Opgesteld door het 4e bestuur van Studievereniging TP+
1. Inleiding
Studievereniging TP+ (SV TP+) hecht veel waarde aan het waarborgen van de privacy van onze leden. Wij doen er alles aan om uw persoonsgegevens te beschermen en daarom gaan wij hier uiterst zorgvuldig mee om. SV TP+ houdt zich in alle gevallen aan de toepasselijke wet- en regelvorming, waaronder de ‘Algemene Verordening Gegevensbescherming’ (AVG). SV TP+ behoudt zich het recht om dit Privacy Statement te allen tijden aan te passen mits het relevant is.
In deze Privacy Statement willen wij u heldere en transparante informatie geven over hoe wij omgaan met de persoonsgegevens. Dit doen wij door uit te leggen hoe persoonsgegevens en databestanden worden geregistreerd, verwerkt en bewaard. SV TP+ zal ervoor zorgen dat er informatie beschikbaar is betreffende mutatie, consultatie en uitwisseling van persoonlijke gegevens van leden, partners en andere relaties. SV TP+ is verantwoordelijk voor de verwerking van uw persoonsgegevens. Indien u na het doornemen van ons Privacy Statement, of in algemene zin, nog vragen heeft kan dit via de contactgegevens onderaan dit document.
1.1 Vereisten voor de verwerking van gegevens door verenigingen
SV TP+ houdt zich in alle gevallen aan de toepasselijke wet- en regelvorming, waaronder de ‘Algemene Verordening Gegevensbescherming’ (AVG). Dit brengt met zich mee dat wij in ieder geval:
– Uw persoonsgegevens verwerken in overeenstemming met het doel waarvoor deze zijn verstrekt, deze doelen en om wat voor soort gegevens het gaat zijn beschreven in dit Privacy Statement;
– De verwerking van uw persoonsgegevens beperken tot enkel de gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;
– Vragen om uw uitdrukkelijke toestemming als wij deze nodig hebben voor de verwerking van uw persoonsgegevens;
– Passende technische en organisatorische maatregelen hebben genomen zodat de beveiliging van uw persoonsgegevens gewaarborgd is;
– Geen persoonsgegevens doorgeven aan andere partijen, tenzij dit nodig is vooruitvoering van de doeleinden waarvoor ze zijn verstrekt;
– Op de hoogte zijn van uw rechten omtrent uw persoonsgegevens, u hierop willen wijzen en deze respecteren.
1.2 Systemen
SV TP+ verwerkt persoonsgegevens met behulp van verschillende systemen. Voor het grootste deel van de opslag gebruiken wij Dropbox. Ook wordt er gebruik gemaakt van lokale opslag, bijvoorbeeld de laptop van een bestuurder.
1.2.1 Ledenbestand
Het ledenbestand is een speciaal ontworpen Excel-bestand waarin alle gegevens met betrekking tot het lidmaatschap worden opgeslagen. Dit bestand wordt opgeslagen in Dropbox en er wordt een back-up gemaakt op de harde schijf. Het bestand wordt ten alle tijden beveiligd met een wachtwoord. Dit bestand kan alleen worden bekeken door de bestuursleden van het huidige jaar. Alleen de gegevensverwerker van SV TP+ (de secretaris) mag nieuwe informatie over een lidmaatschap toevoegen en bestaande gegevens muteren. Hiernaast mag uitsluitend de penningmeester van SV TP+ namen en bankgegevens verwerken voor een automatische incasso. Er zal jaarlijks een controle zijn vanuit Saxion Hogeschool omtrent het ledenaantal.
1.2.2 Bankaccount
SV TP+ werkt met en heeft alleen een bankrekening bij ING. ING voldoet volledig aan de Algemene Verordening Gegevensbescherming. De voorzitter, de penningmeester en de secretaris beschikken over een bankpas om te kunnen betalen. Directe toegang tot de bankrekening hebben alleen de voorzitter en de penningmeester, deze zijn ook bevoegd om online te bankieren. Het online bankieren wordt beveiligd door de ING-scanner te gebruiken.
