Privacybeleid

Op deze pagina is het privacybeleid van Sophia Aeterna te lezen. Het beleid is voor het laatst gewijzigd op 26 juni 2023. Het privacybeleid kan ook hier worden gedownload.

Voorwoord

Beste lezer,

Dit document is opgesteld om vast te leggen hoe de vereniging persoonsgegevens verwerkt, naar aanleiding van de Algemene Verordening Gegevensbescherming, die op 25-05-2018 zal intreden. Hierin worden enerzijds de rechten van individuele personen om hun eigen gegevens in te zien, te wijzigen of te laten verwijderen beschreven. Anderzijds worden ook de plichten van de vereniging om bewust en met respect voor privacy om te gaan vastgelegd. Het document is dus zowel voor besturen als ook voor leden van uiterst belang.

Het proces dat voorafging aan het opstellen van dit document is als volgt verlopen. De assessor van 2017/2018 (Benjamin Plomp) was aanwezig bij de verenigingsoverleggen tussen verenigingen van de faculteit geesteswetenschappen. Daarnaast is er een bijeenkomst geweest van het STOP over de AVG die is bijgewoond door twee bestuursleden. Met voldoende informatie over de nieuwe wetgeving zijn we begonnen aan dit beleid. Allereerst zijn de gegevensstromen binnen Sophia Aeterna in kaart gebracht en is het inschrijvingsformulier aangepast. Deze gegevensstromen gaven inzicht in wat wél of juist niet noodzakelijk is om te bewaren. Op basis van de gegevensstromen is vervolgens dit beleid opgesteld.

Dit document is bedoeld om goed te kunnen verantwoorden welke gegevens wij gebruiken, voor welk doeleinde deze gegevens verwerkt en bewaard worden, wie toegang hebben tot deze gegevens en onder welke voorwaarden. Ook staat hier beschreven welke bewaartermijnen we hanteren. Verder zijn stappenplannen voor het omgaan met verzoeken van leden tot het inzien, laten wijzigen, of laten verwijderen van gegevens opgenomen. Wij hopen dat dit document daarmee een praktische handleiding zal zijn voor volgende besturen om conform de AVG van 25-05-2018 te handelen, alsmede een manier om leden bewust te maken van hun rechten.

Voor vragen of feedback is het bestuur te bereiken via de mail: sophia.aeternaleiden@gmail.com

Namens bestuur VI,

Jikke Koning

Praeses 2017-2018

Dit beleid is herzien op 12 maart 2023 door bestuur XI.

Overal waar in dit reglement de mannelijke vorm wordt gebezigd, mag ook de vrouwelijke of genderneutrale vorm worden gelezen.

1. Intern

a. Statuten en Huishoudelijk Reglement

Artikel 5 van het Huishoudelijk Reglement (HR) handelt over persoonsgegevens. Hierin staat opgenomen welke gegevens van leden bewaard worden bij inschrijving. Ook wordt duidelijk gemaakt wat de rechten van leden omtrent persoonsgegevens zijn. Artikel 5 lid 7  van het HR ziet er als volgt uit:

7. Leden hebben het recht om te allen tijde:

a. de gegevens die zij aan Sophia Aeterna hebben verstrekt, in te zien

b. gegeven toestemming voor gegevensverwerking in te trekken en zodoende op redelijke termijn uit het bestand gewist te worden;

c. na beëindiging van het lidmaatschap zo snel mogelijk uit het ledenbestand gewist te worden;

d. een klacht in te dienen bij de nationale toezichthouder bij schending van normen uit dit artikel of uit de Algemene Verordening Gegevensbescherming.

Ook in artikel 24 van het HR, dat betrekking heeft op het archief, is duidelijk vermeld dat gegevens in het archief conform de AVG verwerkt worden, zie artikel 24 lid 1 van het HR:

24.1 Het bestuur is verantwoordelijk voor het archief van de vereniging. Het neemt hierbij de regels van de Algemene Verordening Gegevensbescherming in acht.

In artikel 24 lid 7 van het HR is verder opgenomen dat documenten uit het archief slechts met toestemming van bestuur mogen worden ingezien.

