Privacybeleid

1. Voorwoord


Beste lezer,

Dit document is opgesteld om vast te leggen hoe de vereniging persoonsgegevens verwerkt, naar aanleiding van de Algemene Verordening Gegevensbescherming, die op 25-05-2018 zal intreden. Hierin worden enerzijds de rechten van individuele personen om hun eigen gegevens in te zien, te wijzigen of te laten verwijderen beschreven. Anderzijds worden ook de plichten van de vereniging om bewust en met respect voor privacy om te gaan vastgelegd. Het document is dus zowel voor besturen als ook voor leden van uiterst belang.

Het proces dat voorafging aan het opstellen van dit document is als volgt verlopen. De assessor van 2017/2018 (Benjamin Plomp) was aanwezig bij de verenigingsoverleggen tussen verenigingen van de faculteit geesteswetenschappen. Daarnaast is er een bijeenkomst geweest van het STOP over de AVG die is bijgewoond door twee bestuursleden. Met voldoende informatie over de nieuwe wetgeving zijn we begonnen aan dit beleid. Allereerst zijn de gegevensstromen binnen Sophia Aeterna in kaart gebracht en is het inschrijvingsformulier aangepast. Deze gegevensstromen gaven inzicht in wat wél of juist niet noodzakelijk is om te bewaren. Op basis van de gegevensstromen is vervolgens dit beleid opgesteld.

Dit document is bedoeld om goed te kunnen verantwoorden welke gegevens wij gebruiken, voor welk doeleinde deze gegevens verwerkt en bewaard worden, wie toegang hebben tot deze gegevens en onder welke voorwaarden. Ook staat hier beschreven welke bewaartermijnen we hanteren. Verder zijn stappenplannen voor het omgaan met verzoeken van leden tot het inzien, laten wijzigen, of laten verwijderen van gegevens opgenomen. Wij hopen dat dit document daarmee een praktische handleiding zal zijn voor volgende besturen om conform de AVG van 25-05-2018 te handelen, alsmede een manier om leden bewust te maken van hun rechten.

Voor vragen of feedback is het bestuur te bereiken via de mail: sophia.aeternaleiden@gmail.com

Namens bestuur VI,

Jikke Koning

Praeses 2017-2018

2. Intern

a. Statuten en Huishoudelijk Reglement

Artikel 5 van het Huishoudelijk Reglement (HR) handelt over persoonsgegevens. Hierin staat opgenomen welke gegevens van leden bewaard worden bij inschrijving. Ook wordt duidelijk gemaakt wat de rechten van leden omtrent persoonsgegevens zijn. Artikel 7 van het HR ziet er als volgt uit:

7. Leden hebben het recht om te allen tijde:

a. de gegevens die zij aan Sophia Aeterna hebben verstrekt, in te zien;

b. gegeven toestemming voor gegevensverwerking in te trekken en zodoende op redelijke termijn uit het bestand gewist te worden;

c. na beëindiging van het lidmaatschap zo snel mogelijk uit het ledenbestand gewist te worden;

d. een klacht in te dienen bij de nationale toezichthouder bij schending van normen uit dit artikel of uit de Algemene Verordening Gegevensbescherming.

Ook in artikel 23 van het HR, dat betrekking heeft op het archief, is duidelijk vermeld dat gegevens in het archief conform de AVG verwerkt worden, zie artikel 23.1 van het HR:

23.1 Het bestuur is verantwoordelijk voor het archief van de vereniging. Het neemt hierbij de regels van de Algemene Verordening Gegevensbescherming in acht.

In artikel 23.7 van het HR is verder opgenomen dat documenten uit het archief slechts met toestemming van bestuur mogen worden ingezien.

Hiermee is het HR in combinatie met dit privacybeleid een goede richtlijn voor besturen om zorgvuldig en conform de AVG met persoonsgegevens van de leden om te gaan.

b. Nieuwsbrief

De nieuwsbrief wordt gemaakt met het programma Mailchimp. Deze nieuwsbrief wordt alleen verstuurd naar het e-mailadres van Sophia Aeterna. Daarna wordt het verstuurd naar de leden. De e-mailadressen van de leden staan dus niet in het programma van Mailchimp, waarmee geen verwerkingsovereenkomst is gesloten.

c. Ledenadministratie

Het ledenbestand wordt deels analoog en deels digitaal bewaard. In het analoge deel bevinden zich de inschrijfformulieren met handtekening. In het digitale deel bevinden zich dezelfde gegevens in een digitaal bestand. Dit jaar (2017-2018) hebben we besloten om het ledenbestand uit de Google drive te halen en op een persoonlijke USB van de Ab-actis op te slaan. Tevens heeft de Ab-actis een back-up op zijn of haar computer. We zijn ons ervan bewust dat ook dit vrij gevoelig is. Daarom denken we na over een plek om dit vanaf 2018-2019 veiliger op te kunnen slaan. We hopen dan aan de slag te kunnen met het programma Surfdrive, dat een beveiligde omgeving biedt om bestanden te delen en op te slaan. Daarnaast zijn we bezig met een USB met wachtwoord.

