From b521a6e1e23e330d3ccf0de5911020f359f2cf5c Mon Sep 17 00:00:00 2001 From: Niko Strijbol Date: Tue, 10 Dec 2019 23:09:15 +0100 Subject: [PATCH] Some rewriting and fixes --- Rules | 2 +- content/about/privacy.erb | 81 +++++++++++++++++---------- content/about/privacy/blokmap.md | 12 ++-- content/about/privacy/fathom.md | 2 +- content/about/privacy/fk_enrolment.md | 2 +- content/about/privacy/gandalf.md | 4 +- content/about/privacy/httpizza.md | 2 +- content/about/privacy/saruman.md | 3 +- content/about/privacy/site.md | 10 ++-- content/about/privacy/wiki.md | 4 +- lib/helpers/preprocess.rb | 6 +- 11 files changed, 74 insertions(+), 54 deletions(-) diff --git a/Rules b/Rules index ce3d915..d825d41 100644 --- a/Rules +++ b/Rules @@ -30,7 +30,7 @@ preprocess do check_schema(:event, event) end - all_privacy_items do |project| + all_privacy_items.each do |project| check_schema(:privacy, project) end diff --git a/content/about/privacy.erb b/content/about/privacy.erb index f52d9ab..84aad44 100644 --- a/content/about/privacy.erb +++ b/content/about/privacy.erb @@ -11,13 +11,14 @@ toc: true Inhoudstabel

@@ -31,7 +32,7 @@ toc: true

Zeus verzamelt drie grote categorieën van data:

    -
  1. Ledeninformatie, zoals e-mailadressen en UGent-gebruikersnamen. Deze informatie heeft Zeus nodig om haar verplichtingen na te komen opgelegd door de statuten.
    2. +
  2. Administratieve informatie, zoals e-mailadressen en UGent-gebruikersnamen. Deze informatie heeft Zeus nodig om haar verplichtingen na te komen opgelegd door de statuten.
  3. Technische informatie, zoals serverlogs. Deze data zijn noodzakelijk om de systemen van Zeus draaiende te houden. Buiten het opsporen en oplossen van problemen doet Zeus hier niets mee.
  4. Projectdata. Hiermee worden alle gegevens bedoelt die gebruikt worden in projecten, zoals bestellingen in Haldis of transacties in Tab. Deze gegevens worden uiteraard gebruikt voor het doel van het project (bv. bestellingen opnemen bij Haldis). Soms kunnen ze ook gebruikt worden voor statistische of onderzoeksdoeleinden. In dat geval wordt de data altijd geanonimiseerd.
@@ -40,15 +41,15 @@ toc: true

Opbouw

-

Het privacybeleid is opgebouwd uit twee grote delen: een algemeen deel en een project-specifiek deel. Het eerste deel is het eigenlijke beleid, en legt algemeen uit welke data Zeus verzamelt, waarom ze dat doet en wat ze met de verzamelde data doet. Bepaalde projecten hebben echter uitzonderingen nodig of vergen meer uitleg. Dit komt in deel twee van het privacybeleid, dat per project bepaalt hoe het algemene beleid van toepassing is, indien nodig. Staat een project niet in deel twee, dan is uiteraard deel een nog steeds van toepassing.

+

Het privacybeleid begint met een uiteenzetting van gegevensverzameling die van toepassing is op alle projecten van Zeus of op de vereniging zelf (als de dataverzameling of verwerking niet onder een project valt). Dit eerste deel wordt het algemene deel genoemd. Vervolgens worden alle projecten opgesomd waarbij bijkomende gegevens verzameld worden, of waarbij bijkomende uitleg nuttig is. Sommige projecten hebben ook uitzonderingen op het algemene deel. Dit deel wordt aangeduid als project-specifiek deel. Tot slot volgt een lijst van diensten die door meerdere projecten gebruikt worden, en waarnaar verwezen wordt in het project-specifieke deel.

Wanneer en waar is dit privacybeleid van toepassing?

-

Zeus stelt projecten beschikbaar aan haar leden en het publiek in het algemeen. Daarbovenop worden de diensten en projecten van Zeus ook door derden gebruikt.

