Reglement Persoonsgegevens 

Vereniging van energie coöperaties en initiatieven Noord-Holland 

Energie van Noord-Holland  

Versie 1.0 - April 2021 

In het kader van de Europese richtlijn dient er sprake te zijn van een gelijk beschermingsniveau van persoonsgegevens binnen alle lidstaten. Dit houdt verband met het vrije grensoverschrijdende verkeer van personen en dus ook persoonsgegevens. 

Binnen Nederland is dit geregeld door de Algemene Verordening Gegevensbescherming (hierna te noemen AVG) Deze wet heeft betrekking op de verwerking van persoonsgegevens. Dit wil zeggen op alle handelingen die met betrekking tot een persoonsgegeven worden verricht, vanaf het verzamelen van de gegevens tot en met de vernietiging.  

Artikel 1 - Toepassingsgebied 

Het toepassingsgebied van dit privacyreglement is de verwerking persoonsgegevens van betrokkenen bij de Vereniging van Energie coöperaties en initiatieven Noord-Holland (VEINH) en Energie van Noord-Holland BV (EvNH), het dienstenbureau van VEINH. 

VEINH en EvNH zijn beide statutair gevestigd in Hilversum. Beide hebben tot doel op te komen voor de belangen van lokale energie-initiatieven. Als coalitie van burgercoöperaties versnellen VEINH en EvNH de transitie naar duurzame energie en het behalen van de wettelijke klimaatdoelstellingen van de Nederlandse staat, de provincie Noord-Holland en lokale en regionale overheden. 

VEINH is geregistreerd als een vereniging met beperkte aansprakelijkheid. VEINH is ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 73689378. EvNH is geregistreerd als een besloten vennootschap en ingeschreven in het Handelsregister van de Kamer van Koophandel onder nummer 825944279  

Artikel 2 - Definities Persoonsgegevens 

Persoonsgegeven: Een gegeven dat herleidbaar is tot een identificeerbaar natuurlijk persoon  

Verwerking (persoonsgegevens): Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.  

Persoonsregistratie: Een samenhangende verzameling van op verschillende personen betrekking hebbende gegevens. Het gaat om gegevens die in het kader van de dienstverlening zijn verzameld en geldend zijn voor de AVG. 

Doel/Grondslag: Persoonsgegevens mogen alleen verwerkt worden wanneer dit noodzakelijk is op basis van een in de wet genoemde grondslag. In dit reglement refereren we aan de grondslag met de term Doel. Het doel betreft de direct aanleiding tot de registratie van de persoonsgegevens. 

Betrokkene: Een contact dat zich bij VEINH of EvNH heeft aangemeld en hierbij persoonlijke gegevens heeft achtergelaten. Betrokkenen waarvan persoonsgegevens en gegevens van de rechtspersoon zullen vastgelegd zijn o.m. energie coöperaties en initiatieven, energieleveranciers, aan EvNH verbonden experts, vertegenwoordigers van VEINH, publieke en private samenwerkingspartners. 

Verantwoordelijke: Is de formeel juridisch aansprakelijke rechtspersoon. Degene die vaststelt welke persoonsgegevens verwerkt worden en wat het doel van die verwerking is. Voor VEINH is het bestuur van VEINH verantwoordelijk. Voor EvNH is het bestuur van EvNH verantwoordelijk.  

Functionaris gegevensbescherming (FG): Zowel het bestuur van Vei-NH als EvNH benoemen ieder een FG die toeziet op de beheersprocessen van verwerking van persoonsgegevens. De FG van VEINH kan samenvallen met de FG van EvNH. 

Gebruiker: Degene die in opdracht van de verantwoordelijke, persoonsgegevens mag inzien, bewerken en verspreiden en daartoe expliciet is geautoriseerd.  

Derden: Degenen aan wie buiten de organisatie gegevens worden verstrekt. 

Persoonsregistratiesysteem: Econobis ( https://econobis.energiesamen.nu/ ) is het registratiesysteem voor persoonsgegevens. 

Datalek: Als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen. Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers, verloren usb-sticks en niet-geautoriseerde verspreiding van digitale opnamen van bijeenkomsten.  

