26 mei 2018

Beleid Persoonsgegevens

Beleid persoonsgegevens

 

  1. Beleid persoonsgegevens

     

    1. Definitie persoonsgegevens

    Onder persoonsgegevens worden verstaan alle gegevens die gebruikt kunnen worden om een persoon te identificeren.

    Alleen een naam of foto van een persoon hoeft bijvoorbeeld niet veel te zeggen, aangezien hiermee iemand niet of nauwelijks te identificeren is. Deze informatie samen geeft alleen wel de mogelijkheid om een persoon te herkennen (en identificeren); op dat moment zijn deze gegevens persoonsgegevens.

     

    Studievereniging Forum verwerkt persoonsgegevens om een lidmaatschap voor de vereniging op te zetten. Al deze gegevens samen geven een gedetailleerde omschrijving van een persoon en om de bescherming van deze informatie te optimaliseren maken wij gebruik van een privacy statement, beleid persoonsgegevens en een protocol persoonsgegevens (7).

     

    1. Verwerking persoonsgegevens

     

    Zoals in onze privacy statement benoemd staat zijn er een aantal doeleinden waarvoor de verzamelde gegevens worden gebruikt. Hier zal een beschrijving gegeven worden van deze doeleinde met de desbetreffende gegevens die voor deze doeleinde van toepassing zijn.

     

    • Verzamelde gegevens

     

    Deze gegevens worden met nummers aangeduid en er zal hierna steeds naar deze nummers verwezen worden. Gegevens die Studievereniging Forum verzameld en verwerkt zijn:

     

    1. Naam
    2. Adres
    3. Woonplaats
    4. Telefoonnummer
    5. Emailadres
    6. Geboortedatum
    7. Geslacht
    8. Studentnummer
    9. Studierichting
    10. IBAN-gegevens
    11. Postcode
    12. Gesproken taal
    13. Studiejaar
    14. Foto- en videomaterialen
    15. Kledingmaten

     

    • Overige en speciale gegevens

     

    In bepaalde gevallen is het voor Studievereniging Forum van belang om “speciale” gegevens te verzamelen die buiten de bovenstaande gegevens vallen. Voor (meerdaagse) evenementen is het mogelijk dat Studievereniging Forum vraagt om een bepaald aantal gegevens, zoals:

     

    • Medicatie gebruik
    • Medische of fysieke beperkingen
    • Allergieën en dieetwensen
    • Noodcontactgegevens van een huisarts en/of een ouder/verzorger
    • Scan van een legitimatiebewijs

     

    Gegevens zoals medicatie of allergieën worden verzameld wanneer deze van vitaal belang kunnen zijn. Met deze gegevens kan Studievereniging Forum het lid zo goed mogelijk proberen te ondersteunen. Mocht het voorkomen dat het lid zich in kritische toestand bevindt dan heeft Studievereniging Forum de mogelijkheid om medische hulpdiensten zo goed en volledig mogelijk in te lichten.

     

    Speciale persoonsgegevens waar in dit geval naar gevraagd wordt worden voor bepaalde tijd bewaard. Wanneer deze informatie geen directe functie meer bevat zullen deze speciale gegevens verwijderd worden.

     

    • Definitie doeleinden

     

    • Om onze leden diensten te verlenen en om (deze) te factureren

    Studievereniging Forum verleent op meerdere vlakken, verschillende diensten aan haar leden. Om gebruik te maken van een van de diensten van Studievereniging Forum is het mogelijk dat hier voor leden en alumni kosten aan verbonden zijn. De leden en alumni betalen deze kosten aan de vereniging, zo nodig via facturatie, waarbij hun gegevens verwerkt worden.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 2, 3, 4, 5, 10

     

    • Om met de leden te communiceren (waaronder het verzenden van berichten)

    Het is voor Studievereniging Forum van belang om de mogelijkheid te hebben op meerdere manieren contact te leggen met haar leden. Doormiddel van nieuwsbrieven, sociale media en andere communicatiemiddelen wordt er gecommuniceerd met de leden en alumni.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 4, 5

     

    • Om onze diensten op de wensen van de leden af te stemmen.

    Studievereniging Forum is constant in ontwikkeling en wil op alle mogelijke vlakken groeien en beter worden. Om dit waar te maken is het voor ons van belang dat wij de mogelijkheid hebben om onze diensten af te kunnen stemmen op de wensen van de leden en alumni. Door onze diensten af te stemmen kan Studievereniging Forum beter mee ontwikkelen met haar leden.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 3, 4, 5, 6, 7, 9, 12, 13

     

    • Om onze diensten te verbeteren

    Studievereniging Forum is een vereniging die de wensen van leden waarborgt. Door een actieve houding te nemen in het verbeteren of aanpassen van diensten aan de wensen van de leden is het mogelijk een zo goed mogelijke omgeving te creëren waar onze leden zich kunnen ontwikkelen. Wanneer het gaat om veiligheid, het organiseren van activiteiten of ontwikkelingen in het vakgebied: Studievereniging Forum wil haarzelf kunnen blijven verbeteren.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 5, 6, 7, 9, 12, 13

     

    • Om de leden te informeren over evenementen en aanbiedingen (van derde partijen) van Studievereniging Forum

    Studievereniging Forum is als vereniging actief in het aanbieden of aanprijzen van activiteiten waar leden aan mee kunnen doen. Door onze leden hierover te informeren geven wij hen de kans te geven om deel te nemen aan deze evenementen. Ook kan het voor Studievereniging Forum of de leden van Studievereniging Forum van belang zijn om informatie te verschaffen/ontvangen vanuit derde partijen, mocht het gaan om stage, beurzen en andere gerelateerde evenementen.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 4, 5, 9, 13

     

    • Om de leden te herkennen én te begroeten.

