- de verwerkingsdoeleinden van de verwerkingen van zijn/haar persoonsgegevens;
- de categorieën van persoonsgegevens die bij elke verwerking betrokken zijn;
- de personen en/of instanties aan wie de persoonsgegevens eventueel worden verstrekt;
- de opslagperiode van de persoonsgegevens;
- zijn/haar rechten met betrekking tot de verwerking van zijn/haar persoonsgegevens;
- alle beschikbare informatie over instanties waar Inter-Actief persoonsgegevens van hem/haar verzamelt die niet door hem/haar zelf verstrekt zijn;
- (indien van toepassing) nuttige informatie over de onderliggende logica van de door Inter-Actief toegepaste profilering, en het belang en de gevolgen van die profilering voor het lid.
- De persoonsgegevens zijn niet meer nodig voor de doeleinden waarvoor ze verzameld en/of opgeslagen zijn.
- Iemand trekt zijn/haar gegeven toestemming voor de verwerking van persoonsgegevens in. (Het wissen is alleen verplicht indien de verwerking van de persoonsgegevens alleen gebaseerd is op deze toestemming.)
- Iemand maakt succesvol bezwaar tegen de verwerking van zijn/haar persoonsgegevens (zie “Recht van bezwaar”).
- De persoonsgegevens zijn onrechtmatig verwerkt.
- Er is een wet die Inter-Actief verplicht om de persoonsgegevens te wissen.
- Iemand twijfelt aan de juistheid van zijn/haar persoonsgegevens; de beperking geldt zolang Inter-Actief nodig heeft om de juistheid van deze persoonsgegevens te controleren en (indien nodig) te corrigeren.
- Iemands persoonsgegevens worden onrechtmatig verwerkt, maar deze persoon heeft liever dat de verwerking beperkt wordt dan dat de gegevens gewist worden.
- Iemand heeft bezwaar gemaakt tegen de verwerking van zijn/haar persoonsgegevens; de beperking geldt totdat het bezwaar ofwel als succesvol is aangemerkt ofwel is afgewezen.
🔗Inleiding
Inleiding
Dit is het privacydocument van Informatie- en Communicatietechnologische Studievereniging Inter-Actief. In dit document wordt uitgelegd welke (persoonlijke) gegevens opgeslagen of verwerkt worden door Inter-Actief, waarom dit wordt gedaan, welke rechten mensen hebben over deze gegevens, en welke verwerkingsactiviteiten Inter-Actief uitvoert op de opgeslagen gegevens. Ook wordt uitgelegd met welke derde partijen wij deze gegevens mogen delen en waarom, en hoe lang de gegevens bewaard blijven.
Dit alles is gedocumenteerd in overeenstemming met de Nederlandse Algemene Verordening Gegevensbescherming (AVG2) en de Europese General Data Protection Regulation (GDPR1).
🔗1. Algemene gegevens
1.1. Contactgegevens en Identiteit I.C.T.S.V. Inter-Actief
Informatie- en Communicatietechnologische Studievereniging Inter-Actief is de studievereniging voor Technical Computer Science en Business & IT aan de Universiteit Twente. Inter-Actief staat geregistreerd bij de Kamer van Koophandel onder nummer 40074947. Inter-Actief is te bezoeken op Drienerlolaan 5, 7522 NB te Enschede. Per telefoon is Inter-Actief te bereiken op +31 (0)53 489 3756 en via mail op board@inter-actief.net.
1.2. Bewaartermijn gegevens
Inter-Actief bewaart de gegevens van het lidmaatschap totdat het lidmaatschap wordt opgezegd, met uitzondering van de gegevens waarbij dit in volgende hoofdstukken wordt aangegeven. Nadat het lidmaatschap is beëindigd, worden de persoonsgegevens van het lid nog maximaal een jaar bewaard in back-ups.
1.3. Rechten betrokkenen
Elk Europees staatsburger heeft de volgende rechten:
Recht van inzage (GDPR1 Artikel 15)
Iedereen heeft het recht om zijn of haar persoonsgegevens die door Inter-Actief worden verwerkt, in te zien. Daarnaast heeft elke persoon van wie persoonsgegevens verwerkt worden door Inter-Actief, het recht om inzage te krijgen in de volgende informatie:
Recht op rectificatie (GDPR Artikel 16)
Indien Inter-Actief beschikt over onjuiste of onvolledige persoonsgegevens van iemand, dan heeft deze persoon het recht dat deze gegevens zo snel mogelijk door Inter-Actief gecorrigeerd en/of gecompleteerd worden.
Recht op vergetelheid (GDPR Artikel 17)
Iedereen heeft het recht om Inter-Actief te verzoeken alle persoonsgegevens die op hem/haar betrekking hebben te wissen. Inter-Actief is verplicht om binnen redelijke termijn aan dit verzoek te voldoen. Daarnaast is Inter-Actief in de onderstaande situaties verplicht om persoonsgegevens binnen een redelijke termijn te wissen:
Recht op beperking van de verwerking (GDPR Artikel 18)
Iedereen heeft het recht op beperking van de verwerking in de hieronder volgende gevallen. ‘Beperking van de verwerking’ wil zeggen dat de betreffende persoonsgegevens wel opgeslagen mogen worden, maar dat voor elke verdere verwerking in principe toestemming van de betreffende persoon nodig is.