+

Zeus stelt projecten beschikbaar aan haar leden en het publiek in het algemeen. Daarbovenop worden de diensten en projecten van Zeus ook door derden gebruikt. Onder de Algemene Verordering Gegegevensbescherming (AVG / GDPR) kan Zeus verschillende rollen vervullen. Meer informatie over deze termen vindt u o.a. hier.

Zeus als dataverantwoordelijke

-

Voor het aanbieden van haar projecten verzamelt Zeus data. In dit geval treedt Zeus op als "Verwerker" in de terminologie van de AVG. Dit betekent dat Zeus de data zelf verzamelt, of opdracht geeft aan derden om de data te verzamelen.

+

Voor het aanbieden van haar projecten verzamelt Zeus data. In dat geval is Zeus zelf de dataverantwoordelijke. Bij sommige projecten doet Zeus echter een beroep op derden, die namens Zeus gegevens verzamelen. Hierbij treedt Zeus op als "Verwerkingsverantwoordelijke".

Voorbeelden van projecten waarbij Zeus de dataverantwoordelijke is, zijn Haldis, Tab, Hydra, enz. @@ -135,7 +136,7 @@ toc: true

Projectdata

-

Veel projecten hebben data nodig om te kunnen functioneren, dus verzamelt Zeus die uiteraard ook. Vaak zijn dit gegevens die u zelf ingeeft of laat genereren door het project dat u gebruikt.

+

Veel projecten hebben data nodig om te kunnen functioneren, dus verzamelt Zeus die uiteraard ook. Vaak zijn dit gegevens die u zelf ingeeft of laat genereren door het project dat u gebruikt. Soms worden deze data ook benoemd als "door gebruikers gegenereerde gegevens".

Als u bijvoorbeeld gebruik maakt van Haldis, moet Zeus opslaan wat u besteld hebt, of Haldis zal niet werken. Bij Tab gaat het om de transacties. @@ -149,6 +150,21 @@ toc: true

Naast het gebruik van deze gegevens voor het doel van het project te verwezenlijken, kunnen deze gegevens ook gebruikt worden voor statistisch of wetenschappelijk onderzoek, om zo inzichten in het algemene doen en laten van de leden van de vereniging. Bij het gebruik hiervoor worden de data altijd geanonimiseerd. Kijk bijvoorbeeld bij de gedetailleerde uitleg over Haldis voor een voorbeeld.

+

Hoe contacteert u ons en laat u uw rechten gelden?

+ +

Om uw rechten te laten gelden, voor vragen of opmerkingen, kan u Zeus contacteren via de contactpagina.

+ +

Hieronder volgt een korte opsomming van uw rechten:

+ +
    +
  • Recht op inzage. U mag weten of Zeus gegevens over u heeft, welke gegevens dat zijn en op welke manier en waarom Zeus ze gebruiken. Ook heeft u het recht een overzicht te krijgen wie uw gegevens verwerkt.
    • +
  • Recht op rectificatie en aanvulling. U heeft het recht in voorkomend geval foute gegevens te laten corrigeren, bv. door een rechtzetting of aanvulling te vragen.
    • +
  • Recht op vergetelheid. U kan verzoeken dat Zeus de gegevens die we over u hebben te wissen op grond van een aantal zaken.
    • +
  • Recht op overdraagbaarheid. U hebt het recht om uw gegevens op te vragen en te ontvangen in een gestructureerd, door een machine leesbaar document.
    • +
  • Recht op beperking van de verwerking. U heeft het recht om de verwerking van uw gegevens te beperken, bijvoorbeeld als er een juridische procedure loopt, een rechtzetting nog niet is doorgevoerd, of de gegevens onrechtmatig gebruikt worden.
    • +
  • Recht op bezwaar. Indien u meent dat Zeus uw gegevens verwerken op onrechtmatige basis, kan u bezwaar aantekenen.
    • +
+

Overzicht der projecten

Project-specifieke bepalingen

@@ -176,16 +192,6 @@ toc: true <% end %> -

Projecten/diensten als verwerker

- -

Zeus werkt mee aan volgende projecten of diensten als dataverwerker.