De gegevens die wij vragen bij de inschrijving zijn de volgende: naam, studie, studiefase, e-mailadres, geboortedatum en handtekening. Het is nodig om als vereniging op de hoogte te zijn van de naam van een nieuw lid om zo de andere gegevens goed te kunnen bewaren en gebruiken. Het e-mailadres gebruiken wij in eerste instantie om uitnodigingen voor de ALV te sturen. Daarnaast bewaren en gebruiken wij het e-mailadres ten behoeve van het verspreiden van informatie over activiteiten onder onze leden. Informatie over de studie die iemand volgt vragen wij om te kunnen vaststellen of iemand in aanmerking komt om lid te worden. De voorwaarden om lid te kunnen worden staan beschreven in de statuten. Wij vragen naar de studiefase omdat we activiteiten organiseren voor specifieke doelgroepen, die onder andere afhankelijk zijn van de studiefase.  We vragen de geboortedatum, zodat we de leeftijd van iemand kunnen bepalen en de alcoholwet kunnen toepassen. Daarnaast kan leeftijd soms relevant zijn voor de prijscategorieën van bijvoorbeeld museum- en theaterkaartjes.

Via het inschrijfformulier worden nieuwe leden vanaf het begin van hun lidmaatschap op de hoogte gesteld van hun rechten. Dit werkt echter niet met terugwerkende kracht, dus bestaande leden hoeven geen nieuw inschrijfformulier te ondertekenen. Zij hebben wel het recht om in te zien welke gegevens van henzelf worden bewaard en mogen tot verwijdering verzoeken. Hiervan zijn alle leden op de hoogte gesteld via een mail op 25 mei 2018. Bovendien wordt dit beleid op een ALV aan de vereniging gepresenteerd en ter goedkeuring voorgelegd en ingestemd.

Toegang tot deze gegevens hebben alleen het bestuur en het desbetreffende lid. Het lid mag te allen tijde een verzoek doen om zijn of haar eigen gegevens in te zien, te wijzigen of te verwijderen. Na verwijdering van één of meerdere van deze gegevens is lidmaatschap echter niet meer mogelijk. Ook mogen de gegevens die verstrekt zijn bij inschrijving in de almanak gepubliceerd worden, als hiermee is ingestemd bij inschrijving middels de tick-box op het inschrijfformulier. Voor leden die lid zijn geworden vóór de nieuwe AVG-wetgeving in werking trad, geldt dit met terugwerkende kracht, tenzij het lid daar bezwaar tegen maakt.

Deze gegevens worden verwijderd wanneer het lid of het bestuur besluit tot opzegging van het lidmaatschap. Wanneer door het bestuur wordt besloten tot opzegging, blijven de gegevens nog één maand bewaard, omdat het lid volgens artikel 10 van het Huishoudelijk Reglement binnen die termijn in beroep kan gaan tegen het besluit van het bestuur. Bij ‘reguliere’ opzegging wordt een lid per 1 september verwijderd uit het ledenbestand. In het geval dat iemand geen mail meer wil ontvangen, wordt hij of zij wel uit de maillijst verwijderd. Het analoge inschrijfformulier wordt dan vernietigd en de digitale gegevens worden uit de ledenadministratie verwijderd. Er wordt bij beëindiging van het lidmaatschap wel gevraagd of het desbetreffende lid reünist wil worden. Hij of zij geeft dan toestemming dat zijn naam, e-mailadres en de begindatum van het lidmaatschap en datum van opzegging bewaard worden.

d. Activiteiten

i. Eerstejaarsweekend

Voor het eerstejaarsweekend vragen wij enkele extra gegevens naast de gegevens die we op het inschrijfformulier gevraagd hebben en dus in ons ledenbestand zijn opgenomen. Op het inschrijfformulier vragen wij al naar naam en leeftijd. Andere gegevens die we vragen zijn een telefoonnummer en een noodnummer. Een telefoonnummer wordt gevraagd opdat het bestuur de deelnemer te allen tijde kan bereiken tijdens het weekend. Een noodnummer wordt gevraagd zodat het bestuur in geval van nood een naaste kan bereiken. Verder is er de mogelijkheid om bij het aanmelden voor het eerstejaarsweekend andere zaken door te geven aan het bestuur, waarvan de deelnemer zelf meent dat het nodig is dat het bestuur of een bestuurslid hiervan op de hoogte is (bijvoorbeeld eetvoorkeuren of medische gegevens). Alleen het bestuur en de desbetreffende deelnemer hebben toegang tot deze informatie.

