Privacy Statement

Per 25 mei 2018

Dit is het privacy statement van Studievereniging Molengraaff Dispuut. Veiligheid en privacy staan hoog in het vaandel bij het Molengraaff Dispuut. De gegevensverwerkingen door het Molengraaff Dispuut zijn niet aangemeld bij het College Bescherming Persoonsgegevens. Een vereniging is namelijk vrijgesteld van de meldplicht bij autoriteit persoonsgegevens. In dit privacy statement worden de verschillende manieren waarop het Molengraaff Dispuut gegevens verzamelt en de doeleinden waarvoor gegevens kunnen worden gebruikt, besproken. De grondslagen voor de verwerking van deze gegevens zijn toestemming, gerechtvaardigd belang en het uitvoeren van een overeenkomst.

  1. Studievereniging Molengraaff Dispuut

Het adres van het Molengraaff Dispuut is: Janskerkhof 2-3a, kamer 1.19. 3512 BK Utrecht. Je kunt contact opnemen door: te mailen naar info@molengraaffdispuut.nl; te bellen naar een van de bestuurders: http://molengraaffdispuut.nl/contact/ of een brief te sturen naar Molengraaff Dispuut, Janskerkhof 2-3a, kamer 1.19. 3512 BK Utrecht.

  1. Doeleinden gegevensverzameling

Het Molengraaff Dispuut verzamelt en verwerkt persoonsgegevens voor de hieronder genoemde doeleinden.

  • Om te communiceren
  • Om onze diensten op de wensen van de leden af te stemmen en te verbeteren
  • Om de leden en deelnemers van activiteiten te informeren over evenementen en aanbiedingen (van derde partijen) van het Molengraaff Dispuut
  • Om informatie over leden te verstrekken aan derden indien wij daartoe verplicht zijn op basis van wet- of regelgeving
  • Om informatie over leden te verstrekken aan derden voor het organiseren van evenementen
  • Om de identiteit te verifiëren en fraude te voorkomen
  • Voor promotiedoeleinden
  • Ter beoordeling of een student in aanmerking komt voor lidmaatschap
  • Om leden in contact met elkaar te brengen
  • Ter inventarisatie van het aantal te verwachten aanwezigen bij activiteiten
  • Ter inventarisatie en handhaving van het drie-activiteitenbeleid

Het Molengraaff Dispuut hanteert een drie-activiteitenbeleid. Per collegejaar dient elk lid in beginsel drie inhoudelijke activiteiten bij te wonen. Om het beleid te handhaven verwerkt het Molengraaff Dispuut persoonsgegevens, zoals het aantal bezochte inhoudelijke activiteiten.

  1. De volgende gegevens worden verzameld en verwerkt door het Molengraaff Dispuut:

3.1. De gegevens in hoofdstuk 3.1 worden bewaard bij Codex.

Zie voor privacy statement Codex: https://jouwcodex.nl/privacy.php

3.1.1. Onderstaande gegevens worden verwerkt door het Molengraaff Dispuut bij Codex.

3.1.1.1. Onderstaande gegevens zijn verplicht in te vullen bij inschrijving/sollicitatie tot lidmaatschap

  • Voornaam (of voornamen) en achternaam
  • Geslacht
  • Geboortedatum
  • E-mailadres
  • Mobiele telefoonnummer
  • Startdatum studie

3.1.1.2. Aanvullende gegevens die kunnen worden verwerkt

  • Adres, postcode en woonplaats – kun je als lid invullen
  • Bankrekeningnummer – indien een transactie wordt gedaan
  • Opmerkingen die geplaatst worden op inschrijfformulier
  • Deelname aan activiteiten

Deelname aan activiteiten wordt mede bijgehouden ter handhaving van het drie-activiteitenbeleid.

  • Inloggegevens

Wanneer een lid problemen ondervindt met inloggen kan bij het bestuur verzoek worden gedaan om een nieuw wachtwoord aan te vragen. Hiertoe wordt een eenmalig te gebruiken wachtwoord verstrekt.

  • Aanvullende gegevens met betrekking tot bepaalde activiteiten

Ter inschrijving van bepaalde activiteiten kunnen aanvullende gegevens gevraagd worden. Voorbeelden hiervan zijn de aanmelding van de studietrip, studiereis en diners. Er zullen enkel gegevens gevraagd worden die van belang zijn voor het organiseren van de activiteit. Hierbij valt te denken aan allergieën, paspoortgegevens etc. Deze gegevens zullen niet langer dan 2 maanden na afloop van de desbetreffende activiteit bewaard blijven.