- -
    - <% privacy_projects("processor").each do |project| %> - <%= render '/partials/_privacy_link.erb', project: project %> - <% end %> -
-

Projecten in ontwikkeling

Deze projecten zijn nog in ontwikkeling. U mag geen persoonlijke data aan deze projecten leveren. Doet u dit toch, dan is dit op eigen risico: noch de functionaliteit, noch de beveiliging van deze projecten staat op punt.

@@ -196,31 +202,48 @@ toc: true <% end %> -

Projecten in opdracht

+

Projecten in opdracht

Deze projecten worden door Zeus in opdracht van derden aangeboden. Hierbij treedt Zeus op als verwerker, zoals uitgelegd in paragraaf Zeus als verwerker. Dat komt er op neer dat Zeus enkel technische informatie verzamelt.

    - <% privacy_projects("external").each do |project| %> + <% privacy_projects("processor").each do |project| %> <%= render '/partials/_privacy_link.erb', project: project %> <% end %>
-

Hoe contacteert u ons en laat u uw rechten gelden?

+

Overzicht der diensten

-

Om uw rechten te laten gelden, voor vragen of opmerkingen, kan u ons contacteren via de contactpagina.

+

Verschillende projecten gebruiken dezelfde diensten van derden. In plaats van deze informatie meerdere keren in het beleid te plaatsen, wordt de informatie hier eenmaal vermeld. Vanuit de beschrijving van de projecten wordt er dan verwezen naar deze bijlagen.

-

Hieronder sommen we kort uw rechten op:

+

Gebruik van Google Analytics

+ +

Uitgebreide informatie over hoe Google met uw gegevens omgaat, vindt u hier. Verdere details over het gebruik van Google Analytics door Zeus:

    -
  • Recht op inzage. U mag weten of we gegevens we over u hebben, welke gegevens dat zijn en op welke manier en waarom we ze gebruiken. Ook heeft u het recht een overzicht te krijgen wie uw gegevens verwerkt.
    • -
  • Recht op rectificatie en aanvulling. U heeft het recht in voorkomend geval foute gegevens te laten corrigeren, bv. door een rechtzetting of aanvulling te vragen.
    • -
  • Recht op vergetelheid. U kan verzoeken dat we de gegevens die we over u hebben te wissen op grond van een aantal zaken.
    • -
  • Recht op overdraagbaarheid. U hebt het recht om uw gegevens op te vragen en te ontvangen in een gestructureerd, door een machine leesbaar document.
    • -
  • Recht op beperking van de verwerking. U heeft het recht om de verwerking van uw gegevens te beperken, bijvoorbeeld als er een juridische procedure loopt, een rechtzetting nog niet is doorgevoerd, of de gegevens onrechtmatig gebruikt worden.
    • -
  • Recht op bezwaar. Indien u meent dat we uw gegevens verwerken op onrechtmatige basis, kan u bezwaar aantekenen.
    • +
  • Uw gegevens worden gedurende 14 maanden bewaard door Google Analytics na uw laatste bezoek.
    • +
  • Uw gegevens worden door Google niet gedeeld met derden.
    • +
  • Google verwerkt uw gegevens mogelijk buiten de EER. Google is gecertificeerd in het kader van het EU-VS-privacyschild.
    • +
  • Er wordt geen informatie verzameld waarmee Zeus of Google u kunnen identificeren (zoals IP-adressen).
    • +
  • Indien u niet wenst dat Zeus uw gegevens verzamelen met Google Analytics, kan u o.a. deze add-on installeren.
-

Merk op dat bovenstaande slechts een opsomming van de algemene rechten is. Dit zegt niets over de toepasbaarheid bij dit privacybeleid.

+

Enkele voorbeelden van de verzamelde gegevens:

+
    +
  • Softwareversies. Welke browser u gebruikt en zijn versie, welk besturingssysteem, enz.
    • +
  • Gebruiksdata. Hoe u de website gebruik, wat u bezoekt, hoe lang u die onderdelen bezoekt, enz.
    • +
  • Hardware-informatie. De resolutie van uw scherm.
    • +
+ +

Door deze informatie kan Zeus ervoor zorgen dat de website goed werkt in de browsers die de bezoekers gebruiken. Als het merendeel van de gebruikers bv. een mobiel toestel gebruikt, kan Zeus haar aandacht richten op het optimaliseren van de website voor mobiel gebruik.