De gegevens die specifiek voor het eerstejaarsweekend worden gevraagd, worden direct na het weekend verwijderd. Dit geldt niet voor de gegevens die we via het inschrijfformulier vragen. Wanneer nog niet betaald is, zal de e-mail van de aanmelding nog bewaard blijven. Na betaling zal ook de aanmeldingsmail verwijderd worden.

Leden kunnen zich opgeven voor het eerstejaarsweekend via het inschrijfformulier of door een mail te sturen naar Sophia Aeterna. Middels een informatiebrief wordt de bovenstaande informatie bij de leden bekend gemaakt.

ii. Overige

Er is een aantal activiteiten dat door het bestuur wordt georganiseerd en niet door commissies.Voorbeelden hiervan zijn theaterbezoeken, excursies, borrels, etc. Aanmeldingen hiervoor worden bijgehouden in een GoogleDrive-bestand door de Ab-actis totdat er een ander, veiliger platform is. Hierdoor heeft de Quaestor ook makkelijk toegang tot het bestand. Hiervoor is vaak alleen de naam voldoende. Er wordt gekeken naar een beveiligde omgeving om documenten te delen als bestuur, bijvoorbeeld Surfdrive. Bij open activiteiten houden we ook bij of elke deelnemer lid van de studievereniging is, omdat er dan vaak speciale kortingen gelden voor leden. Deze aanmeldlijsten en gegevens worden na de activiteit en na betaling direct verwijderd. Voor andere activiteiten hoeft men zich niet aan te melden en is de privacy ook niet in het geding.

e. Commissies

Een lid dat zich aanmeldt voor een commissie, neemt bepaalde taken en verantwoordelijkheden op zich. Hieronder valt de verantwoordelijkheid tegenover de rest van de commissie om beschikbaar en bereikbaar te zijn, daarom kunnen wij een commissielid ook om zijn/haar telefoonnummer vragen. Dit dient om overleg makkelijker te laten plaatsvinden. Naast het bestuur en commissieleden heeft niemand toegang tot deze gegevens.

Ook hebben commissieleden de verantwoordelijkheid tegenover de vereniging om doeltreffend te werk te gaan en op verantwoordelijke wijze met gevoelige informatie om te gaan. Daarom kan het bestuur een aanstaand commissielid om relevante (werk)ervaring vragen, bijvoorbeeld tijdens een sollicitatie. Het bestuur draagt er verder zorg voor dat de samenstelling van commissies divers is, met name met betrekking tot studiefase, en daarom kan het bestuur vragen in welke studiefase een aanstaand commissielid zich bevindt.

Na eventuele sollicitaties worden de gegevens die ten behoeve daarvan verzameld zijn direct weer verwijderd.

Voor alle commissies geldt dat zij zich moeten afvragen welke gegevens zij waarvoor, en hoe lang nodig hebben, en waar deze veilig kunnen worden opgeslagen. Een vuistregel is: vraag zo min mogelijk gegevens, én verwijder een aanmeldingen na de activiteit uit de mailbox. (Laat de drang om zo min mogelijk gegevens nodig te hebben echter geen nieuwe ideeën voor activiteiten in de weg staan: onderbouw en vermeld simpelweg welke gegevens nodig zijn en ga er behoedzaam mee om als ze verzameld zijn.) Aan het begin van de draaiboeken van alle commissies staat een uitgebreider en concreter verslag. In de toekomst kunnen we eventueel commissieleden een contract laten tekenen over de omgang met persoonsgegevens om de verantwoordelijkheid van het bestuur naar de commissieleden te verleggen.

Een commissie heeft geen toegang tot de rekeningafschriften en kan dus niet inzien wie wel of niet betaald heeft voor een activiteit/voorwerp  etc. De commissie heeft daar wel uiteraard wel contact over met de Quaestor van de vereniging: de Quaestor moet immers van de commissie te weten krijgen welke leden zich hebben aan- of afgemeld. Betalingsverzoeken aan de leden worden dan ook door de Quaestor gedaan en niet vanuit een commissie.

i. Frons

De Frons is uniek, omdat de hoofdredactie zelf een ledenbestand bijhoudt. Daarnaast hebben ze ook een eigen archief. Dit maakt het noodzakelijk om bewust en verantwoordelijk om te gaan met persoonsgegevens, zoals foto’s en citaten met naamsvermelding.