Hiermee is het HR in combinatie met dit privacybeleid een goede richtlijn voor besturen om zorgvuldig en conform de AVG met persoonsgegevens van de leden om te gaan.

b. Nieuwsbrief

De nieuwsbrief wordt gemaakt met het programma Mailchimp. Deze nieuwsbrief wordt alleen verstuurd naar het e-mailadres van Sophia Aeterna. Daarna wordt het verstuurd naar de leden. De e-mailadressen van de leden staan dus niet in het programma van Mailchimp, waarmee geen verwerkingsovereenkomst is gesloten.

c. Ledenadministratie

Het ledenbestand wordt deels analoog en deels digitaal bewaard. In het analoge deel bevinden zich de inschrijfformulieren met handtekening. In het digitale deel bevinden zich de gegevens van het inschrijfformulier in een digitaal bestand. Dit ledenbestand wordt bewaard op de computer van de Ab-actis. We zijn ons ervan bewust dat ook dit vrij gevoelig is, daarom is het bestand beveiligd met een wachtwoord. Er is geen digitale back-up van het bestand, als het nodig is beschikken we echter wel over de gegevens in het analoge archief. 

De gegevens die wij vragen bij de inschrijving zijn de volgende: naam, studie, studiefase, e-mailadres, geboortedatum en handtekening. Ook is er de mogelijkheid je persoonlijke voornaamwoorden te vermelden. Het is nodig om als vereniging op de hoogte te zijn van de naam van een nieuw lid om zo de andere gegevens goed te kunnen bewaren en gebruiken. Het e-mailadres gebruiken wij in eerste instantie om uitnodigingen voor de ALV te sturen. Daarnaast bewaren en gebruiken wij het e-mailadres ten behoeve van het verspreiden van informatie over activiteiten onder onze leden. Informatie over de studie die iemand volgt vragen wij om te kunnen vaststellen of iemand in aanmerking komt om lid te worden. De voorwaarden om lid te kunnen worden staan beschreven in artikel 4 lid 3 van de statuten. Wij vragen naar de studiefase omdat we activiteiten organiseren voor specifieke doelgroepen, die onder andere afhankelijk zijn van de studiefase. We vragen de geboortedatum, zodat we de leeftijd van iemand kunnen bepalen en de alcoholwet kunnen toepassen. Daarnaast kan leeftijd soms relevant zijn voor de prijscategorieën van bijvoorbeeld museum- en theaterkaartjes. Via het inschrijfformulier worden nieuwe leden tevens op de hoogte gesteld van hun rechten.

Toegang tot deze gegevens hebben alleen het bestuur en het desbetreffende lid. Het lid mag te allen tijde een verzoek doen om zijn eigen gegevens in te zien, te wijzigen of te verwijderen. Na verwijdering van één of meerdere van deze gegevens is lidmaatschap echter niet meer mogelijk. Ook mogen de naam en inschrijvingsdatum, zoals verstrekt bij inschrijving, in de almanak gepubliceerd worden, als hiermee is ingestemd bij inschrijving middels de tick-box op het inschrijfformulier. Voor leden die lid zijn geworden vóór de nieuwe AVG-wetgeving in werking trad, geldt dit met terugwerkende kracht, tenzij het lid daar bezwaar tegen maakt.

Deze gegevens worden verwijderd bij beëindiging van het lidmaatschap. Wanneer door het bestuur wordt besloten tot opzegging, blijven de gegevens nog één maand bewaard, omdat het lid volgens artikel 10 van het Huishoudelijk Reglement binnen die termijn in beroep kan gaan tegen het besluit van het bestuur. Bij ‘reguliere’ opzegging wordt een lid per 1 september verwijderd uit het ledenbestand. In het geval dat iemand geen mail meer wil ontvangen, wordt hij wel uit de maillijst verwijderd. Het analoge inschrijfformulier wordt dan vernietigd en de digitale gegevens worden uit de ledenadministratie verwijderd. Er wordt bij beëindiging van het lidmaatschap wel gevraagd of het desbetreffende lid reünist wil worden. Hij geeft dan toestemming dat zijn naam, e-mailadres en de begindatum van het lidmaatschap en datum van opzegging bewaard worden.

d. Activiteiten

i. Eerstejaarsweekend

Voor het eerstejaarsweekend vragen wij enkele extra gegevens naast de gegevens die we op het inschrijfformulier gevraagd hebben en dus in ons ledenbestand zijn opgenomen. Op het inschrijfformulier vragen wij al naar naam en leeftijd. Andere gegevens die we vragen zijn een telefoonnummer en een noodnummer. Een telefoonnummer wordt gevraagd opdat het bestuur de deelnemer te allen tijde kan bereiken tijdens het weekend. Een noodnummer wordt gevraagd zodat het bestuur in geval van nood een naaste kan bereiken. Verder is er de mogelijkheid om bij het aanmelden voor het eerstejaarsweekend andere zaken door te geven aan het bestuur, waarvan de deelnemer zelf meent dat het nodig is dat het bestuur of een bestuurslid hiervan op de hoogte is (bijvoorbeeld eetvoorkeuren of medische gegevens). Alleen het bestuur en de desbetreffende deelnemer hebben toegang tot deze informatie.

