Privacy beleid

Privacy verklaring

Versie 1.2

Laatste revisie: 01-02-2024

In dit document vindt u de uitleg met betrekking tot gegevens die Study association Psychology in Nijmegen (hierna te noemen SPiN)' verzamelt van haar leden en begunstigende leden. De twee hiervoor genoemde groepen zullen nader aangeduid worden als ‘de leden’. De vereniging verzamelt of gebruikt geen informatie voor andere doeleinden dan de doeleinden die worden beschreven in deze voorwaarden, tenzij u hier van tevoren toestemming voor heeft gegeven. Deze privacy verklaring is aan verandering onderhevig en leden moeten om deze reden de privacy verklaring regelmatig raadplegen. Eventuele aanpassingen en/of veranderingen zullen in dit document worden gewijzigd en hiervoor wordt opnieuw toestemming gevraagd. Drastische veranderingen in de privacy statement kunnen daardoor niet tussentijds worden aangepast. Tenzij voorafgaand aan de verandering toestemming is gevraagd aan de leden die de privacy statement eerder al hebben getekend.

1.    Het inschrijfformulier

Hieronder is een lijst weergegeven met de gegevens die verzameld worden op het inschrijfformulier en voor welke doeleinden deze gegevens worden gebruikt. Deze gegevens zijn noodzakelijk om gebruik te maken van de diensten van de vereniging. De gegevens verstrekt via het inschrijfformulier worden opgeslagen in het algemene ledenbestand. Deze worden opgeslagen op een beveiligde server, die beheerd wordt door de website aanbieder, waar alleen de bestuursleden van SPiN en de website aanbieder toegang tot hebben. Een verwerkers overeenkomst is afgeslopten met de website aanbieder. Daarnaast worden deze gegevens opgeslagen in een digitaal administratieprogramma. Met de beheerders van dit administratieprogramma is een verwerkers overeenkomst afgesloten. De persoonsgegevens worden bewaard tot en met september van het collegejaar waarin het lidmaatschap of donateurschap wordt opgeheven bij SPiN via de gangbare procedure voor opzegging, d.w.z. door het invullen van een uitschrijfformulier dan wel offline of online vóór 1 september. Daarna worden de gegevens verwijderd. Als een persoon opnieuw lid of donateur wil worden, dient hij of zij opnieuw een formulier in te vullen.

 

Gegeven:

Doel:

Voor- en achternamen

Om onderscheid uit te drukken tussen leden.

Geboortedatum

Om te bepalen of een lid jonger of ouder is dan 18 jaar, wat van belang is voor de wet.

Telefoonnummer

Om in contact te komen in geval van nood, en voor verheldering van onduidelijkheden en/of vragen.

Adres

Voor het opsturen van documenten.

E-mailadres

Om in contact te komen en blijven in geval van mededelingen en/of uitnodigingen, en om de nieuwsbrief te verzenden met daarin relevant geachte informatie voor de leden.

Studentnummer

Om te duiden welk type lidmaatschap benodigd is; voor het aanvragen van subsidies.

IBAN

Om het jaarlijkse lidmaatschapsgeld van 15 euro af te kunnen schrijven via automatisch incasso en om toekomstige betalingen/declaraties makkelijker te laten verlopen.

BIC

Om het jaarlijkse lidmaatschapsgeld van 15 euro af te kunnen schrijven via automatisch incasso en om toekomstige betalingen/declaraties makkelijker te laten verlopen.

Handtekening

Om het jaarlijkse lidmaatschapsgeld van 15 euro af te kunnen schrijven via automatisch incasso.

Start collegejaar

Om onderscheid te maken tussen jaarlagen van de leden.

Studiefase

Om onderscheid te maken tussen studiefases van de leden.

 

Daarnaast kan door de Radboud Universiteit aan SPiN gevraagd worden om bepaalde gegevens van leden die bij de inschrijving zijn ingevuld te verstrekken. Dit om de studentstatus van de leden en daarmee de ledenlijsten te controleren. Hierbij gaat het om de naam van het lid en de status van de student (RU- student). Met het ondertekenen van deze privacyverklaring wordt akkoord gegaan met het verstrekken van de hierboven genoemde gegevens aan de Radboud Universiteit en het Radboud Fonds voor het aanvragen van subsidies.

