midgard/zeus.ugent.be
1
0
Fork 0
Code Issues Pull requests Packages Projects Releases Wiki Activity
zeus.ugent.be/content/privacy.erb
Niko Strijbol d8a0e9a66a
Project stuff 
- Add project metadata
- Extract metadata for projects and privacy
2019-12-06 19:54:58 +01:00

220 lines
13 KiB
Plaintext
Raw Blame History

---
title: Privacybeleid
narrow_page: true
typography: true
toc: true
---
<h1 class="title is-1 has-text-centered" id="top">Privacybeleid</h1>
<div id="table-of-contents" class="menu column is-4">
<p class="menu-label">
Inhoudstabel
</p>
<ul class="toc-depth-1" id="markdown-toc">
<li><a href="#opbouw" id="markdown-toc-opbouw">Opbouw</a></li>
<li><a href="#wanneer" id="markdown-toc-wanneer">Wanneer en waar is dit privacybeleid van toepassing?</a></li>
<li><a href="#wie" id="markdown-toc-wie">Wie heeft toegang tot de verzamelde data?</a></li>
<li><a href="#welke" id="markdown-toc-welke">Welke data worden verzameld en waarvoor worden ze gebruikt?</a></li>
<li><a href="#projecten" id="markdown-toc-projecten">Overzicht der projecten</a></li>
<li><a href="#contact" id="markdown-toc-contact">Hoe contacteert u ons en laat u uw rechten gelden?</a></li>
</ul>
</div>
<div class="content">
<p>Laatst bijgewerkt op <strong><time datetime="2019-11-26">26 november 2019</time></strong>.
</p>
<p>Zeus WPI biedt een waaier aan diensten en projecten aan aan haar leden en het algemene publiek. Met dit privacybeleid wilt ze aangeven hoe en waarvoor ze data verzamelt.</p>
<h2 class="title is-2" id="opbouw">Opbouw</h2>
<p>Het privacybeleid is opgebouwd uit twee grote delen: een algemeen deel en een project-specifiek deel. Het eerste deel is het eigenlijk beleid, en legt algemeen uit welke data Zeus verzamelt, waarom ze dat doet en wat ze met de verzamelde data doet. Bepaalde projecten hebben echter uitzonderingen of vergen meer uitleg. Dit komt in deel twee van het privacybeleid, dat per project bepaald hoe het algemene beleid van toepassing is, indien nodig. Staat een project niet in deel twee, dan is uiteraard deel een nog steeds van toepassing.</p>
<h2 class="title is-2" id="wanneer">Wanneer en waar is dit privacybeleid van toepassing?</h2>
<p>Zeus WPI stelt een waaier aan projecten beschikbaar aan haar leden en het publiek in het algemeen. Daarbovenop worden de diensten en projecten van Zeus ook door derden gebruikt.</p>
<h3 class="title is-3" id="verantwoordelijke">Zeus als dataverantwoordelijke</h3>
<p>Voor het aanbieden van haar projecten, verzamelt Zeus WPI data. In dit geval treedt Zeus op als "Verwerker" in de terminologie van de AVG. Dit betekent dat Zeus de data zelf verzamelt, of opdracht geeft aan derden om de data te verzamelen.</p>
<div class="example">
Voorbeelden van projecten waarbij Zeus de dataverantwoordelijke is, zijn Haldis, Tab, Hydra, enz.
</div>
<h3 class="title is-3" id="verwerker">Zeus als verwerker</h3>
<p>Zeus biedt niet alleen projecten aan aan haar leden en andere personen, maar biedt ook diensten aan aan derden. In dat geval dient u zich te wenden tot het privacybeleid van de derde in wiens naam Zeus de data verwerkt. Zeus treedt dan op als "Verwerker".</p>
<div class="example">
Zeus kan de websites van andere verenigingen hosten op haar servers. Dan is niet het privacybeleid van Zeus van toepassing, maar dat van de vereniging wier website bij Zeus gehost wordt.
</div>
<p>Als Zeus optreedt als verwerker, zal Zeus in het algemeen slechts de absoluut noodzakelijke data verzamelen voor de integriteit en goede werking van haar systemen in stand te houden verzamelen. Meer informatie kan u krijgen bij de verantwoordelijke vereniging of personen die gebruik maken van de diensten van Zeus.</p>
<h2 class="title is-2" id="wie">Wie heeft toegang tot de verzamelde data?</h2>
<p>In de eerste plaats heeft het bestuur van Zeus WPI toegang tot de gegevens, en in het bijzonder hebben de systeemadministrators toegang tot de data. Het bestuur beperkt zijn inzage in de gegevens tot het strikt noodzakelijke om zijn mandaat te vervullen.</p>
<div class="example">
De systeemadministrators hebben toegang tot alle gegevens, daar zij toegang hebben tot alle infrastructuur van Zeus. Uiteraard houden zij zich niet bezig met het bekijken van de verzamelde data; dit gebeurt enkel indien nodig, zoals wanneer een server crasht.
