Privacyverklaring

Het Jeugdvakantieloket is een samenwerkingsverband van 12 lokale fondsen:

  • Stichting Fonds 1818
  • Katholieke Stichting Jongeren Belangen (KSJB)
  • Stichting Fonds Schiefbaan Hovius
  • Stichting Kinderzorg Den Haag-Rotterdam
  • Stichting Liduina Fonds
  • Stichting Madurodam Kinderfonds
  • Stichting Steunfonds Pro Juventute Nederland
  • Stichting Pape-Fonds
  • Stichting Boschuysen
  • Stichting Levi Lassen
  • Stichting Rooms Katholiek Wees en Oude liedenhuis
  • Stichting Rust en Vreugd

Waar hierna gesproken wordt over het Jeugdvakantieloket worden genoemde 12 samenwerkende fondsen bedoeld. Zij zijn gezamenlijk verantwoordelijk voor de verwerking van persoonsgegevens voor het Jeugdvakantieloket zoals beschreven in deze privacyverklaring.

Het Jeugdvakantieloket neemt de bescherming van persoonsgegevens serieus en houdt zich aan de eisen van de geldende privacywetgeving. Persoonsgegevens worden met grote zorgvuldigheid behandeld. Het fonds heeft passende maatregelen genomen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Dit wordt geregeld opnieuw bekeken en onder de aandacht gebracht.

Het Jeugdvakantieloket kan persoonsgegevens verwerken in de volgende situaties:

  1. Je bezoekt de website van het Jeugdvakantieloket. Fonds 1818 is namens het Jeugdvakantieloket verantwoordelijk voor deze website.
  2. Je dient een aanvraag in bij het Jeugdvakantieloket.

Hieronder vind je per onderdeel informatie over de persoonsgegevens die wij verwerken. Vervolgens wordt informatie gegeven over:

  1. het delen van je persoonsgegevens met derden;
  2. technische en organisatorische bescherming van de gegevens;
  3. jouw rechten.

1. Website
Via onze website wordt een cookie geplaatst van het Amerikaanse bedrijf Google, als deel van de Google Analytics-dienst. Met Google is een verwerkersovereenkomst gesloten. Het Vakantieloket gebruikt Google Analytics uitsluitend om bij te houden hoe bezoekers de website gebruiken, zodat we de website periodiek kunnen verbeteren. De informatie die Google verzamelt wordt geanonimiseerd en het Jeugdvakantieloket deelt geen gegevens met Google voor aanvullende diensten.
Voor het plaatsen van beeldmateriaal op onze website is toestemming gegeven door degenen die hierop herkenbaar te zien zijn. Voor beeldmateriaal van kinderen onder de 16 jaar is er toestemming van de wettelijk vertegenwoordiger(s) van deze kinderen.

2. Projectadministratie
Als je een aanvraag indient bij het Jeugdvakantieloket wordt deze opgeslagen in de projectadministratie van het Jeugdvakantieloket. De projectadministratie is uitbesteed aan Fonds 1818. Hiervoor heeft het Jeugdvakantieloket met Fonds 1818 een verwerkersovereenkomst gesloten.

Alleen stichtingen en verenigingen kunnen een aanvraag indienen bij het Jeugdvakantieloket. De enige persoonsgegevens die door ons worden verwerkt, zijn de naam en contactgegevens van de contactpersoon van de aanvragende organisatie. Dat gebeurt om de volgende redenen:
Naam van de contactpersoon. We moeten immers weten wie de verantwoordelijke contactpersoon is van een aanvraag t.b.v. communicatie over de aanvraag en over de verantwoording van de donatie.

Adres. Dit is nodig voor eventuele post die verstuurd wordt. Veelal zal dit het zakelijke adres zijn van de vereniging of stichting. Als er geen zakelijk kantooradres is, wordt het persoonlijke adres van de contactpersoon verwerkt

Telefoonnummer en emailadres. Hiermee kunnen wij snel contact met je opnemen in het belang van de behandeling en afwikkeling van jouw aanvraag.

Het Jeugdvakantieloket baseert de verwerking van persoonsgegevens primair op de toestemming die je hiervoor hebt gegeven bij het indienen van je aanvraag. Daarnaast mag het Jeugdvakantieloket je gegevens verwerken als dat nodig is ter voorbereiding en uitvoering van een mogelijke overeenkomst: de toekenning van een donatie. Ten slotte heeft het Jeugdvakantieloket een gerechtvaardigd belang bij het verwerken van deze gegevens. Het Jeugdvakantieloket geeft immers geld weg en moet dat op een zorgvuldige manier kunnen doen, waarbij bovendien fraude wordt voorkomen.