Recht op overdraagbaarheid van gegevens (GDPR Artikel 20)
Iedereen heeft het recht om de persoonsgegevens die hij/zij in het kader van een verwerking op basis van rechtsgrond a of b (zie verderop) heeft verstrekt aan Inter-Actief, op een overzichtelijke manier te ontvangen van Inter-Actief. Dit geldt alleen indien de verwerking (deels) geautomatiseerd is. Hij/zij heeft het recht deze persoonsgegevens (zonder daarbij door Inter-Actief gehinderd te worden) over te dragen aan anderen. Indien dit technisch mogelijk is, moet Inter-Actief deze gegevens op zijn/haar verzoek rechtstreeks overdragen aan de ander. NB: Het recht op vergetelheid weegt zwaarder dan het recht op overdraagbaarheid van gegevens.
Recht van bezwaar (GDPR Artikel 21)
Iedereen heeft het recht om, met argumenten die specifiek voor hem/haar gelden, bezwaar te maken tegen verwerkingen op basis van rechtsgrond f (zie verderop). Indien dit gebeurt moet Inter-Actief ofwel stoppen met de betreffende verwerking voor deze persoon ofwel argumenten aandragen die zwaarder wegen dan de argumenten van deze persoon. Verder heeft iedereen het recht om bezwaar in te dienen tegen de verwerking van zijn/haar persoonsgegevens voor direct marketing. Indien dit gebeurt mag Inter-Actief deze gegevens niet meer verwerken voor direct marketing.
Recht op intrekking van toestemming (GDPR Artikel 7 lid 3)
Indien iemand toestemming heeft gegeven voor het verwerken van zijn/haar persoonsgegevens heeft hij/zij het recht deze toestemming ten alle tijde in te trekken. Deze intrekking van de toestemming heeft geen invloed op verwerkingen die hebben plaatsgevonden voordat de toestemming werd ingetrokken. Verder moet het intrekken van de toestemming net zo makkelijk kunnen als het geven van de toestemming.
Recht op bezwaar bij AP (AVG2 Hoofdstuk 2)
Elk persoon heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens, indien hij/zij vindt dat Inter-Actief op een onjuiste manier om gaat met zijn/haar persoonsgegevens.
1.4. Profilering bij I.C.T.S.V. Inter-Actief
Bij Inter-Actief wordt soms geprofileerd bij het versturen van mails. Zo wordt een bedrijfsmailing wel eens alleen verstuurd naar leden die al minimaal een bepaald aantal jaar bezig zijn met hun studie. Inter-Actief doet dit enkel zodat zij haar leden niet overspoelt met een overvloed aan mails die niet op hen van toepassing zijn.
1.5. Anonieme Statistieken
Inter-Actief gebruikt verschillende statistieken om het beleid te sturen waar nodig. Hiervoor kunnen persoonsgegevens worden gebruikt. In alle gevallen worden deze gegevens geanonimiseerd weergegeven om de privacy van elk persoon te waarborgen.
1.6. Toegang tot gegevens
Binnen Inter-Actief hebben naast het bestuur uitsluitend door het bestuur aangewezen personen toegang tot persoonsgegevens. De personen die toegang hebben tot de persoonsgegevens hebben hiervoor een geheimhoudingsovereenkomst getekend met Inter-Actief.
1.7. Toelichting Rechtsgronden
In de volgende hoofdstukken wordt een volledig overzicht gegeven van alle verwerkingsactiviteiten van Inter-Actief. Naast de verwerkingsactiviteit en een (korte) toelichting daarbij, wordt er ook telkens een (of meerdere) rechtsgrond(en) genoemd (a, b, c, d, e of f) waarop de verwerkingsactiviteit is gegrond. Deze rechtsgronden komen uit de GDPR, Artikel 61. Hieronder volgt een kort overzicht van deze rechtsgronden.
a. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
Het is toegestaan persoonsgegevens te verwerken als de betrokkene toestemming heeft gegeven. Deze rechtsgrond gebruikt Inter-Actief ter verantwoording als het niet onder een andere rechtsgrond valt.
b. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
Deze rechtsgrond houdt in dat Inter-Actief persoonsgegevens mag verwerken als dat noodzakelijk is voor een overeenkomst. Denk hierbij aan de lidmaatschapsovereenkomst of de incasso-overeenkomst.
c. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
Het is verboden de wet te overtreden. Daarom zal Inter-Actief gegevens verwerken indien dat wettelijk verplicht is.
d. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
Als het leven van een lid of andere personen op het spel staat is het toegestaan om gegevens te verwerken ten behoeve van hulp. Deze rechtsgrond wordt door Inter-Actief niet gebruikt.
e. –
(Deze rechtsgrond is bedoeld voor overheidsinstanties en kan door Inter-Actief nooit gebruikt worden.)
f. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Dit is de meest ingewikkelde rechtsgrond en ook de rechtsgrond die Inter-Actief het meest aandraagt ter verantwoording van verwerking. Deze rechtsgrond houdt in dat Inter-Actief gegevens mag verwerken als de belangen van Inter-Actief groter zijn dan die van de betrokkene. Als bijvoorbeeld een lid geen nadeel ondervindt van het gebruik van zijn studentnummer en Inter-Actief daar bijvoorbeeld een groot financieel belang bij heeft is het Inter-Actief toegestaan de gegevens te verwerken. Inter-Actief moet de verwerking staken zodra de betrokkene kan aantonen dat de belangen van de betrokkene zwaarder wegen dan die van Inter-Actief.
