Privacybeleid

Onderstaand privacybeleid is van kracht per 25 mei 2018. Versie: Mei 2026.
NKC wil betrouwbare en stabiele dienstverlening leveren aan haar klanten en een betrouwbare werkgever zijn voor onze medewerkers. Privacy stellen wij daarom in dienst van onze primaire dienstverlening en wordt zodanig opgezet dat het ons primaire proces en de hierbij behorende dienstverlening ondersteunt. Wij zorgen voor een aantoonbare beheersing van privacy en een stabiele bedrijfsvoering in de vorm van technische en organisatorische maatregelen. Dit alles ingegeven door relevante wet- en regelgeving.

Inhoudsopgave

1. Inleiding

1.1 Vereisten verwerking persoonsgegevens voor verenigingen

De AVG kent zes grondslagen voor het verwerken van persoonsgegevens. Om persoonsgegevens te mogen verwerken, moet minimaal één van deze grondslagen van toepassing zijn:

  • De desbetreffende persoon geeft toestemming.
  • Het is nodig om een overeenkomst uit te voeren.
  • Het is nodig voor het nakomen van een wettelijke verplichting.
  • Het is nodig voor het beschermen van een vitaal belang.
  • Het is nodig voor het uitvoeren van een taak van algemeen belang of het openbaar gezag.
  • Het is nodig voor het behartigen van een gerechtvaardigd belang.

1.2 Aanvullende vereisten

De NKC stelt met dit privacybeleid, naast de wettelijke vereisten, ook een aantal aanvullende richtlijnen vast voor het verwerken van persoonsgegevens. Dit beleid bevat aandachtspunten voor leden, gebruikers, beheerders en ontwerpers van systemen om niet alleen nu, maar ook in de toekomst de privacy te waarborgen.

1.3 Persoonsgegevens

Persoonsgegevens zijn alle soorten informatie over personen waarmee zij geïdentificeerd kunnen worden. Voorbeelden zijn naam- en adresgegevens, e-mail- en IP-adressen en pasfoto’s. Daarnaast onderscheidt de wet bijzondere persoonsgegevens, zoals informatie over gezondheid. Dergelijke informatie grijpt dieper in op de persoonlijke levenssfeer van een persoon. Daarom mag deze informatie alleen onder strengere voorwaarden worden verwerkt.

1.4 Systemen

De NKC verwerkt persoonsgegevens in de verschillende systemen. Deze worden gehost op internetservers van de NKC in Europese datacenters.

Ledenadministratie
De administratieve applicatie van de NKC wordt gebruikt door individuele leden van de NKC. Het doel van deze applicatie is leden sneller te voorzien van de juiste informatie en om administratieve taken efficiënter te laten verlopen. De gegevens worden op één plaats opgeslagen. Met hun persoonlijke MijnNKC-account krijgen leden toegang tot de applicatie en hun eigen persoonsgegevens.

Digitale kanalen NKC
De NKC beheert een website en twee apps:

  • nkc.nl
  • app NKC Pocket
  • app Kampeerauto

Verzekeringsadministratie
De verzekeringsadministratie wordt beheerd in samenwerking met Schouten Zekerheid. Beide partijen kwalificeren hierbij als zelfstandig verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens. De persoonsgegevens die worden verwerkt, zijn nodig om de betreffende polissen te kunnen beheren.

Online webinars
De registratie van de deelnemers van een online webinar wordt online vastgelegd. Na afloop van het webinar, of het laatste webinar in geval van een serie, worden deze gegevens gewist.

Klantcontact en AI-ondersteuning
Voor het afhandelen van telefoongesprekken, e-mails en chats maakt de NKC gebruik van ondersteunende software (o.a. Freshdesk). Hierbij wordt gebruikgemaakt van Artificial Intelligence (AI) voor het transcriberen van spraak naar tekst en het samenvatten van dossiers. Uw gegevens blijven hierbij binnen beveiligde (Europese) omgevingen en worden niet gebruikt om publieke AI-modellen te trainen.

1.5 Rechten

Recht op inzage
Als er persoonsgegevens van iemand worden verwerkt heeft deze persoon het recht te weten welke gegevens dit zijn, waarvoor ze precies worden gebruikt en met wie deze eventueel worden gedeeld. Iemand kan alleen gegevens over zichzelf opvragen, niet over anderen. De meeste gegevens die de NKC van personen verwerkt, zijn online in te zien op de persoonlijke MijnNKC-pagina.