De gegevens die specifiek voor het eerstejaarsweekend worden gevraagd, worden direct na het weekend verwijderd. Dit geldt niet voor de gegevens die we via het inschrijfformulier vragen. Wanneer nog niet betaald is, zal de e-mail van de aanmelding nog bewaard blijven. Na betaling zal ook de aanmeldingsmail verwijderd worden.

Leden kunnen zich opgeven voor het eerstejaarsweekend via het inschrijfformulier of door een mail te sturen naar Sophia Aeterna. Middels een informatiebrief wordt de bovenstaande informatie bij de leden bekend gemaakt.

ii. Overige

Er is een aantal activiteiten dat door het bestuur wordt georganiseerd en niet door commissies. Voorbeelden hiervan zijn theaterbezoeken, excursies, borrels, etc. Aanmeldingen hiervoor worden bijgehouden in een GoogleDrive-bestand door de Ab-actis. Hierdoor heeft de Quaestor ook makkelijk toegang tot het bestand. Hiervoor is vaak alleen de naam voldoende. Bij open activiteiten houden we ook bij of elke deelnemer lid van de studievereniging is, omdat er dan vaak speciale kortingen gelden voor leden. Deze aanmeldlijsten en gegevens worden na de activiteit en na betaling direct verwijderd. Voor andere activiteiten hoeft men zich niet aan te melden en is de privacy ook niet in het geding.

e. Commissies

Een lid dat zich aanmeldt voor een commissie, neemt bepaalde taken en verantwoordelijkheden op zich. Hieronder valt de verantwoordelijkheid tegenover de rest van de commissie om beschikbaar en bereikbaar te zijn, daarom kunnen wij een commissielid ook om zijn telefoonnummer vragen. Dit dient om overleg makkelijker te laten plaatsvinden. Naast het bestuur en commissieleden heeft niemand toegang tot deze gegevens.

Ook hebben commissieleden de verantwoordelijkheid tegenover de vereniging om doeltreffend te werk te gaan en op verantwoordelijke wijze met gevoelige informatie om te gaan. Daarom kan het bestuur een aanstaand commissielid om relevante (werk)ervaring vragen, bijvoorbeeld tijdens een sollicitatie. Het bestuur draagt er verder zorg voor dat de samenstelling van commissies divers is, met name met betrekking tot studiefase, en daarom kan het bestuur vragen in welke studiefase een aanstaand commissielid zich bevindt.

Na eventuele sollicitaties worden de gegevens die ten behoeve daarvan verzameld zijn direct weer verwijderd.

Voor alle commissies geldt dat zij zich moeten afvragen welke gegevens zij waarvoor, en hoe lang nodig hebben, en waar deze veilig kunnen worden opgeslagen. Een vuistregel is: vraag zo min mogelijk gegevens, én verwijder alle aanmeldingen na de activiteit, ook uit de mailbox. (Laat de drang om zo min mogelijk gegevens nodig te hebben echter geen nieuwe ideeën voor activiteiten in de weg staan: onderbouw en vermeld simpelweg welke gegevens nodig zijn en ga er behoedzaam mee om als ze verzameld zijn.) Om de gegevens die de commissie verzamelt zo veilig mogelijk te bewaren, moet het wachtwoord dat gebruikt wordt voor de mailbox en de drive elk jaar worden veranderd. Tevens moet dit wachtwoord uit minimaal twaalf tekens bestaan en een hoofdletter, kleine letter, cijfer en leesteken bevatten. Aan het begin van de draaiboeken van alle commissies staat een uitgebreider en concreter verslag. In de toekomst kunnen we eventueel commissieleden een contract laten tekenen over de omgang met persoonsgegevens om de verantwoordelijkheid van het bestuur naar de commissieleden te verleggen.

Een commissie heeft geen toegang tot de rekeningafschriften en kan dus niet inzien wie wel of niet betaald heeft voor een activiteit/voorwerp  etc. De commissie heeft daar uiteraard wel contact over met de Quaestor van de vereniging: de Quaestor moet immers van de commissie te weten krijgen welke leden zich hebben aan- of afgemeld. Vaak wordt het aanmeldingenoverzicht gedeeld met de Quaestor, zodat die daarin kan bijhouden wie betaald heeft en de commissie daarvan ook op de hoogte is. Betalingsverzoeken aan de leden worden door de Quaestor gedaan en niet vanuit een commissie.