+ +

Gebruik van Cloudflare CDN

+ +

We gebruiken de Cloudflare CDN om softwarebibliotheken te laden. Zie hun privacybeleid (Engels).

+ + +

Worden er geautomatiseerde, individuele besluiten genomen?

+ +

Nee.

diff --git a/content/about/privacy/blokmap.md b/content/about/privacy/blokmap.md index 7330842..5506140 100644 --- a/content/about/privacy/blokmap.md +++ b/content/about/privacy/blokmap.md @@ -1,9 +1,11 @@ --- -status: responsible +status: additional --- -TODO +Naast de technische informatie, verzamelt Blokmap bijkomende gegevens: -- Facebook button -- Google Analytics -- Mapbox \ No newline at end of file +- Softwarebibliotheken worden geladen via de Google Hosted Libraries. Daarop is het [privacybeleid van Google](https://policies.google.com/privacy) van toepassing, alsook [deze bijkomende verklaring](https://developers.google.com/speed/libraries/terms) (Engels). +- Softwarebibliotheken worden geladen via Cloudflare. Zie [hun privacybeleid](https://www.cloudflare.com/privacypolicy/) (Engels). +- Een knop om de pagina te delen op Facebook wordt ook geladen. Zie [hun privacybeleid](https://www.facebook.com/full_data_use_policy). +- Google Analytics wordt gebruikt, zie de bijlage [*Gebruik van Google Analytics*](#google-analytics). +- De kaart wordt opgehaald van servers van Mapbox, zie [hun privacybeleid](https://www.mapbox.com/legal/privacy/) (Engels). \ No newline at end of file diff --git a/content/about/privacy/fathom.md b/content/about/privacy/fathom.md index a4c659a..32025d2 100644 --- a/content/about/privacy/fathom.md +++ b/content/about/privacy/fathom.md @@ -5,4 +5,4 @@ status: additional Het gebruik van Fathom moet in twee categorieën ingedeeld worden: - Als gebruiker van een website met Fathom als analytics. In dit geval verzamelt Fathom geen persoonlijke data, zie het [databeleid](https://usefathom.com/data) (Engels). -- Als gebruiker van Fathom zelf. In dat geval is het algemeen privacybeleid. Fathom verzamelt geen bijkomende data. \ No newline at end of file +- Als gebruiker van Fathom zelf. Fathom verzamelt geen bijkomende data in dat geval. \ No newline at end of file diff --git a/content/about/privacy/fk_enrolment.md b/content/about/privacy/fk_enrolment.md index b4db65a..5119965 100644 --- a/content/about/privacy/fk_enrolment.md +++ b/content/about/privacy/fk_enrolment.md @@ -1,3 +1,3 @@ --- -status: external +status: processor --- \ No newline at end of file diff --git a/content/about/privacy/gandalf.md b/content/about/privacy/gandalf.md index 27c5c73..ec8a0ef 100644 --- a/content/about/privacy/gandalf.md +++ b/content/about/privacy/gandalf.md @@ -1,5 +1,3 @@ --- -status: external +status: processor --- - -TODO: host Zeus dit nog? \ No newline at end of file diff --git a/content/about/privacy/httpizza.md b/content/about/privacy/httpizza.md index b4db65a..5119965 100644 --- a/content/about/privacy/httpizza.md +++ b/content/about/privacy/httpizza.md @@ -1,3 +1,3 @@ --- -status: external +status: processor --- \ No newline at end of file diff --git a/content/about/privacy/saruman.md b/content/about/privacy/saruman.md index 5883ff7..5119965 100644 --- a/content/about/privacy/saruman.md +++ b/content/about/privacy/saruman.md @@ -1,4 +1,3 @@ --- -status: external -link: https://12urenloop.be/ +status: processor --- \ No newline at end of file diff --git a/content/about/privacy/site.md b/content/about/privacy/site.md index fd43b88..0af3090 100644 --- a/content/about/privacy/site.md +++ b/content/about/privacy/site.md @@ -5,15 +5,15 @@ status: additional De website van Zeus verzamelt bijkomende data: - De website laadt Font Awesome via een site van derden, MaxCDN. Zie [hun privacybeleid](https://www.bootstrapcdn.com/privacy-policy/) (Engels). -- Bezoekersstatistieken worden bijgehouden met Fathom, dat Zeus zelf host. Zie [Fathom](#fathom) voor een overzicht van de verzamelde gegevens en waarvoor ze gebruikt worden. +- Bezoekersstatistieken worden bijgehouden met Fathom, zie de paragraaf [*Fathom*](#fathom). - Sommige pagina's kunnen om bijkomende functionaliteit aan te bieden, aanvullende zaken laden via services van derden. Hieronder is een lijst van alle gebruikte services en wat ze laden: - - Gebruikersdata van Gamification. Zie [Gamification](#gamification). - - Kaarten via OpenStreetMaps. Zie [hun privacybeleid](https://wiki.osmfoundation.org/wiki/Privacy_Policy) (Engels). Hierbij wordt ook een bibliotheek geladen via unpkg. Dit gebruikt Cloudflare, zie [hun privacybeleid](https://www.cloudflare.com/privacypolicy/) (Engels). - - jQuery via Stackpath. Zie [hun privacybeleid](https://www.stackpath.com/legal/privacy-statement/) (Engels). + - Gebruikersdata van [*Gamification*](#gamification). + - Kaarten via OpenStreetMaps. Zie [hun privacybeleid](https://wiki.osmfoundation.org/wiki/Privacy_Policy) (Engels). + - Softwarebibliotheken via Stackpath. Zie [hun privacybeleid](https://www.stackpath.com/legal/privacy-statement/) (Engels). - Afbeeldingen via [jaspervdj.be](https://jaspervdj.be/images/) (Engels). - Formulieren via Google Forms en Google Spreadsheets. Zie het [privacybeleid van Google](https://policies.google.com/privacy) (Engels). - D3 via [d3js.org](https://d3js.org). - - Verschillende bibliotheken via Cloudflare. Zie [hun privacybeleid](https://www.cloudflare.com/privacypolicy/) (Engels). + - Softwarebibliotheken via Cloudflare, zie de [gelijknamige paragraaf](#cloudflare). - Video's via Invidious. Zie [hun privacybeleid](https://invidio.us/privacy) (Engels). - Video's via Vimeo. Zie [hun privacybeleid](https://vimeo.com/privacy) (Engels). \ No newline at end of file diff --git a/content/about/privacy/wiki.md b/content/about/privacy/wiki.md index 8bc0163..e0f7064 100644 --- a/content/about/privacy/wiki.md +++ b/content/about/privacy/wiki.md @@ -2,6 +2,4 @@ status: additional --- -De website van Zeus verzamelt bijkomende data: - -- De MathJax-bibliotheek wordt geladen via een CDN van Cloudflare, zie [hun privacybeleid](https://www.cloudflare.com/privacypolicy/) (Engels) en via [mathjax.org](https://www.mathjax.org/). +De wiki laadt bibliotheken via Cloudflare (zie de [gelijknamige paragraaf](#cloudflare)) en [mathjax.org](https://www.mathjax.org/). diff --git a/lib/helpers/preprocess.rb b/lib/helpers/preprocess.rb index 9a403fd..e5670c9 100644 --- a/lib/helpers/preprocess.rb +++ b/lib/helpers/preprocess.rb @@ -14,7 +14,7 @@ module PreprocessHelper end def allowed_privacy_status - %w(additional general processor development external) + %w(additional general processor development) end def check_schema(itemtype, item) @@ -24,8 +24,8 @@ module PreprocessHelper raise "#{item.identifier}: #{schema[key]}" end - if itemtype == :schema && !allowed_privacy_status.include?(item.attributes.status) - raise "status must be one of #{allowed_privacy_status}" + if itemtype == :privacy && !allowed_privacy_status.include?(item.attributes[:status]) + raise "status must be one of #{allowed_privacy_status}, got #{item.attributes[:status]} on #{item[:filename]}" end end