelijks overzichten van de groei en het vertrek op basis van aantallen gekoppeld aan leeftijd.
Bij dit soort overzichten worden persoonsgegevens gebruikt en verwerkt tot statistische gegevens. In feite worden de persoonsgegevens geanonimiseerd tot aantallen.
Bij onderzoeken van statistische aard, geeft Scouting Nederland dus alleen inzicht in statistische gegevens. Deze gegevens kunnen geautomatiseerd worden gegenereerd vanuit Scouts Online.

5.1.2 Managementinformatie
Binnen de diverse organisatieniveaus (groep-regio-land) is regelmatig behoefte om trends waar te nemen. Hiervoor bestaat in Scouts Online (SOL) de mogelijkheid om zogenaamde managementinformatie op te vragen. In ArcGIS is het mogelijk bepaalde managementinformatie geografisch weer te geven. Het is alleen mogelijk om vanuit gegevens van de eigen en onderliggende organisaties management statistische informatie te verkrijgen. Nieuwe verzoeken om managementinformatie zullen altijd getoetst worden aan de relevantie voor de gehele vereniging en de zorgvuldigheid bij het verstrekken van gegevens.
De gegevens die gebruikt worden om de managementinformatie samen te stellen bestaat uit geaggregeerde data en deze is dan ook niet tot een individueel persoon te herleiden.

5.2 Verstrekken van persoonsgegevens
Voor bijzondere onderzoeken is het soms nodig om persoonsgegevens te gebruiken. Bijvoorbeeld, leden die wonen in een bepaald postcodegebied, gerelateerd aan de leeftijd. Ook dan hanteren we grote terughoudendheid met het verstrekken, zie hiervoor hoofdstuk 3.

5.2.1 Interne onderzoeken
Onderzoek dat door scouts wordt uitgevoerd onder auspiciën van Scouting Nederland (binnen een beschermde omgeving zoals bijvoorbeeld het Landelijk servicecentrum) worden interne onderzoeken
Privacy beleid Vereniging Scouting Nederland (juni 2021) 15
genoemd. Ook voor interne onderzoeken worden terughoudend persoonsgegevens verstrekt, alleen noodzakelijke en relevante:
a. Reguliere onderzoeken vinden plaats in het kader van trendanalyse: leeftijden-postcodegebieden
b. Landelijke evenementen, wedstrijden of trainingen maken gebruik van Scouts Online voor bijvoorbeeld inschrijving van de activiteit. De gegevensbeheerder kan gebruik maken van de persoonsgegevens van de ingeschrevenen. Dit gebruik moet zich beperken tot de betreffende activiteit.

5.2.2 Externe onderzoeken
Partijen of organisaties buiten Scouting Nederland kunnen zeer beperkt worden voorzien van persoonsgegevens. Alleen op basis van relevantie voor Scouting Nederland zelf, worden geanonimiseerde gegevens beschikbaar gesteld: géén namen, geen geboortedata en geen postcode-huisnummers. Uitzondering hierop is Justitieel onderzoek indien het verzoek een dwingende reden oplevert voor Scouting Nederland, en zo’n verzoek gedaan wordt op basis van een schriftelijke last van de Officier van Justitie of Rechter-Commissaris.

6. Wijzigen van persoonsgegevens

De gegevens van een lid kunnen op verschillende organisatieniveaus worden gewijzigd. Deze niveaus zijn op hoofdlijnen op de volgende manier in te delen:
Landelijk > Regionaal (op dit niveau zou ook een admiraliteit of steunpunt kunnen staan) > Lokaal > Speltak > Lid

Wat er op elk niveau en door wie gewijzigd kan worden, staat beschreven in een permissiematrix die niet in dit document past vanwege de enorme complexiteit. Dit hoofdstuk is een samenvatting van deze matrix, primair gericht op de basisgegevens van een persoonsregistratie in Scouts Online.