Bij het ondertekenen van het inschrijfformulier wordt er dus toestemming gegeven voor het verwerken van de persoonsgegevens. (dit onderdeel is onderhevig aan veranderingen, uit overleg binnen de afdeling privacy en gegevensbescherming van de Radboud Universiteit)

2.    Inzien en aanpassen van uw gegevens

Het is altijd mogelijk om bij de secretaris uw verzamelde persoonsgegevens in te zien en om een verzoek tot wijzigen, aanvullen of verwijderen van de gegevens in te dienen. Voor alle gegevens geldt dat wanneer er sprake is van een wijziging, aanvulling of verwijdering, u deze zelf door dient te geven aan het bestuur.

3.    Bezwaar maken

Het is mogelijk om bezwaar te maken tegen het verzamelen van persoonsgegevens. Indien de grond van SPiN zwaarder weegt dan het bezwaar, kan SPiN ervoor kiezen om het verwerken voort te zetten. Als er alleen bezwaar is aan het verstrekken van (bepaalde) persoonsgegevens aan de Radboud Universiteit, dan kan dit ook aan SPiN gemeld worden. Indien SPiN al persoonsgegevens heeft verstrekt aan de Radboud Universiteit, dan zal SPiN de Radboud Universiteit op de hoogte stellen van de beperking van de persoonsgegevens.

4.    Meldplicht bij een datalek

SPiN heeft een meldplicht als er sprake is van een datalek. Het doel hiervan is om ervoor te zorgen dat er zorgvuldiger omgegaan wordt met persoonsgegevens en dat de beveiliging hiervan in orde is. Er is sprake van een datalek als er verlies of onrechtmatige verwerking van persoonsgegevens (zoals bovenaan beschreven) plaatsvindt. Mocht een datalek plaatsvinden, dan is vereniging SPiN verplicht dit te melden aan haar leden. Voor meer informatie hierover, verwijzen wij u naar het protocol datalek.

5.    Contracten

Op contracten van SPiN worden aanvullende gegevens gevraagd op het standaard ledenbestand. Deze gegevens worden alleen verzameld bij de leden die deelnemen aan de activiteit. Hieronder is een lijst weergegeven met de gegevens die verzameld worden voor deelname aan de activiteit.

Gegeven:

Doel:

Geboortedatum

Om te bepalen of een lid jonger of ouder is dan 18 jaar.

Naam thuisblijver

Om in contact te komen in geval van nood.

Telefoonnummer thuisblijver

Om in contact te komen in geval van nood.

6.    Afbeeldingsvoorwaarden

Tijdens activiteiten van SPiN worden foto’s gemaakt waar leden op kunnen staan. De vereniging ziet het hierbij als haar verantwoordelijkheid om uw privacy te beschermen. Door middel van dit formulier bent u op de hoogte van waar deze foto’s geplaatst kunnen worden. Deze voorwaarden zijn van toepassing op de diensten van SPiN. De vereniging zorgt ervoor dat uw persoonlijke informatie vertrouwelijk wordt behandeld.

6.1       Website

De foto’s die worden gemaakt op activiteiten worden op de website van studievereniging SPiN geüpload. Deze foto’s zijn beschermd door middel van een account met een wachtwoord. Alleen leden hebben recht op een account. De afbeeldingen van activiteiten zijn dus niet openbaar toegankelijk, maar alleen voor leden van SPiN. Foto’s worden gefilterd voordat ze op de website worden geplaatst. Deze afbeeldingen blijven voor drie jaar beschikbaar.

Foto’s kunnen ook op omslagafbeeldingen op de website gebruikt worden. Het gebruik van foto’s op omslagafbeeldingen gebeurt automatisch, tenzij er bezwaren zijn aangegeven vanuit het desbetreffende lid. Bezwaren kunnen ook na plaatsing nog doorgegeven worden om vervolgens de foto’s te verwijderen.

6.2       (Social) Media

Foto’s kunnen daarnaast gebruikt worden op de social media kanalen van SPiN. De social media bestaan uit: Facebook, Instagram, LinkedIn en TikTok. Ook kunnen foto’s geplaatst worden in het verenigingsblad 'HersenSPiNsels' en in de almanak. In het verenigingsblad en/of de almanak worden sfeerfoto’s geplaatst en/of foto's met toestemming van de betreffende mensen op de foto's. De (social) media kanalen zijn openbaar toegankelijk.

Plaatsing van foto’s op (social) media kanalen gebeurt automatisch, tenzij er bezwaren zijn aangegeven vanuit het desbetreffende lid. Bezwaren kunnen ook na plaatsing nog doorgegeven worden om vervolgens de foto’s te verwijderen.