De verwijdertermijn van de gegevens in het ledenbestand bij de Frons is hetzelfde als bij de gegevens uit het ledenbestand van Sophia Aeterna. Wanneer een lid zijn of haar lidmaatschap opzegt, wordt hij verwijderd uit het ledenbestand per 1 september.

De Frons mag niet zomaar naar adressen van abonnees vragen. De Frons wordt namelijk hoofdzakelijk uitgedeeld op de universiteit. Het is niet nodig om het adres van abonnees te hebben wanneer zij zich nog regelmatig op de universiteit bevinden. De Frons mag pas een adres vragen wanneer de abonnee niet meer op de universiteit rondloopt en de Frons opgestuurd moet worden. Wanneer de abonnee zijn lidmaatschap opzegt, moet het adres verwijderd worden.

De Frons is verder afhankelijk van een derde partij: de drukker. In het privacybeleid van de drukker staat dat ze de gegevens die ze krijgen van het drukwerk niet gebruiken als het niet noodzakelijk is. Hiermee houdt de drukker zich aan de AVG en hoeft de Frons zelf zich daar niet druk om te maken.

ii. Almanakcommissie

De almanakcommissie bekleedt een soortgelijke positie, namelijk dat er afspraken met de drukker gemaakt moeten worden om er zeker van te zijn dat de drukker geen gegevens opslaat en werkt volgens de nieuwe privacywetgeving. Verder is de almanak afhankelijk van het ledenbestand en het archief van Sophia Aeterna. De almanakcommissie moet daarom met de Ab-actis van het bestuur afspraken maken om onder toezicht en met ondersteuning van de Ab-actis het ledenbestand en archief te raadplegen om ervoor te zorgen dat:

  • de almanakcommissie alleen de gegevens gebruikt die zij nodig heeft;
  • de commissie niet per ongeluk wijzigingen of andere verstoringen in het ledenbestand veroorzaakt;
  • het bestuur weet wanneer het ledenbestand en/of het archief geraadpleegd wordt.

Voor opname in de almanak van foto’s en de ledenlijst geven leden toestemming op het inschrijfformulier; zie ook artikel 2g.

iii. Feestcommissie

De feest- en galacommissie heeft als voornaamste taak simpelweg de aanmeldingen na een activiteit te verwijderen, vooral als er eetvoorkeuren of vermeldingen van persoonlijke relaties in staan. Verspreiding van foto’s loopt via Facebook en Instagram, en dus via het bestuur, of de website.

iv. Acquisitiecommissie

De acquisitiecommissie sluit samenwerkingsovereenkomsten met externe partijen. Hieraan zit voor beide partijen een voordeel verbonden. Dat voordeel kan liggen in het vergroten van de naamsbekendheid door te adverteren in media zoals de nieuwsbrief, de Facebookpagina of website, of de almanak. Daar staat vaak een financieel voordeel voor Sophia Aeterna tegenover. In  zo’n geval zijn er geen persoonsgegevens in het geding.

Ook andere typen samenwerking zijn mogelijk, bijvoorbeeld met een bijlesbureau. In dat geval is het voordelig voor de partner om onze leden goed te kunnen bereiken voor vacatures en dergelijke. Hierbij worden echter geen gegevens aan de partner verstrekt, maar speelt Sophia Aeterna de rol van tussenpersoon door een openstaande vacature door te mailen naar de leden. Leden kunnen daarna zelf contact opnemen met de externe partij.

Mochten leden kortingen krijgen bij bepaalde bedrijven, dan zullen zij moeten aantonen lid te zijn van Sophia Aeterna. De externe partij krijgt dan van het lid zelf informatie dat iemand lid is. Deze verantwoordelijkheid ligt bij het lid zelf en niet bij de vereniging.

Bij de samenwerkingen die de acquisitiecommissie aangaat worden dus geen persoonsgegevens verstrekt aan derden.

v. Toneelcommissie

De toneelcommissie moet informatie over persoonlijke agenda’s, die bijvoorbeeld nodig is voor het samenstellen van een repetitieschema, tijdig verwijderen. Verder is het handig de vertalers enige tijd van te voren te vragen of zij wel vermeld willen worden als men besluit de tekst uit te geven. Audities worden over het algemeen niet opgenomen. Dit kan wel gebeuren als de auditant daar toestemming voor geeft, maar dan moeten er ook afspraken gemaakt worden over de verwijdertermijn van de opname. Toneelopvoeringen worden wel opgenomen en voor onbepaalde tijd bewaard. Acteurs moeten hiervan op de hoogte worden gebracht en idealiter om toestemming worden gevraagd.