🔗2. Opslag in de database
2.1 Ledenadministratie
2.1.1 Volledige naam, inclusief initialen
Rechtsgrond b, minimale uitvoering lidmaatschapsovereenkomst
Om de correspondentie met leden succesvol te laten verlopen en misstanden te voorkomen zal Inter-Actief de volledige naam opslaan van haar leden. De naam van een lid wordt niet verwijderd bij uitschrijving, omdat deze gekoppeld is aan gegevens die wij wettelijk moeten bewaren of aan gegevens die het activisme van het lid beschrijven. De activismegegevens bewaren wij voor de redenen benoemd in 2.4.2 Commissies en functies.
2.1.2 Geslacht
Rechtsgrond a, vrijwillige deelname geslachtsparticipatie
Binnen Inter-Actief wordt het geslacht van een lid opgeslagen met als doel om de participatie van verschillende geslachten geanonimiseerd te monitoren en waar nodig te bevorderen door specifiek beleid. Deelname aan deze monitoring van geslachtsparticipatie is vrijwillig.
2.1.3 E-mailadres
Rechtsgrond b, minimale uitvoering lidmaatschapsovereenkomst
Het primaire communicatiemiddel dat Inter-Actief gebruikt richting haar leden is de mail. Uitnodigingen voor Algemene Ledenvergaderingen en lidmaatschapsinformatie worden over dit kanaal gedeeld.
Rechtsgrond a, informatiemailing en nevenactiviteiten
Daarnaast zal dit communicatiemiddel gebruikt worden voor communicatie naar leden waar zij expliciet toestemming voor hebben gegeven.
Rechtsgrond f, belangrijke communicatie
Als laatste zal dit communicatiemiddel worden gebruikt voor communicatie waarbij het belang van de vereniging dermate groot is dat communicatie naar de leden mogelijk moet zijn.
2.1.4 Adres, postcode, woonplaats en land
Rechtsgrond b, minimale uitvoering lidmaatschapsovereenkomst
Mocht het primaire correspondentiemailadres niet beschikbaar zijn, dan gebruikt Inter-Actief het postadres van haar leden. Het postadres wordt daarom opgeslagen door Inter-Actief.
Rechtsgrond a, verenigingsblad ontvangen
Het postadres wordt ook gebruikt om het verenigingsblad naartoe te sturen, indien een persoon daar expliciet toestemming voor heeft gegeven.
2.1.5 Telefoonnummer
Rechtsgrond a, vrijwillige registratie contactgegevens
Binnen de vereniging kunnen telefoonnummers worden gebruikt om snel contact te leggen tussen personen. Commissieleden beschikken om deze reden over elkaars telefoonnummer, mits deze geregistreerd is. Registratie van een telefoonnummer is vrijwillig.
2.1.6 Geboortedatum
Rechtsgrond c, naleving minimumleeftijd online diensten
Elk persoon die wenst de online diensten van Inter-Actief te gebruiken moet ten minste de leeftijd van zestien hebben bereikt, conform de wettelijke voorschriften. Inter-Actief gebruikt de geboortedatum van een persoon om te bepalen of deze de minimumleeftijd reeds heeft bereikt.
Rechtsgrond f, naleving alcoholregelement
Bij activiteiten van Inter-Actief waar Inter-Actief alcoholische consumpties verkoopt aan haar leden is het verboden om deze dranken te verkopen aan leden die nog geen 18 jaar oud zijn. Om goed duidelijk te hebben welk lid nog geen 18 jaar oud is houdt Inter-Actief een lijst bij waar de verjaardagen van deze leden op staan.
Rechtsgrond a, verjaardagsgerelateerde activiteiten
Ook verstuurt Inter-Actief een verjaardagsbericht naar haar leden indien hier toestemming voor gegeven is. Tevens wordt de verjaardag van een lid gepubliceerd op de website van Inter-Actief voor ingelogde gebruikers en rondom de verenigingkamer, mits het lid daar toestemming voor heeft gegeven.
2.1.7 Pasfoto
Rechtsgrond a, 18-minlijst, profielfoto’s op website en publicatie in jaarboeken
Als hulpmiddel voor organisatoren en ondersteunende leden wordt een lijst met namen en foto’s bijgehouden van leden onder de 18 jaar. Daarnaast worden de pasfoto’s van alle leden gebruikt door het bestuur als hulpmiddel voor persoonsidentificatie. Pasfoto’s van leden kunnen tevens worden gepubliceerd in jaarboeken, mits hiervoor toestemming is gegeven door het lid.