    Het is voor Studievereniging Forum van groot belang om op een informele basis contact te kunnen leggen met haar leden.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 12

     

    • Om informatie over leden te verstrekken aan derden indien wij daartoe verplicht zijn op basis van wet- of regelgeving.

    Naast onze eigen statuten en regelementen moet ten alle tijden de Nederlandse wet- en regelgeving na worden geleefd. Mocht het voorkomen dat wij worden benaderd door de Nederlandse autoriteiten om bepaalde persoonsgegevens te delen, bijvoorbeeld in het geval van criminele intenties van een lid, dan zullen wij hiertoe verplicht zijn.

     

    Alle geregistreerde gegevens kunnen hierbij van toepassing zijn.

     

    • Om informatie over leden te verstrekken aan derden indien dit verplicht is voor een evenement

    Voor verscheidene evenementen kan een derde partij Studievereniging Forum verplicht stellen om persoonsgegevens te delen van de aanwezigen. Wanneer dit het geval is zal Studievereniging Forum proberen te achterhalen met welke reden dit verplicht wordt gesteld en of het mogelijk is zo min mogelijk gegevens te delen met de derde partij. Alle leden van toepassing zullen worden geïnformeerd wanneer deze gegevens worden gedeeld.

     

    Welke gegevens hiervoor in aanmerking komen hangt af van de derde partij. In de meest gebruikelijk gevallen zullen dit zijn: 1, 6

     

    • Om te controleren of de leden aan de betalingsverplichtingen voldoet alsmede ter controle van al die feiten en factoren die van belang zijn voor het verantwoord aangaan en/of uitvoeren van de overeenkomst.

    Het lidmaatschap van Studievereniging Forum bevat bepaalde rechten, maar ook plichten. Het is voor Studievereniging Forum van belang om in te kunnen zien of alle plichten ook daadwerkelijk na worden geleefd, bijv. een betalingsverplichting. Voor de definitie van de rechten en plichten van Studievereniging Forum wordt u doorverwezen naar de statuten.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 4, 5, 10

     

    • Om contact te laten leggen met leden onderling

    Studievereniging Forum waarborgt persoonlijk en informeel contact vanuit de vereniging, maar ook voor de leden onderling. Door onder andere borrels, actieve commissies en een gedeeld café is het voor de leden van Studievereniging Forum mogelijk om contact te leggen met elkaar.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 4, 6

     

    • Om de website te beveiligen, aan te passen en te verbeteren.

    Studievereniging Forum is te allen tijde bezig met het verbeteren van haar diensten, maar ook met haar veiligheid. In de tegenwoordige tijd waar de onlinewereld enorm is en hackers groots actief zijn is het van belang om onze website ook te beveiligen. De gegevens die hierbij van toepassing zijn, zijn alle gegevens die op onze website geregistreerd worden.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 2, 3, 4, 5, 6

     

    • Om de identiteit van de leden te verifiëren en fraude tegen te gaan.

    Het onrechtmatig gebruik van een ander zijn/haar persoonsgegevens is iets wat voor kan komen. Als een persoon zich wilt inschrijven als lid van de vereniging is het daarom van belang dat de identiteit van deze persoon wordt achterhaald. Het kan voorkomen dat er om een scan/kopie van de identiteitskaart of paspoort wordt gevraagd. Wanneer deze is ingeleverd bij ons wordt de scan/kopie gelijk wanneer deze niet meer nodig is verwijderd. Als voorbeeld kan er gedacht worden aan scans van paspoorten die worden verzameld mocht iemand zijn/haar identiteitsbewijs kwijtraken. Kan je altijd gelegitimeerd worden. Na afloop van de reis worden deze scans gelijk verwijdert.

     

    Alle geregistreerde gegevens kunnen hierbij van toepassing zijn

     

    • Om te zorgen dat onze leden zich kunnen legitimeren in het buitenland.

    Vanuit Studievereniging Forum worden met enige regelmaat evenementen in het buitenland georganiseerd (denk aan een educatiereis of wintersport). Omdat het verplicht is om je te kunnen legitimeren, zeker in het buitenland, kan het voorkomen dat er wordt gevraagd een kopie van een geldig identificatiebewijs aan te leveren van leden die mee gaan met een evenement in het buitenland. Op deze wijze kan Studievereniging Forum het lid indekken wanneer deze mee reist.

     

    Hoe met deze gegevens om wordt gegaan wordt beschreven in 2.1.1.

     

    • Om door de archivering van gegevens van oud-leden de financiële gegevens voor de nodige tijd vast te stellen.