</div>
<p>Ook kunnen ontwikkelaars van een bepaald project toegang krijgen tot de data van dat project, indien dit nodig zou blijken voor de ontwikkeling van het project. Het bestuur, en de systeemadministrators in het bijzonder, kijken er op toe dat ontwikkelaars van projecten nooit meer toegang hebben dan nodig en dat de data niet misbruikt wordt. </p>
<div class="example">
De ontwikkelaars van Hydra krijgen toegang de API-server en kunnen zo aan de serverlogs.
</div>
<h2 class="title is-2" id="welke">Welke data worden verzameld en waarvoor worden ze gebruikt?</h2>
Zeus verzamelt vier grote categorieën van data.
<h3 class="title is-3" id="administratie">Administratieve gegevens</h3>
<p>Zeus houdt een reeks administratieve gegevens bij over haar leden, zoals vereist door de statuten of om de goede werking van de vereniging te bewerkstelligen. Onder deze data valt onder meer:</p>
<ul>
<li>
<strong>Accountgegevens</strong>, zoals de gebruikersnaam, UGent-gebruikersnaam, enz. Dit is om de accountfunctionaliteit van de leden, zoals vereist in de statuten, mogelijk te maken.
</li>
<li>
<strong>E-mailadressen</strong>. Dit om de leden in te schrijven op de mailinglijsten, zoals vereist door de statuten.
</li>
</ul>
<p>Deze gegevens worden door u aan Zeus verstrekt op het moment dat u zich inschrijft.</p>
<p>Indien u gebruik maakt van het Google Formulier voor uw inschrijving, worden de gegevens die u daar invult, opgeslagen in Google Drive. Deze zijn onderhevig aan het privacybeleid van Google.</p>
<p>Bij het opheffen van het lidmaatschap worden de data niet automatisch verwijderd, vanwege het ontbreken van een technische oplossing. Indien gewenst, kan u zich wenden tot de vereniging voor een manuele verwijdering van uw administratieve gegevens.</p>
<h3 class="title is-3" id="technisch">Technische gegevens</h3>
<p>Hieronder vallen de data nodig om de goede werking van de projecten te garanderen. Concreet betekent de serverlogs. Dit zijn logboeken van de verzoeken die gestuurd worden naar een van de servers van Zeus. In de logboeken zitten volgende data:</p>
<ul>
<li><strong>IP-adressen</strong>, van wie de verzoeken maakte</li>
<li><strong>Tijdstippen</strong>, wanneer de verzoeken gemaakt werden</li>
<li><strong>Doel</strong>, wat er precies opgevraagd werd</li>
<li>
<strong>Technische gegevens</strong>, zoals welk apparaat en software er gebruikt zijn voor het verzoek, welk protocol er gebruikt wordt en hoeveel bytes er verstuurd zijn.
</li>
</ul>
<p>Deze informatie wordt gebruikt om de toestand van de server in de gaten te houden, teneinde de dienstverlening van de server te garanderen. Zo kunnen we de belasting van de server in de gaten houden, misbruik detecteren en foute verzoeken (bv. missende webpagina's) verhelpen.</p>
<div class="example">Een typische gebeurtenis in het logboek ziet er als volgt uit:<br>
<p>
<code>94.XXX.XXX.XXX - [11/Sep/2019:11:18:59 +0200] "GET /api/2.0/association/logo/js.png HTTP/1.1" 200 34464 "-" "okhttp/3.12.2"</code>
</p>
<p>Deze informatie zegt ons:</p>
<ul>
<li>Het <span class="acronym">IP</span>-adres van de gebruiker (hier onherkenbaar gemaakt).</li>
<li>Het tijdstip waarop het verzoek naar de API gestuurd werd.</li>
<li>Technische informatie over het verzoek: wat is er opgevraagd, welk protocol is er gebruikt, hoeveel bytes zijn er verstuurd om aan het verzoek te voldoen.</li>
<li>De
<em><a href="https://nl.wikipedia.org/wiki/Useragent">useragent</a></em> van het verzoek: welk apparaat stuurde het verzoek en waarmee. In dit voorbeeld gaat het bijvoorbeeld over de Android-app.
</li>
</ul>
<p>Specifiek vraagt dit verzoek het logo van een studentenvereniging op, meer bepaald
<a href="https://hydra.ugent.be/api/2.0/association/logo/js.png">dit logo</a>.</p>
</div>
<p>Deze data worden niet automatisch verwerkt; ze dienen om manueel de oorzaken van problemen te vinden. Serverlogs worden onbeperkt bijgehouden.</p>
<h3 class="title is-3" id="project">Projectdata</h3>
<p>Veel projecten hebben data nodig om te kunnen functioneren, dus verzameld Zeus die uiteraard ook. Vaak zijn dit gegevens die u zelf ingeeft of laat genereren door het project dat u gebruikt.</p>
<div class="example">
Als u bijvoorbeeld gebruik maakt van Haldis, moet Zeus opslaan wat u besteld hebt, of Haldis zal niet werken.