Artikel 3 – reglement persoonsgegevens 

Dit reglement is bedoeld om op transparante en toetsbare wijze vast te leggen op welke wijze VEINH en EvNH omgaat met persoonsgegevens en tevens om te voldoen aan de wettelijke verplichtingen zoals opgenomen in de Wet Bescherming Persoonsgegevens en de AVG met als hogere doel de persoonlijke levenssfeer van de betrokkene te beschermen tegen verkeerd en onbedoeld gebruik van de persoonsgegevens. Het reglement beschrijft: 

  1. welke persoonsgegevens het betreft 
  2. op welke wijze deze persoonsgegevens verwerkt worden 
  3. welke personen en/of organisaties betrokken zijn bij de verwerking van de persoonsgegevens 
  4. op welke wijze de organisatie voldoet aan de informatieplicht 
  5. op welke wijze de persoonsgegevens worden beveiligd 

Artikel 4: Doelen van de gegevensverwerking met bijbehorende aard van de gegevens 

Persoonsgegevens worden uitsluitend gebruikt voor zover dat gebruik verenigbaar is met de omschreven doelen van de verwerking en daarmee noodzakelijk is voor een goede vervulling van de taak van de beheerder. Een kort, niet uitputtend overzicht van deze taken aansluitend op artikel 3, bepaling a.: 

  1. Correspondentie en Nieuwsbrief [o.m. NAW, emailadres]; 
  2. Benadering van betrokkenen die actief betrokken willen worden als vrijwilliger of expert [o.m. NAW, Identificatiegegevens, VOG, Interesses/expertise/certificaten]; 
  3. Organiseren van collectieve activiteiten zoals bijeenkomsten, vergaderingen, trainingen en campagnes, zowel fysiek als digitaal [o.m. NAW]; 
  4. Verwerken van activiteiten met een financiële verplichting [o.m. NAW, Plaats/Tijd/Aard van activiteiten, BTW en KvK nummer, Bankgegevens, Incassoverklaring]; 
  5. Overige financiële verwerking en boekhouding in overleg met derden [o.m. NAW, Bankgegevens, Projectinvesteringen, Projectkosten, Projectopbrengsten, Incassoverklaring]  
  6. Verantwoording van activiteiten, financiële situatie en burger-vertegenwoordiging naar lokale, provinciale en landelijke overheidsdiensten (aantallen, investeringsbedragen, opbrengsten); 
  7. Uitvoering van projecten (NAW, kadastrale gegevens, uren/kosten registratie, investeringsbedrag, opbrengsten). 

Artikel 5: Wijze van goedkeuring gebruik persoonsgegevens  

Betrokkenen worden vooraf altijd geïnformeerd over welke gegevens met welk doel worden verwerkt door VEINH of EvNH. Toestemming met de verwerking van de persoonsgegevens is als volgt geregeld: 

  • Lokale energie coöperaties en initiatieven: in de (web-) formulieren waarmee leden hun aanmelding verrichten 
  • Vertegenwoordigers en samenwerkingspartners: in de intentieverklaringen en contracten met VEINH en EvNH voor de levering en afname van diensten en goederen. 
  • Experts: in de (web)formulieren en contracten met EvNH voor de levering van diensten en goederen. 

Artikel 6: Verstrekken gegevens aan derden  

Met het accorderen van het privacyreglement geeft de aanvrager toestemming om de persoonsgegevens uit te wisselen met derden waar VEINH en/of EvNH mee samenwerkt, doch enkel waar dit direct de doelen van VEINH en/of EvNH dient of noodzakelijk is om de activiteiten van VEINH en/of EvNH te kunnen uitoefenen, in casu voort te zetten, cq. in het belang van wetenschappelijk onderzoek en (geanonimiseerde) statistiek. Hierbij wordt gewerkt met het minimaal noodzakelijke aan gegevens en worden, waar dit het doel niet schaadt, persoonsgegevens geanonimiseerd. 