     

    1. Hoofdfunctionarissen

     

    Persoonsgegevens van leden van Studievereniging Forum kunnen verzameld worden door elk lid van het bestuur van Studievereniging Forum. Onder het verzamelen behoord onder andere het verstrekken en innemen van inschrijfformulieren. Onder het verwerken van gegevens behoort het registreren van deze gegevens in het gebruikte programma.

     

    • Secretaris

    De secretaris van Studievereniging Forum functioneert als eindverantwoordelijke voor het verzamelen, verwerken van en het werken met persoonsgegevens. De secretaris verwerkt de opgegeven gegevens van een lid tijdens inschrijving en past deze aan op het verzoek van het lid wanneer nodig. De algemene administratie van de leden wordt verzorgd door de secretaris.

     

    Als eindverantwoordelijke is het de taak van de secretaris om alle personen die werken/gaan werken met persoonsgegevens op een juiste manier te informeren over hoe te werk te gaan met deze gegevens. In het geval dat een andere functionaris gaat werken met persoonsgegevens zal deze persoon een deel van de verantwoordelijkheid dragen, al zal de secretaris ten aller tijde eindverantwoordelijke zijn.

     

    • Penningmeester

    De penningmeester werkt samen met de secretaris samen in het gebruik van de persoonsgegevens. De penningmeester gebruikt de persoonsgegevens voor het factureren aan leden.

     

    • Overige functionarissen

    Het kan voorkomen dat leden buiten de bovenstaande twee functionarissen gebruik moeten gaan maken van bepaalde persoonsgegevens. In die gevallen worden deze ingelicht over het werken met deze gegevens en is het voor hen verplicht om het protocol persoonsgegevens (zie 7.2.) te ondertekenen zodat zij zich bewust zijn van het feit dat ze met gevoelige informatie werken. Door dit protocol te ondertekenen worden zij tevens medeverantwoordelijk.

     

    Mogelijke gevallen waarin het nodig is voor een ander lid om met persoonsgegevens te werken:

     

    • Ziekte van de bovenstaande functionarissen
    • Afwezigheid/vakantie van bovenstaande functionarissen
    • Een commissie die te maken heeft met het verwerken van persoonsgegevens
    • Het lid maakt deel uit van de Kascontrolecommissie
    • Het deel uitmaken van de Raad van Toezicht (8.1.)

     

    1. Bewaartermijn

     

    Als lid van Studievereniging Forum gaat diegene een overeenkomst aan voor een lidmaatschap. Wanneer dit lid het lidmaatschap wilt beëindigen is Studievereniging Forum gemachtigd om deze informatie voor een bepaalde tijd te bewaren, waarna dit verwijderd zal moeten worden.

     

    • Leden

    De verzamelde persoonsgegevens van een lid mag en wordt bewaard voor zo lang het lid een lid van de vereniging is.

     

    • Oud-leden

    Wanneer een lid zich uitschrijft zal deze in het daaropvolgende verenigingsjaar uitgeschreven zijn. Vanaf het moment dat een (op dat moment oud-) lid is uitgeschreven zullen de naam, e-mailadres en IBAN-gegevens bewaard blijven zoals beschreven in 2.2.14. Alle overige gegevens mogen na uitschrijving voor een maximum van 2 jaar bewaard blijven, waarna deze gegevens worden verwijderd.

     

    • Bestuursleden

    Een lid van de vereniging die een bestuursfunctie heeft gedragen is voor bepaalde tijd verantwoordelijk voor het jaar waarin het lid een functie heeft vervuld. In geval van een lid die een bestuurlijke functie heeft vervuld zullen de gegevens voor langere tijd bewaard moeten blijven.

     

    • Voorzitter, penningmeester en secretaris

    In het geval dat een lid een functie als voorzitter, penningmeester of secretaris heeft gedragen zullen alle persoonsgegevens voor een minimum van 7 jaar bewaard moeten blijven.

     

    • Overige bestuursfuncties

    In het geval dat een lid een van de andere functies heeft gedragen zullen de persoonsgegevens voor een minimum van 5 jaar bewaard moeten blijven.

     

    1. Overdracht persoonsgegevens

     

    Bij de overdracht van persoonsgegevens wordt gebruikt gemaakt van ‘2 factor authentication’ (2FA). Met 2FA wordt bedoeld dat er van 2 verschillende manieren gebruik wordt gemaakt om bijvoorbeeld ergens in te loggen, om zo de beveiliging significant te verhogen.

     

    Voorbeeld: je logt in op je email met een nieuw apparaat. Je voert je wachtwoord in (de 1ste factor) en omdat je op een onbekend apparaat inlogt krijg je op je mobiele telefoon via een sms, een code toegestuurd welke je op dat moment moet invoeren (de 2de factor). Bij elk onbekend apparaat waar jij probeert in te loggen moet er weer een nieuwe code ingevoerd worden. Op deze manier, mocht een hacker het wachtwoord hebben, is het niet mogelijk voor die persoon om in te loggen. Aangezien de code via een ander netwerk wordt verstuurd kan dit niet achterhaald worden door de hacker en blijven de gegevens in dat account beveiligd.