Enkele commissies organiseren activiteiten waarbij alcohol geschonken wordt, zoals de barbecuecommissie, decembercommissie en de feestcommissie. Indien een derde partij dit doet, bijvoorbeeld in een café, dan ligt de verantwoordelijkheid voor leeftijdscontrole bij de desbetreffende partij. Indien de vereniging of commissie zelf alcohol schenkt, dan wordt van tevoren de aanmeldingenlijst gedeeld met de Ab-actis, die in het ledenbestand controleert of er mensen komen die nog geen alcohol mogen drinken. De Ab-actis deelt deze informatie met de rest van het bestuur en de organiserende commissie. De aanwezige BHV’ers houden, samen met de commissie, in de gaten dat de alcoholwet wordt nageleefd.

i. Frons

De Frons is uniek, omdat de hoofdredactie zelf een abonneebestand bijhoudt. In dat bestand worden naam, e-mailadres en eventueel woonadres van abonnees bewaard. Daarnaast heeft de Frons ook een eigen archief. Dit maakt het noodzakelijk om bewust en verantwoordelijk om te gaan met persoonsgegevens, zoals foto’s en citaten met naamsvermelding.

De Frons kent verschillende soorten abonnees: abonnees die lid zijn van Sophia en die dat niet zijn, en abonnees op de papieren en op de digitale Frons.

Wanneer een Sophialid een abonnement neemt op de Frons, geeft hij daarmee toestemming zijn e-mailadres te delen met de Frons. De Frons heeft daarnaast het recht om papieren abonnees te vragen naar hun adres en deze gegevens op te slaan. Het e-mailadres is bij digitale abonnees noodzakelijk om de Frons te verstrekken. Bij papieren abonnees is het e-mailadres primair nodig om te kunnen vragen naar het adres van de abonnee. Het adres wordt gebruikt voor het bezorgen van de Frons, wanneer het niet mogelijk blijkt de Frons op de universiteit aan de abonnee te geven. De abonnee heeft het recht om zijn adres niet door te geven, als hij dit niet nodig acht. Het is dan echter mogelijk dat de Frons haar diensten onvoldoende kan leveren.

Wanneer iemand die geen lid is van Sophia een abonnement neemt op de Frons, geeft hij zelf zijn e-mailadres en eventueel adres aan de Frons. Daarnaast geeft hij toestemming zijn e-mailadres te delen met Sophia. De Quaestor van Sophia gebruikt dit e-mailadres om de abonnementskosten te innen.

De verwijdertermijn van de gegevens in het abonneebestand bij de Frons is hetzelfde als bij de gegevens uit het ledenbestand van Sophia Aeterna. Wanneer een abonnee zijn abonnement opzegt, wordt hij verwijderd uit het abonneebestand per 1 september.
De Frons is verder afhankelijk van een derde partij: de drukker. In het privacybeleid van de drukker staat dat ze de gegevens die ze krijgen van het drukwerk niet gebruiken als het niet noodzakelijk is. Hiermee houdt de drukker zich aan de AVG en hoeft de Frons zelf zich daar niet druk om te maken.

ii. Almanakcommissie

De almanakcommissie bekleedt een soortgelijke positie, namelijk dat er afspraken met de drukker gemaakt moeten worden om er zeker van te zijn dat de drukker geen gegevens opslaat en werkt volgens de nieuwe privacywetgeving. Verder is de almanak afhankelijk van het ledenbestand en het archief van Sophia Aeterna. De Ab-actis stelt hiervoor een beknopt ledenbestand ter beschikking, waarin alleen de gegevens die in de almanak gepubliceerd mogen worden zijn opgenomen. 

Voor opname in de almanak van foto’s en de ledenlijst geven leden toestemming op het inschrijfformulier; zie ook artikel 1g.

iii. Acquisitie-merchandisecommissie

De acquisitie-merchandisecommissie sluit samenwerkingsovereenkomsten met externe partijen. Hieraan zit voor beide partijen een voordeel verbonden. Dat voordeel kan liggen in het vergroten van de naamsbekendheid door te adverteren in media zoals de nieuwsbrief, de Facebookpagina of website, of de almanak. Daar staat vaak een financieel voordeel voor Sophia Aeterna tegenover. In  zo’n geval zijn er geen persoonsgegevens in het geding.