6.1 Mutaties in persoonsgegevens
Een lid kan altijd zien door wie de gegevens op de betreffende pagina zijn aangepast, door te kijken naar “Laatste wijziging op …. door …”. Omdat een lid dit altijd moet kunnen herleiden, is het niet mogelijk om anoniem wijzigingen binnen Scouts Online te doen. Dat wil zeggen dat mutaties altijd op persoonlijke titel gedaan worden. Alle mutaties worden gelogd.

6.1.1 Wie kan wijzigen?
Over het algemeen geldt dat de basisgegevens van een persoon alleen door een lid zelf, de gegevensbeheerder of secretaris gewijzigd kunnen worden. In de verdere tekst van dit hoofdstuk kan waar gegevensbeheerder staat ook secretaris worden gelezen.
Een uitzondering hierop betreft het regio-niveau. De gegevensbeheerder van de regio kan geen wijzigingen doen bij leden van de onderliggende organisaties (zoals Scoutinggroepen).
Naast de gegevens die in Scouts Online opgeslagen staan, worden er ook nog gegevens opgeslagen in andere systemen, als genoemd in hoofdstuk 1. Waar de persoon zelf een account heeft of kan hebben, kan de persoon de gegevens zelf muteren. Waar dit niet het geval is, kan hiertoe een verzoek worden gedaan bij het landelijk servicecentrum.

6.2 Wijzigen door het lid zelf
Een lid kan altijd zijn eigen persoonsgegevens inzien en wijzigen door in te loggen in Scouts Online en te gaan naar “Mijn Scouting” en dan te kiezen voor “Mijn basisgegevens”.
Een uitzondering op deze gegevens is de geboortedatum. Deze is alleen door de gegevensbeheerder van de groep te muteren, om eventuele leeftijdsfraude te voorkomen.

6.3 Muteren door de gegevensbeheerder
6.3.1 Organisatieonderdeel van het lid
Een gegevensbeheerder binnen het organisatieonderdeel van het lid kan alle persoonsgegevens van het lid muteren.
Privacy beleid Vereniging Scouting Nederland (juni 2021) 17

6.3.2 Bij lidmaatschap meerdere organisaties
Zodra een lid een lidmaatschap heeft bij meerdere organisaties, zal elke gegevensbeheerder de gegevens van dat lid kunnen wijzigen.
Een uitzondering hierop is een tijdelijk lidmaatschap van een organisatie als deelnemer van een evenement. De gegevensbeheerder hiervan kan alleen de deelname gegevens wijzigen maar niet de basisgegevens van de persoon.
Indien een persoon bij meerdere organisatieonderdelen wordt ingeschreven, zal het systeem op basis van automatische regels proberen dubbelingen te voorkomen. Komt een persoon onverhoopt toch meerdere keren voor in de administratie (meerdere lidnummers), kan de helpdesk (helpdesk@scouting.nl) op verzoek de gegevens samenvoegen.

6.3.3 Landelijk servicecentrum
De gegevensbeheerder van het landelijk servicecentrum kan alle persoonsgegevens van alle leden aanpassen, na expliciete toestemming van het lid zelf. In de praktijk zal er altijd gevraagd worden te mailen vanaf het mailadres dat bekend is in Scouts Online en zal er ter verificatie ook nog de geboortedatum gevraagd worden.
Ook bij de acties die medewerkers van het Landelijk Servicecentrum uitvoeren, is onder aan de pagina te vinden wie dit uitgevoerd heeft.

7. Bewaren van persoonsgegevens

7.1 Bewaren van persoonsgegevens in Scouts Online
Scouts Online is als administratieve applicatie het primaire systeem waarin persoonsgegevens worden bewaard.
De gegevens in Scouts Online blijven staan zo lang het lidmaatschap van de persoon actief is. Dit omvat zowel de persoonsgegevens als bijvoorbeeld inschrijvingen en bankgegevens.
Na afloop van het lidmaatschap worden lidgegevens nog zes maanden bewaard. Na zes maanden worden de gegevens vernietigd, met uitzondering van een minimale set persoonsgegevens voor statistische doeleinden en het genereren van oud-leden overzichten (bijvoorbeeld voor een reünie). Het proces van archivering en vernietiging van persoonsgegevens is geautomatiseerd.
Een uitzondering zijn financiële gegevens. Facturen worden bewaard voor de duur van de daarvoor geledende wettelijke periode van 7 jaar. Voor SEPA-machtigingen van oud-leden geldt een periode van 14 maanden.