Voordat gegevens worden uitgewisseld met derden, heeft VEINH en/of EvNH vastgesteld dat deze derde partij voldoet aan de eisen van de Wet Bescherming Persoonsgegevens en de Algemene Verordening Gegevensbescherming. Deze derden worden verzocht een schriftelijke verklaring ten aanzien van de verwerking persoonsgegevens op te stellen welke: 

  • detailleert op welke wijze zij beveiligingsmaatregelen hebben genomen ten aanzien van deze persoonsgegevens (verwerkingsovereenkomst); 
  • bevat een geheimhoudingsclausule, voorwaarden inschakelen sub-bewerkers, beveiligingsmaatregelen verwerker, regeling aansprakelijkheid en verantwoordelijkheden met betrekking tot het melden van datalekken.  

Na goedkeuring en ondertekening archiveert de opdrachtgever een ondertekend exemplaar van deze overeenkomst. 

Persoonsgegevens ten behoeve van wetenschappelijk onderzoek kunnen alleen dan zonder toestemming van de geregistreerde worden verstrekt indien: 

  • het vragen van gerichte toestemming in redelijkheid niet mogelijk is 
  • het onderzoek het algemeen belang dient 
  • het onderzoek niet zonder betreffende gegevens kan worden uitgevoerd 
  • de persoonlijke levenssfeer van geregistreerde niet wordt geschaad en vaststaat dat het onderzoek niet in de vorm van geregistreerde herleidbare gegevens zal worden gepresenteerd 
  • het onderzoek wordt verricht volgens een, op de onderzoeker betrekking hebbende, gedragscode 

Artikel 7: Uitwisseling van gegevens tussen VEINH en EvNH 

Er vindt uitwisseling van informatie plaats tussen VEINH en EvNH. Op het moment dat de betrokkene toestemming geeft tot de verwerking van persoonsgegevens binnen één van de twee organisaties verleent de betrokkene daarmee ook de toestemming tot het uitwisselen van deze persoonsgegevens tussen beide organisaties, zolang dit het doel dient waarvoor de gegevens zijn verzameld en verwerkt.  

Artikel 8: Bewaartermijnen 

VEINH en EvNH bewaart de gegevens van de aanvrager tot ten minste het einde van de directe relatie. In het jaar ná beëindiging van de laatste verbintenis worden de persoonsgegevens ingeperkt tot nog enkel die gegevens uit artikel 4.1. Overige gegevens kunnen, mits geanonimiseerd worden aangehouden tot na deze termijn indien nodig voor geaggregeerde rapportage doeleinde, wetenschap en statistiek. 

Artikel 9: Toegang  

Econobis is het centrale verwerkingsregister van persoonsgegevens.  

  1. Alleen gebruikers die daarvoor gemachtigd zijn door de verantwoordelijke hebben toegang tot het systeem van gegevensverwerking. Gemachtigde gebruikers hebben een verklaring ondertekend dat zij het privacyreglement kennen en daarmee akkoord zijn. 
  2. Toegang tot de persoonlijke gegevens van leden is beveiligd met een inlogcode en toegangsrechten. Verantwoordelijke heeft in het gegevensregistratiesysteem gedefinieerd welke functionaris (de zgn. key-user) inlogcodes en toegangsrechten kan verstrekken. De functionaris zorgt voor een restrictie van toegang en bewerkingsmogelijkheden, in lijn met de doelen, op het niveau van de individuele gebruiker.

Artikel 10: Beveiliging, geheimhouding, borging en toetsing 

VEINH en EvNH nemen passende technische en organisatorische beveiligingsmaatregelen om te voorkomen dat de persoonsgegevens worden beschadigd, verloren gaan of onrechtmatig worden verwerkt. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.  

Digitale persoonsgegevens zijn beschermd door enkelvoudige cloud-opslag in het registratiesysteem Econobis waarbij toegang is beveiligd met inlogcode en wachtwoord.  