     

    Op deze manier zal de overdracht van gegevens ook in werking worden gesteld en kan er zekerheid gegeven worden over de veiligheid van de overdracht van deze gegevens

     

    Toestemming van de leden van de vereniging is niet nodig voor de overdracht van gegevens; wel zal dit ten alle tijden gemeld moeten worden. De overdracht van gegevens gebeurt ten behoeve van het lid en er zal dan ook in opdracht van de doeleinden gehandeld worden.

     

    1. Bestuursoverdracht

     

    Omdat er elk jaar een wisseling van het bestuur plaatsvindt is het van groot belang dat er zorgvuldig met de informatie om wordt gegaan. De twee functionarissen, secretaris en penningmeester, zullen om deze reden het protocol persoonsgegevens (7.2.) moeten ondertekenen wanneer deze meegenomen worden door het inwerk traject.

     

    Handelingen die worden verricht om de bescherming te optimaliseren zijn onder andere het juist informeren tijdens het inwerken en het veranderen van wachtwoorden op het moment van wisseling.

     

    1. Statement en protocol

     

    Naast het beleid persoonsgegevens dat nu voor u ligt zijn er nog twee andere documenten die gebruikt worden omtrent het begrip privacy, deze zijn de privacy statement en het protocol persoonsgegevens.

     

    • Privacy statement

    Het privacy statement is een document dat beschikbaar is voor iedereen, leden en niet-leden. De reden dat dit document is opgesteld is om ervoor te zorgen dat iedereen die lid wil worden van de vereniging van tevoren een duidelijk idee heeft van de doeleinden waarvoor gegevens gebruikt zullen worden.

    Door een duidelijk beeld te scheppen, voor het aankomende lid, waar de gegevens voor worden gebruikt, maakt het aankomende lid een bewuste beslissing dat deze ermee akkoord gaat dat hier de gegevens voor gebruikt zullen worden.

     

    • Protocol persoonsgegevens.

    Het protocol persoonsgegevens is opgesteld om leden die gaan werken met persoonsgegevens bewust te maken van de verantwoordelijkheid die werken met persoonsgegevens met zich mee brengt. Deze bewustwording is van belang om ervoor te zorgen dat het lid hier verantwoordelijk mee om zal gaan.

     

    Voordat een lid met persoonsgegevens gaat werken wordt deze eerst op een juiste manier geïnformeerd door een van de zittende functionarissen over hoe hier mee gewerkt zal moeten worden. Daarnaast zullen alle leden die gaan werken met persoonsgegevens het protocol persoonsgegevens samen met de eindverantwoordelijke moeten ondertekenen.

     

    1. Datalek: hoe gaan wij hier mee om?

     

    “Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

    We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

     

    Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.”

     

    Deze informatie is verkregen vanuit autoriteitpersoonsgegevens.nl.

     

    Wanneer aan het licht komt dat er een beveiligingsincident heeft plaatsgevonden zal de secretaris controleren waar dit incident vandaan komt en hoe dit heeft kunnen ontstaan. De oorzaak en de mogelijke schade wordt bekeken en er wordt ingeschat hoe erg deze schade is. Wanneer de conclusie wordt getrokken dat er ook daadwerkelijk een datalek heeft plaatsgevonden zal er in ieder geval pro-forma (voor de vorm) een melding worden gedaan bij de autoriteit persoonsgegevens. Hierna zal een onafhankelijke partij (in dit geval de Raad van Toezicht) optreden om de situatie te bekijken en hier een oordeel over te vestigen.

     

    • De Raad van Toezicht

    Waarin de Raad van Toezicht (RvT) het bestuur controleert op het verantwoord besturen en na leven van haar jaarplan is het ook van belang om over een controlerende en onafhankelijke functie te beschikken als het gaat over privacy.

     

    Wanneer er een incident of datalek plaatsvindt is het de taak van de RvT om zo nodig de situatie te bekijken en onafhankelijk van de secretaris en het bestuur te controleren wat de oorzaak is. De secretaris neemt in eerste instantie zelf het initiatief om erachter te komen wat de uiteindelijk oorzaak is, maar om onzorgvuldigheid tegen te gaan binnen het bestuur zal de RvT zelf ook hun eigen onderzoek starten. Afhankelijk van het eindresultaat zal er bekeken worden of er sprake is van onjuist handelen van een van de functionarissen en/of er aanvullende maatregelen nodig zijn in het waarborgen van de veiligheid van de gebruikte gegevens. Zij adviseert het bestuur hierover en zo nodig de ALV. Zo nodig kan de RvT ook andere rechten inzetten ter waarborging van de veiligheid van gegevens, waaronder het schorsen van een of meerdere bestuursleden.

    Wanneer er profielen voor de website zijn moet dit stukje hier worden ingevoerd. Check na of het stukje klopt voordat je het veranderd!!!

     

    Het aanmaken van een persoonlijk profiel op de verenigingswebsite

    Om de website van Studievereniging Forum te personaliseren worden er voor elk lid een profiel aangemaakt waarmee deze zich kan inschrijven voor evenementen en op de hoogte gehouden kan blijven van evenementen en andere verenigingszaken.