Ook andere typen samenwerking zijn mogelijk, bijvoorbeeld met een bijlesbureau. In dat geval is het voordelig voor de partner om onze leden goed te kunnen bereiken voor vacatures en dergelijke. Hierbij worden echter geen gegevens aan de partner verstrekt, maar speelt Sophia Aeterna de rol van tussenpersoon door een openstaande vacature door te mailen naar de leden. Leden kunnen daarna zelf contact opnemen met de externe partij.

Mochten leden kortingen krijgen bij bepaalde bedrijven, dan zullen zij moeten aantonen lid te zijn van Sophia Aeterna. De externe partij krijgt dan van het lid zelf informatie dat iemand lid is. Deze verantwoordelijkheid ligt bij het lid zelf en niet bij de vereniging.

Bij de samenwerkingen die de acquisitie-merchandisecommissie aangaat worden dus geen persoonsgegevens verstrekt aan derden.

iv. Toneelcommissie

De toneelcommissie moet informatie over persoonlijke agenda’s, die bijvoorbeeld nodig is voor het samenstellen van een repetitieschema, tijdig verwijderen. Verder is het handig de vertalers enige tijd van te voren te vragen of zij wel vermeld willen worden als men besluit de tekst uit te geven. Audities worden over het algemeen niet opgenomen. Dit kan wel gebeuren als de auditant daar toestemming voor geeft, maar dan moeten er ook afspraken gemaakt worden over de verwijdertermijn van de opname. Toneelopvoeringen worden wel opgenomen en voor onbepaalde tijd bewaard. Acteurs moeten hiervan op de hoogte worden gebracht en idealiter om toestemming worden gevraagd. Deze opnames zijn bedoeld voor intern gebruik en zijn niet openbaar toegankelijk.

v. Reiscommissie

De reiscommissie bewaart misschien wel de gevoeligste gegevens van alle commissies, namelijk onder meer informatie over legitimatiedocumenten en mogelijk ook medische gegevens. Het is hier ook belangrijk dat alle aanmeldingen worden verwijderd na de reis. Over medicatie en dergelijke hoeft de commissie in principe niets te weten, aangezien de commissie geen verantwoordelijkheid draagt voor het welzijn van de deelnemers. Toch kan het in noodsituaties van belang zijn om over dergelijke informatie te beschikken. Om die reden wordt bij aanmelding de optie gegeven om informatie over medicatie/dieetwensen/allergieën door te geven aan de commissie. De deelnemer kan de commissie hier dus van op de hoogte stellen als hij dit zelf nodig acht. Ook deze informatie wordt direct na de reis verwijderd.

Vanaf 2018-2019 hebben we besloten geen paspoortkopieën meer te vragen. Het is namelijk niet nodig voor het boeken van vliegtickets of hostels. Het is de verantwoordelijkheid van het lid om correcte gegevens door te geven, zoals die op het paspoort vermeld staan. Indien een deelnemer niet wil dat de hele reiscommissie op de hoogte is van de op het identiteitsbewijs vermelde naam, dan kan de deelnemer de Quaestor – die doorgaans deze gegevens zal doorgeven aan de derde partijen – benaderen en vragen of hij deze gegevens alleen wil delen met de betreffende derde partij. In een dergelijk geval zullen individuele afspraken gemaakt worden.

Alleen de gegevens die voor het boeken van vluchten en het inchecken noodzakelijk zijn zullen dus worden gevraagd. Iedereen is vervolgens zelf verantwoordelijk om eventueel een kopie mee te nemen tijdens de reis, voor het geval dat het echte legitimatiebewijs verloren raakt.

De reiscommissie streeft ernaar om niet in ongemengde hostels te overnachten, zodat de commissie en deelnemers een kamerindeling kunnen maken op basis van eigen voorkeur. Indien we onverhoopt toch in een ongemengd hostel overnachten, zou het wellicht nodig kunnen zijn ook het geslacht op te vragen in de aanmelding. Het verkeer in gegevens kan echter geminimaliseerd worden door zaken als kamerindeling zo veel mogelijk door de deelnemers zelf en ter plekke geregeld te laten worden.

vi. Websitecommissie

De website is voor iedereen vrij toegankelijk. Op de website bevindt zich een afgeschermde pagina met foto’s. Wanneer men lid is geworden van Sophia Aeterna, kan men ook toegang krijgen tot deze pagina. Hiervoor is voor- en achternaam nodig. Vervolgens krijgt Sophia een mail met het verzoek dat iemand lid wil worden op de website. De Ab-actis controleert of het lid in het ledenbestand staat. Vervolgens wordt er toestemming verleend of niet.

