<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Hoi Brenno,</p>
<p>Dank voor je input. Ik ben bekend met de eisen van de GGD en de
EHBO. Daar heb ik bij SHA2017 ook al mee te maken gehad, en was
redelijk tevreden over de uitkomst. En de vragen die ik stel zijn
maatregelen om mensen na te laten denken over de AVG. Het zijn
geen zaken die iets direct "compliant" maken.</p>
<p>Als je advies wil geven, graag zelfs. Alles zelf willen doen gaat
mij gewoon niet lukken. Ik ben geen jurist en heb te weinig kennis
over de AVG om iets zinnigs op papier te krijgen. Daarom wil ik
graag met je samen zitten en een goed sluitend privacy protocol
schrijven voor het evenement. Je hebt als het goed is mijn
gegevens, bel me op zou ik zeggen?<br>
</p>
<p>Wat ik wil voorkomen (en dat is met iedereen die onderdeel is van
een "core" team) is dat men meerdere taken/projecten op zich gaat
nemen tijdens het evenement, vooral "pret" projecten die weinig
bijdragen aan het evenement. Dit soort projecten leiden namelijk
heel makkelijk tot stress, burnouts en psychische klachten voor de
betrokkenen. Daarom wil ik ook dat iedereen tijdens het evenement
slechts met 1 pet rondloopt, namelijk de pet die het evenement het
meest vooruit helpt. Ga je proberen je takenpakket uit te breiden,
dan gaat dit gegarandeerd leiden tot stress en klachten die op het
hele evenement voelbaar zijn. Dat wil dus zeggen dat als je als FG
op het terrein wil rondlopen, je het risico loopt dat je de taak
van havenmeester moet gaan laten vallen. En dat wil ook zeggen dat
als we minder mensen hebben op proefballonnen, we meer mensen op
de kritieke teams (zoals safe harbour) kunnen zetten.<br>
</p>
<p>Met vriendelijke groet,</p>
<p>Julius<br>
</p>
<div class="moz-cite-prefix">On 23-7-2019 22:35, Brenno de Winter
wrote:<br>
</div>
<blockquote type="cite"
cite="mid:AFEE34C9-EF8D-4CC7-AA09-3256E74DF93C@dewinter.com">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
Hoi Julius,
<div class=""><br class="">
</div>
<div class="">Niets moet. Het was slechts een geste om jullie te
helpen dingen te kanaliseren. De FG is slechts voor advies,
ondersteuning en het contact met de autoriteiten. </div>
<div class=""><br class="">
</div>
<div class="">Dat ik geen onderdeel van de projectleiding ben is
juist het doel van een FG en wettelijk ook verboden. Een FG mag
geen bestuurlijke taken hebben. En ik heb geen enkele behoefte
om PL te zijn. </div>
<div class=""><br class="">
</div>
<div class="">Wat de regels zijn, is mij bekend. Anders zou ik
geen FG kunnen zijn bij meerdere instellingen, waaronder
gemeenten. </div>
<div class=""><br class="">
</div>
<div class="">De zeven vragen die je stelt zijn maatregelen, maar
maken je niet compliant. Bovendien staan er fouten in. Om je een
voorbeeld te geven: je bent zelfs verplicht bijzondere
persoonsgegevens te verwerken. Denk maar aan de eisen van de GGD
en de EHBO vorige keer. </div>
<div class=""><br class="">
</div>
<div class="">Kies wat je wilt. Ik heb geen gebrek aan
tijdsbesteding. Maar mocht je alles alleen en zelf willen doen:
ga nog eventjes wat bijleren.</div>
<div class=""><br class="">
</div>
<div class="">
<div class="">
<div class="">
<div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);
font-family: Helvetica; font-size: 12px; font-style:
normal; font-variant-caps: normal; font-weight: normal;
letter-spacing: normal; orphans: auto; text-align: start;
text-indent: 0px; text-transform: none; white-space:
normal; widows: auto; word-spacing: 0px;
-webkit-text-size-adjust: auto; -webkit-text-stroke-width:
0px; text-decoration: none;">Brenno de Winter</div>
<div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);
font-family: Helvetica; font-size: 12px; font-style:
normal; font-variant-caps: normal; font-weight: normal;
letter-spacing: normal; orphans: auto; text-align: start;
text-indent: 0px; text-transform: none; white-space:
normal; widows: auto; word-spacing: 0px;
-webkit-text-size-adjust: auto; -webkit-text-stroke-width:
0px; text-decoration: none;">06-53536508</div>
<div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);
font-family: Helvetica; font-size: 12px; font-style:
normal; font-variant-caps: normal; font-weight: normal;
letter-spacing: normal; orphans: auto; text-align: start;
text-indent: 0px; text-transform: none; white-space:
normal; widows: auto; word-spacing: 0px;
-webkit-text-size-adjust: auto; -webkit-text-stroke-width:
0px; text-decoration: none;">Beveiliging is geen voodoo.