VEINH en EvNH hanteert een actieve periodieke controle op de borging van deze maatregelen: 

  • Gebruikers hebben niet meer inzage of toegang tot de persoonsgegevens dan zij strikt noodzakelijk nodig hebben voor de goede uitoefening van hun taak.  
    • Borging: Een register waarin bijgehouden wie bevoegd is tot het verwerken van persoonsgegevens. Er wordt kritisch gekeken of toegang noodzakelijk is en/of kan ingeperkt. Datums waarop tussentijds wijzigingen zijn geaccordeerd door de verantwoordelijke worden geregistreerd in de lijst en jaarlijks wordt gecheckt of systeemtoegang nog altijd overeenkomstig de laatste versie van de lijst is. 
  • Iedereen die betrokken is bij de uitvoering van dit reglement, en daarbij de beschikking krijgt over persoonsgegevens is verplicht tot geheimhouding van die persoonsgegevens en heeft hiertoe het reglement Persoonsgegevens gelezen en getekend.  
  • Verantwoordelijke ziet erop toe dat er geen duplicaten van persoonsgegevens worden rondgestuurd binnen de coöperatie, of in het contact met derden, zonder uitdrukkelijke toestemming van de verantwoordelijke. Dit om het bestaan van duplicaten van persoonsgegevens te voorkomen.  
    • Borging: Jaarlijks wordt bij actieve vrijwilligers getoetst dat duplicaten van persoonsgegevens worden vernietigd. Verantwoordelijke neemt passende maatregelen om de behoefte tot het aanleggen van duplicaten weg te nemen.  
  • VEINH heeft met de technisch beheerder van het systeem van ledenadministratie 'Econobis', een verwerkingsovereenkomst afgesloten dat voldoen aan de Algemene Verordening Gegevensbescherming en dat zij conform dit privacyreglement zullen handelen.  
    • Borging: de verwerkingsovereenkomst wordt jaarlijks opnieuw ondertekend 

Toetsing 

Jaarlijks wordt van correcte toepassing van het reglement Persoonsgegevens. De evaluatie wordt behandeld in het bestuur van VEINH en EvNH. Passende maatregelen om onvolkomenheden op te lossen worden met urgentie opgepakt. De functionaris Persoonsgegevens ziet erop toe dat de akkoordverklaring van betrokkenen bij de verzameling van persoonsgegevens correct worden gearchiveerd zodat een kwalitatieve evaluatie kan plaats vinden.  

Voorbeeld maatregelen: 

  • Indien genoemde akkoordverklaring ontbreekt, heeft de verantwoordelijke30 dagen om deze akkoordverklaring alsnog te verkrijgen en archiveren in het persoonsgegevensregistratiesysteem. Zo niet, dient de gebruiker de betreffende persoonsgegevens te minimaliseren tot enkel de NAW-gegevens.  
  • In onbruik geraakte gegevens worden geaggregeerd, geanonimiseerd of verwijdert uit het registratiesysteem. 

Meldplicht datalekken 

Indien er door technische problemen en/of (digitale) inbraken persoonsgegevens in de openbaarheid terecht gekomen zijn, meldt VEINH en/of EvNH dit binnen 120 uur bij de Autoriteit Persoonsgegevens. 

Artikel 11: Rechten van de betrokkene 

Belangrijk uitgangspunt van de wet is, dat de betrokkene helderheid wordt geboden over de verwerking van zijn persoonsgegevens. De verantwoordelijke is dan ook verplicht voorafgaand aan het verzamelen van persoonsgegevens betrokkene te informeren over 1) zijn identiteit en 2) voor welk doel of doeleinden de gegevens worden verzameld. 

Deze informatieplicht is benoemd (aanvraag)formulieren en de overeenkomst die betrokkene tekent voordat hij/zij de samenwerking aangaat met VEINH of EvNH. 