2.1.8 Voorkeurstaal
Rechtsgrond f, communicatie met geregistreerde personen
Voor communicatie met personen maakt Inter-Actief gebruik van verschillende middelen, waaronder haar website en mails. Deze communicatie wordt bij voorkeur uitgeoefend in de voorkeurstaal van de persoon, zodat dit niet in alle gevallen tweetalig moet plaatsvinden. De voorkeurstaal wordt om deze reden opgeslagen door de vereniging.
2.1.9 Internationaliteit
Rechtsgrond a, vrijwillige registratie internationaliteit
Binnen Inter-Actief wordt opgeslagen of een lid een internationale achtergrond heeft, met als doel de participatie van internationale leden geanonimiseerd te monitoren en waar nodig te bevorderen door specifiek beleid. Registratie van internationaliteit is in alle gevallen vrijwillig.
2.1.10 E-mailadres ouder(s)/verzorger(s)
Rechtsgrond a, uitnodiging voor ouderdag
Het e-mailadres van de ouder(s)/verzorger(s) wordt gebruikt om hen uit te nodigen voor de jaarlijkse ouderdag die Inter-Actief organiseert voor eerstejaarsstudenten en hun ouders. Na het opgeven van de gegevens worden de ouder(s)/verzorger(s) gecontacteerd om toestemming te vragen om de gegevens verder te verwerken. De gegevens worden verwijderd als de ouderdag heeft plaatsgevonden of als de ouder(s)/verzorger(s) bezwaar hebben aangetekend tegen de opslag van hun gegevens.
2.1.11 Adres, postcode, woonplaats en land van ouder(s)/verzorger(s)
Rechtsgrond a, uitnodiging voor ouderdag
De adresgegevens van de ouder(s)/verzorger(s) worden gebruikt om hen uit te nodigen voor de jaarlijkse ouderdag die Inter-Actief organiseert voor eerstejaarsstudenten en hun ouders. Na het opgeven van de gegevens worden de ouder(s)/verzorger(s) gecontacteerd om toestemming te vragen om de gegevens verder te verwerken. De gegevens worden verwijderd als de ouderdag heeft plaatsgevonden of als de ouder(s)/verzorger(s) bezwaar hebben aangetekend tegen de opslag van hun gegevens.
2.1.12 Shell
Rechtsgrond a, personalisering van computersystemen
Het is voor leden mogelijk om (al dan niet op afstand) in te loggen op een of meerdere computersystemen van de vereniging. Met deze voorkeur kunnen leden aangeven welke opdrachtregelinterface ze willen gebruiken op deze systemen.
2.1.13 Webmaster
Rechtsgrond a, verantwoordelijkheid voor commissiewebsite(s)
Sommige commissies van Inter-Actief hebben een eigen website die beheerd wordt door de commissie. Deze voorkeur wordt gebruikt om specifieke personen aan te duiden als de webmaster van een commissiewebsite, zodat de vereniging weet wie er verantwoordelijk is voor deze websites.
2.1.14 Lidmaatschappen
Rechtsgrond b, minimale uitvoering lidmaatschapsovereenkomst
Lidmaatschapsgegevens van een bepaald lid zijn noodzakelijk om bij te houden door Inter-Actief voor de correcte algemene en financiële afhandeling van de lidmaatschapsovereenkomst.
2.1.15 Notities
Rechtsgrond f, bijhouden bijzondere gegevens
In sommige gevallen is het handig dat er extra commentaar opgeslagen wordt over de leden. Denk hierbij aan commentaar dat het mailadres niet werkt of dat een donateursbijdrage is vastgesteld.
2.2 Studentenadministratie
2.2.1 Studentnummer
Rechtsgrond f, minimale werking van de website van Inter-Actief
Op de website van Inter-Actief kan een studentnummer gebruikt worden om in te loggen op de website. Tevens gebruikt Inter-Actief het studentnummer om subsidie van de universiteit te verkrijgen (zie 3.1.1 Doorgifte aan faculteit) en bij verlenging van het studielange lidmaatschap.
2.2.2 Studieperiodes
Rechtsgrond f, profilering op basis van studies
Inter-Actief verstuurt verschillende mails naar haar leden en profileert daar onder andere op jouw studie(s). Hiervoor slaat Inter-Actief jouw studieperiodes op. Een studieperiode omvat één studie, zo is het beginnen aan een master ook het begin van een nieuwe studieperiode.
2.2.3 Doegroep
Rechtsgrond f, profilering op basis van doegroep
Inter-Actief verstuurt verschillende mails naar haar leden en profileert daar onder andere op jouw doegroep, wanneer het lid hier toestemming voor heeft gegeven. Hiervoor slaat Inter-Actief jouw doegroep op. Deze berichten zijn bijvoorbeeld de uitnodigingen voor een doegroepenlunch.
2.3 Medewerkersadministratie
2.3.1 Medewerkersnummer
Rechtsgrond f, minimale werking van de website van Inter-Actief
Op de website van Inter-Actief kan een medewerkersnummer gebruikt worden om in te loggen op de website.
2.4 Actieve-ledenadministratie
2.4.1 Accountnaam
Rechtsgrond a, expliciete toestemming actieve leden
Deze accountnaam is gebaseerd op de volledige naam van het actieve lid en kan worden gebruikt om in te loggen op de website en andere diensten van Inter-Actief. Expliciete toestemming voor de tot stand brenging van de accountnaam verloopt conform paragraaf 3.2.