Omdat het fonds zijn dienstverlening altijd wil verbeteren, kunnen jouw contactgegevens ook gebruikt worden voor klantenonderzoek. Daarnaast kunnen je contactgegevens worden gebruikt om je uit te nodigen voor bijeenkomsten van het Jeugdvakantieloket die voor jou of jouw organisatie interessant kunnen zijn.

Minderjarigen
Aanvragers bij het Jeugdvakantieloket moeten 16 jaar of ouder zijn. Om die reden verwerken wij geen gegevens van jongeren onder de 16 jaar. Omdat aanvragers bij het Jeugdvakantieloket verenigingen of stichtingen moeten zijn, is de kans erg klein dat de contactpersoon jonger is dan 16 jaar. Wij kunnen dit echter niet vooraf controleren. Wij raden ouders/verzorgers dan ook aan betrokken te zijn bij de online activiteiten van hun kinderen, om zo te voorkomen dat er gegevens over kinderen worden verzameld zonder toestemming van ouders/verzorgers. Als je signaleert dat wij zonder die toestemming persoonlijke gegevens hebben verzameld over een minderjarige, neem dan contact op met onze privacy-contactpersoon via nivard@fonds1818.nl. Dan verwijderen wij deze informatie.

Bewaartermijn
De gegevens die je opgeeft bij het indienen van een aanvraag, worden door ons maximaal zeven jaar bewaard vanaf het moment dat het project door jouw organisatie financieel is verantwoord. Dit komt overeen met de fiscale bewaartermijn. Overigens heeft de ervaring geleerd dat dezelfde contactpersonen vaker aanvragen indienen. Het is dan handig als het Jeugdvakantieloket deze gegevens al heeft, zodat die niet elke keer opnieuw ingevoerd hoeven te worden en jouw nieuwe aanvraag sneller behandeld kan worden. Bij nieuwe aanvragen worden jouw gegevens altijd gecontroleerd en zo nodig geactualiseerd.
Bij aanvragen die worden afgewezen omdat ze niet voldoen aan onze algemene donatiecriteria, worden persoonsgegevens direct na de afwijzing verwijderd. Dit is bijvoorbeeld het geval bij aanvragen van organisaties buiten het werkgebied van het Jeugdvakantieloket,

Persoonsgegevens wissen
Als je wilt dat het Jeugdvakantieloket jouw gegevens uit de projectadministratie wist, dan kun je een simpel verzoek hiertoe mailen naar Michel Nivard: nivard@fonds1818.nl. In dit geval zullen je gegevens zo snel mogelijk verwijderd worden. Als wij gegronde redenen hebben dat niet te doen, zal dat gemotiveerd worden aangegeven.

Je overige rechten vind je onderaan deze privacyverklaring.

3. Delen van je persoonsgegevens met derden
Het Jeugdvakantieloket verkoopt je gegevens niet aan derden en verstrekt deze uitsluitend als dit nodig is voor de uitvoering van onze overeenkomst met jouw organisatie of om te voldoen aan een wettelijke verplichting.

Als het nodig is dat het Jeugdvakantieloket gebruik maakt van externe bedrijven die toegang moeten hebben tot contactgegevens, zoals de systeembeheerder van Fonds 1818 (beheert de website en voert de projectadministratie voor het Jeugdvakantieloket), mag je ervan uitgaan dat deze bedrijven zorgvuldig worden geselecteerd. Bovendien moeten die bedrijven zich contractueel jegens Fonds 1818 verplichten dat zij zich op hun beurt ook aan de privacywetgeving houden via verwerkersovereenkomsten die met hen gesloten worden. Het Jeugdvakantieloket blijft verantwoordelijk voor deze verwerkingen.

4. Technische en organisatorische bescherming van je gegevens
Het Jeugdvakantieloket heeft de projectadministratie ondergebracht bij Fonds 1818. Het Jeugdvakantieloket heeft zich ervan vergewist dat Fonds 1818 passende technische en organisatorische maatregelen heeft genomen om een, op het risico afgestemd beveiligingsniveau te waarborgen. Bij deze maatregelen is rekening gehouden met:

  • de stand van de techniek;
  • de uitvoeringskosten (wegen deze op tegen de risico’s die betrokkenen lopen);
  • de aard, omvang, context en doelen van de gegevensverwerking;
  • de waarschijnlijkheid en ernst dat betrokkenen risico’s lopen ten aanzien van hun rechten en vrijheden.

