Privacyverklaring CrossFit Nijmegen

Deze privacyverklaring is op 25 mei 2018 voor het laatst gewijzigd.

Met ingang van 25 mei 2018 is in de gehele Europese Unie de Algemene Verordening Gegevensbescherming (AVG) van kracht. De huidige Wet bescherming persoonsgegevens is vanaf dat moment niet meer geldig. Aan de verwerking van persoonsgegevens worden door de AVG strenge eisen gesteld. CrossFit Nijmegen heeft kennisgenomen van deze verordening en heeft, daar waar noodzakelijk, wijzigingen aangebracht in de interne beheersingsmaatregelen.

In deze privacyverklaring vindt u meer informatie over onze grondslagen voor het verzamelen van persoonsgegevens en de organisatorische waarborgen die wij hebben getroffen naar aanleiding van de AVG. Tevens informeren wij u over welke gegevens wij van onze leden verzamelen en met welk doel.

1)    Grondslagen voor het verzamelen van persoonsgegevens (art. 6 AVG)

Tot de persoonsgegevens behoren alle gegevens die terug te herleiden zijn tot een natuurlijk persoon. Gegevens die niet noodzakelijk zijn voor de uitvoering van onze bedrijfsactiviteiten zullen worden verwijderd. CrossFit Nijmegen verzamelt op basis van onderstaande grondslagen persoonsgegevens van haar leden.

–       Na toestemming van de gebruiker

Met ingang van 25 mei 2018 zal CrossFit Nijmegen nieuwe leden bij inschrijving altijd toestemming vragen voor het verzamelen van hun persoonsgegevens. Tevens zal worden gevraagd of leden ermee instemmen dat wij hen nieuwsbrieven of andere berichten versturen via ons ledenadministratiesysteem en of wij foto’s of ander beeldmateriaal mogen gebruiken voor social media uitingen of andere reclamevormen.

–       Noodzakelijk voor het uitvoeren van de overeenkomst

Voor het nakomen van onze afspraken (levering van onze diensten) dienen wij bepaalde persoonsgegevens (bijvoorbeeld naam, adres, emailadres en bankrekeningnummer) te verzamelen.

–       Op basis van een gerechtvaardigd belang

Om onze bedrijfsactiviteiten goed uit te kunnen voeren (bijv. de inschrijvingen voor lessen) zijn we genoodzaakt om in sommige gevallen persoonsgegevens te verzamelen. Dit is een gerechtvaardigd belang voor het verzamelen van persoonsgegevens.

2)    Verwerking persoonsgegevens

Voor de verwerking van de ledenadministratie maakt CrossFit Nijmegen gebruik van de onlinedienst SportBit Manager (verwerker). In deze privacyverklaring leggen wij (CrossFit Nijmegen) uit wat wij bij SportBit Manager allemaal doen met de informatie die we over onze leden verzamelen middels dit systeem. CrossFit Nijmegen blijft te allen tijde verwerkingsverantwoordelijke van alle gegevens welke in SportBit Manager zijn opgenomen.

Om gebruik te kunnen maken van SportBit Manager, dienen leden zich eerst te registreren. Hierbij geven zij toestemming voor de verwerking van de persoonsgegevens die wij in deze privacyverklaring noemen. Middels het ledenportaal (https://cfNijmegen.crossbit.nl) of via de app krijgen leden toegang tot de beheeromgeving waarin zij zelf allerlei zaken rondom hun lidmaatschap bij CrossFit Nijmegen kunnen regelen, zoals inschrijvingen, aankopen, instellingen, abonnementswijzigingen en opzeggingen. Tevens kunnen hier de privacy instellingen worden aangepast door leden zelf. Via de backoffice van het systeem wordt bijgehouden wat leden wanneer hebben gedaan in het systeem, zodat hier bewijs van is.