7.1.1 Verwerken van persoonsgegevens van oud-leden
De gegevens van oud-leden kunnen alleen bekeken worden door een rol “Gegevensbeheerder oud leden”. De gegevens kunnen niet gewijzigd worden en mogen alleen voor historische, statistische of wetenschappelijke doeleinden, alsmede het organiseren van een reünie gebruikt worden.

7.1.2 Exportmogelijkheden
Binnen Scouts Online bestaan mogelijkheden om gegevens te exporteren, om bijvoorbeeld een presentielijst te maken van leden van een speleenheid of om een mailinglijst te genereren. Na gebruik van de export voor het betreffende doel dient het exportbestand vernietigd te worden en mag dus niet worden bewaard.
Let op: het is expliciet niet toegestaan lijsten te exporteren en deze voor langere tijd te bewaren, of gegevens door te geven aan mensen die normaliter geen toegang hebben tot die gegevens.
Indien de gebruiker van Scouts Online conform de permissiematrix rechten heeft tot het exporteren van gegevens, zal in het scherm een exportknop verschijnen. Als deze knop er niet staat, heeft een gebruiker vanuit zijn functie geen rechten om gegevens buiten Scouts Online te gebruiken.
Het is dan ook de verantwoordelijkheid van de gebruiker die de lijst exporteert om ervoor te zorgen dat deze gegevens correct en veilig worden bewaard en vernietigd (richtlijn binnen 24 uur). Degene die de export maakt is er persoonlijk verantwoordelijk voor om deze dusdanig te verwijderen of anonimiseren dat deze niet meer te herstellen of herleiden is door onbevoegden.

7.2 Bewaren van persoonsgegevens in overige systemen
Persoonsgegevens in overige systemen worden bewaard voor de duur van een overeenkomst, lidmaatschaps- of klantrelatie. In sommige gevallen, zoals binnen de financiële administratie, worden de wettelijke termijnen gevolgd.

7.3 Kopiëren
Het is uitdrukkelijk verboden de gegevens waarop men inzage heeft, gegevens die men verwerkt of geëxporteerde gegevens, te vermenigvuldigen of kopiëren op wat voor manier dan ook. Exports zijn strikt persoonlijk en hier zal zorgvuldig mee omgegaan worden.
Privacy beleid Vereniging Scouting Nederland (juni 2021) 19

7.4 Publiceren
De persoonsgegevens in de systemen van Scouting Nederland zijn strikt persoonlijk. Zonder uitdrukkelijke toestemming van het betreffende lid mogen geen gegevens gepubliceerd worden op een andere manier dan via Scouts Online aan de personen die hiertoe permissie hebben.

7.5 Persoonsgegevens tijdens de ontwikkeling van Scouts Online
Tijdens de ontwikkeling van Scouts Online worden voor zo ver dat mogelijk is alleen geanonimiseerde databestanden gebruikt. Alleen met hoge uitzondering (bijv. als het probleem anders niet te analyseren is) kan er door de teamleider ICT of senior ontwikkelaar van Scouts Online besloten worden om een ‘live’ dataset te gebruiken. Deze set wordt alleen voor dit probleem gebruikt en daarna weer uit de ontwikkelomgeving verwijderd. Deze omgeving is lokaal en is niet als online server benaderbaar.
De verschillende databases met ‘live’ data kunnen alleen benaderd worden door de teamleider ICT en senior ontwikkelaar alsmede door de verschillende systeembeheerders van Scouting Nederland. Zij hebben hiervoor een extra beveiligingssleutel en geheimhoudingsverklaring nodig.