vi. Barbecuecommissie

De barbecuecommissie zamelt gegevens in over eetvoorkeuren, leeftijd en persoonlijke relaties en dat is gevoelige informatie. Na de activiteit worden deze gegevens dus verwijderd. Na voldoen van betaling wordt ook de aanmelding zelf verwijderd. Daarnaast kan op de barbecue alcohol geschonken worden. De commissie moet bij het bestuur informatie opvragen over leeftijd. Het bestuur hoeft dan niet de specifieke geboortedatum geven, maar het is voldoende om te weten of iemand 18 is of niet. De commissie moet er samen met de BHV’er voor zorgen dat de alcoholwet wordt nageleefd.

vii. Decembercommissie
Bij aanmelding voor het Open Podium vragen we naar de naam. Hiervoor geldt dat de aanmeldingen na afloop verwijderd worden. Voor de kerstborrel worden geen aanmeldingen gevraagd. Voor het alcoholbeleid tijdens de kerstborrel, zie hierboven bij ‘barbecue’.

viii. Kroegentochtcommissie

Aanmeldingen moeten na de activiteit verwijderd worden. Alcohol is hier echter de verantwoordelijkheid van de kroegbaas.

ix. Reiscommissie

De reiscommissie bewaart misschien wel de gevoeligste gegevens van alle commissies, namelijk onder meer informatie over legitimatiedocumenten en mogelijk ook medische gegevens. Het is hier ook belangrijk dat alle aanmeldingen worden verwijderd na de reis. Over medicatie en dergelijke hoeft de commissie in principe niets te weten, aangezien de commissie geen verantwoordelijkheid draagt voor het welzijn van de deelnemers. Toch kan het in noodsituaties van belang zijn om over dergelijke informatie te beschikken. Om die reden wordt bij aanmelding de optie gegeven om informatie over medicatie/dieetwensen/allergieën door te geven aan de commissie. De deelnemer kan de commissie hier dus van op de hoogte stellen als hij of zij dit zelf nodig acht. Ook deze informatie wordt direct na de reis verwijderd.

Vanaf 2018-2019 hebben we besloten geen paspoortkopieën meer te vragen. Het is namelijk niet nodig voor het boeken van vliegtickets of hostels. Het is de verantwoordelijkheid van het lid om correcte gegevens door te geven. Dit gaat om de complete naam.

Alleen de gegevens die voor het boeken van vluchten en het inchecken noodzakelijk zijn zullen dus worden gevraagd. Iedereen is vervolgens zelf verantwoordelijk om eventueel een kopie mee te nemen tijdens de reis, voor het geval dat het echte legitimatiebewijs verloren raakt.

Voor een ongemengd hostel zou het wellicht nodig kunnen zijn ook het geslacht op te vragen in de aanmelding. Het verkeer in gegevens kan echter geminimaliseerd worden door zaken als kamerindeling zo veel mogelijk door de deelnemers zelf en ter plekke geregeld te laten worden.

x. Websitecommissie

De website is voor iedereen vrij toegankelijk. Op de website bevindt zich een afgeschermde pagina met foto’s. Wanneer men lid is geworden van Sophia Aeterna, kan men ook toegang krijgen tot deze pagina. Hiervoor is voor- en achternaam nodig. Vervolgens krijgt Sophia een mail met het verzoek dat iemand lid wil worden op de website. De Ab-actis controleert of het lid in het ledenbestand staat en vraagt daarna bevestiging via de mail. Vervolgens wordt er toestemming verleend of niet.

Het gehele privacybeleid is op de website zichtbaar voor leden. Zo kunnen leden ten alle tijde zien wat hun rechten zijn op het gebied van privacy.

f. Werkplek

Onze fysieke werkplek bestaat uit een kantoor in het Huizingagebouw, dat gedeeld wordt met verschillende docenten en student-assistenten. Daarom is het belangrijk om alles wat daar bewaard wordt goed af te sluiten. Enkele concrete aandachtspunten zijn daarbij:

  • Een vergrendeling aanbrengen op de harde schijf;
  • Computers vergrendelen wanneer de werkplek of computer tijdelijk verlaten wordt;
  • Uitloggen wanneer de werkplek of computer verlaten wordt;
  • Documenten met gevoelige gegevens versnipperen bij verwijdering en niet zomaar weggooien;
  • Zorgen dat zowel de sleutel van de kamer als de kast op een veilige plaats bewaard wordt.