Lees de Survivalgids voor de Digitale Jungle: <a
href="https://dewinter.com/2019/01/17/survivalgids-voor-de-digitale-jungle-beschikbaar/"
class="" moz-do-not-send="true">https://dewinter.com/2019/01/17/survivalgids-voor-de-digitale-jungle-beschikbaar/</a></div>
<div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);
font-family: Helvetica; font-size: 12px; font-style:
normal; font-variant-caps: normal; font-weight: normal;
letter-spacing: normal; orphans: auto; text-align: start;
text-indent: 0px; text-transform: none; white-space:
normal; widows: auto; word-spacing: 0px;
-webkit-text-size-adjust: auto; -webkit-text-stroke-width:
0px; text-decoration: none;" class=""><br class="">
</div>
<br class="Apple-interchange-newline">
</div>
<div><br class="">
<blockquote type="cite" class="">
<div class="">Op 23 jul. 2019, om 22:01 heeft Julius <<a
href="mailto:julius@ifcat.org" class=""
moz-do-not-send="true">julius@ifcat.org</a>> het
volgende geschreven:</div>
<br class="Apple-interchange-newline">
<div class="">
<div class="">Hallo Elger,<br class="">
<br class="">
Dank voor het meedenken. Wij hoeven geen FG aan te
stellen, om de volgende redenen:<br class="">
1. Wij zijn geen organisatie met een publiekelijke
taak.<br class="">
2. Wij volgen geen personen of groepen. Hierbij moet
tevens duidelijk zijn als IFCAT zijnde, onze
kernactiviteit het organiseren van evenementen is en
niet het volgen van personen.<br class="">
3. Wij slaan geen bijzondere persoonsgegevens op. Dit
wil ook zeggen dat het badge team goed moet opletten
dat als ze een bloeddrukmeter op een wearable willen
zetten, deze devices opeens een "bijzonder
persoonsgegeven" bevatten en daarom aan zwaardere
voorwaarden moeten gaan voldoen.<br class="">
<br class="">
Daarnaast weet ik niet of het zo verstandig is om een
FG aan te stellen: De FG moet namelijk publiekelijk
kenbaar worden gemaakt met NAW gegevens, zodat
authoriteiten makkelijk en zonder problemen bij deze
persoon kunnen aanbellen. De FG moet aan allerlei
keurmerken voldoen, om aan te tonen dat wij als
"stichting" voldoende kennis in huis hebben om aan te
kunnen tonen dat wij aan bovenstaande regels voldoen.