8. Berichten verzenden

8.1 OPT-In / OPT-Out
Scouting Nederland en de onderliggende organisaties kunnen en mogen leden ongevraagd relevante informatie toesturen over hun lidmaatschap en/of voor deelname aan activiteiten. Dat kan zowel per mail, post als andere vormen van communicatie zijn. Voor al deze berichten geldt dat er een OPT-Out mogelijkheid bestaat en deze mogelijkheid ook actief geboden wordt door de verzender.

8.1.1 Uitzonderingen
Systeemberichten en berichten die noodzakelijk zijn voor het lidmaatschap (bijvoorbeeld een contributiefactuur) hebben geen OPT-Out mogelijkheid.

8.2 Bulkmail
Het begrip bulkmail omvat e-mailberichten, postzendingen, SMS- en telemarketing. Om leden van Scouting te beschermen tegen grote hoeveelheden zendingen vanuit verschillende projecten, activiteiten en organisatieonderdelen, die ook nog eens tegelijk kunnen komen, is het Protocol Bulkmail en e-mailnieuwsbrieven opgesteld. Per kanaal zijn de verschillende procedures uiteengezet. Een bulkzending bevat altijd de volgende informatie:
• Doelgroep waarin de ontvanger zich bevindt
• Afzender (onderdeel van Scouting Nederland)
• Afmeldmogelijkheid – (global) OPT-Out

8.2.1 Uitzonderingen
Berichten met minder dan 20 unieke ontvangers zijn géén bulkmail. Daarnaast zijn systeemberichten en functionele e-mails (noodzakelijke berichten voor het lidmaatschap van Scouting Nederland) uitgesloten van het bulkmailprotocol. Deze berichten bevatten ook géén OPT-Out mogelijkheid.

9. Registratielijsten

9.1 Registratielijst Scouting Nederland
Scouting Nederland kent een registratiesysteem. Wanneer een persoon die bij Scouting betrokken is (geweest) gedrag vertoont dat tot een aanzienlijk risico voor Scouting of haar leden leidt, kan Scouting Nederland besluiten die persoon uit te sluiten van lidmaatschap in de toekomst. Om dit te waarborgen wordt dit vastgelegd in de Registratielijst (ook wel ‘Zwarte lijst’). Meer informatie hierover is te vinden op de website.
De Registratielijst is vanwege de gevoelige aard aan zeer strenge regels gebonden. Het Registratiesysteem kan alleen worden ingezien door het landelijk bestuur, de directie en Landelijk team Juridische zaken van Scouting Nederland.

9.2 Gezamenlijke registratielijst
Scouting Nederland aangesloten geweest bij de gezamenlijke registratielijst voor vrijwilligersorganisaties. De gezamenlijke registratielijst is voor nieuwe registraties in onbruik. Op deze lijst staan personen waarvan een bevoegde tuchtcommissie heeft vastgesteld dat deze ernstige schade heeft berokkend of kan berokkenen aan een vrijwilligersorganisatie. Aangesloten organisaties kunnen deze lijst raadplegen, waarbij allerlei waarborgen zijn gesteld. De gezamenlijke registratielijst is in beheer bij vereniging NOV.

10. Online media Scouting Nederland10 Online media Scouting Nederland

Scouting Nederland maakt gebruik van vele vormen van online communicatie. Voor deze systemen zijn er een aantal belangrijke aandachtspunten, waaronder de wetgeving op het gebied van cookies. Daarnaast is er een disclaimer van toepassing op de online kanalen van Scouting Nederland.

10.1 Cookiestatement
De websites van Scouting Nederland gebruiken cookies om te zorgen dat de websites naar behoren werken. Dit worden ook wel functionele cookies genoemd. Daarnaast gebruikt Scouting Nederland cookies voor statistiek. De meest recente versie van het cookiestatement is na te lezen op de website (www.scouting.nl/privacy).

10.2 Disclaimer Scouting.nl websites en Scouts Online
Voor de websites en systemen van Scouting Nederland is een disclaimer van toepassing. De meest recente versie van de disclaimer is na te lezen op de website (www.scouting.nl/privacy).