2.4.2 Commissies en functies
Rechtsgrond a, expliciete toestemming lid bij toetreding commissie
Actieve leden zijn lid van een of meerdere commissies binnen Inter-Actief waarbij functies aan leden kunnen worden toegekend. Aangezien een aantal van deze functies een bepaalde verantwoordelijkheid met zich dragen tegenover de andere leden van de vereniging, is het van belang dat deze worden bijgehouden in de actieve-ledenadministratie. Het lid geeft toestemming voor de verwerking van deze gegevens bij toetreding van een commissie conform paragraaf 3.2. De commissies en functies van een lid worden ook bewaard als het lidmaatschap van het lid eindigt. Dit wordt gedaan om de leden te bedanken voor hun werk in de commissie, en om een register bij te houden van de oud-leden van lopende of jaarlijkse commissies.
2.5 Betalingsadministratie
2.5.1 IBAN en BIC
Rechtsgrond b, minimale uitvoering incasso-overeenkomst
Wanneer een lid Inter-Actief toestemming geeft automatische incasso’s uit te voeren, slaat Inter-Actief het IBAN en BIC op.
2.5.2 Machtiging(en) en amendement(en)
Rechtsgrond b, minimale uitvoering incasso-overeenkomst
Naast de fysieke, ondertekende machtiging in de map, slaat Inter-Actief digitaal een referentie naar deze machtiging op. Daarnaast staat ook de ingangsdatum en eventuele afloopdatum vermeld. Ook worden amendementen (wijzigingen op deze machtigingen) opgeslagen. Dit zijn correcties op een machtiging (zoals een wijziging van rekeningnummer of foutieve naam). Deze worden opgeslagen omdat de amendementen moeten worden meegestuurd met de eerstvolgende incasso. Machtigingen en amendementen worden tot 14 maanden na het laatste gebruik of de beëindiging van het lidmaatschap bewaard in eigenbelang voor de vereniging, omdat er tot 14 maanden na gebruik nog bezwaar gemaakt kan worden op een incasso.
2.5.3 Incasso(‘s), incassoinstructie(s) en terugboekingen
Rechtsgrond b, minimale uitvoering incasso-overeenkomst
Voor het uitvoeren van incasso’s en het bijhouden van onze financiële administratie slaat Inter-Actief alle incasso’s, incassoinstructie(s) (regels op de incasso), en terugboekingen van transacties op in onze database. Deze gegevens zijn nodig voor de correcte financiële afhandeling van onze incasso-overeenkomst. De uitgevoerde incasso’s, instructies en terugboekingen worden tot 7 jaar na uitvoering bewaard in onze database, omdat dit vereist wordt van de Nederlandse wet3. Zie ook 3.3.5 Opslag van aankoopgegevens van (voormalig) leden.
2.5.4 Voorkeuren van leden
Rechtsgrond a, toepassen van voorkeuren van leden
Voor het toepassen en het uitvoeren van handelingen aan de hand van voorkeuren van leden worden de voorkeuren van leden opgeslagen. Aan de hand van deze voorkeuren wordt bepaald of bijvoorbeeld e-mails worden verstuurd naar leden of het verenigingsblad wordt verstuurd naar leden. Zie ook 2.1.3 E-mailadres, 2.1.4 Adres, postcode, woonplaats en land en 2.1.6 Geboortedatum.
🔗3. Gebruik van gegevens en verkrijging van overige gegevens
3.1 Financiële belangen Inter-Actief
3.1.1 Doorgifte aan faculteit
Rechtsgrond f, verkrijging van subsidie
Inter-Actief krijgt van de faculteit EWI een bijdrage per jaar per lid dat één van onze primaire studies volgt. Om te bepalen voor hoeveel leden Inter-Actief deze bijdrage ontvangt, wil de faculteit een lijst van leden met studentnummer ontvangen. Hiervoor worden jaarlijks de studentnummers van onze studentleden doorgegeven aan de faculteit.
3.1.2 Incasso’s sturen/uitvoeren
Rechtsgrond b, uitvoering incasso-overeenkomst
Voor leden die toestemming hebben gegeven voor het incasseren van gemaakte kosten bij Inter-Actief, verstuurt Inter-Actief incassomails naar deze leden. De achternaam, het incassokenmerk, het IBAN, de BIC, de datum van handtekening worden verzonden aan de bank waar Inter-Actief zaken mee doet.
3.1.3 Versturen facturen
Rechtsgrond b, versturen facturen
Als een aankoop gedaan wordt bij Inter-Actief en er geen toestemming is gegeven voor een incasso, of als dit niet van toepassing is, dan stuurt Inter-Actief een factuur met de naam en het adres van het lid erop.
3.1.4 Doorgifte aan Overleg Studieverenigingen
Rechtsgrond f, verkrijging van subsidie en beurzen
Inter-Actief komt soms in aanmerking voor subsidies en beurzen die uitgegeven worden via het Overleg Studieverenigingen (OS). Dit zijn bijvoorbeeld subsidies voor studiereisdeelnemers, of beurzen voor commissieleden. Hiervoor heeft het OS soms persoonsgegevens nodig van de leden die betrokken zijn bij deze activiteiten, met het doel om te kunnen verifiëren dat we daadwerkelijk in aanmerking komen. In de meeste gevallen gaat het hier om namen en studentnummers van de deelnemers of leden. Deze gegevens zullen dan ook worden gedeeld met het Overleg Studieverenigingen.