De belangrijkste technische beschermingsmaatregelen bij Fonds 1818

  • Beveiliging van de websites en andere applicaties door middel van SSL-certificaten.
  • Goed ingerichte up to date firewalls inclusief IPSEC VPN-verbinding tussen de organisatie en het datacenter.
  • Multi-factor authenticatie (MFA) voor alle ICT-diensten en toepassingen aan de hand van telefoon van de zaak beheerd door de ICT-beheerder.
  • Password Policy.
  • Up to date antivirussoftware.
  • Adequate monitoring software (real time) die draait bij de externe ICT-beheerder.
  • Gebruikerspolicies groepsbeleid waardoor het lokaal installeren van software niet mogelijk is.
  • Dagelijkse back-up die beveiligd is door een encryptie en wordt gedupliceerd naar een uitwijklocatie (retentietermijn 30 dagen).
  • De bedrijfssystemen zijn uitsluitend toegankelijk voor gebruikers die hiermee moeten werken. Authenticatie en autorisatie is goed gereguleerd via het systeem van rechten en rollen.
  • Bij de website wordt uitsluitend gebruik gemaakt van analyse-cookies om het websitebezoek te analyseren. Deze zijn anoniem.
  • Bedrijfssystemen en kantoorautomatisering draaien operationeel in een ISO 27001 gecertificeerd datacenter (PaaS). Het beheer is uitbesteed aan een externe beheerpartij die eveneens ISO 27001 gecertificeerd is.
  • Een deel van de kantoorautomatisering (mailservice en Teams) draait operationeel als SaaS (Office 365).
  • Laptops en telefoons van de zaak worden beheerd door de externe ICT-beheerder.
  • Scans worden niet opgeslagen op de harde schijf van de printer.

De belangrijkste organisatorische beschermingsmaatregelen bij Fonds 1818

  • Clean desk policy t.a.v. documenten met persoonsgegevens.
  • Uitsluitend de portefeuillehouder ICT, dan wel de coördinator ICT, is verantwoordelijk voor het toekennen en stopzetten van de accounts van medewerkers op de bedrijfssystemen en kantoorautomatisering.
  • Beveiliging ingang gebouwen d.m.v. camera’s en, als het kantoor gesloten is, een alarmsysteem.
  • De magneetsleutels van medewerkers kunnen niet nagemaakt worden. Eén vaste medewerker is verantwoordelijk voor de administratie van verstrekte en ingenomen sleutels (sleutelbeleid).
  • Medewerkers worden getraind om hun computer te vergrendelen als zij hun werkplek verlaten. Daarnaast vergrendelt het systeem automatisch na 10 minuten inactiviteit
  • Gegevensbescherming wordt regelmatig geagendeerd, zodat medewerkers zich ervan bewust blijven dat ze hiermee zorgvuldig moeten omgaan.
  • Er wordt op toegezien dat medewerkers gegevens op externe apparaten zorgvuldig gebruiken.
  • Afgesloten papiercontainers voor vertrouwelijke gegevens, waarvan de inhoud wordt vernietigd door een gecertificeerd bedrijf.
  • Iedere medewerker, zowel vast als tijdelijk, intern of extern, is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken.
  • Er is een interne werkgroep AVG die in de gaten houdt of conform de wettelijke eisen en het interne beleid met gegevens wordt omgegaan en of er aanvullende technische of organisatorische maatregelen nodig zijn. Zo nodig wordt actie ondernomen.

5. Jouw rechten
Op grond van de wet heb je een aantal wettelijke rechten, namelijk het recht:

  • op inzage van je persoonsgegevens;
  • op rectificatie of aanvulling van je persoonsgegevens;
  • op beperking van de verwerking;
  • van bezwaar;
  • op vergetelheid (wissen van jouw persoonsgegevens);
  • op gegevensoverdraagbaarheid (dataportabiliteit);
  • om niet onderworpen te worden aan automatische besluitvorming (Het Jeugdvakantieloket maakt geen gebruik van automatische besluitvorming).

Wil je een beroep doen op één of meer van deze rechten? Laat het ons weten per e-mail. Contactpersoon hiervoor is Michel Nivard: nivard@fonds1818.nl.
Je kunt ook met Michel Nivard contact opnemen als je meer informatie wilt over dit onderwerp of als je een klacht bij het fonds wilt indienen met betrekking tot de bescherming van jouw gegevens. Het fonds zal er alles aan doen om je te helpen en zo nodig tot een oplossing te komen.

In het uiterste geval kun je een klacht tegen het fonds indienen bij de Autoriteit Persoonsgegevens (zie https://autoriteitpersoonsgegevens.nl).