11. Datalekken

Uiteraard doet Scouting Nederland er alles aan om de in dit document genoemde persoonsgegevens niet in handen van derden die geen toegang tot die gegevens zouden mogen hebben te laten vallen. Gebeurt dit wel, dan spreken we over een datalek.
In artikel 34a van de AVG is geregeld dat een datalek gemeld moet worden aan de toezichthouder, de Autoriteit Persoonsgegevens (AP). Een (vermoedelijk) datalek moet intern altijd gemeld worden. Om te kunnen bepalen of een datalek vervolgens aan de toezichthouder gemeld moet worden, is door Scouting Nederland een procedure opgesteld.

11.1.1 Datalekken herkennen
Om datalekken te voorkomen is het volgen van het privacybeleid een belangrijke stap. Daarnaast dienen de systemen die gebruikt worden goed te zijn beveiligd. Voor

11.1.2 Procedure datalekken melden
Alle leden en medewerkers van Scouting Nederland moeten een beveiligingsincident of vermoeden van een datalek zo snel mogelijk melden per e-mail aan privacy@scouting.nl. Hierbij wordt de Procedure Datalekken gevolgd (te downloaden via www.scouting.nl/privacy).
Zodra er een datalek is geconstateerd zal binnen 72 uur dit gemeld moeten worden bij de toezichthouder. Nadat er een datalek heeft plaatsgevonden en het waarschijnlijk is dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van het betrokken lid, dient dit lid een melding te ontvangen.

12. Misbruik van persoonsgegevens

12.1 Misbruik voorkomen
Wanneer persoonsgegevens gebruikt worden op een andere manier dan is toegestaan volgens wet- en regelgeving en dit Beleid, is er sprake van ongeoorloofd gebruik. Het ongeoorloofd gebruik kan onopzettelijk zijn, omdat men niet op de hoogte is van dit Beleid of de regels. Er kan ook sprake zijn van onzorgvuldigheid of zelfs opzet.
In het kader van dit Beleid verstaan we onder het begrip ‘Misbruik’ zowel opzettelijk als onopzettelijk ongeoorloofd gebruik. Misbruik kan leiden tot schade voor individuele personen, groepen of de organisatie. We spreken over Misbruik, wanneer:
• een persoon die daartoe niet gerechtigd is gegevens verkrijgt en gaat gebruiken;
• een persoon die in principe gerechtigd is gegevens gebruikt voor een ander doel dan (hem/haar) is toegestaan;
• gegevens gebruikt worden die niet bewaard (vastgelegd) of verwerkt (gebruikt) mogen worden.
Duidelijkheid over goed gebruik van gegevens voorkomt in ieder geval onopzettelijk Misbruik. Naast beleid en communicatie daarover gebruikt Scouting Nederland een aantal hulpmiddelen om Misbruik te voorkomen.

12.1.1 Controle
Personen kunnen maar voor een beperkt deel bij gegevens en alleen bij de gegevens waarop zij vanuit hun functie recht hebben. Dit uitgangspunt geldt voor alle systemen. Zie voor een toelichting hoofdstuk 2 en 3. Hierop wordt toezicht gehouden met zowel automatische als handmatige controles. Ook over andere functies met brede toegang zijn afspraken gemaakt. Slechts bij bepaalde taken wordt deze toegang gegeven, waarbij dit wordt vastgelegd en periodiek gecontroleerd door de afdeling Juridische Zaken en de FG.

12.1.2 Integriteits- en geheimhoudingsverklaringen
Personen die breed toegang hebben tot (persoons)gegevens moeten bij het begin van hun taak een integriteits- en geheimhoudingsverklaring ondertekenen. In die verklaring staat beschreven dat er zorgvuldig moet worden omgegaan met gegevens, waaronder persoonsgegevens.

12.1.3 Verklaring Omtrent Gedrag
Vrijwilligers en beroepskrachten moeten een Verklaring omtrent Gedrag overleggen. Er wordt onder andere gecontroleerd op omgang met informatie.