Bij registratie bij SportBit Manager wordt om de volgende gegevens gevraagd:

  • Gebruikersnaam
  • Wachtwoord
  • Naam
  • Emailadres
  • Profielfoto (optioneel)
  • Geboortedatum
  • Geslacht
  • Adresgegevens
  • Telefoonnummer
  • IBAN-nummer
  • Factuuradres
  • Medische informatie welke zelf door lid wordt aangedragen of door coaches wordt toegevoegd aan dossier

Gedurende het lidmaatschap kunnen, indien van toepassing, tevens de volgende gegevens worden verzameld van leden:

  • In- en uitschrijvingen voor lessen
  • Aankopen die zijn gedaan
  • Aanmeldingen, wijzigingen en opzeggingen van abonnementsvormen
  • Loggen van prestaties
  • Trainingsbuddies
  • Aanvullingen/wijzigingen in medische informatie

Wij gebruiken de persoonsgegevens van onze leden voor de volgende doelen indien noodzakelijk:

  • Aanmaken en in stand houden van je account
  • Verwerken en afhandelen van bestellingen en betalingen (bijv. abonnementsgelden of aankopen die je hebt gedaan op de box of in de webshop)
  • Verzenden van nieuwsbrieven of andere e-mails en/of pushberichten uit naam van CrossFit Nijmegen.
  • Informeren over wijzigingen van onze producten/diensten

Iedere onderneming is wettelijk verplicht zijn administratie 7 jaar te bewaren (fiscale bewaarplicht) waar het gaat om financiële transacties. CrossFit Nijmegen zal daarom de persoonsgegevens ook 7 jaar bewaren omdat aan ieder lidmaatschap financiële transacties gekoppeld zijn.

Samenwerking met derden

Daar wij samenwerken met derden (SportBit Manager) hebben wij middels een verwerkersovereenkomst de naleving van de AVG gewaarborgd. Deze verwerkersovereenkomst is door betrokken partijen ondertekend. CrossFit Nijmegen deelt enkel de hoogstnoodzakelijk informatie met deze externe partij.

Behalve aan SportBit Manager zullen wij gegevens van onze leden niet aan derden verstrekken, tenzij dit noodzakelijk is het kader van de leveringen van onze diensten of indien dit wettelijk verplicht is, bijvoorbeeld daartoe bevoegde partijen.

3)    Organisatorische waarborgen

In deze paragraaf hebben we de organisatorische maatregelen opgenomen welke CrossFit Nijmegen heeft getroffen in het kader van de AVG.

Functionaris Gegevensbescherming (art. 37 AVG)

CrossFit Nijmegen heeft Meneer S. Aelberts (mede-eigenaar) aangesteld als Functionaris Gegevensbescherming (FG). Hij is o.a. belast met het beheer en de beveiliging van verzamelde persoonsgegevens. Meneer S. Aelberts is bereikbaar via info@crossfit-nijmegen.com of via tel. 06 57 23 96 97.

Beveiliging van persoonsgegevens

De privacy van onze leden is belangrijk voor ons. CrossFit Nijmegen beheert haar gegevens via SportBit Manager. Om de continuïteit en de beveiliging te waarborgen, maken zij gebruik van zogeheten periodiek back-ups en beschikken zij over degelijke herstelplannen. Tevens maken zij periodieke analyses van de toegang die verleend is tot het systeem om eventuele risico’s tijdig te identificeren.

In het bijzonder worden de volgende maatregelen genomen:

  • Toegang tot persoonsgegevens wordt afgeschermd met een gebruikersnaam en wachtwoord.
  • Wachtwoorden worden door middel van onomkeerbare hashing opgeslagen
  • Secured communicatie met server (HTTPS/SSL)
  • De fysieke toegang tot de servers waar de gegevens zijn opgeslagen, is beperkt tot geautoriseerde personen.

Procedure omtrent het melden van datalekken (art. 33 AVG)

Indien er sprake is geweest van een beveiligingsincident, waarbij persoonsgegevens zijn verloren en/of onrechtmatig verkregen, dan zal CrossFit Nijmegen dit lek uiterlijk binnen 72 uur melden aan de Autoriteit Persoonsgegevens (AP) en de direct betrokkene(n).

Deze meldplicht behelst:

  • De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie, en bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie.
  • De naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar informatie kan worden verkregen.
  • De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens.
  • De voorgestelde of genomen maatregelen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van eventuele nadelige gevolgen.