3.1.1.3. Wanneer je solliciteert tot lidmaatschap of tot een plaats in een commissie of bestuur worden eveneens de volgende gegevens verzameld:

  • Motivatiebrief
  • Cijferlijst bachelor (en master) rechtsgeleerdheid
  • Cv

Ter beoordeling of de sollicitant in aanmerking komt voor lidmaatschap of deelname aan een commissie (indien van toepassing). Deze aanvullende persoonsgegevens worden nooit zonder toestemming aan derden. Deze informatie is verplicht te verstrekken bij sollicitatie.

3.1.2. Binnen Codex worden o.a. de volgende technieken gebruikt ter beveiliging

  • SSL certificering: Al het dataverkeer naar servers van Codex wordt versleuteld met SSL certificaten (via Comodo; SHA-256 hashed met 2048bits RSA encryptie).
  • Er wordt dagelijks gemonitord voor ongewoon of overmatig gedrag op de servers.
  • Er komt in maart 2017 load-balancing met meerdere servers om zo mogelijke overbelasting te voorkomen, updates te versoepelen en fouten af te vangen.
  • Er wordt gewerkt aan data-replicatie op meerdere database servers om zo geen single-point of-failure te hebben.
  • Codex krijgt meer dedicated servers zodat er geen gedeelde zwakke punten kunnen bestaan.
  • Er worden dagelijks back-ups gemaakt en deze worden 356 dagen bewaard
  • Alle data staat op data-centra, van TransIP, in Nederland (Amsterdam)
  • Er wordt gebruikt gemaakt van externe adviseurs (connecties in de IT security branche; online diensten als Detectify.com)
  • DNS gegevens worden beschermd via Verifisign PremiumDNS met een SLA voor 100% uptime van de DNS van de dienst.
  • Er zijn in het voorjaar van 2017 stress-tests en penetration-tests gepland om het systeem te verbeteren.
  • Er wordt gewerkt aan het gebruik van een Identity en Access provider (Auth0.com) om zo alle authenticatie van gebruikers soepel te laten verlopen en te laten schalen. Deze dienst levert hoge beschikbaarheid, brute-force-protection, two-factor-authentication, OAuth support, volledige logs, wat dus ook in Codex geïntegreerd is. Eventuele SAML integraties zouden ook mogelijk zijn.
  • Er wordt gebruikt gemaakt van de OWASP Testing Checklist om te testen of de dienst voldoet aan de industrie standaard.
  • Er is bescherming tegen Clickjacking, XSS, er wordt gebruik gemaakt van CSRF-bescherming. We houden de TLS verbinding aan scherpe eisen om outdated en slechte ciphers te verwijderen.
  • Waar mogelijk wordt ReCaptchagebruikt om scripts en crawlers tegen te houden.
  • Er wordt nog onderzoek gedaan naar betaal integraties en hoe we deze het beste kunnen bouwen met het hoogste niveau van betrouwbaarheid en veiligheid.

3.2. De volgende gegevens worden door het Molengraaff Dispuut verstrekt aan Mailchimp

Mailchimp: The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA. Zie voor de Privacy Statement van Mailchimp: https://mailchimp.com/legal/privacy/

  • Gegevens verstrekt aan Mailchimp:
  • Voor- en achternaam
  • E-mailadres
  • Foto’s

Deze gegevens worden verstrekt om de ledenmail te versturen. De ledenmail kan zowel betaalde als onbetaalde advertenties bevatten.

Binnen Mailchimp kunnen de volgende gebruiksgegevens door het Molengraaff Dispuut worden verwerkt

  • Openen van de mails
  • Locatie van openen
  • Klikken op links

3.3. De volgende gegevens worden door het Molengraaff Dispuut verwerkt bij Conscribo

  • Voor- en achternamen van leden die transacties hebben verricht met leden
  • Omschrijvingen van transacties.

3.4. De volgende gegevens worden door het Molengraaff Dispuut verwerkt in g-mail

  • (E-mail)contact tussen het Molengraaff Dispuut en derden
  • Contactgegevens het Molengraaff Dispuut en derden
  • Gegevens ten behoeve van sollicitaties als genoemd in 3.1.1.3.