12.1.4 Registratielijst
Er wordt geen toegang tot gegevens verstrekt aan personen die op de Registratielijst staan. De Registratielijst is beschreven in hoofdstuk 9.

12.2 Misbruik melden
Wanneer iemand een vermoeden heeft dat er Misbruik wordt gemaakt van persoonsgegevens binnen Scouting, moet dit gemeld worden bij Scouting Nederland, zodat er waar nodig maatregelen getroffen kunnen worden. 

12.3 Maatregelen
Misbruik van gegevens zal – afhankelijk van de ernst – aanleiding geven tot een van de volgende maatregelen: waarschuwing, ontzeggen toegang tot gegevens, schorsing, beëindigen functie of taak en eventueel zelfs einde lidmaatschap of dienstverband. Er zal daarnaast ook steeds worden onderzocht of dit Misbruik voorkomen kan worden. Misbruik van gegevens wordt door het Landelijk
Privacy beleid Vereniging Scouting Nederland (juni 2021) 25
team Juridische zaken in een dossier vastgelegd, zodat bij herhaaldelijk misbruik andere maatregelen genomen kunnen worden.

13. Rechten, klachten en vragen

13.1 Vragen en klachten over Privacy en gegevensbescherming
Vragen over Privacy en gegevensbescherming bij Scouting Nederland kun mailen je via privacy@scouting.nl. Ook voor een klacht of melding kun je hier terecht.
Van elke melding zullen we de noodzakelijke gegevens registreren. Daardoor kunnen we tijdens behandeling het nodige contact onderhouden met degene die contact met ons heeft opgenomen.
Bij elke melding zullen we proberen te achterhalen:
• Waar de gebruikte gegevens vandaan komen
• Wat er met de gegevens is gebeurd
• Wie er betrokken is
• Of er schade is ontstaan en hoe die zoveel mogelijk te herstellen is
• Of er stappen nodig zijn om herhaling te voorkomen

13.2 Inzageverzoek en recht op vergetelheid
In de AVG is opgenomen dat personen bij een organisatie kunnen opvragen welke persoonsgegevens de organisatie van hen verwerkt en bewaard. Dit ook wel subject access request (SAR) of inzageverzoek genoemd. Ook geldt het zogenaamde recht op vergetelheid (right to be forgotten (RTBF)). Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene erom vraagt. Dit recht geldt niet altijd, maar alleen in de volgende voor Scouting relevante situaties:
• Als de persoonsgegevens niet meer nodig zijn voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt;
• Als een Scoutingorganisatie gegevens van niet-leden gebruikt voor direct marketing, bijvoorbeeld een e-maillijst naar aanleiding van een open dag;
• Als de betrokkene eerder toestemming heeft gegeven aan de organisatie voor het gebruik van zijn gegevens, maar die toestemming nu intrekt.
• Daarnaast geldt een wettelijke bewaartermijn voor gegevens, waar voor verenigingen tevens een uitzonderingssituatie geldt voor oud-leden. De gegevens die niet bewaard mogen blijven worden bij oud-leden automatisch verwijderd uit Scouts Online bij uitschrijving en/of het verlopen van de bewaartermijn als beschreven in dit Beleid.
Indien iemand een inzageverzoek (SAR) doet of een beroep doet op het recht op vergetelheid (RTBF), heeft de organisatie één maand de tijd om aan dit verzoek te voldoen. Daarbij moeten ook de derde partijen geïnformeerd worden die betrokken zijn bij eventuele gegevensverwerking. Deze partijen moeten de gegevens ook wissen binnen de gestelde termijn. Een inzageverzoek in het kader van SAR of een beroep op het recht op vergetelheid (RTBF) dient altijd te worden ingediend via het e-mailadres privacy@scouting.nl.

13.3 Autoriteit persoonsgegevens
Mocht je er toch niet uitkomen met Scouting Nederland, dan kun je altijd een klacht indienen bij de Autoriteit Persoonsgegevens.