Recht om vergeten te worden
Een betrokkene heeft in sommige gevallen het recht om vergeten te worden, ofwel om zijn persoonlijke gegevens te laten verwijderen uit de administratie van de NKC. De NKC moet een dergelijk verzoek inwilligen in de volgende situaties:

  • De gegevens zijn niet langer noodzakelijk voor het doel waarvoor zij zijn verzameld.
  • De gegeven toestemming wordt ingetrokken en er is geen andere rechtsgrond voor de verwerking.
  • Er wordt bezwaar gemaakt tegen de verwerking.
  • De gegevens zijn onrechtmatig verwerkt.

Overige rechten

  • Recht op rectificatie: Het recht om onjuiste gegevens te laten aanpassen.
  • Recht op beperking: Het recht om minder gegevens te laten verwerken.
  • Recht op dataportabiliteit: Het recht om gegevens over te dragen naar een andere partij.
  • Recht op bezwaar: Het recht om bezwaar te maken tegen bepaalde verwerkingen (zoals marketing).

Met een schriftelijk verzoek kunnen leden en klanten hun rechten vanuit AVG beoefenen. Dit verzoek kan via e-mail gestuurd worden naar: [email protected]. De NKC reageert binnen de termijn van één maand. In sommige gevallen kan de NKC het verzoek niet inwilligen, bijvoorbeeld als er een wettelijke verplichting bestaat om de gegevens te bewaren. De betrokkene wordt daarover geïnformeerd.

1.7 Vertrouwelijkheid en Geheimhouding

De NKC hanteert strikte maatregelen om de vertrouwelijkheid van uw gegevens te waarborgen:

  • Medewerkers en vrijwilligers: Alle medewerkers, stagiaires en vrijwilligers die toegang hebben tot persoonsgegevens zijn contractueel verplicht tot geheimhouding.
  • Toegangsbeveiliging: Toegang tot persoonsgegevens is beperkt tot die personen voor wie dit noodzakelijk is voor de uitvoering van hun functie.
  • Externe partijen: Met ingehuurde partijen worden verwerkersovereenkomsten gesloten waarin geheimhouding juridisch is afgedwongen.

Van de geheimhoudingsplicht mag alleen worden afgeweken indien er een wettelijke verplichting bestaat om gegevens aan bevoegde instanties te verstrekken.

1.8 Privacy statement

De NKC verwerkt persoonsgegevens en wil daarover zo duidelijk en transparant mogelijk communiceren. In het privacystatement wordt antwoord gegeven op de belangrijkste vragen over de verwerking van persoonsgegevens door de NKC. Het privacy statement is hier te vinden.

 

2. Verwerking en autorisatie

2.1 Verwerking in de ledenadministratie

In de ledenadministratieapplicatie worden de volgende processen afgehandeld:

  • Ledenadministratie.
  • Financiële administratie inclusief debiteuren- en crediteurenadministratie.
  • Inschrijving en facturering voor deelname aan reizen en evenementen.
  • Verkopen van artikelen in de webshop.

Om deze processen goed te laten verlopen, worden algemene persoonsgegevens vastgelegd, zoals NAW-gegevens, e-mailadressen, telefoonnummers, geboortedatum en -plaats, kentekens en bankrekeningnummers.

De NKC baseert deze verwerkingen op de volgende grondslagen:

  • Gegevensverwerking is nodig om een overeenkomst uit te voeren. Voor de dienstverlening die voortvloeit uit bijvoorbeeld het lidmaatschap is het noodzakelijk persoonsgegevens te verwerken, evenals voor het aangaan van andere overeenkomsten.
  • De desbetreffende persoon geeft toestemming voor de gegevensverwerking. De NKC verwerkt persoonsgegevens op basis van toestemming. Van deelnemers aan NKC Camperreizen of NKC Evenementen worden soms ook bijzondere persoonsgegevens vastgelegd — uitsluitend gezondheidsgegevens die noodzakelijk zijn om de reis of het evenement te kunnen uitvoeren. De deelnemer dient hiervoor expliciet toestemming te geven.

Het staat leden vrij de toestemming te onthouden of in te trekken. Mogelijk heeft een dergelijke beslissing tot gevolg dat de dienstverlening niet optimaal is of helemaal niet kan worden uitgevoerd.

Registratie van aanvullende gegevens
Voor onderzoeksdoeleinden kunnen er aanvullende gegevens worden verwerkt. Leden kunnen zich hiervoor zelf online aan- en afmelden en de gegevens wijzigen.