    Beleid persoonsgegevens

     

    1. Definitie persoonsgegevens

    Onder persoonsgegevens worden verstaan alle gegevens die gebruikt kunnen worden om een persoon te identificeren.

    Alleen een naam of foto van een persoon hoeft bijvoorbeeld niet veel te zeggen, aangezien hiermee iemand niet of nauwelijks te identificeren is. Deze informatie samen geeft alleen wel de mogelijkheid om een persoon te herkennen (en identificeren); op dat moment zijn deze gegevens persoonsgegevens.

     

    Studievereniging Forum verwerkt persoonsgegevens om een lidmaatschap voor de vereniging op te zetten. Al deze gegevens samen geven een gedetailleerde omschrijving van een persoon en om de bescherming van deze informatie te optimaliseren maken wij gebruik van een privacy statement, beleid persoonsgegevens en een protocol persoonsgegevens (7).

     

    1. Verwerking persoonsgegevens

     

    Zoals in onze privacy statement benoemd staat zijn er een aantal doeleinden waarvoor de verzamelde gegevens worden gebruikt. Hier zal een beschrijving gegeven worden van deze doeleinde met de desbetreffende gegevens die voor deze doeleinde van toepassing zijn.

     

    • Verzamelde gegevens

     

    Deze gegevens worden met nummers aangeduid en er zal hierna steeds naar deze nummers verwezen worden. Gegevens die Studievereniging Forum verzameld en verwerkt zijn:

     

    1. Naam
    2. Adres
    3. Woonplaats
    4. Telefoonnummer
    5. Emailadres
    6. Geboortedatum
    7. Geslacht
    8. Studentnummer
    9. Studierichting
    10. IBAN-gegevens
    11. Postcode
    12. Gesproken taal
    13. Studiejaar
    14. Foto- en videomaterialen
    15. Kledingmaten

     

    • Overige en speciale gegevens

     

    In bepaalde gevallen is het voor Studievereniging Forum van belang om “speciale” gegevens te verzamelen die buiten de bovenstaande gegevens vallen. Voor (meerdaagse) evenementen is het mogelijk dat Studievereniging Forum vraagt om een bepaald aantal gegevens, zoals:

     

    • Medicatie gebruik
    • Medische of fysieke beperkingen
    • Allergieën en dieetwensen
    • Noodcontactgegevens van een huisarts en/of een ouder/verzorger
    • Scan van een legitimatiebewijs

     

    Gegevens zoals medicatie of allergieën worden verzameld wanneer deze van vitaal belang kunnen zijn. Met deze gegevens kan Studievereniging Forum het lid zo goed mogelijk proberen te ondersteunen. Mocht het voorkomen dat het lid zich in kritische toestand bevindt dan heeft Studievereniging Forum de mogelijkheid om medische hulpdiensten zo goed en volledig mogelijk in te lichten.

     

    Speciale persoonsgegevens waar in dit geval naar gevraagd wordt worden voor bepaalde tijd bewaard. Wanneer deze informatie geen directe functie meer bevat zullen deze speciale gegevens verwijderd worden.

     

    • Definitie doeleinden

     

    • Om onze leden diensten te verlenen en om (deze) te factureren

    Studievereniging Forum verleent op meerdere vlakken, verschillende diensten aan haar leden. Om gebruik te maken van een van de diensten van Studievereniging Forum is het mogelijk dat hier voor leden en alumni kosten aan verbonden zijn. De leden en alumni betalen deze kosten aan de vereniging, zo nodig via facturatie, waarbij hun gegevens verwerkt worden.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 2, 3, 4, 5, 10

     

    • Om met de leden te communiceren (waaronder het verzenden van berichten)

    Het is voor Studievereniging Forum van belang om de mogelijkheid te hebben op meerdere manieren contact te leggen met haar leden. Doormiddel van nieuwsbrieven, sociale media en andere communicatiemiddelen wordt er gecommuniceerd met de leden en alumni.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 4, 5

     

    • Om onze diensten op de wensen van de leden af te stemmen.

    Studievereniging Forum is constant in ontwikkeling en wil op alle mogelijke vlakken groeien en beter worden. Om dit waar te maken is het voor ons van belang dat wij de mogelijkheid hebben om onze diensten af te kunnen stemmen op de wensen van de leden en alumni. Door onze diensten af te stemmen kan Studievereniging Forum beter mee ontwikkelen met haar leden.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 3, 4, 5, 6, 7, 9, 12, 13

     

    • Om onze diensten te verbeteren

    Studievereniging Forum is een vereniging die de wensen van leden waarborgt. Door een actieve houding te nemen in het verbeteren of aanpassen van diensten aan de wensen van de leden is het mogelijk een zo goed mogelijke omgeving te creëren waar onze leden zich kunnen ontwikkelen. Wanneer het gaat om veiligheid, het organiseren van activiteiten of ontwikkelingen in het vakgebied: Studievereniging Forum wil haarzelf kunnen blijven verbeteren.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 5, 6, 7, 9, 12, 13

     

    • Om de leden te informeren over evenementen en aanbiedingen (van derde partijen) van Studievereniging Forum

    Studievereniging Forum is als vereniging actief in het aanbieden of aanprijzen van activiteiten waar leden aan mee kunnen doen. Door onze leden hierover te informeren geven wij hen de kans te geven om deel te nemen aan deze evenementen. Ook kan het voor Studievereniging Forum of de leden van Studievereniging Forum van belang zijn om informatie te verschaffen/ontvangen vanuit derde partijen, mocht het gaan om stage, beurzen en andere gerelateerde evenementen.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 4, 5, 9, 13

     

    • Om de leden te herkennen én te begroeten.