3.5. De volgende gegevens worden door het Molengraaff Dispuut verwerkt bij WordPress.org

  • Foto’s
  • Voor- en achternaam van o.a. commissieleden, leden van de Raad van Advies bestuursleden.

3.6. De volgende gegevens worden door het Molengraaff Dispuut verstrekt aan overige derden

  • Voor- en achternaam van leden

Deze gegevens worden enkel verstrekt wanneer een lid zich heeft aangemeld voor een activiteit op een externe locatie en hier uitdrukkelijk toestemming voor heeft gegeven.

3.7. De volgende gegevens ontvangt het Molengraaff Dispuut van derden en verwerkt deze

  • Cijfers voor privaatrechtelijke vakken
  • Namen van studenten
  • Studenten e-mailadres

Om leden uit te nodigen op basis van behaalde studieresultaten ontvangt en verwerkt het Molengraaff Dispuut bovenstaande gegevens.

  1. Sociale media

Het Molengraaff Dispuut is op verschillende sociale media aanwezig, zoals Facebook en LinkedIn om derden te blijven informeren. Als u het Molengraaff Dispuut volgt via sociale media of communiceert met of over Molengraaff Dispuut via sociale media, kunnen wij de volgende gegevens verwerken zodat wij de inhoud van onze sociale media activiteiten voor onze leden zoveel mogelijk kunnen optimaliseren:

  • De bekeken en geplaatste content en bericht met betrekking tot het Molengraaff Dispuut
  • Leden worden toegevoegd een de besloten en geheime facebookgroep Molengraaff Dispuut

Via deze groep kunnen leden in contact komen met elkaar. Partijen van buitenaf kunnen niet zien welke facebookprofielen in de groep zitten.

  1. Beveiliging

De gebruikersdata worden opgeslagen op locaties die (zowel fysiek als) technisch beveiligd zijn. Slechts een selecte groep verwerkers heeft op basis van zijn of haar functieprofiel toegang tot de ledendata. Die verwerkers die toegang hebben tot de ledendata worden vooraf getraind en geïnstrueerd hoe met deze data om te gaan.

  1. Bewaartermijn

Het Molengraaff Dispuut bewaart uw persoonsgegevens niet langer dan noodzakelijk is voor het doel van de verwerking. Dit breng met zich mee dat de gegevens van leden in beginsel bewaard blijven tot maximaal twee maanden na het uitschrijven van het lidmaatschap of binnen twee maanden na afhandeling van sollicitatie tot lidmaatschap. Wanneer het lidmaatschap wordt omgezet in alumnilidmaatschap is de vorige volzin niet van toepassing, dan geldt dat gegevens worden verwijderd binnen twee maanden na het uitschrijven van alumnilidmaatschap.

De gegevens kunnen geanonimiseerd gebruikt worden na uitschrijven van het lid ter verbetering van de diensten van het Molengraaff Dispuut.

De gegevens die bij Conscribo worden verwerkt kunnen langer worden bewaard dan de hierboven vermeldde termijn in verband met voorgeschreven wetten omtrent boekhouding.

  1. Uw rechten
  • U heeft recht op inzage in uw persoonsgegevens
  • Het recht om correctie of verwijdering van uw persoonsgegevens te vragen
  • Verzet aantekenen tegen het gebruik van uw gegevens
  • U heeft het recht om te klagen

Bij de autoriteit persoonsgegevens kunt u over de verwerking van de persoonsgegevens klagen. Dit kan bijvoorbeeld via: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons.

Als u wilt weten welke persoonsgegevens van u het Molengraaff Dispuut verwerkt, kunt u een schriftelijk inzageverzoek doen. Het Molengraaff Dispuut behandelt uw verzoek binnen 4 weken.

Blijkt dat uw gegevens onjuist, onvolledig of niet relevant zijn? Dan kunt u een aanvullend verzoek doen om uw gegevens te laten wijzigen of aan te vullen. Een verstrekte toestemming van de verwerking van persoonsgegevens kunt u te allen tijde intrekken door te mailen naar info@molengraaffdispuut.nl. Mogelijk kun je dan niet langer lid blijven.

  1. Updates

Het Molengraaff Dispuut blijft haar diensten ontwikkelen en optimaliseren. Het kan zijn dat dit privacy statement als gevolg daarvan van tijd tot tijd wordt aangepast. Het Molengraaff Dispuut adviseert u dan ook de privacy beleid regelmatig te raadplegen.