1.2.3 tpplus.nl
De website www.tpplus.nl heeft meerdere doeleinden waarvoor het wordt gebruikt. De website wordt voornamelijk gebruikt om informatie te geven over de studievereniging, evenementen te promoten en ook is er een optie om lid te worden. Daarnaast kun je je aanmelden om bestuurslid te worden voor het aankomende jaar en wordt de mogelijkheid gegeven om het beleidsplan door te lezen.
1.2.4 Mailadres voor de bestuursleden
Ieder bestuurslid heeft toegang tot één e-mailaccount, namelijk tp-plus@saxion.nl. Via dit e-mailadres zal er met de leden van de vereniging gecommuniceerd worden.
1.2.5 Sociale media
SV TP+ maakt gebruik van sociale media en is enkel actief op de volgende platformen en accounts:
– Facebook: https://www.facebook.com/TPvereniging/
– Whatsapp: de groepsapps ‘TP+ Newsfeed’ en ‘TP+ Spamgroep’.
– Instagram: https://www.instagram.com/tp_plus/
Alle platformen, services en accounts waar wij actief op zijn, worden op deze pagina vermeld. In alle andere gevallen zijn de accounts of andere platformen geen onderdeel van SV TP+ en niet representatief. Wij zijn niet verantwoordelijk voor berichten, e-mails en/of formulieren vanuit bronnen anders dan de hierboven genoemde platformen.
1.2.6 Updates van de Privacy Statement
SV TP+ behoudt de volledige toestemming om wijzigingen aan te brengen in dit beleidsdocument. Het wordt aangeraden om het document regelmatig te checken op eventuele wijzigingen. De Privacy Statement is te vinden via www.tpplus.nl.
2. Verwerking persoonsgegevens
2.1 Leden
Persoonsgegevens van leden worden door SV TP+ verwerkt ten behoeve van de volgende doelstellingen:
– Informatieverstrekking in de vorm van activiteiten, informatie over uw lidmaatschappen andere zaken omtrent SV TP+;
– Het heffen van contributie.
De grondslag voor deze persoonsgegevens is:
– Het papieren aanmeldformulier van SV TP+;
– De aanmeldlink via Qualtrics;
– Het lidmaatschap via Studystore.
Voor de bovenstaande doelstelling(en) kan SV TP+ de volgende persoonsgegevens van u vragen:
– Voornaam;
– Achternaam;
– Studentnummer;
– Studentenmail;
– Geslacht;
– Geboortedatum;
– Telefoonnummer;
– E-mailadres;
– Adresgegevens;
– IBAN nummer.
Uw persoonsgegevens worden door SV TP+ opgeslagen ten behoeve van bovengenoemde verwerking(en) voor de periode.
– Gedurende de looptijd van het lidmaatschap en daarna alleen in de administratie voor maximaal zeven jaar.
2.1.1 Het ledenbestand
Het ‘ledenbestand’ is een bestand waarin de ledenadministratie staat. Het is verboden om informatie die zich in dit bestand bevindt door te spelen aan personen die hiertoe geen toegang hebben. Het wordt alleen opgeslagen op de persoonlijke laptops van de secretaris en de penningmeester zodra zij het bestand bijwerken. Het moet worden verwijderd van de laptop van oude bestuursleden. Dit moet worden gedaan in aanwezigheid van een huidig bestuurslid. Het is verboden om informatie uit het ledenbestand te kopiëren of op te slaan op een externe computer (met uitzondering van een computer van een bestuurslid en/of de computer in de verenigingsruimte).
2.1.2 Lijsten
Het is verboden om gegevens uit het ledenbestand te verplaatsen naar een ander document. Excursies en activiteiten vereisen soms (persoons) gegevens om de activiteit te organiseren. Voor activiteiten kan het zijn dat gegevens worden geëxporteerd naar een ander bestand. Dit is om overzicht te krijgen van wie er deelneemt aan een activiteit en wie lid is van SV TP+.