Cookies

SportBit Manager maakt gebruik van cookies. Cookies zijn kleine bestandjes waar informatie in kan worden opgeslagen zodat deze niet steeds opnieuw ingevuld hoeven te vullen. Tegelijkertijd kan zo worden bijhouden hoe het ledenportaal wordt bezocht en gebruikt. Via de browser kan het plaatsen van cookies worden uitgeschakeld door gebruikers, maar sommige aspecten van het ledenportaal werken dan niet meer optimaal.

Google Analytics

SportBit Manager en CrossFit Nijmegen maken gebruik van Google Analytics om bij te houden hoe leden het ledenportaal gebruiken. Hiervoor is een verwerkingsovereenkomst gesloten met Google. In deze overeenkomst staan strikte afspraken over welke gegevens Google mag bijhouden. Zo heeft Google geen toestemming verkregen om de Analytics-informatie te gebruiken voor andere Googlediensten. Google IP-adressen worden geanonimiseerd.

Wijzigingen in deze privacyverklaring

Wanneer onze onlinedienst wijzigt of wanneer er samenwerkingen worden aangegaan met andere partijen, zal CrossFit Nijmegen de privacyverklaring moeten aanpassen. Let dus altijd op de genoemde datum om te zien of er nog nieuwe versies zijn. Wij zullen ons best doen om wijzigingen in de privacyverklaring ook apart aan te kondigen.

4)    Rechten van betrokkenen

Leden van CrossFit Nijmegen hebben recht op inzage, rectificatie en vergetelheid als het gaat om hun persoonsgegevens. Hieronder wordt dit nader toegelicht.

Recht op inzage (art.15 AVG)

Alle leden van CrossFit Nijmegen hebben recht op inzage van hun eigen gegevens die door SportBit Manager zijn opgeslagen. Het overgrote deel van deze gegevens kunnen leden zelf in SportBit Manager inzien. Mocht je meer informatie hierover willen, dan kun je een schriftelijk verzoek mailen naar info@crossfit-nijmegen.com. Vervolgens zal CrossFit Nijmegen z.sm. contact opnemen om een afspraak met je te maken.

Recht op rectificatie (art. 16 AVG)

Leden hebben te allen tijde recht op correctie (rectificatie) van onjuiste persoonsgegeven. Dit recht is door SportBit Manager gewaarborgd doordat leden zelf via hun eigen account hun persoonsgegevens op elk moment kunt aanpassen/rectificeren.

Recht om vergeten te worden (art. 17 AVG)

Alle leden van CrossFit Nijmegen hebben het recht op vergetelheid. Dit houdt in dat CrossFit Nijmegen in een aantal gevallen de persoonsgegevens zal wissen indien de betrokkene hierom verzoekt. Verzoeken kunnen worden ingediend bij info@crossfit-nijmegen.com. Op basis van wettelijke voorschriften (zoals de administratieve bewaarplicht art. 2.10 BW) kan dit verzoek echter worden afgewezen. Dit zal uiteraard door CrossFit Nijmegen met betrokkene worden gecommuniceerd.

Toestemming

Wij gebruiken gegevens van onze leden alleen met hun toestemming. Deze toestemming mogen leden altijd weer intrekken. Dit kan via de privacy instellingen in SportBit Manager. De intrekking van de toestemming heeft geen terugwerkende kracht. Het intrekken van de toestemming heeft dus geen gevolgen voor al uitgevoerde handelingen.

Klachten

Wanneer leden van mening zijn dat CrossFit Nijmegen niet op de juiste manier omgaat met hun gegevens, dan hebben zij het recht om een klacht in te dienen bij de toezichter: de Autoriteit Persoonsgegevens.

Heeft u vragen?

Indien u naar aanleiding van deze privacyverklaring nog vragen hebt over de AVG of meer informatie wenst over de wijze waarop CrossFit Nijmegen hiermee omgaat, dan kunt u contact opnemen met onze functionaris Gegevensbescherming via het volgende telefoonnummer: 06 57 23 96 97 of stuur een e-mail naar info@crossfit-nijmegen.com.