Verstrekking aan derden
Om de dienstverlening van de NKC optimaal uit te voeren, worden derde partijen ingeschakeld. Het gaat om:

  • Verwerkers van de verzending van postzendingen en periodieken, zoals de Kampeerauto.
  • Onderzoeksbureaus voor het uitvoeren van onderzoek en enquêtes.
  • E-mailservice-providers voor het verzenden van digitale mailings en nieuwsbrieven.
  • Derde partijen in het kader van de uitvoering van reizen of evenementen, zoals ferry-maatschappijen en campings.

De NKC verkoopt nooit gegevens aan derden. Data wordt alleen verstrekt voor een functionele werking van de dienstverlening van de NKC.

2.2 Autorisatie ledenadministratie

Leden
Leden zijn zelf verantwoordelijk voor de kwaliteit van hun gegevens in de ledenadministratie. Zij dienen wijzigingen in hun persoonsgegevens door te geven, online in MijnNKC of met een e-mailbericht aan de ledenadministratie. In hun persoonlijke MijnNKC-account kunnen leden hun gegevens inzien en (deels) zelf bewerken.

Medewerkers
Elke medewerker van de NKC kan — na toepassing van een interne autorisatietabel — gegevens van leden inzien in de ledenadministratie. Toegang geschiedt met behulp van tweefactorauthenticatie. Medewerkers mogen geen persoonsgegevens van deelnemers aan een reis of evenement doorgeven aan andere deelnemers of leden van die groep.

Vrijwilligers
NKC-vrijwilligers die een evenement of een reis organiseren, mogen de gegevens van ingeschreven leden gebruiken onder de volgende voorwaarden:

  • In de deelnemersvoorwaarden staat beschreven dat de gegevens uitsluitend worden gebruikt voor het evenement.
  • Er is een opt-in voor het gebruik van bijzondere persoonsgegevens die op het inschrijfformulier worden gevraagd.
  • Deelnemerslijsten in bezit van de vrijwilliger worden binnen vier weken na afloop van het evenement of de reis vernietigd.
  • Persoonsgegevens van deelnemers worden nooit doorgegeven aan andere deelnemers of leden van de groep.

2.3 Verwerking in de verzekeringsadministratie

De verzekeringsadministratie wordt ingezet voor de (registratie van de) volgende processen:

  • Het leveren van de gevraagde diensten.
  • Het bemiddelen bij het tot stand komen van verzekeringen.
  • Het afhandelen van schades.
  • Het onderzoeken van schades of klachten in verband met verzekeringspolissen en/of de dienstverlening.
  • Het onderzoeken van de klanttevredenheid.
  • Het onderzoeken van de kredietwaardigheid en het debiteurenbeleid.
  • Het intern rapporteren, analyseren, en verbeteren van producten en diensten.
  • Het nakomen van wettelijke verplichtingen.

De NKC en Schouten Zekerheid baseren deze verwerkingen op de volgende grondslagen:

  • Uitvoering van een overeenkomst. Voor de dienstverlening die voortvloeit uit het afsluiten van verzekeringen is het noodzakelijk persoonsgegevens te verwerken.
  • Nakoming van een wettelijke verplichting. De Wet Financieel Toezicht en De Nederlandsche Bank vereisen het registreren van bepaalde persoonsgegevens bij verzekeringsproducten.
  • Gerechtvaardigd belang. Informatie over fraude en kredietwaardigheid speelt mee in de beoordeling van een aanvraag.
  • Toestemming. Voor het registreren van profileringskenmerken dient expliciet toestemming te worden gevraagd.

In het kader van onze dienstverlening schakelen wij derde partijen in. Wij kunnen gegevens verstrekken aan:

  • Verzekeraars en tussenpersonen waar nodig voor het sluiten van verzekeringen en het verlenen van onze diensten.
  • Expertisebureaus, juristen en onderzoeksbureaus voor werkzaamheden in het geval van schade en benodigde rapportages.
  • Opsporingsinstanties waar nodig om fraude en criminaliteit te voorkomen of op te sporen.
  • Overheidsinstanties waar nodig om aan wettelijke verplichtingen te voldoen. In het kader van motorrijtuigenverzekeringen worden gegevens doorgegeven aan de Rijksdienst voor het Wegverkeer.
  • Medische deskundigen, bijvoorbeeld bij dienstverlening omtrent ziektekostenverzekeringen en claimafhandeling.
  • Onderzoeksbureaus voor kredietwaardigheid, strafrechtelijk verleden en fraudeonderzoek.
  • Leveranciers van IT-infrastructuur, cloud-opslag en AI-diensten (waaronder Microsoft, Google en Snowflake). Met deze partijen zijn verwerkersovereenkomsten gesloten en wordt opslag binnen de EER nagestreefd.