Verder moeten bestuursleden die gevoelige informatie op hun persoonlijke computer of laptop hebben staan dezelfde punten in acht nemen en overbodige informatie zo snel mogelijk verwijderen. Tot slot moet ook het wachtwoord van de mail regelmatig veranderd worden.

g. Archief

Het archief bestaat uit verschillende delen: het ab-actiaal archief, het quaestoriaal archief, het Fronsarchief en het toneelarchief.

i. Ab-actiaal archief

Het ab-actiaal archief bestaat uit de volgende zaken:

  • Notulen van de bestuursvergaderingen. Deze bewaren we digitaal om afspraken goed te kunnen nakomen en als documentatie voor volgende jaren. In principe heeft alleen het bestuur toegang tot de notulen van bestuursvergaderingen, tenzij artikel 23 lid 5 van het HR van toepassing is. Deze worden niet verwijderd.
  • Bestuurssollicitaties. We vragen hierbij of sollicitanten hun curriculum vitae en motivatiebrief willen sturen. Deze informatie wordt niet gedeeld met andere sollicitanten. De gegevens worden verwijderd zodra het kandidaatsbestuur is ingestemd op de acclamatie-ALV. 
  • Notulen van de Algemene Ledenvergaderingen. Deze worden zowel digitaal als analoog (met handtekening van de Praeses en Ab-actis) bewaard. We bewaren dit voor de algemene verslaglegging van de vereniging. Alle leden hebben op elk moment toegang tot de notulen van de Algemene Ledenvergaderingen. Deze worden niet verwijderd.
  • Foto’s. Deze worden digitaal bewaard. Nieuwe leden geven toestemming via het inschrijfformulier dat foto’s gebruikt mogen worden op social media en in de almanak. Op social media worden de foto’s op een redelijke termijn verwijderd. De almanak wordt niet verwijderd. Ook hebben we een afgeschermde omgeving op de website waar foto’s worden gepubliceerd. Deze pagina is alleen toegankelijk voor leden, zoals bij ‘website’ staat beschreven.
  • Almanak. Hier staat een ledenlijst, waarin de naam genoemd staat en het jaar waarin iemand lid is geworden. Mensen geven hier toestemming toe middels het inschrijfformulier. De almanak wordt niet verwijderd.  
  • Daarnaast vallen nog diverse stukken onder het ab-actiaal archief, zoals post en posters. Persoonsgegevens die hiermee gemoeid gaan zijn namen en adressen. Deze worden verwijderd op verzoek van een persoon in kwestie. Maar in principe worden deze door mensen zelf toegestuurd, of wordt er door commissieleden zelf ingestemd met de verspreiding van bepaalde posters (bijvoorbeeld ter promotie van een activiteit).
  • Mailbox. We zijn in gesprek met de universiteit en andere verenigingen om af te stemmen welke mailproviders betrouwbaar genoeg zijn om als studievereniging te gebruiken. Dit zal hoogstwaarschijnlijk inhouden dat we vanaf 2018-2019 overgaan op Office 365. Mochten we nog wel gebruik blijven maken van Google, dan zouden we dit kunnen vermelden op ons aanmeldingsformulier. Hiermee wijzen we leden vanaf het begin af aan op het feit dat mailverkeer via Google gaat.

Alles wat digitaal bewaard wordt, staat op de harde schijf en in een online omgeving. Op moment van schrijven is dit Google Drive. Wij hopen in 2018-2019 over te kunnen gaan op een beveiligd programma waarin het mogelijk is om documenten te delen en op te slaan, zoals Surf Drive.

Alles wat analoog bewaard wordt, wordt bewaard in een afgesloten kast op onze werkplek. Docenten en student-assistenten die in dezelfde kamer werken, hebben zo geen toegang tot de documenten. De sleutel van de kast hangt aan dezelfde bos als de sleutel van de kamer.

ii. Quaestoriaal archief

In het quaestoriaal archief worden per jaar de goedgekeurde begroting, de realisatie van het gehele jaar, realisaties van aparte evenementen, het rekeningoverzicht, verleden bankpassen en de bonnenboeken bewaard. De huidige bankpas heeft de Quaestor op zak. Dit archief wordt bewaard zodat het kan dienen ter voorbeeld voor komende jaren. In het jaar zelf wordt het bewaard zodat de kascontrole kan controleren of de vereniging financieel gezien gezond is. Dit archief is op papier in de kast op de werkplek te vinden, waardoor het gehele huidige bestuur daar toegang tot heeft. Leden kunnen toegang vragen en mogen het archief inzien onder het toezicht van de quaestor. Geen van deze gegevens zullen verwijderd worden, met uitzondering van aparte betalingen voor de activiteiten en evenementen die worden na één jaar verwijderd.

iii. Fronsarchief

In het Fronsarchief worden Fronsen bewaard. Persoonsgegevens die in de Frons staan zijn namen en studiejaren in de korte bio’s na artikelen. Deze worden niet verwijderd. Adressen en e-mailadressen van abonnees worden bewaard. Deze worden verwijderd zodra iemand zijn of haar abonnement opzegt.

