1. Inleiding
POLARIS (hierna ook aangeduid als het 'platform') is een clubbeheersysteem ontwikkeld en geëxploiteerd door Rotary Communication Services Switzerland-Liechtenstein, een vereniging onder Zwitserse wetgeving gevestigd in Zug ('RCS'). Het wordt gebruikt door organisaties die verbonden zijn aan POLARIS, met name Rotary, Rotaract, Interact en Inner Wheel, evenals hun clubs, districten en andere organisatorische eenheden (hierna gezamenlijk aangeduid als de 'gemeenschap').
Alle gebruikers van POLARIS accepteren de 'Algemene Voorwaarden voor het gebruik van POLARIS' ('AV') en het 'Privacy beleid voor gebruikers van POLARIS' ('Privacy beleid') bij het eerste gebruik van het platform. Deze documenten definiëren de voorwaarden, reguleren het gebruik van het platform en stellen de voorwaarden vast voor de verwerking van persoonsgegevens.
Deze vertrouwelijkheidsverklaring ('verklaring') vult deze documenten aan. Het is bindend voor alle personen die administratieve rechten binnen POLARIS ('beheerders') hebben toegekend. Het reguleert de behandeling van persoonsgegevens, clubgegevens en andere vertrouwelijke informatie waartoe beheerders toegang hebben tijdens hun werk, en biedt de noodzakelijke juridische basis voor deze uitgebreide rol. In geval van een conflict tussen de GTC, het Privacy beleid en deze Verklaring, gelden de bepalingen van de Verklaring.
2. Reikwijdte en doel
Deze verklaring geldt voor alle beheerders die, vanwege hun rol, speciale toegangsrechten hebben tot persoonsgegevens, clubgegevens en technische administratiegegevens.
Het doel van deze verklaring is het waarborgen van een verhoogd bewustzijn van veiligheid en verantwoordelijkheid onder beheerders, het waarborgen van naleving van de gegevensbeschermingsvoorschriften (in het bijzonder de AVG en FADP) en het opstellen van bindende regels voor de vertrouwelijke behandeling van alle gegevens waartoe beheerders toegang hebben.
3. Toegangs- en datacategorieën
Beheerders krijgen toegang tot de volgende gegevenscategorieën exclusief binnen het bereik van hun administratieve taken:
Ledengegevens (bijv. contactgegevens, functies, clublidmaatschap)
Club- en organisatiegegevens (bijv. structuren, evenementen, interne communicatie)
Technische administratiegegevens (e.g. log bestanden, gebruikersrechten)
Toegang wordt altijd verleend volgens het need-to-know-principe, dat wil zeggen alleen voor de mate die nodig is voor de uitvoering van administratieve taken.
4. Taken van de beheerder
De beheerder verbindt zich uitdrukkelijk tot
a) Vertrouwelijkheid
Behandel alle persoonlijke gegevens, clubgegevens en andere vertrouwelijke informatie waartoe zij tijdens hun werk toegang hebben, als strikt vertrouwelijk en niet toegestaan dat onbevoegden toegang krijgen tot dergelijke gegevens.
b) Doelbeperking
Verwerk vertrouwelijke informatie uitsluitend voor de administratieve taken die aan hen zijn toegewezen door de betreffende organisatie-eenheid.
c) Verbod op misbruik
Onthoud je van
het gebruik van vertrouwelijke informatie voor privé- of niet-gemeenschapsdoeleinden,
kopieën, exporten of screenshots maken of lokaal opslaan, tenzij dit uitdrukkelijk noodzakelijk of goedgekeurd is,
Gegevens doorgeven aan ongeautoriseerde derden of het toegankelijk maken ervan voor hen.