2.4 Verwerking NKC Online

Onder NKC Online vallen nkc.nl en de apps NKC Pocket en Kampeerauto. Deze systemen maken onderling gebruik van dezelfde persoonsgegevens: namen, geboortedata, e-mailadressen, lidmaatschapsnummers, postcodes en IP-adressen.

2.5 Verwerking voor online webinars

De persoonsgegevens die worden vastgelegd voor de online webinars worden ingezet om deelnemers toegang te geven tot een online webinar. De NKC baseert deze verwerkingen op gerechtvaardigd belang, toestemming van de betrokkene en de uitvoering van de overeenkomst. NKC Online verstrekt geen persoonsgegevens aan derden.

 

3. Bewaren van persoonsgegevens

De NKC hanteert de volgende specifieke bewaartermijnen:

Gegevenscategorie Bewaartermijn Reden
Lidmaatschapsgegevens Tot 2 jaar na beëindiging lidmaatschap Service & heractivering
Financiële gegevens 7 jaar na transactie Wettelijke fiscale bewaarplicht
Verzekeringsdossiers 5 tot 7 jaar na einde polis Wettelijke plicht & dossieropbouw
Reisgegevens (Algemeen) 7 jaar Fiscale bewaarplicht
Gezondheidsgegevens (Reizen) Maximaal 1 jaar na terugkomst Zorgplicht tijdens reis (daarna verwijdering)
Sollicitatiegegevens 4 weken (of 1 jaar met toestemming) NVP Sollicitatiecode
Klantcontact (Opnames/AI) 36 maanden Kwaliteitsdoeleinden

Kopiëren
Databestanden met persoonsgegevens die worden vermenigvuldigd ter uitvoering van een overeenkomst worden eenmalig ter beschikking gesteld aan de betrokken medewerker. Het is de medewerker niet toegestaan deze databestanden andermaal te vermenigvuldigen en/of ter beschikking te stellen aan een ongeautoriseerde derde.

Publiceren
De gegevens in de ledenadministratie zijn strikt persoonlijk. Deze mogen niet zonder uitdrukkelijke voorafgaande toestemming van het betreffende lid openbaar worden gemaakt.

Verwijderen
Geëxporteerde bestanden mogen slechts tijdelijk worden benut en dienen vervolgens te worden vernietigd, zodanig dat deze zowel op papier als digitaal onbruikbaar zijn.

Bewaren
Gegevens in de ledenadministratie worden bewaard zolang het lidmaatschap van het betreffende lid loopt. Na afloop worden de persoonsgegevens nog twee jaar bewaard. De betrokkene die dat niet wenst, kan de NKC verzoeken deze gegevens eerder te verwijderen. Ook na afloop van het lidmaatschap worden gegevens waarvoor een wettelijk verplichte termijn van zeven jaar geldt, voor die termijn bewaard. Daarna worden de gegevens verwijderd of geanonimiseerd.

 

4. Mailings

De NKC verzendt met grote regelmaat berichten via de post, e-mail en andere kanalen naar leden en belangstellenden die zich hebben aangemeld voor bepaalde mailings. Hiervoor houdt de NKC zich aan onderstaande regels.

Opt-in / opt-out
De NKC kan en mag leden de voor hun lidmaatschap en/of deelname aan activiteiten relevante informatie, ongevraagd toesturen. De betrokkene kan eerder verleende toestemming op elk moment intrekken. Voor e-mailnieuwsbrieven kan de betrokkene zelf via de afmeldlink onderaan het bericht zijn/haar toestemming intrekken. Systeemberichten, zoals facturen en aanmaningen, en berichten die essentieel zijn voor het lidmaatschap hebben geen opt-out mogelijkheid.

Bulkmail
Het begrip bulkmail omvat e-mailberichten, postzendingen, SMS- en telemarketingacties die in grote aantallen worden verspreid. Om overlast voor de ontvangers te voorkomen, werkt de NKC met een intern protocol inzake bulkmail, waarin onder meer regels zijn opgenomen over aantallen en frequentie van bulkmailzendingen.

Uitzonderingen
Berichten met minder dan twintig unieke ontvangers zijn géén bulkmail. Daarnaast zijn systeemberichten en functionele e-mails uitgesloten van bulkmail en de opt-outmogelijkheid. Het gaat dan om berichten met bijvoorbeeld toegangsbewijzen of deelnamebevestiging.