    Het is voor Studievereniging Forum van groot belang om op een informele basis contact te kunnen leggen met haar leden.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 12

     

    • Om informatie over leden te verstrekken aan derden indien wij daartoe verplicht zijn op basis van wet- of regelgeving.

    Naast onze eigen statuten en regelementen moet ten alle tijden de Nederlandse wet- en regelgeving na worden geleefd. Mocht het voorkomen dat wij worden benaderd door de Nederlandse autoriteiten om bepaalde persoonsgegevens te delen, bijvoorbeeld in het geval van criminele intenties van een lid, dan zullen wij hiertoe verplicht zijn.

     

    Alle geregistreerde gegevens kunnen hierbij van toepassing zijn.

     

    • Om informatie over leden te verstrekken aan derden indien dit verplicht is voor een evenement

    Voor verscheidene evenementen kan een derde partij Studievereniging Forum verplicht stellen om persoonsgegevens te delen van de aanwezigen. Wanneer dit het geval is zal Studievereniging Forum proberen te achterhalen met welke reden dit verplicht wordt gesteld en of het mogelijk is zo min mogelijk gegevens te delen met de derde partij. Alle leden van toepassing zullen worden geïnformeerd wanneer deze gegevens worden gedeeld.

     

    Welke gegevens hiervoor in aanmerking komen hangt af van de derde partij. In de meest gebruikelijk gevallen zullen dit zijn: 1, 6

     

    • Om te controleren of de leden aan de betalingsverplichtingen voldoet alsmede ter controle van al die feiten en factoren die van belang zijn voor het verantwoord aangaan en/of uitvoeren van de overeenkomst.

    Het lidmaatschap van Studievereniging Forum bevat bepaalde rechten, maar ook plichten. Het is voor Studievereniging Forum van belang om in te kunnen zien of alle plichten ook daadwerkelijk na worden geleefd, bijv. een betalingsverplichting. Voor de definitie van de rechten en plichten van Studievereniging Forum wordt u doorverwezen naar de statuten.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 4, 5, 10

     

    • Om contact te laten leggen met leden onderling

    Studievereniging Forum waarborgt persoonlijk en informeel contact vanuit de vereniging, maar ook voor de leden onderling. Door onder andere borrels, actieve commissies en een gedeeld café is het voor de leden van Studievereniging Forum mogelijk om contact te leggen met elkaar.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 4, 6

     

    • Om de website te beveiligen, aan te passen en te verbeteren.

    Studievereniging Forum is te allen tijde bezig met het verbeteren van haar diensten, maar ook met haar veiligheid. In de tegenwoordige tijd waar de onlinewereld enorm is en hackers groots actief zijn is het van belang om onze website ook te beveiligen. De gegevens die hierbij van toepassing zijn, zijn alle gegevens die op onze website geregistreerd worden.

     

    De volgende gegevens worden voor dit doeleinde gebruikt: 1, 2, 3, 4, 5, 6

     

    • Om de identiteit van de leden te verifiëren en fraude tegen te gaan.

    Het onrechtmatig gebruik van een ander zijn/haar persoonsgegevens is iets wat voor kan komen. Als een persoon zich wilt inschrijven als lid van de vereniging is het daarom van belang dat de identiteit van deze persoon wordt achterhaald. Het kan voorkomen dat er om een scan/kopie van de identiteitskaart of paspoort wordt gevraagd. Wanneer deze is ingeleverd bij ons wordt de scan/kopie gelijk wanneer deze niet meer nodig is verwijderd. Als voorbeeld kan er gedacht worden aan scans van paspoorten die worden verzameld mocht iemand zijn/haar identiteitsbewijs kwijtraken. Kan je altijd gelegitimeerd worden. Na afloop van de reis worden deze scans gelijk verwijdert.

     

    Alle geregistreerde gegevens kunnen hierbij van toepassing zijn

     

    • Om te zorgen dat onze leden zich kunnen legitimeren in het buitenland.

    Vanuit Studievereniging Forum worden met enige regelmaat evenementen in het buitenland georganiseerd (denk aan een educatiereis of wintersport). Omdat het verplicht is om je te kunnen legitimeren, zeker in het buitenland, kan het voorkomen dat er wordt gevraagd een kopie van een geldig identificatiebewijs aan te leveren van leden die mee gaan met een evenement in het buitenland. Op deze wijze kan Studievereniging Forum het lid indekken wanneer deze mee reist.

     

    Hoe met deze gegevens om wordt gegaan wordt beschreven in 2.1.1.

     

    • Om door de archivering van gegevens van oud-leden de financiële gegevens voor de nodige tijd vast te stellen.