Zodra dit bestand wordt gemaakt, zal deze voor een minimale hoeveelheid tijd bewaard worden. Het opslaan van gegevens op een andere locatie dan op een specifieke SV TP+ locatie of op de persoonlijke laptop van een bestuurslid kan als een potentieel beveiligingsrisico worden beschouwd. Daarom hebben wij een geheimhoudingsverklaring ondertekend, die te vinden is in bijlage 1. De gegevens die zijn opgeslagen in het ledenbestand zijn strikt persoonlijk. Het is daarom verboden om gegevens uit dit ledenbestand te publiceren, tenzij dit uitdrukkelijk is goedgekeurd door het lid wiens gegevens wordt gepubliceerd.
2.2 Partners en sponsoren
Persoonsgegevens van partners en sponsoren worden door SV TP+ verwerkt ten behoeve van de volgende doelstelling(en):
– Administratieve doeleinden;
– Communicatie over de opdracht en/of uitnodigingen;
– Het uitvoering geven aan of het uitgeven van een opdracht.
De grondslag van deze persoonsgegevens is:
– De overeengekomen opdracht.
Voor de bovenstaande doelstelling(en) kan SV TP+ de volgende persoonsgegevens van u vragen:
– Voornaam;
– Achternaam;
– (Zakelijk) Telefoonnummer;
– (Zakelijk) E-mailadres;
– Adresgegevens.
Uw persoonsgegevens worden door SV TP+ opgeslagen ten behoeve van bovengenoemde verwerking(en) voor de periode:
– Gedurende de looptijd van het lidmaatschap en daarna alleen in de (financiële) administratie voor maximaal zeven jaar.
2.3 Bestuursleden
Persoonsgegevens van bestuursleden worden door SV TP+ verwerkt ten behoeve van de volgende doelstelling(en):
– Inschrijving als bestuurslid bij de Kamer van Koophandel;
– Overige gegevens om SV TP+ te besturen.
De grondslag voor deze persoonsgegevens is:
– Het inschrijvingsformulier van de Kamer van Koophandel.
Voor de bovenstaande doelstellingen kan SV TP+ de volgende persoonsgegevens van de bestuursleden vragen:
– Voornaam;
– Achternaam;
– Geboortedatum;
– Geboorteplaats;
– Geslacht;
– Geboortedatum;
– Geboorteplaats;
– Burgerservicenummer (IBSN);
– Geldig identiteitsbewijs.
Uw persoonsgegevens worden door SV TP+ opgeslagen ten behoeve van bovengenoemde verwerkingen voor de periode:
– Gedurende de periode dat het bestuurslid is aangesteld en/of staat ingeschreven bij de Kamer van Koophandel en daarna alleen in de (financiële) administratie voor maximaal zeven jaar;
– Gegevens van oud-bestuursleden worden mogelijk langer bewaard in een apart document, dit betreft gegevens als; voornaam, achternaam, telefoonnummer, e-mailadres en adresgegevens.
2.4 Registratie aanvullende informatie
Een commissie van SV TP+ kan aanvullende informatie nodig hebben voor bepaalde activiteiten (zoals diëten of allergieën). Dit kan bijvoorbeeld nodig zijn wanneer er een studiereis wordt georganiseerd. De informatie wordt verzameld en bewaard voor zolang als dat nodig is voor het organiseren van de activiteit. De informatie zal worden verwijderd na het eind van de activiteit waarvoor de informatie verzameld was.
2.5 Registratie speciale informatie
Speciale informatie zal alleen verwerkt worden wanneer dit expliciet is vereist. Binnen een vereniging is het goedgekeurd om gezondheid gerelateerde informatie bij te houden om zo goed mogelijk voor leden te kunnen zorgen. Andere typen mogen niet geregistreerd worden, tenzij dit duidelijk noodzakelijk is en het lid hiervoor toestemming geeft. Met sommige informatie moet extra voorzichtig worden omgegaan. Voorbeelden hiervan zijn religie en gezondheid gerelateerde informatie. Dit soort gegevens kunnen leiden tot ongewenste risico’s. Het kan echter nodig zijn om in bepaalde omstandigheden toegang te hebben tot dit soort informatie.