 

5. Governance en organisatie

De NKC borgt de privacybescherming door een duidelijke verdeling van rollen en verantwoordelijkheden. Hiermee voorkomen we belangenverstrengeling en zorgen we voor onafhankelijk intern toezicht.

5.1 Rollen en functies

Binnen de NKC zijn de volgende rollen aangewezen:

  • Het Bestuur (Eindverantwoordelijke): Het bestuur is juridisch verantwoordelijk voor het naleven van de AVG binnen de NKC. Zij stelt de kaders vast en zorgt voor voldoende middelen om het privacybeleid uit te voeren.
  • Functionaris voor de Gegevensbescherming (FG): De NKC heeft de manager bedrijfsvoering aangesteld als FG. De FG houdt toezicht op de naleving van de privacywetgeving, adviseert over DPIA’s en is het aanspreekpunt voor de Autoriteit Persoonsgegevens. De FG rapporteert direct aan het bestuur.
  • Privacy Officer (PO): De Privacy Officer is verantwoordelijk voor de dagelijkse uitvoering van het privacybeleid, waaronder het bijhouden van het verwerkingsregister, het ondersteunen bij datalekken en het verhogen van het privacybewustzijn op de werkvloer.
  • Information Security / Functioneel Beheer: Verantwoordelijk voor de technische en organisatorische beveiligingsmaatregelen. Zij zorgen dat systemen veilig zijn en dat autorisaties correct zijn ingesteld.
  • Medewerkers en Vrijwilligers: Iedereen die voor de NKC werkt, is verantwoordelijk voor een zorgvuldige omgang met persoonsgegevens in zijn of haar dagelijkse werk.

5.2 Borging en controle (Three Lines Model)

De NKC werkt volgens het ‘Three Lines Model’ om risico’s te beheersen:

  • Eerste lijn (Uitvoering): De afdelingen die dagelijks gegevens verwerken. Zij zijn zelf verantwoordelijk voor het correct uitvoeren van processen.
  • Tweede lijn (Advies & Kader): De Privacy Officer en Information Security. Zij stellen de regels op, adviseren de eerste lijn en controleren of processen ‘privacy by design’ zijn ingericht.
  • Derde lijn (Toezicht): De FG voert onafhankelijke controles uit op de effectiviteit van de eerste en tweede lijn en rapporteert hierover aan het bestuur.

5.3 Basisregels voor medewerkers

Alle personen die onder verantwoordelijkheid van de NKC gegevens verwerken, houden zich aan de volgende basisregels:

  • Verwerk alleen gegevens als er een duidelijke grondslag en doel is.
  • Deel gegevens alleen met collega’s die dit voor hun functie echt nodig hebben (need-to-know).
  • Bewaar gegevens niet langer dan noodzakelijk.
  • Houd apparatuur en accounts veilig (geen gedeelde wachtwoorden, gebruik 2FA).
  • Meld vermoedens van een datalek direct bij de Privacy Officer.

5.4 Compliance aan wet- en regelgeving

Wij nemen ons voor te voldoen aan alle voor onze organisatie van toepassing zijnde wet- en regelgeving ter bescherming van privacy, waaronder de AVG en de UAVG.

Verwerkingsregister
Wij houden een verwerkingsregister bij waarin alle verwerkingen staan vermeld met betrekking tot persoonsgegevens van zowel het primaire proces als de ondersteunende processen.

DPIA
Bij de verwerking van persoonsgegevens die mogelijk een risico voor de betrokkene met zich meebrengen, voeren wij een Data Protection Impact Assessment (DPIA) uit. DPIA’s worden jaarlijks opnieuw beoordeeld en waar nodig geactualiseerd.

Verwerkersovereenkomsten
Met onze opdrachtgevers, ketenpartners en leveranciers waarbij persoonsgegevens worden verwerkt, sluiten wij verwerkersovereenkomsten af.

Datalekken
Datalekken handelen wij aantoonbaar af middels een vastgestelde workflow en registreren wij in een register. Al naar gelang de impact van het datalek wordt een melding gedaan bij de Autoriteit Persoonsgegevens en de betrokkenen. Wij evalueren onze datalekken en nemen maatregelen ter voorkoming en verbetering.

 

6. Klachten

Wie klachten heeft over de verwerking van zijn persoonsgegevens door NKC, kan daarover contact opnemen door een e-mail te sturen naar [email protected]. De NKC zoekt dan samen met de betrokkene naar een oplossing. Lukt dat niet naar tevredenheid, dan is er nog de mogelijkheid een klacht in te dienen bij de privacy toezichthouder: de Autoriteit Persoonsgegevens.

Deel pagina
mail