7.    Protocol datalek

In dit deel vindt u het protocol wanneer een datalek plaatsvindt in uw vereniging en welke stappen u moet ondernemen. Het is Volgens Algemene Verordening Gegevensbescherming (AVG) verplicht om datalekken te melden. Deze meldplicht geldt zowel voor de betrokkene(n), bij de Radboud Universiteit te Nijmegen (wanneer het gegevens betreft die van toepassing zijn op de Radboud Universiteit) en bij de Autoriteit Persoonsgegevens (AP).

De studievereniging kan per datalek bepalen of de procedure volledig gevolgd moet worden of dat hiervan afgeweken kan worden. Het doel van deze procedure is om vast te leggen welke stappen genomen moeten worden door Study association Psychology in Nijmegen (SPiN) bij het vermoeden van of kennisnemen van een incident dat (mogelijk) aangemerkt kan worden als een datalek. Hiermee wordt gehoopt dat het volgende resultaat wordt nagestreefd:

  • Het continue volgen van een eenduidige procedure.
  • Het zorgvuldig waarborgen van belangen van de studievereniging, het individu dan wel een andere organisatie die betrokken is bij het incident, zijnde (mogelijk) datalek.
  • Het op zorgvuldige en systematische wijze analyseren van een incident, zijnde mogelijk datalek, zodat aanwezige risicomomenten in het proces zichtbaar worden. Centraal staat hierbij het vaststellen van de onvolkomendheden in de (toepassing van) technische en organisatorische beveiligingsmaatregelen, die (mogelijk) hebben kunnen leiden tot het incident.
  • Het bevorderen tot het nemen van passende verbetermaatregelen en het structureel waarborgen van deze verbetermaatregelen.
  • Het aanwijzen van een bestuursverantwoordelijke omtrent datalekken en het aanwijzen van een instantie waarbij aangeklopt kan worden bij het ontdekken van een (mogelijk) datalek. Daarbij kan gedacht worden aan een functionaris gegevensbescherming van de Radboud Universiteit.

7.1       Aanpak datalek

Wanneer er sprake is van een (mogelijk) datalek dan kan het volgende processchema aangehouden worden (Na het schema zal een uitleg per stap beschreven worden).

 

1.    Identificeren mogelijk datalek

Indien een (mogelijk) datalek wordt geconstateerd, wordt de rest van het bestuur ingelicht. De bestuursverantwoordelijke voor datalekken bepaalt daarbij of hij/zij het probleem alleen op zich neemt of een ander bestuurslid (of eventueel een oudbestuurder/actief lid) betrekt in het proces.  

2.    Datalek dichten

Er wordt indien noodzakelijk direct overlegd met bestuur/beschikbare ICT ondersteuning om het datalek zo snel mogelijk te stoppen. Mocht het datalek van toepassing zijn op de Radboud Universiteit, moeten deze verder gemeld worden via icthelpdesk@ru.nl en/of +3124-3622222 binnen 24 uur na kennisneming, met de vermelding van de urgentie om dit datalek te dichten.

3.    Bestuursverantwoordelijke: beoordelen aard/ernst incident & verslag brengen aan rest van het bestuur

De bestuursverantwoordelijke (en eventuele andere hulp) onderzoeken het datalek om te zien of er daadwerkelijk sprake van een datalek is. De wet (AVG) hanteert het begrip ‘inbreuk in verband met persoonsgegevens’ voor datalek. Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (artikel 4, lid 12, AVG).

Als het een datalek betreft, wordt er gekeken naar de informatie die gelekt is en de ernst van het datalek. De bestuursverantwoordelijke rapporteert de uitslag aan de rest van het bestuur. Bij de beoordeling spelen de volgende punten een rol:

  • Is er sprake van verlies van persoonsgegevens; dit houdt in dat de studievereniging deze gegevens niet meer heeft, omdat deze zijn vernietigd of op een andere wijze verloren zijn gegaan; 
  • Is er sprake van onrechtmatige verwerking van persoonsgegevens; hieronder vallen de onbedoelde of onwettige vernietiging, verlies of wijziging van verwerkte persoonsgegevens, of een niet geautoriseerde toegang tot verwerkte persoonsgegevens of verstrekking daarvan;
  • Is er sprake van een enkele tekortkoming van kwetsbaarheid in de beveiliging;
  • Kan er redelijkerwijs worden uitgesloten dat een inbreuk op beveiliging de tot een onrechtmatige verwerking heeft geleid;
  • Leiden de aard en de omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen; betrek hierbij factoren als:

o   de omvang van de verwerking; gaat het om veel persoonsgegevens per persoon, en om gegevens van grote groepen betrokkenen;

o   de impact van verlies of onrechtmatige verwerking; 

o   het delen van de persoonsgegevens binnen ketens; dit betekent dat de gevolgen van verlies en onbevoegde wijziging van persoonsgegevens door de hele keten kunnen optreden;

o   betrokkenheid van kwetsbare groepen; denk aan verstandelijk gehandicapten

4.    Vaststellen datalek

Na overleg binnen het bestuur (en met mogelijke hulp), word het onderzoek naar het datalek afgerond en denkt het gehele bestuur na over vervolgplannen omtrent dit incident.