Het gehele privacybeleid is op de website zichtbaar voor leden. Zo kunnen leden ten alle tijde zien wat hun rechten zijn op het gebied van privacy.

f. Werkplek

Onze fysieke werkplek bestaat uit een kantoor in het Arsenaal, dat gedeeld wordt met andere studieverenigingen. Daarom is het belangrijk om alles wat daar bewaard wordt goed af te sluiten. Onze spullen worden bewaard in kasten die vergrendeld worden. Zowel de werkplek zelf als de kasten kunnen enkel worden geopend met behulp van een LU-kaart van een bestuurslid. Andere mensen kunnen hier dus geen toegang toe hebben.

Daarnaast is er een vergrendeling aangebracht op de harde schijf. Ook worden documenten met gevoelige gegevens versnipperd bij verwijdering en niet zomaar weggegooid.

Verder moeten bestuursleden die gevoelige informatie op hun persoonlijke computer of laptop hebben staan dezelfde punten in acht nemen en overbodige informatie zo snel mogelijk verwijderen. Tot slot moet het wachtwoord van de mail en drive elk jaar veranderd worden. Het wachtwoord moet uit minimaal twaalf tekens bestaan en een hoofdletter, kleine letter, cijfer en leesteken bevatten.

g. Archief

Het archief bestaat uit verschillende delen: het ab-actiaal archief, het quaestoriaal archief, het Fronsarchief en het toneelarchief.

i. Ab-actiaal archief

Het ab-actiaal archief bestaat uit de volgende zaken:

  • Notulen van de bestuursvergaderingen. Deze bewaren we digitaal om afspraken goed te kunnen nakomen en als documentatie voor volgende jaren. In principe heeft alleen het bestuur toegang tot de notulen van bestuursvergaderingen, tenzij artikel 24 lid 5 van het HR van toepassing is. Deze worden niet verwijderd.
  • Bestuurssollicitaties. We vragen hierbij of sollicitanten hun curriculum vitae en motivatiebrief willen sturen. Deze informatie wordt niet gedeeld met andere sollicitanten. De gegevens worden verwijderd zodra het kandidaatsbestuur is ingestemd op de acclamatie-ALV. 
  • Notulen van de Algemene Ledenvergaderingen. Deze worden zowel digitaal als analoog (met handtekening van de Praeses en Ab-actis) bewaard. We bewaren dit voor de algemene verslaglegging van de vereniging. Alle leden hebben op elk moment toegang tot de notulen van de Algemene Ledenvergaderingen. Deze worden niet verwijderd.
  • Foto’s. Deze worden digitaal bewaard. Nieuwe leden geven toestemming via het inschrijfformulier dat foto’s gebruikt mogen worden op social media en in de almanak. De foto’s op social media worden in principe niet verwijderd, tenzij iemand die op de foto staat tot verwijdering verzoekt. De almanak wordt niet verwijderd. Ook hebben we een afgeschermde omgeving op de website waar foto’s worden gepubliceerd. Deze pagina is alleen toegankelijk voor leden, zoals bij ‘website’ staat beschreven.
  • Almanak. Hierin staat een ledenlijst, waarin de naam genoemd staat en de datum waarop iemand lid is geworden. Mensen geven hier toestemming toe middels het inschrijfformulier. De almanak wordt niet verwijderd.  
  • Daarnaast vallen nog diverse stukken onder het ab-actiaal archief, zoals post en posters. Persoonsgegevens die hiermee gemoeid gaan zijn namen en adressen. Deze worden verwijderd op verzoek van een persoon in kwestie. Maar in principe worden deze door mensen zelf toegestuurd, of wordt er door commissieleden zelf ingestemd met de verspreiding van bepaalde posters (bijvoorbeeld ter promotie van een activiteit).
  • De mailbox.

Alles wat digitaal bewaard wordt, staat op de harde schijf en in een online omgeving. Op moment van schrijven is dit Google Drive. 