     

    1. Hoofdfunctionarissen

     

    Persoonsgegevens van leden van Studievereniging Forum kunnen verzameld worden door elk lid van het bestuur van Studievereniging Forum. Onder het verzamelen behoord onder andere het verstrekken en innemen van inschrijfformulieren. Onder het verwerken van gegevens behoort het registreren van deze gegevens in het gebruikte programma.

     

    • Secretaris

    De secretaris van Studievereniging Forum functioneert als eindverantwoordelijke voor het verzamelen, verwerken van en het werken met persoonsgegevens. De secretaris verwerkt de opgegeven gegevens van een lid tijdens inschrijving en past deze aan op het verzoek van het lid wanneer nodig. De algemene administratie van de leden wordt verzorgd door de secretaris.

     

    Als eindverantwoordelijke is het de taak van de secretaris om alle personen die werken/gaan werken met persoonsgegevens op een juiste manier te informeren over hoe te werk te gaan met deze gegevens. In het geval dat een andere functionaris gaat werken met persoonsgegevens zal deze persoon een deel van de verantwoordelijkheid dragen, al zal de secretaris ten aller tijde eindverantwoordelijke zijn.

     

    • Penningmeester

    De penningmeester werkt samen met de secretaris samen in het gebruik van de persoonsgegevens. De penningmeester gebruikt de persoonsgegevens voor het factureren aan leden.

     

    • Overige functionarissen

    Het kan voorkomen dat leden buiten de bovenstaande twee functionarissen gebruik moeten gaan maken van bepaalde persoonsgegevens. In die gevallen worden deze ingelicht over het werken met deze gegevens en is het voor hen verplicht om het protocol persoonsgegevens (zie 7.2.) te ondertekenen zodat zij zich bewust zijn van het feit dat ze met gevoelige informatie werken. Door dit protocol te ondertekenen worden zij tevens medeverantwoordelijk.

     

    Mogelijke gevallen waarin het nodig is voor een ander lid om met persoonsgegevens te werken:

     

    • Ziekte van de bovenstaande functionarissen
    • Afwezigheid/vakantie van bovenstaande functionarissen
    • Een commissie die te maken heeft met het verwerken van persoonsgegevens
    • Het lid maakt deel uit van de Kascontrolecommissie
    • Het deel uitmaken van de Raad van Toezicht (8.1.)

     

    1. Bewaartermijn

     

    Als lid van Studievereniging Forum gaat diegene een overeenkomst aan voor een lidmaatschap. Wanneer dit lid het lidmaatschap wilt beëindigen is Studievereniging Forum gemachtigd om deze informatie voor een bepaalde tijd te bewaren, waarna dit verwijderd zal moeten worden.

     

    • Leden

    De verzamelde persoonsgegevens van een lid mag en wordt bewaard voor zo lang het lid een lid van de vereniging is.

     

    • Oud-leden

    Wanneer een lid zich uitschrijft zal deze in het daaropvolgende verenigingsjaar uitgeschreven zijn. Vanaf het moment dat een (op dat moment oud-) lid is uitgeschreven zullen de naam, e-mailadres en IBAN-gegevens bewaard blijven zoals beschreven in 2.2.14. Alle overige gegevens mogen na uitschrijving voor een maximum van 2 jaar bewaard blijven, waarna deze gegevens worden verwijderd.

     

    • Bestuursleden

    Een lid van de vereniging die een bestuursfunctie heeft gedragen is voor bepaalde tijd verantwoordelijk voor het jaar waarin het lid een functie heeft vervuld. In geval van een lid die een bestuurlijke functie heeft vervuld zullen de gegevens voor langere tijd bewaard moeten blijven.

     

    • Voorzitter, penningmeester en secretaris

    In het geval dat een lid een functie als voorzitter, penningmeester of secretaris heeft gedragen zullen alle persoonsgegevens voor een minimum van 7 jaar bewaard moeten blijven.

     

    • Overige bestuursfuncties

    In het geval dat een lid een van de andere functies heeft gedragen zullen de persoonsgegevens voor een minimum van 5 jaar bewaard moeten blijven.

     

    1. Overdracht persoonsgegevens

     

    Bij de overdracht van persoonsgegevens wordt gebruikt gemaakt van ‘2 factor authentication’ (2FA). Met 2FA wordt bedoeld dat er van 2 verschillende manieren gebruik wordt gemaakt om bijvoorbeeld ergens in te loggen, om zo de beveiliging significant te verhogen.

     

    Voorbeeld: je logt in op je email met een nieuw apparaat. Je voert je wachtwoord in (de 1ste factor) en omdat je op een onbekend apparaat inlogt krijg je op je mobiele telefoon via een sms, een code toegestuurd welke je op dat moment moet invoeren (de 2de factor). Bij elk onbekend apparaat waar jij probeert in te loggen moet er weer een nieuwe code ingevoerd worden. Op deze manier, mocht een hacker het wachtwoord hebben, is het niet mogelijk voor die persoon om in te loggen. Aangezien de code via een ander netwerk wordt verstuurd kan dit niet achterhaald worden door de hacker en blijven de gegevens in dat account beveiligd.