Voorbeelden van speciale gegevens zijn:
– Religie;
– Afkomst;
– Politieke voorkeur;
– Seksualiteit;
– Lid van een vereniging/organisatie;
– Burger Service Nummer (BSN).
2.5.1 Medische gegevens
Het kan nodig zijn om bepaalde medische gegevens te verzamelen voor de bescherming van de leden tijdens activiteiten, vooral de studiereis naar het buitenland. Deze gegevens moeten worden vernietigd als deze niet langer nodig zijn voor de activiteit waarvoor ze oorspronkelijk zijn verzameld. Gegevens die onder dit artikel worden vermeld, mogen niet worden verzameld als ‘medische gegevens’.
2.5.2 Vertrouwelijkheid
Personen die toestemming hebben om leden te registreren en persoonlijke gegevens te bekijken zijn verplicht om al deze gegevens geheim te houden, tenzij ze wettelijk verplicht zijn om deze te delen. Wij handhaven deze regel door iedereen, die mogelijk in contact komt met persoonlijke gegevens, een geheimhoudingsverklaring te laten ondertekenen.
2.5.3 Vervaldatum
Speciale gegevens mogen alleen worden bewaard voor een vooraf bepaalde bewaartermijn. Na deze periode worden de gegevens vernietigd. Het moet voor een lid duidelijk zijn waarom deze gegevens zijn verzameld en hoe lang deze bewaard worden.
2.6 Minderjarigen
Wij verwerken enkel en alleen persoonsgegevens van minderjarigen (personen jonger dan 16 jaar) indien daarvoor schriftelijke toestemming is gegeven door de ouder, verzorger of wettelijke vertegenwoordiger.
2.7 Bewaartermijn
SV TP+ bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt, dan wel op grond van de wet is vereist. Indien SV TP+ gegevens langer wil bewaren, zal hiervoor toestemming gevraagd worden aan degene waarvan de gegevens zijn.
3. Verstrekking aan derden
De gegevens die u aan ons geeft kunnen wij aan derde partijen verstrekken indien dit noodzakelijk is voor uitvoering van de hierboven beschreven doeleinden.
Zo maken wij gebruik van een derde partij voor:
– Uitnodigingen voor evenementen die samen met andere verenigingen binnen Saxion worden georganiseerd. Hierbij gaat het om voornaam, tussenvoegsel en achternaam.
Wij verstrekken nooit persoonsgegevens aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten. Met deze partijen (verwerkers) maken wij hierin uiteraard de nodige afspraken om de beveiliging van uw persoonsgegevens te waarborgen. Verder zullen we de door uw verstrekte gegevens niet aan andere partijen verstrekken, tenzij dit wettelijk verplicht en toegestaan is. Een voorbeeld hiervan is dat de politie in het kader van een onderzoek (persoons)gegevens bij ons opvraagt. In een dergelijk geval dienen wij medewerking te verlenen en zijn dan ook verplicht deze gegevens af te geven. Tevens kunnen wij persoonsgegevens delen met derden indien u ons hier schriftelijk toestemming voor geeft.
3.1 Koepel Overleg Studenten Saxion
Koepel Overleg Studenten Saxion (KOSS) is een derde partij van SV TP+. Dit komt omdat SV TP+ lid is van KOSS. Als je je via Studystore als lid inschrijft bij SV TP+ stuurt Studystore jouw gegevens automatisch op naar KOSS. Via KOSS komen deze gegevens bij SV TP+. Dit gebeurt via een bestand dat tweemaal is beveiligd door middel van een wachtwoord. Het gaat om je voornaam, tussenvoegsel, achternaam, e-mailadres en de naam van de studievereniging waar je je inschrijft.
3.2 Binnen de EU
SV TP+ verstrekt geen persoonsgegevens aan partijen welke gevestigd zijn buiten de EU.