Alles wat analoog bewaard wordt, wordt bewaard in een afgesloten kast op onze werkplek. Bestuursleden van andere studieverenigingen die tot dezelfde kamer toegang hebben, kunnen zo niet bij de documenten. De kasten kunnen alleen worden opengemaakt met behulp van de LU-kaart van een bestuurslid.

ii. Quaestoriaal archief

In het quaestoriaal archief worden per jaar de goedgekeurde begroting, de realisatie van het gehele jaar, realisaties van aparte evenementen, het rekeningoverzicht, verleden bankpassen en de bonnenboeken bewaard. De huidige bankpas heeft de Quaestor op zak. In het jaar zelf wordt het bewaard zodat de kascontrole kan controleren of de vereniging financieel gezien gezond is. Het is daarnaast wettelijk verplicht dit archief zeven jaar te bewaren. Dit archief is gedeeltelijk op papier in de kast op de werkplek te vinden en gedeeltelijk in het digitale archief, zoals beschreven in artikel 24 lid 3 en 4 van het Huishoudelijk Reglement. Leden kunnen toegang vragen en mogen het archief inzien onder het toezicht van de quaestor. Geen van deze gegevens zullen verwijderd worden.

iii. Fronsarchief

In het Fronsarchief worden Fronsen bewaard. Persoonsgegevens die in de Frons staan zijn namen en studiejaren in de korte bio’s na artikelen. Deze worden niet verwijderd. Adressen en e-mailadressen van abonnees worden bewaard. Deze worden verwijderd zodra iemand zijn abonnement opzegt.

iv. Toneelarchief

In het toneelarchief worden foto’s en film bewaard. Dit wordt bewaard ter herinnering aan de toneelstukken en om eventueel later naar te kijken. Het archief wordt bewaard op de harde schijf van de vereniging. Gewone leden kunnen toegang vragen en mogen het archief inzien onder het toezicht van een bestuurslid. Deze gegevens zullen in principe niet verwijderd worden. Mocht er bezwaar gemaakt worden, dan kunnen foto’s verwijderd worden en de film geblurd.

2. Extern

Om onze samenwerkingen op verschillende gebieden te laten aansluiten bij ons interne privacybeleid, moet er door bestuur en commissies bij het sluiten van overeenkomsten nagedacht worden over de voorwaarden waaronder een overeenkomst gesloten kan worden en over de gevolgen die dit voor de gegevensbescherming van leden heeft. Commissies die hier veel mee te maken zullen hebben zijn o.a. de almanakcommissie en de acquisitie-merchandisecommissie. Verder is de Assessor verantwoordelijk voor het contact met andere verenigingen en zal de Assessor ook bij evenementen waarbij meerdere organiserende partijen betrokken zijn de privacyregelingen conform de AVG moeten waarborgen. Ook het gebruik van social media is belangrijk om onder de loep te leggen als het op verspreiden van gegevens aan derden aankomt.

a. Verwerkingsovereenkomsten externe partijen

Naast de gegevens die binnenkomen via de mail zijn er weinig andere externe partijen waarmee verwerkingsovereenkomsten gesloten moeten worden. De mogelijk externe partijen waar Sophia Aeterna mee in contact staat zijn uitgebreider besproken bij hoofdstuk 2, artikel e leden ii en iv.

Mochten er in de toekomst wel overeenkomsten gesloten worden met externe partijen die toegang krijgen tot gegevens (naast de drukker van de almanak en Frons), dan is het belangrijk om in het contract een clausule op te nemen dat de externe partij gegevens niet mag kopiëren en zodra het mogelijk is de gegevens moet verwijderen.

b. Samenwerkingsovereenkomsten andere verenigingen

In ons inschrijfformulier staat niets over het delen van gegevens met andere verenigingen. Het is belangrijk in gedachten te houden dat wij onze leden niet opgeven voor, bijvoorbeeld, een facultair symposium,maar dat studenten dat zelf bij de faculteitssymposiumcommissie doen. Zij moeten zelf hun gegevens geven en alle voorwaarden die aan zo’n aanmelding verbonden kunnen worden vormen een afspraak tussen de faculteitssymposiumcommissie en de student; Sophia Aeterna staat daar dus buiten. Het is belangrijk dat binnen de organisatie van zo’n gezamenlijk project afspraken worden gemaakt over bijvoorbeeld foto’s die tijdens een activiteit worden gemaakt, en dat er iemand verantwoordelijk is voor het na afloop verwijderen van de aanmeldingen en eventuele andere gegevens.

c. Social media

Op dit moment heeft Sophia Aeterna een Facebook- en Instagramaccount.

Op Facebook en Instagram worden activiteiten gepromoot en achteraf foto’s geplaatst. De promotie van activiteiten gebeurt op Facebook door middel van het aanmaken van evenementen en op Instagram voornamelijk door het gebruik van aankondigingen in stories. De foto’s die na activiteiten worden geplaatst, dienen wederom als promotie maar ook als terugblik op de activiteit. Deze foto’s dienen eveneens als een soort jaarverslag en als inspiratie voor volgende jaren. Ook kunnen mensen door de Facebook- en Instagrampagina bekend raken met Sophia, dus is het een vorm van reclame voor de vereniging, wat tot naamsbekendheid en werving van nieuwe leden kan leiden.