d) Technische en organisatorische beveiligingsmaatregelen
Voldoen aan alle passende beschermingsmaatregelen om de vertrouwelijkheid, beschikbaarheid en integriteit van persoonsgegevens, clubgegevens en andere vertrouwelijke informatie te waarborgen om een adequaat beschermingsniveau te waarborgen en in het bijzonder om ongeoorloofde of accidentele vernietiging, accidenteel verlies, diefstal of onrechtmatig gebruik van deze gegevens, ongeoorloofde wijziging, ongeoorloofd kopiëren of andere ongeautoriseerde verwerking te voorkomen, waaronder door:
Met sterke en geheime wachtwoorden,
Met tweefactorauthenticatie,
Met behulp van actuele en beveiligde eindapparaten,
Regelmatige updates, firewall- en virusbeschermingsmaatregelen,
Persoonlijke gegevens uitsluitend via versleutelde verbindingen verzenden.
e) Terugsturen en verwijderen
Verwijder onmiddellijk alle toegangen, geëxporteerde bestanden, kopieën en andere lokaal opgeslagen gegevens zodra hun beheerdersfunctie werd beëindigd, of draag deze over aan de verantwoordelijke organisatie.
5. Omgaan met de rechten van betrokkenen
De beheerder ondersteunt de betreffende organisatie-eenheid bij het naleven van de rechten van de betrokkenen (in het bijzonder informatie, correctie, verwijdering, beperking van verwerking), maar neemt geen onafhankelijke, juridisch bindende beslissingen. Administratieve handelingen worden alleen uitgevoerd binnen de reikwijdte van expliciete instructies of duidelijk gedefinieerde bevoegdheden.
6. Het melden van beveiligingsincidenten en schadebeperking
De beheerder is verplicht om elke daadwerkelijke of vermoedelijke ongeautoriseerde toegang tot persoonsgegevens of andere beveiliging gerelateerde incidenten zonder uitstel te melden aan de verantwoordelijke organisatie.
Hij moet alle redelijke maatregelen nemen om schade te beperken, in het bijzonder door:
Onmiddellijke verdere ongeautoriseerde toegang voorkomen,
Herstellen van getroffen gegevens, indien toegestaan,
het waarborgen van het verwijderen of het overdragen van lokale kopieën.
Deze verplichtingen bestaan ongeacht eventuele schuld van de beheerder.
7. Geen toekenning van intellectuele eigendomsrechten
De beheerdersrechten verlenen geen intellectuele eigendomsrechten op data, inhoud of systeemcomponenten. Alle rechten blijven bij RCS of de betreffende organisatie-eenheid. De beheerder krijgt alleen het niet-overdraagbare, herroepbare recht om gegevens te gebruiken binnen de reikwijdte van zijn administratieve taken.
8. Sancties en aansprakelijkheid
In geval van een schuldige schending van verplichtingen krachtens deze Verklaring, is de beheerder aansprakelijk voor eventuele daaruit voortvloeiende schade binnen de reikwijdte van de wettelijke bepalingen.
RCS en de respectieve organisatorische eenheid behouden zich het recht voor om de volgende maatregelen te nemen in geval van overtredingen:
Intrekking van administratieve rechten
Initiatief nemen van maatregelen onder het verenigingsrecht
Overweeg mogelijke civiele of strafrechtelijke procedures
9. Duur van geldigheid van de verklaring
Deze verklaring treedt in werking bij activatie van de administratieve rechten door de betreffende organisatie.
Het eindigt niet automatisch bij het verlies van administratieve rechten, maar is voor onbepaalde tijd van toepassing op alle gegevens en informatie waarvan de beheerder kennis heeft genomen tijdens zijn werk.
10. Toepasselijke wetgeving en plaats van jurisdictie
Deze verklaring is onderworpen aan het materiële recht van het land waarin de organisatie-eenheid waarvoor de beheerder werkt haar geregistreerde kantoor of zakelijke vestiging heeft.
Dezelfde plaats is de exclusieve plaats van jurisdictie voor alle geschillen die voortvloeien uit deze verklaring.
Polaris Vertrouwelijke Verklaring / Versie 1.0, maart 2026