4. Online media
4.1 Foto’s en video’s
Gedurende activiteiten van SV TP+ zullen er foto’s en video’s gemaakt worden. Mogelijk worden deze gepubliceerd via één of meerdere van onze sociale media kanalen: Facebook, Instagram, WhatsApp en onze website. Middels het akkoord gaan van de disclaimer bij jouw aanmelding voor een bepaalde activiteit en jouw aanwezigheid bij de activiteit zelf, ga je akkoord met het publiceren van de desbetreffende foto’s en video’s. Indien je hier bezwaar tegen hebt, kan dit kenbaar gemaakt worden via de contactgegevens onderaan de Privacy Statement. Zoals in de algemene voorwaarden beschreven is, verwachten we dat het in principe in de eerste week van het lidmaatschap aangegeven wordt.
4.2 Disclaimer tpplus.nl en accounts van sociale media
De website van SV TP+ is met grote zorg ontworpen en wordt ook onderhouden. Hoewel SV TP+ probeert feitelijke, precieze en actuele informatie te geven via geloofwaardige bronnen kunnen wij niet garanderen dat de informatie die via de website wordt verstrekt hoe dan ook feitelijk, precies of actueel is.
4.2.1 Persoonlijke gegevens
Wanneer iemand zich via de website wil inschrijven moet er een inschrijfformulier worden ingevuld. Zodra het inschrijfformulier wordt verzonden, wordt het automatisch aangegeven in Qualtrics. Deze gegevens worden verwerkt volgens de eerder gemaakte verklaringen in dit beleid.
4.2.2 Informatie gerelateerd aan derde partijen, producten en services
Als SV TP+ een hyperlink naar de website van een derde partij plaatst, kan het zijn dat de informatie die gevonden wordt op de website niet feitelijk of accuraat is. Het gebruik van dergelijke hyperlinks is geheel voor eigen risico van de gebruiker. SV TP+ neemt geen verantwoordelijkheid voor de inhoud, het gebruik of de beschikbaarheid van deze websites.
4.2.3 Uitsluiting van aansprakelijkheid
SV TP+ aanvaardt geen aansprakelijkheid voor enige directe, indirecte, speciale, incidentele of immateriële schade, ongeacht het feit dat SV TP+ op de hoogte is gesteld van mogelijke schade, veroorzaakt door:
– defecten of virussen verbonden met het apparaat of de software gebruikt om toegang te krijgen tot de website;
– informatie dat door de website is gepubliceerd;
– het onderscheppen, muteren of op enige manier wijzigen van informatie dat is ontvangen van de website;
– de werking of het gebrek aan beschikbaarheid van deze website;
– misbruik van deze website;
– verlies van gegevens;
– het gebruik van software gedownload via de website;
– claims van een derde partij met betrekking tot de website.
Deze uitsluiting van aansprakelijkheid is geldt ook voor bestuursleden en de vrijwillige commissieleden.
4.2.3 Toepassing van de wet
Op deze website en de disclaimer is Nederlands recht van toepassing
4.2.4 Wijzingen
SV TP+ heeft het recht om alle informatie op de website en in deze disclaimer te wijzigen zonder enige vorm van aankondiging. Wij raden aan om regelmatig de informatie op onze website en in deze disclaimer te raadplegen voor de meest recente informatie.
4.2.5 Documenten, illustraties, (beeld) materiaal en inhoud
Inhoud, documenten, afbeeldingen, logo’s en foto’s gevonden op de website of één van de sociale media accounts van SV TP+ zijn eigendom van SV TP+, fotografen en haar partners. Als u gebruik wilt maken van de inhoud die via deze website wordt aangeboden, kunt u contact opnemen met tp-plus@saxion.nl
5. Beveiliging
SV TP+ heeft passende technische en organisatorische maatregelen genomen om persoonsgegevens van u te beschermen tegen onrechtmatige verwerking. Zo hebben wij bijvoorbeeld de volgende maatregelen genomen:
– Alle personen die namens SV TP+ van uw gegevens kennis kunnen nemen, zijn gehouden aan geheimhouding daarvan;
– We hanteren een gebruikersnaam en wachtwoord beleid op al onze systemen;
– We pseudonimiseren en zorgen voor de encryptie van persoonsgegevens al daar aanleiding toe is;
– Wij maken back-ups van de persoonsgegevens om deze te kunnen herstellen bij fysieke of technische incidenten, deze back-ups worden maximaal één jaar bewaard in ons archief;
– We testen en evalueren regelmatig onze maatregelen;
– Onze bestuursleden zijn geïnformeerd over het belang van de bescherming van persoonsgegevens.