5.    Melden bij Autoriteit Persoonsgegevens

De AVG eist dat organisaties een datalek melden bij de Autoriteit Persoonsgegevens, uiterlijk 72 uur na kenninsneming, ténzij het niet waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’ (artikel 33, lid 1, AVG). U hoeft het datalek niet te melden aan de AP of aan de betrokkenen in de volgende gevallen:

1.      Maatregelen vooraf

Er zijn voordat het datalek plaatsvond passende maatregelen getroffen. Hierdoor zijn de gelekte persoonsgegevens onbegrijpelijk voor onbevoegden. Bijv. doordat de gegevens goed zijn versleuteld of vervangen door een hashwaarde. Let op: geldt alleen als:

  • de gegevens nog volledig intact zijn.
  • u nog steeds de volledige controle over de gegevens heeft.
  • de sleutel die voor de encryptie of voor de hashing is gebruikt geen gevaar heeft gelopen bij het datalek. En deze ook met de beschikbare technologie niet vindbaar is voor onbevoegden

2.      De onjuiste ontvanger is betrouwbaar

Zijn de persoonsgegevens verzonden aan een verkeerde maar betrouwbare ontvanger? (denk aan de Radboud Universiteit). Dan betekent dit mogelijk dat het niet langer waarschijnlijk is dat het datalek een risico oplevert. In dat geval hoeft u het datalek dus niet te melden aan de AP of aan de getroffen personen.

6.    Melden aan betrokkene(n)

Het bestuur neemt de afweging of betrokkene(n) ingelicht moeten worden over het datalek, indien dit het geval is, neemt de bestuursverantwoordelijke contact met de betrokkene(n) op. Of betrokkene(n) ingelicht dienen te worden, hangt af van de volgende punten:

  • Indien de vereniging passende technische en organisatorische beschermingsmaatregelen heeft genomen, waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor een ieder die geen recht heeft op kennisname van de gegevens, dan kan de melding aan de betrokkene(n) achterwege blijven (artikel 34, lid 3a, AVG).
  • Indien de vereniging achteraf maatregelen heeft genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkene(n) zich waarschijnlijk niet meer zal voordoen, dan kan de melding aan de betrokkene(n) achterwege blijven (artikel 34, lid 3b, AVG).
  • Het datalek moet aan betrokkene(n) worden gemeld, indien de inbreuk een hoog risico houdt voor de rechten en vrijheden van de betrokkene(n) (artikel 34, lid 1, AVG). Dit gebeurt in de vorm van een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens, de vermelding van een contactpunt voor verdere informatieverstrekking, de benoeming van waarschijnlijke gevolgen van de inbreuk, en de vermelding van maatregelen tegen de huidige inbreuk en eventuele nadelige gevolgen daarvan (artikel 34, lid 2, AVG).

Mocht het datalek gegevens betreffen die van toepassing zijn op de Radboud Universiteit, wordt de functionaris gegevensbescherming van de Radboud Universiteit direct op de hoogte gestelt van het datalek. De functionaris gegevensbescherming kan via mail gecontacteert worden via fg@ru.nl.

7.    Verbeteringsmaatregelen bedenken en implementeren

Naar aanleiding van het datalek stelt het bestuur verbeteringsmaatregelen op om een soortgelijke situatie in de toekomst te voorkomen. Deze worden dan ook z.s.m. ingevoerd waarbij ook alle andere mogelijke datalekken worden onderzocht en verholpen.

8.    Registratie/einde

De melding van een datalek en de verbetermaatregelen worden geregistreerd in het Register Datalek document. Deze bewaakt de opvolging en evaluatie van eventuele verbetermaatregelen. Registraties moeten minimaal 2 jaar bewaard worden.

Daarmee wordt het proces rondom datalekken afgesloten. Indien er zich weer een (mogelijk) datalek voordoet, wordt het proces weer in gang gezet.