iv. Toneelarchief

In het toneelarchief worden foto’s en film bewaard. Dit wordt bewaard ter herinnering aan de toneelstukken en om eventueel later naar te kijken. Het archief wordt bewaard op de harde schijf van de vereniging. Gewone leden kunnen toegang vragen en mogen het archief inzien onder het toezicht van een bestuurslid. Deze gegevens zullen in principe niet verwijderd worden. Mocht er bezwaar gemaakt worden, dan kunnen foto’s verwijderd worden en de film geblurd.

h. Bewustwording onder leden

Leden van Sophia Aeterna worden voorafgaand aan elk collegejaar op de hoogte gesteld van het privacybeleid van de vereniging via de mail en op de ALV. Zo worden zij eraan herinnerd wat hun rechten zijn op het gebied van privacy. Ook is met het intreden van de AVG een mail verspreid over de nieuwe privacyregelingen onder alle leden. Bovendien wordt in de draaiboeken van zowel het bestuur als de verschillende commissies een clausule opgenomen over zorgvuldig omgaan met persoonsgegevens.

3. Extern

Om onze samenwerkingen op verschillende gebieden te laten aansluiten bij ons interne privacybeleid, moet er door bestuur en commissies bij het sluiten van overeenkomsten nagedacht worden over de voorwaarden waaronder een overeenkomst gesloten kan worden en over de gevolgen die dit voor de gegevensbescherming van leden heeft. Commissies die hier veel mee te maken zullen hebben zijn o.a. de almanakcommissie en de acquisitiecommissie. Verder is de Assessor verantwoordelijk voor het contact met andere verenigingen en zal de Assessor ook bij evenementen waarbij meerdere organiserende partijen betrokken zijn de privacyregelingen conform de AVG moeten waarborgen. Ook het gebruik van social media is belangrijk om onder de loep te leggen als het op verspreiden van gegevens aan derden aankomt.

a. Mailprovider

We zijn in gesprek met de universiteit en andere verenigingen om af te stemmen welke mailproviders betrouwbaar genoeg zijn om als studievereniging te gebruiken. Dit zal hoogstwaarschijnlijk inhouden dat we vanaf 2018-2019 overgaan op Office 365. Mochten we nog wel gebruik blijven maken van Google, dan zouden we dit kunnen vermelden op ons aanmeldingsformulier. Hiermee wijzen we leden vanaf het begin af aan op het feit dat mailverkeer via Google gaat.

b. Verwerkingsovereenkomsten externe partijen

Naast de gegevens die binnenkomen via de mail zijn er weinig andere externe partijen waarmee verwerkingsovereenkomsten gesloten moeten worden. De mogelijk externe partijen waar Sophia Aeterna mee in contact staat zijn uitgebreider besproken bij hoofdstuk 2, artikel e leden ii en iv.

Mochten er in de toekomst wel overeenkomsten gesloten worden met externe partijen die toegang krijgen tot gegevens (naast de drukker van de almanak en Frons), dan is het belangrijk om in het contract een clausule op te nemen dat de externe partij gegevens niet mag kopiëren en zodra het mogelijk is de gegevens moet verwijderen.

c. Samenwerkingsovereenkomsten andere verenigingen

In ons inschrijfformulier staat niets over het delen van gegevens met andere verenigingen. Het is belangrijk in gedachten te houden dat wij onze leden niet opgeven voor, bijvoorbeeld, een facultair symposium,maar dat studenten dat zelf bij de faculteitssymposiumcommissie doen. Zij moeten zelf hun gegevens geven en alle voorwaarden die aan zo’n aanmelding verbonden kunnen worden vormen een afspraak tussen de faculteitssymposiumcommissie en de student; Sophia Aeterna staat daar dus buiten. Het is belangrijk dat binnen de organisatie van zo’n gezamenlijk project afspraken worden gemaakt over bijvoorbeeld foto’s die tijdens een activiteit worden gemaakt, en dat er iemand verantwoordelijk is voor het na afloop verwijderen van de aanmeldingen en eventuele andere gegevens.

d. Social media

Op dit moment heeft Sophia Aeterna een Facebook- en Instagramaccount.

Op dit moment wordt Facebook gebruik om evenementen aan te maken voor zowel promotie als indicatie hoeveel mensen er bijvoorbeeld naar een borrel zullen komen. Daarnaast worden er foto’s geplaatst; wederom als promotie maar ook als terugblik op de activiteit. Deze evenementen en foto’s dienen als een soort jaarverslag en als inspiratie voor volgende jaren. Ook kunnen mensen door de Facebookpagina bekend raken met Sophia, dus is het een vorm van reclame voor de vereniging, wat tot naamsbekendheid en werving van nieuwe leden kan leiden. Op instagram plaatsen we vooral foto’s na activiteiten en in de stories aankondigingen voor activiteiten. Ook via dit medium kunnen leden op de hoogte gehouden worden van activiteiten en kunnen nieuwe leden bekend raken met Sophia.