6. Datalek
SV TP+ doet er alles aan om ervoor te zorgen dat persoonsgegevens niet in handen komen van een derde partij. Wanneer dit wel gebeurt treedt artikel 34a van de Wet Persoonsgegevens in werking en zal het lek gerapporteerd worden. In de wet wordt nadrukkelijk benoemd dat het gaat om persoonsgegevens die zijn uitgelekt vanwege beveiligingsproblemen. Een datalek moet altijd gerapporteerd worden bij de Autoriteit Persoonsgegevens (AP).
6.1 Contactpersoon
De Functionaris Gegevensbescherming (FG) van Saxion is aangewezen als de contactpersoon van SV TP+. Deze persoon zorgt ervoor dat de correcte procedures af gegaan worden bij een datalek.
6.2 Procedure detectie datalek
Een datalek kan op verschillende manieren worden gedetecteerd. Over het algemeen wordt een datalek voor het eerst gedetecteerd door een bestuurslid of commissielid. We streven er voortdurend naar kwetsbaarheden in onze software en systemen te vinden.
6.3 Procedure datalek
6.3.1 Communicatie naar de contactpersoon
Wanneer er een datalek is gedetecteerd is SV TP+ verplicht het te melden bij de daarvoor aangewezen contactpersoon. Deze melding bevat tenminste:
– het type datalek;
– met wie contact opgenomen wordt over het datalek;
– acties om negatieve effecten te minimaliseren;
– een beschrijving van mogelijke gevolgen van het datalek in relatie tot de verwerking van persoonsgegevens;
– acties die door de vereniging zijn ondernomen om het datalek in de toekomst te voorkomen.
6.3.2 Communicatie naar de leden
Nadat er een datalek is gedetecteerd en er een gegronde reden is om aan te nemen dat het lek negatieve gevolgen zal hebben voor het persoonlijke leven van een lid, moet dit lid op de hoogte zijn van het lek. Deze melding moet op zijn minst het volgende bevatten:
– het type datalek;
– met wie contact opgenomen kan worden voor informatie over het datalek;
– aanbevolen acties om de gevolgen van het datalek te minimaliseren.
7. Rechten omtrent uw gegevens
U heeft recht op inzage, rectificatie of verwijdering van de persoonsgegevens welke wij van u ontvangen hebben. Tevens kunt u bezwaar maken tegen de verwerking van uw persoonsgegevens (of een deel hiervan) door ons of door een van de verwerkers. Ook heeft u het recht om de door u verstrekte gegevens door ons te laten overdragen aan uzelf of in opdracht van u direct aan een andere partij. Wij kunnen u vragen om u te legitimeren voordat wij gehoor kunnen geven aan de voornoemde verzoeken.
Indien wij uw persoonsgegevens verwerken op basis van een door u gegeven toestemming hiertoe, dan heeft u altijd het recht deze toestemming in te trekken.
8. Klachten
Mocht u een klacht hebben over de verwerking van uw persoonsgegevens, dan vragen wij u hierover direct contact met ons op te nemen. Komen wij er samen met u niet uit dan vinden wij dit natuurlijk erg vervelend. U heeft altijd het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens, dit is de toezichthoudende autoriteit op het gebied van privacybescherming.
9. Vragen
Indien u naar aanleiding van ons Privacy Statement nog vragen of opmerkingen heeft, neem dan contact met ons op via de onderstaande contactgegevens.