     

    Op deze manier zal de overdracht van gegevens ook in werking worden gesteld en kan er zekerheid gegeven worden over de veiligheid van de overdracht van deze gegevens

     

    Toestemming van de leden van de vereniging is niet nodig voor de overdracht van gegevens; wel zal dit ten alle tijden gemeld moeten worden. De overdracht van gegevens gebeurt ten behoeve van het lid en er zal dan ook in opdracht van de doeleinden gehandeld worden.

     

    1. Bestuursoverdracht

     

    Omdat er elk jaar een wisseling van het bestuur plaatsvindt is het van groot belang dat er zorgvuldig met de informatie om wordt gegaan. De twee functionarissen, secretaris en penningmeester, zullen om deze reden het protocol persoonsgegevens (7.2.) moeten ondertekenen wanneer deze meegenomen worden door het inwerk traject.

     

    Handelingen die worden verricht om de bescherming te optimaliseren zijn onder andere het juist informeren tijdens het inwerken en het veranderen van wachtwoorden op het moment van wisseling.

     

    1. Statement en protocol

     

    Naast het beleid persoonsgegevens dat nu voor u ligt zijn er nog twee andere documenten die gebruikt worden omtrent het begrip privacy, deze zijn de privacy statement en het protocol persoonsgegevens.

     

    • Privacy statement

    Het privacy statement is een document dat beschikbaar is voor iedereen, leden en niet-leden. De reden dat dit document is opgesteld is om ervoor te zorgen dat iedereen die lid wil worden van de vereniging van tevoren een duidelijk idee heeft van de doeleinden waarvoor gegevens gebruikt zullen worden.

    Door een duidelijk beeld te scheppen, voor het aankomende lid, waar de gegevens voor worden gebruikt, maakt het aankomende lid een bewuste beslissing dat deze ermee akkoord gaat dat hier de gegevens voor gebruikt zullen worden.

     

    • Protocol persoonsgegevens.

    Het protocol persoonsgegevens is opgesteld om leden die gaan werken met persoonsgegevens bewust te maken van de verantwoordelijkheid die werken met persoonsgegevens met zich mee brengt. Deze bewustwording is van belang om ervoor te zorgen dat het lid hier verantwoordelijk mee om zal gaan.

     

    Voordat een lid met persoonsgegevens gaat werken wordt deze eerst op een juiste manier geïnformeerd door een van de zittende functionarissen over hoe hier mee gewerkt zal moeten worden. Daarnaast zullen alle leden die gaan werken met persoonsgegevens het protocol persoonsgegevens samen met de eindverantwoordelijke moeten ondertekenen.

     

    1. Datalek: hoe gaan wij hier mee om?

     

    “Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

    We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

     

    Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.”

     

    Deze informatie is verkregen vanuit autoriteitpersoonsgegevens.nl.

     

    Wanneer aan het licht komt dat er een beveiligingsincident heeft plaatsgevonden zal de secretaris controleren waar dit incident vandaan komt en hoe dit heeft kunnen ontstaan. De oorzaak en de mogelijke schade wordt bekeken en er wordt ingeschat hoe erg deze schade is. Wanneer de conclusie wordt getrokken dat er ook daadwerkelijk een datalek heeft plaatsgevonden zal er in ieder geval pro-forma (voor de vorm) een melding worden gedaan bij de autoriteit persoonsgegevens. Hierna zal een onafhankelijke partij (in dit geval de Raad van Toezicht) optreden om de situatie te bekijken en hier een oordeel over te vestigen.

     

    • De Raad van Toezicht

    Waarin de Raad van Toezicht (RvT) het bestuur controleert op het verantwoord besturen en na leven van haar jaarplan is het ook van belang om over een controlerende en onafhankelijke functie te beschikken als het gaat over privacy.

     

    Wanneer er een incident of datalek plaatsvindt is het de taak van de RvT om zo nodig de situatie te bekijken en onafhankelijk van de secretaris en het bestuur te controleren wat de oorzaak is. De secretaris neemt in eerste instantie zelf het initiatief om erachter te komen wat de uiteindelijk oorzaak is, maar om onzorgvuldigheid tegen te gaan binnen het bestuur zal de RvT zelf ook hun eigen onderzoek starten. Afhankelijk van het eindresultaat zal er bekeken worden of er sprake is van onjuist handelen van een van de functionarissen en/of er aanvullende maatregelen nodig zijn in het waarborgen van de veiligheid van de gebruikte gegevens. Zij adviseert het bestuur hierover en zo nodig de ALV. Zo nodig kan de RvT ook andere rechten inzetten ter waarborging van de veiligheid van gegevens, waaronder het schorsen van een of meerdere bestuursleden.

    Wanneer er profielen voor de website zijn moet dit stukje hier worden ingevoerd. Check na of het stukje klopt voordat je het veranderd!!!

     

    Het aanmaken van een persoonlijk profiel op de verenigingswebsite

    Om de website van Studievereniging Forum te personaliseren worden er voor elk lid een profiel aangemaakt waarmee deze zich kan inschrijven voor evenementen en op de hoogte gehouden kan blijven van evenementen en andere verenigingszaken.