Op het inschrijfformulier staat een tickbox waarin mensen aangeven dat ze akkoord gaan met het gebruik van foto’s. Er staan geen gehele albums op Facebook, slechts een paar foto’s als indicatie. Deze foto’s kunnen ook verwijderd worden op het verzoek van de mensen die erop staan. De foto’s blijven in principe op Facebook staan. Berichten van het bestuur worden niet verwijderd. Ook evenementen blijven bestaan.

e. Website ·

Op de website verkopen wij tweedehands boeken. Hier staat de titel van het boek en de prijs. Leden kunnen ons mailen en wij geven hen dan het e-mailadres van degene die de boeken verkoopt. De beide leden regelen de verkoop van de boeken dan verder onderling.

Wanneer iemand foto’s wil bekijken op de website, moet hij of zij zich hiervoor aanmelden. Daartoe vult men de voor- en achternaam in. Zo kan de Ab-actis controleren of degene die zich aanmeldt daadwerkelijk  lid is.

Op de website is ook een privacystatement zichtbaar sinds 25 mei 2018. Daarnaast staat het privacybeleid op de website. Hierdoor worden leden geattendeerd op hun rechten omtrent persoonsgegevens. 

4. Stappenplannen

a. Verzoek tot inzage gegevens

Een lid dat ouder is dan zestien jaar (en niet onder curatele staat) heeft het recht in te zien wat voor persoonsgegevens wij van hem/haar bewaren. Het lid hoeft geen reden te geven voor dit verzoek. Wel moet het lid zich identificeren. De vereniging moet het lid dan een overzicht sturen met tenminste de volgende informatie:

  • het doel waarvoor de organisatie zijn/haar gegevens gebruikt; 
  • welke soorten gegevens de vereniging voor dit doel gebruikt;
  • welke organisaties of soorten organisaties zijn/haar gegevens ontvangen;
  • hoe de vereniging aan zijn/haar gegevens is gekomen.

Een dergelijk verzoek kan per mail aan het bestuur worden gedaan. Bij het verzamelen van de gegevens van het lid moet het bestuur niet vergeten de mailboxen en opslagplaatsen van alle commissies na te kijken. Een taak voor het bestuur is eerst met het lid overleggen wélke gegevens het lid graag zou willen inzien, dan hoeft er geen volledig overzicht gemaakt te worden. Op het in 2018 in gebruik genomen inschrijfformulier staan de meeste onderdelen van het overzicht al genoemd.

b. Verzoek tot wijziging gegevens

Een lid kan na zijn gegevens te hebben ingezien een verzoek tot rectificatie van zijn/haar gegevens indienen als die gegevens:

  • feitelijk onjuist zijn;
  • onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;
  • op een andere manier in strijd met een wet worden gebruikt.

De vereniging moet binnen vier weken op het verzoek reageren, en als het bestuur besluit de gegevens te veranderen, moet dit zo snel mogelijk gebeuren. Ook moet het bestuur andere organisaties, waarmee deze gegevens in het afgelopen jaar zijn gedeeld, op de hoogte van de rectificatie stellen. (Behalve als de organisaties niet meer op te sporen zijn of als het een onevenredige inspanning zou vergen.)

c. Verzoek tot verwijderen gegevens

Een lid kan verzoeken de gegevens die hij heeft ingezien te laten verwijderen, als

  • deze gegevens niet meer nodig zijn voor het vermelde doel;
  • het lid de op het inschrijfformulier gegeven toestemming intrekt;
  • het lid bezwaar maakt tegen de gegevensverwerking (zie artikel 21 van de AVG);
  • de vereniging de gegevens onrechtmatig verspreidt;
  • de wettelijke bewaartermijn voor de gegevens is verlopen.

d. Meldplicht datalekken

Bij een datalek (toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie) heeft het bestuur de plicht dit te melden bij het meldloket van de Autoriteit Persoonsgegevens. Voorbeelden van datalekken zijn het verliezen van een niet-vergrendelde USB-stick, ransomware, verkeerd geadresseerde e-mails etc. etc.

Datalekken hoeven alleen gemeld te worden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen! Dat wil zeggen dat dit eigenlijk alleen van toepassing is op medische gegevens en kopieën van reisdocumenten. Ook alleen als het datalek een hoog risico vormt voor de betrokken personen moet het bestuur de betreffende betrokken leden op de hoogte stellen. Dit hoeft niet telkens als er een datalek bij het meldloket wordt gemeld.