3.1.5 Doorgifte aan Exact
Rechtsgrond f, bijhouden van een digitale financiële boekhouding
Inter-Actief houdt haar boekhouding bij in Exact Online. In het geval leden declaraties doen of facturen ontvangen, zullen van deze leden de voor- en achternamen en de bankrekeningnummers opgeslagen worden in Exact Online. Ook zullen de declaraties en de facturen zelf worden opgeslagen, inclusief de persoonsgegevens die hierin worden vermeld. Ten behoeve van de administratie van de financiën, worden de namen van de commissies namens wie de declaranten hun uitgaven declareren vastgelegd in de declaraties.
3.2 Bestuurs- en commissiewerk
Elk lid die vrijwillig besluit toe te treden tot een commissie geeft daarmee expliciete toestemming om hun persoonsgegevens te laten verwerken voor de doelen van deze commissie, beschreven in paragrafen 2.1, 2.4, 3.2, 3.3, 3.5, 3.6, 3.7 en 3.9.
3.2.1 Publicatie van naam en functie van commissieleden
Rechtsgrond f, bekendmaken commissieleden
Om de commissieleden te bedanken en hun herkenbaarheid te vergroten, worden de namen en bijbehorende functies op de website gepubliceerd.
3.2.2 Doorgifte van mailadressen aan Google
Rechtsgrond f, administratie mailadressen en -aliassen
Inter-Actief heeft het beheer van de mailadressen en -aliassen van actieve leden, commissies en andere groepen uitbesteed aan Google. Inter-Actief deelt de mailadressen en namen van leden van deze groepen met Google door middel van GSuite.
3.2.3 Doorgifte gegevens ten behoeve van gebouwpassen Zilverling
Rechtsgrond a, gebouwpas aanvragen
Mocht een lid een gebouwpas nodig hebben voor de Zilverling, dan vraagt Inter-Actief deze aan bij de beveiliging van de UT. Voor deze aanvraag zijn het e-mailadres, de naam, het studentnummer en de initialen van het lid nodig. Deze gegevens worden daarbij doorgegeven aan de UT.
3.2.4 Publicatie van naam en foto van (oud-)bestuurders
Rechtsgrond f, herkenbaarheid (oud-)bestuurders
Door de jaren heen hebben vele mensen plaats genomen in het bestuur der Inter-Actief. Inter-Actief is haar oud-besturen en huidige bestuur dankbaar. Het is daarom, in combinatie met het behoud van de geschiedenis van de vereniging, dat de oud-besturen gepubliceerd worden op de website.
3.3 Verwerking aankopen en activiteiten
3.3.1 Inschrijfformulieren voor activiteiten
Rechtsgrond a, uitvoering activiteiten
Bij sommige activiteiten is extra informatie nodig om de activiteit goed te laten verlopen. Deze gegevens worden slechts gebruikt voor de uitvoering en de afhandeling van deze activiteit en worden daarna verwijderd.
3.3.2 Doorgifte persoonsgegevens aan derden vanwege de aard van activiteiten
Rechtsgrond a en b, overeenkomstige verplichtingen na expliciete toestemming persoon
Vanwege de aard van sommige activiteiten, die al dan niet gedeeltelijk berusten op de verwerking van persoonsgegevens door derden, worden in bepaalde gevallen deze persoonsgegevens gedeeld met externe partijen. Deze persoonsgegevens worden slechts gedeeld na expliciete toestemming van de persoon ten tijde van inschrijving voor de activiteit. De gedeelde informatie zal worden beperkt tot datgene wat strikt noodzakelijk wordt bevonden voor de afgesloten overeenkomst.
3.3.3 Opvragen deelnemers van activiteiten door andere leden
Rechtsgrond f, interne promotie van activiteiten
Een lid van Inter-Actief mag op verzoek bij het bestuur de lijst met namen van personen inzien die ingeschreven staan voor een activiteit. Dit wordt gedaan zodat het lid kan zien of er bekenden aanwezig zullen zijn, en zo zijn beslissing om naar de activiteit te komen beter kan maken. Dit bevordert de promotie van activiteiten binnen Inter-Actief. De gegevens worden alleen gedeeld na toestemming van het bestuur, de gedeelde informatie wordt beperkt tot de namen van de ingeschreven personen.
3.3.4 Publicatie van foto’s van activiteiten
Rechtsgrond f, interne en externe promotie van activiteiten
Bij bijna alle activiteiten van Inter-Actief worden foto’s gemaakt. De gefotografeerde personen worden niet expliciet bij naam genoemd. De naam van de fotograaf wordt bij de foto’s genoemd. De foto’s worden gefilterd door Inter-Actief en publiek op de website gezet. Foto’s die iets laten zien dat Inter-Actief niet wil tonen aan externen worden afgeschermd gepubliceerd op de website. Op verzoek van een persoon met een redelijk belang wordt een foto van de website verwijderd.