Bij inschrijving gaan nieuwe leden akkoord met het gebruik van foto’s, zoals vermeld op het inschrijfformulier. Er staan geen gehele albums op Facebook en Instagram, slechts een paar foto’s als indicatie. Deze foto’s kunnen ook verwijderd worden op het verzoek van de mensen die erop staan. De foto’s blijven in principe op Facebook en Instagram staan. Berichten van het bestuur worden niet verwijderd. Ook evenementen blijven bestaan.

d. Website

Op de website verkopen wij tweedehands boeken. Hier staat de titel van het boek en de prijs. Leden kunnen ons mailen en wij geven hen dan het e-mailadres van degene die de boeken verkoopt. De beide leden regelen de verkoop van de boeken dan verder onderling.

Wanneer iemand foto’s wil bekijken op de website, moet hij zich hiervoor aanmelden. Daartoe vult men de voor- en achternaam in. Zo kan de Ab-actis controleren of degene die zich aanmeldt daadwerkelijk  lid is.

Op de website is ook een privacystatement zichtbaar sinds 25 mei 2018. Daarnaast staat het privacybeleid op de website. Hierdoor worden leden geattendeerd op hun rechten omtrent persoonsgegevens.

3. Stappenplannen

a. Verzoek tot inzage gegevens

Een lid dat ouder is dan zestien jaar (en niet onder curatele staat) heeft het recht in te zien wat voor persoonsgegevens wij van hem bewaren. Het lid hoeft geen reden te geven voor dit verzoek. Wel moet het lid zich identificeren. De vereniging moet het lid dan een overzicht sturen met tenminste de volgende informatie:

  • het doel waarvoor de organisatie zijn gegevens gebruikt; 
  • welke soorten gegevens de vereniging voor dit doel gebruikt;
  • welke organisaties of soorten organisaties zijn gegevens ontvangen;
  • hoe de vereniging aan zijn gegevens is gekomen.

Een dergelijk verzoek kan per mail aan het bestuur worden gedaan. Bij het verzamelen van de gegevens van het lid moet het bestuur niet vergeten de mailboxen en opslagplaatsen van alle commissies na te kijken. Een taak voor het bestuur is eerst met het lid overleggen wélke gegevens het lid graag zou willen inzien, dan hoeft er geen volledig overzicht gemaakt te worden. Op het in 2018 in gebruik genomen inschrijfformulier staan de meeste onderdelen van het overzicht al genoemd.

b. Verzoek tot wijziging gegevens

Een lid kan na zijn gegevens te hebben ingezien een verzoek tot rectificatie van zijn gegevens indienen als die gegevens:

  • niet (meer) correct zijn; 
  • onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;
  • op een andere manier in strijd met een wet worden gebruikt.

De vereniging moet binnen vier weken op het verzoek reageren, en als het bestuur besluit de gegevens te veranderen, moet dit zo snel mogelijk gebeuren. Ook moet het bestuur andere organisaties, waarmee deze gegevens in het afgelopen jaar zijn gedeeld, op de hoogte van de rectificatie stellen. (Behalve als de organisaties niet meer op te sporen zijn of als het een onevenredige inspanning zou vergen.)

c. Verzoek tot verwijderen gegevens

Een lid kan verzoeken de gegevens die hij heeft ingezien te laten verwijderen, als

  • deze gegevens niet meer nodig zijn voor het vermelde doel;
  • het lid de op het inschrijfformulier gegeven toestemming intrekt;
  • het lid bezwaar maakt tegen de gegevensverwerking (zie artikel 21 van de AVG);
  • de vereniging de gegevens onrechtmatig verspreidt;
  • de wettelijke bewaartermijn voor de gegevens is verlopen.

d. Meldplicht datalekken

Bij een datalek (toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie) heeft het bestuur de plicht dit te melden bij het meldloket van de Autoriteit Persoonsgegevens. Voorbeelden van datalekken zijn het verliezen van een niet-vergrendelde USB-stick, ransomware, verkeerd geadresseerde e-mails etc. 

Datalekken hoeven alleen gemeld te worden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen! Dat wil zeggen dat dit eigenlijk alleen van toepassing is op medische gegevens en kopieën van reisdocumenten. Ook alleen als het datalek een hoog risico vormt voor de betrokken personen moet het bestuur de betreffende betrokken leden op de hoogte stellen. Dit hoeft niet telkens als er een datalek bij het meldloket wordt gemeld.