  1. Elke aanvrager heeft recht op inzage van de door VEINH of EvNH verwerkte persoonsgegevens die op hem/haar betrekking hebben. De aanvrager dient daarvoor een afspraak te maken met de verantwoordelijke. Verantwoordelijke dient in dat geval altijd te vragen om een geldig identiteitsbewijs ter verificatie van de identiteit van de aanvrager. Er hoeft geen reden gegeven te worden voor een inzageverzoek. Het recht op inzage betreft alleen inzage in iemands eigen gegevens.
    Werkaantekeningen vallen niet onder het inzagerecht indien ze alleen worden gebruikt als geheugensteuntje (werkaantekeningen). Worden de aantekeningen opgeslagen in het dossier of verstrekt aan anderen dan heeft degene over wie het gaat ook recht op inzage in deze aantekeningen.  
  1. Aanvrager kan een verzoek doen tot verbetering en aanvulling van zijn persoonsgegevens. De verantwoordelijke heeft het recht de juistheid van de verbeteringen te verifiëren. Indien de juistheid niet is vast te stellen, worden de wijzingen niet doorgevoerd. In geval van verwerking van verbeteringen en aanvullingen van persoonsgegevens hoeft niet opnieuw toestemming verwerking persoonsgegevens te worden gevraagd/ondertekend. Dit akkoord wordt door de aanvrager impliciet afgegeven bij verstrekking van de verbeteringen of aanvullingen.
  2. De aanvrager kan een verzoek doen tot (gedeeltelijke) verwijdering van zijn persoonsgegevens. . Daartoe dient hij een schriftelijk verzoek in bij de beheerder. De beheerder vernietigt de gegevens binnen een half jaar na het verzoek van de geregistreerde tenzij redelijkerwijs aannemelijk is dat de bewaring op grond van een wettelijk voorschrift vereist is. Dit betreft dan de statische persoonsgebonden gegevens zoals NAW, Projectgegeven, Expertises. Gegevens die een vastlegging betreft van gebeurtenissen uit het verleden vallen hier niet onder (digitale vastlegging van een bijeenkomst, presentielijst). Tevens is het correctierecht niet bedoeld voor het corrigeren van professionele indrukken, meningen en conclusies waarmee iemand het niet eens is, voor zover deze ter zake doen. Wel mag diegene van VEINH en EvNH verwachten dat deze in ieder geval zijn schriftelijke mening toevoegt aan het dossier. Dat kan vooral een oplossing bieden bij situaties waarbij het om niet objectief vast te stellen feiten gaat.
  3. Wie bezwaar heeft tegen het gebruik van zijn gegevens voor commerciële doeleinden, kan hiertegen verzet aantekenen. Dit verzet wordt altijd gerespecteerd. Dit Recht van Verzet kan ook aangetekend worden vanwege bijzondere persoonlijke omstandigheden. In dit geval worden redenen van het verzet besproken met de organisatie. 
  4. De aanvrager kan een verzoek indienen om geen persoonsgegevens te verstrekken aan derde partijen zoals genoemd in artikel 6.
  5. De aanvrager kan zijn instemming tot persoonsgegevensverwerking te allen tijde intrekken. De verantwoordelijke zal beoordelen of hiermee niet of alleen tegen hoge kosten kan worden voldaan en desgewenst te besluiten het lidmaatschap te beëindigen. 

 Artikel 12: Klachten  

  1. Wanneer de aanvrager van mening is dat het doen en laten van VEINH en/of EvNH niet in overeenstemming is met de Wet Bescherming Persoonsgegevens en de Algemene Verordening Gegevensbescherming, of zoals dit is uitgewerkt in dit privacyreglement, kan de aanvrager een klacht indienen bij de FG. De FG informeert aanvrager binnen 14 dagen hoe de klacht behandeld wordt. 
  2. Overeenkomstig de Wet Bescherming Persoonsgegevens en de Algemene Verordening Gegevensbescherming kan de aanvrager zich in tweede instantie wenden tot de rechter of de Autoriteit Persoonsgegevens.

Artikel 13: Onvoorziene situatie  

Indien er zich een situatie voordoet die niet beschreven is in dit reglement dan neemt de verantwoordelijke de benodigde maatregelen.  

Artikel 14: Wijziging reglement  

Dit reglement kan door de verantwoordelijke worden gewijzigd. Bij een wijziging dient de aanvrager daarover geïnformeerd te worden. Indien de aanvrager zich niet kan verenigen met de wijziging, kan de aanvrager zijn toestemming tot persoonsgegevensverwerking intrekken.   

Artikel 15: Slotbepaling  

Dit privacyreglement treedt in werking op 1 juni 2021 en wordt openbaar gemaakt via de websites van VEINH en EvNH.