3.3.5 Opslag van aankoopgegevens van (voormalig) leden
Rechtsgrond c, bewaarplicht financiële administratie
De belastingdienst verplicht verenigingen om hun financiële administratie 7 jaar lang te bewaren volgens de fiscale bewaarplicht3. Hieronder vallen bij Inter-Actief onder andere de lidmaatschapskosten, aankopen in de streeplijst, aankopen op borrels, inschrijfkosten voor activiteiten en uitgevoerde incasso’s.
3.3.6 Doorgifte RFID-codes en student- en/of medewerkersnummers aan Alexia
Rechtsgrond f, achteraf betalen borrels
Als een lid van Inter-Actief een consumptiemachtiging heeft afgesloten met betrekking tot het incasseren van uitgaven bij borrels dan moeten deze aankopen geregistreerd worden zodat de kosten achteraf kunnen worden geïncasseerd. Voor dit doel gebruiken wij het zelfontwikkelde systeem Alexia. Om hier de aankopen in te registreren geven wij de RFID-codes en student- of medewerkersnummers van het lid door aan deze applicatie. Verwerking van deze gegevens wordt verder afgehandeld in het privacydocument van deze applicatie.
3.4 De doelen van Inter-Actief
3.4.1 Verkrijging en opslag van naam bij indienen klacht
Rechtsgrond f, klachtenbank
De leden van Inter-Actief die een klacht hebben over het onderwijs kunnen deze indienen via de website van Inter-Actief. Om later terug te kunnen komen op desbetreffende klacht is het noodzakelijk dat de naam van de indiener opgeslagen wordt.
3.5 Vergaderingen
3.5.1 Verkrijging en opslag van naam in het kader van ALV- en BV-machtigingen en -afmeldingen
Rechtsgrond c, bewaren machtigingen
Als een lid zich voor een vergadering binnen Inter-Actief afmeldt danwel iemand anders machtigt is Inter-Actief wettelijk verplicht deze afmeldingen en machtigingen te bewaren.
3.5.2 Opslag en publicatie van naamgegevens in ALV-, BV- en commissienotulen
Rechtsgrond c en f, houden van notulen
Van belangrijke vergaderingen bij Inter-Actief worden notulen gehouden. Bij sommige vergaderingen is dit wettelijk verplicht (ALV en BV), bij andere vergaderingen is dit wenselijk. Deze notulen worden verspreid onder alle of een deel van de leden van Inter-Actief. De namen van de aanwezigen bij een van deze vergaderingen zullen worden gepubliceerd in deze notulen.
3.6 Vergaring van persoonsgegevens door commissies
3.6.1 Verkrijging, opslag en publicatie van naam en foto van mensen die schrijven voor verenigingspublicaties
Rechtsgrond a, expliciete toestemming auteurs verenigingspublicaties
Van personen die schrijven voor de verschillende verenigingspublicaties worden naam en foto geregistreerd en, in sommige gevallen, gepubliceerd. Dit doet Inter-Actief om zowel de auteurs van geschreven stukken publiekelijk te erkennen als een mooie grafische indeling te maken.
3.7 Wettelijke verplichtingen
3.7.1 Doorgifte van gegevens aan de Gemeente Enschede in het kader van de horecavergunning
Rechtsgrond c, handhaven horecavergunning
De verkoop van drank tijdens borrels van Inter-Actief valt onder de horecavergunning van de UT. Voor de vergunning moeten alle actieve tappers die tappen in een horecagelegenheid de geboortedatum en naam doorgeven aan de Gemeente Enschede. De geboortedatum, voor- en achternaam van de tappers worden door Inter-Actief doorgegeven aan het Overleg Studieverenigingen (OS). Het OS geeft deze gegevens vervolgens weer door aan de Gemeente Enschede.
3.8 Ereleden en leden van verdienste
3.8.1 Publicatie van naam van ereleden en redenen van erelidmaatschappen
Rechtsgrond f, ‘eren’ ereleden
De naam van de ereleden van Inter-Actief worden publiek op de website gepubliceerd in combinatie met een uitleg waarom desbetreffend lid een erelid is. Dit doet Inter-Actief om haar ereleden niet te vergeten.
3.8.2 Publicatie van naam van leden van verdienste en beschrijving van verdiensten
Rechtsgrond f, ‘eren’ leden van verdienste
De naam van de leden van verdienste van Inter-Actief worden publiek op de website gepubliceerd in combinatie met een uitleg waarom desbetreffend lid een lid van verdienste is. Dit doet Inter-Actief om haar leden van verdienste niet te vergeten.
3.9 Overige
3.9.1 Opslag van persoonsgegevens die voor de originele ingangsdatum van dit document (31-10-2019) in commissie- en/of verenigingsdocumenten terecht zijn gekomen
Rechtsgrond f, reeds aanwezig archief
(Ver) voor het ingaan van de AVG heeft Inter-Actief alle persoonsgegevens die gebruikt zijn door commissies opgeslagen. Deze persoonsgegevens zijn (digitaal) aanwezig op de commissieschijven van de desbetreffende commissies. Deze documenten zijn aangemaakt voordat de AVG van kracht werd en worden uitsluitend als naslagwerk gebruikt. Vanwege het legaliteitsbeginsel mogen deze documenten daarom ongewijzigd blijven bestaan. Daarnaast kost het buitenproportioneel veel werk om deze documenten allemaal te anonimiseren, dus Inter-Actief laat deze documenten ook daarom staan. Voorbeelden hiervan zijn secretarieel jaarverslagen, documenten voor studiereizen en almanakken.