</div>
<p>Afhankelijk van de applicatie is het niet altijd mogelijk om de gegevens te verwijderen of aanpassen zonder de integriteit of goede werking van het project op de helling te zetten. In dat geval probeert Zeus de data zoveel mogelijk te anonimiseren als u een verwijderverzoek stuurt of zoveel mogelijk data aan te passen als u een aanpassingsverzoek stuurt. Bij een verwijderingsverzoek probeert Zeus de relevante en verwijderbare data zo snel mogelijk te verwijderen. Doch is het mogelijk dat de data door back-upsystemen langer bewaard blijven.</p>
<div class="example">
Bij Tab kan u bijvoorbeeld geen transacties laten verwijderen, maar wel anonimiseren.
</div>
<h3 class="title is-3" id="videobeelden">Videobeelden</h3>
<p>Ter beveiliging van de kelder van Zeus hangt er een camera "Cammie" in de kelder. De beelden van deze camera worden live uitgezonden op de website van de vereniging.</p>
TODO: opgelsagen?
<p>Bij het inschrijven hebben alle leden zich akkoord verklaard om opgenomen te worden door Cammie als zij zich in de kelder begeven.</p>
<h2 class="title is-2" id="projecten">Overzicht der projecten</h2>
<h3 class="title is-3" id="specifiek">Project-specifieke bepalingen</h3>
<p>Onder deze paragraaf volgt een lijst van alle projecten: </p>
<ol>
<li>Met uitzonderingen op het algemeen beleid, of</li>
<li>Waarvoor er bijkomende informatie is over het gebruik van data in het project.</li>
</ol>
<% privacy_projects("additional").each do |project| %>
<%= render '/partials/_privacy.erb', project: project %>
<hr>
<% end %>
<h3 class="title is-3" id="specifiek">Projecten zonder specifieke bepalingen</h3>
<p>Deze projecten vallen integraal onder het algemene beleid.</p>
<ul>
<% privacy_projects("general").each do |project| %>
<%= render '/partials/_privacy_link.erb', project: project %>
<% end %>
</ul>
<h3 class="title is-3" id="als-verwerker">Projecten/diensten als verwerker</h3>
<p>Zeus werkt mee aan volgende projecten of diensten als verwerker, zoals bepaald hierboven.</p>
<ul>
<% privacy_projects("processor").each do |project| %>
<%= render '/partials/_privacy_link.erb', project: project %>
<% end %>
</ul>
<h3 class="title is-3" id="in-ontwikkeling">Projecten in ontwikkeling</h3>
<p>Deze projecten zijn nog in ontwikkeling. U mag geen persoonlijke data aan deze projecten leveren. Doet u dit toch, dan is dit op eigen risico: noch de functionaliteit, noch de beveiliging van deze projecten staat op punt.</p>
<ul>
<% privacy_projects("development").each do |project| %>
<%= render '/partials/_privacy_link.erb', project: project %>
<% end %>
</ul>
<h3 class="title is-3" id="niet-gebruikt">Ongebruikte projecten</h3>
<p>Ter informatie volgt een lijst van projecten die ofwel geen Zeus-project zijn ofwel niet meer door Zeus gebruikt worden. Zeus heeft alle gegevens voor deze projecten verwijderd indien van toepassing.</p>
<ul>
<% privacy_projects("external").each do |project| %>
<%= render '/partials/_privacy_link.erb', project: project %>
<% end %>
</ul>
<h2 class="title is-2" id="contact">Hoe contacteert u ons en laat u uw rechten gelden?</h2>
<p>Om uw rechten te laten gelden, voor vragen of opmerkingen, kan u ons contacteren via TODO contactpagina.</p>
<p>Hieronder sommen we kort uw rechten op:</p>
<ul>
<li><strong>Recht op inzage.</strong> U mag weten of we gegevens we over u hebben, welke gegevens dat zijn en op welke manier en waarom we ze gebruiken. Ook heeft u het recht een overzicht te krijgen wie uw gegevens verwerkt.</li>
<li><strong>Recht op rectificatie en aanvulling.</strong> U heeft het recht in voorkomend geval foute gegevens te laten corrigeren, bv. door een rechtzetting of aanvulling te vragen.</li>
<li><strong>Recht op vergetelheid.</strong> U kan verzoeken dat we de gegevens die we over u hebben te wissen op grond van een aantal zaken.</li>
<li><strong>Recht op overdraagbaarheid.</strong> U hebt het recht om uw gegevens op te vragen en te ontvangen in een gestructureerd, door een machine leesbaar document.</li>
<li><strong>Recht op beperking van de verwerking.</strong> U heeft het recht om de verwerking van uw gegevens te beperken, bijvoorbeeld als er een juridische procedure loopt, een rechtzetting nog niet is doorgevoerd, of de gegevens onrechtmatig gebruikt worden.</li>
<li><strong>Recht op bezwaar.</strong> Indien u meent dat we uw gegevens verwerken op onrechtmatige basis, kan u bezwaar aantekenen.</li>
</ul>
<p>Merk op dat bovenstaande slechts een opsomming van de algemene rechten is. Dit zegt niets over de toepasbaarheid bij dit privacybeleid.</p>
</div>
Reference in a new issue View git blame Copy permalink