3.9.2 Ledendatabasecontrolemails sturen
Rechtsgrond f, jaarlijkse controle van persoonsgegevens
Bij de verlenging van een lidmaatschap worden ledendatabasecontrolemails verstuurd aan leden. In deze e-mails worden leden verzocht hun persoonsgegevens te controleren op fouten, bijvoorbeeld veroorzaakt door verjaring of databasefouten. Om correctheid van de persoonsgegevens van het lid te kunnen garanderen, en het recht op rectificatie te vergemakkelijken, is deze jaarlijkse handeling gewenst.
3.10 Digitale voorzieningen, Inter-Actief-website en applicaties
3.10.1 Inter-Actief API
Rechtsgrond a, decentrale verwerking persoonsgegevens
Inter-Actief stelt een programmeerinterface beschikbaar. Via deze interface kunnen applicaties toegang krijgen tot de persoonsgegevens van een persoon die opgeslagen zijn in systemen van de vereniging. Toestemming voor de verwerking van persoonsgegevens door deze applicaties wordt expliciet gegeven door de persoon bij gebruik van de applicatie en kan op elk moment worden ingetrokken via de website van de vereniging.
3.10.2 Inter-Actief Wiki
Rechtsgrond f, verenigingsdocumentatie Op de wiki van Inter-Actief wordt documentatie opgeslagen over processen binnen de vereniging. In de wijzigingsgeschiedenis van elke pagina worden de namen van diens auteurs opgeslagen.
3.10.3 Verwerkingslogboeken
Rechtsgrond f, foutherstelling en privacywaarborging
Voor verscheidene activiteiten die in de systemen van Inter-Actief plaatsvinden worden logboeken opgeslagen. Deze logboeken bevatten mogelijk persoonlijke gegevens. Deze logboeken worden gebruikt om vorige versies van onder andere pagina’s, documenten of andere velden terug te kunnen zetten in het geval van foutieve gegevens. Ook worden de logboeken gebruikt ter documentatie van operaties op of verwerkingen van een bepaald object.
3.10.4 Foutmeldingslogboeken
Rechtsgrond f, foutherstelling en verhelpen van bugs in programmatuur
Veel van onze computersystemen en applicaties houden foutmeldingslogboeken bij, waarin details over foutmeldingen of problemen worden opgeslagen. Deze logboeken bevatten mogelijk persoonlijke gegevens. Deze logboeken worden gebruikt om fouten in onze systemen op te sporen en te verhelpen.
3.10.5 Opslagplaatsen van programmeercode en documentatie
Rechtsgrond a, expliciete toestemming van persoon
Bij Inter-Actief is het mogelijk om als actief lid coderepositories te uploaden naar ons versiebeheerprogramma. Deze repositories kunnen vallen onder een commissie, of onder een persoonlijk account. Door een repository te uploaden wordt expliciete toestemming gegeven voor de verwerking van deze gegevens.
3.10.6 Back-ups van persoonlijke bestanden en verenigingsbestanden
Rechtsgrond f, (nood)herstel computersystemen en gegevens
Bij Inter-Actief worden regelmatig back-ups gemaakt van alle bestanden, databanken, en overige gegevens die op onze computersystemen aanwezig zijn. Deze back-ups bevatten mogelijk persoonlijke gegevens. De back-ups worden gemaakt om in geval van nood deze gegevens terug te kunnen zetten. Deze back-ups worden versleuteld gedeeld met Backblaze (https://www.backblaze.com), en worden opgeslagen in Europa. Voor deze verwerking heeft Inter-Actief een verwerkingsovereenkomst afgesloten met Backblaze. Back-ups worden maximaal een jaar bewaard.
3.10.7 Commissieapplicatie(s)
Rechtsgrond a, expliciete toestemming persoon
Sommige commissies van Inter-Actief beheren een eigen applicatie of website die ledengegevens verwerken voor de uitvoering van hun doelstelling. Een voorbeeld hiervan is de “SymposIA” applicatie van de symposiumcommissie, die de commissie helpt bij de organisatie van het symposium. Hierbij worden mogelijk persoonlijke gegevens verwerkt. De persoon geeft bij deze applicatie(s) altijd expliciet toestemming voor verwerking zodra de persoon voor het eerst bij deze applicatie(s) inlogt of van deze applicatie gebruik maakt.
🔗Referenties
1 General Data Protection Regulation, REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 april 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC. - laatst bezocht op 10-10-2018 - https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN
2 Uitvoeringswet Algemene verordening gegevensbescherming - laatst bezocht op 10-10-2018 - http://wetten.overheid.nl/BWBR0040940/2018-05-25
3 Fiscale Bewaarplicht Belastingdienst - laatst bezocht op 10-10-2018 - https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/ondernemen/administratie/administratie_opzetten/hoe_lang_moet_u_uw_administratie_bewaren