Aangezien wij een stichting zijn met 3 personen, geen
commerciële doelstelling nastreven, en al helemaal
geen nut hebben bij een FG, lijkt het me dit een hoop
overkill voor iets waar ik klaarblijkelijk wat meer op
moet gaan hameren. Daarnaast is Brenno geen onderdeel
van de stichting, wat hem dus een "extern persoon"
maakt, en daar zit weer een hoop papierwerk aan vast
(waaronder dus contractuele verplichtingen).<br
class="">
<br class="">
TL;DR: Het aanstellen van een FG kost meer tijd en
moeite dan hetgeen het ons oplevert.<br class="">
<br class="">
---<br class="">
<br class="">
Wat betreft de "opslag" van gegevens: Ik denk dat we
ons meer zorgen moeten maken over de vereisten van de
belastingdienst vs. de AVG: Zij vereisen dat wij
namelijk voor 7 jaar onze boekhouding bijhouden. Dat
betreft dus ook ALLE relevante post die van/naar de
stichting worden gestuurd, een kopie van onze website,
aanvragen, etc. Gegevens die niet relevant zijn voor
de bedrijfsvoering (kopie ID, inloggegevens, etc)
moeten direct na gebruik vernietigd worden. Dit is ook
de reden waarom ik vraag dat aanvragen zoveel mogelijk
via het bestuur lopen: Zo voorkomen we dat informatie
overal verspreid wordt opgeslagen en ik het overzicht
verlies. En dat wil ook zeggen dat ik soms eisen stel
aan bepaalde verzoeken (disclaimer invullen, beperken
van het aantal personen dat in een golfwagen mag
rondrijden, etc.) en in de gaten moet houden of de
informatie nog relevant is voor het doel.<br class="">
<br class="">
Wat de overige gevallen betreft: Heb even
gecontroleerd, MediaWiki is niet compliant met de AVG.
Veel van onze open-source software is niet compliant
met de AVG. Van onze websites zijn alleen de
frontpages compliant met de AVG. Heck, zelfs de CCC is
volgens mij niet compliant met de AVG. Dus als we dit
goed willen doen, moet er even goed nagedacht worden
en programmeurs geschopt moeten worden met de volgende
vragen die we bij elk stuk programmatuur dat we willen
gebruiken moeten stellen:<br class="">
1. Welke gegevens moet de gebruiker invoeren, en
waarom?<br class="">
2. Heeft de gebruiker expliciet toestemming gegeven
dat wij deze informatie mogen verwerken?<br class="">
3. Hoe lang worden deze gegevens opgeslagen? Kan ik de
gegevens verwijderen als ze niet meer nodig zijn?<br
class="">
4. Is er een exportfunctie voor de gebruiker?<br
class="">
5. Kan de gebruiker zijn account verwijderen? Zo niet,
kan een admin dit voor hem doen?<br class="">
6. Kan de gebruiker instellen welke gegevens van hem
zichtbaar zijn?<br class="">
7. Hoe kan ik de database anonimizeren (archiefwaardig
maken)?<br class="">
<br class="">
TL;DR: Websites aanpassen zodat deze compliant zijn
met de AVG, elke vrijwilliger voorzien van een eigen
account, voldoende toegang hebben om eventuele
aanvragen/verwijderverzoeken mogelijk te maken, en
zorgen dat alles netjes wordt gelogd.<br class="">
<br class="">
Met vriendelijke groet,<br class="">
<br class="">
Julius<br class="">
PS: Kip & ei verhaal: Om te kunnen anonimizeren
moet ik weten welke gegevens er allemaal bij ons
bekend zijn, en waar deze gegevens staan. In het geval
van Finance is dat makkelijk (gegevens op de factuur)
maar in alle overige gevallen zal dit enkel IP adres,
naam/nickname en emailadres mogen zijn. Voor
telefoonnummers moet je toestemming verlenen. Als je
bij een mailinglijst wil komen, MOET je eerst
toestemming geven dat je gegevens worden gedeeld met
anderen, alvorens zijn emails worden doorgestuurd naar
de lijst. Mocht je besluiten om je account te
verwijderen, kan het zijn dat we alleen je account
kunnen verwijderen en niet de mails die je hebt
gestuurd naar de mailinglijst (zie archiefwaardig
maken).<br class="">
<br class="">
On 23-7-2019 16:23, Elger Jonker wrote:<br class="">
<blockquote type="cite" class="">Hi Team,<br class="">
<br class="">
Brenno vroeg of we de AVG scherp hebben. Julius
heeft daartoe al wat stappen gemaakt begreep ik. Het
lijkt me voor erg handig (ook verplicht) om het
helder te hebben welke data wordt verzameld en hoe
lang we dat moeten doen / hoe snel we er vanaf
kunnen. Als ik er zo over nadenk is het een
behoorlijke lijst, en ik weet dat er veel gegevens
zijn geanonimiseerd en/of verwijderd van SHA2017.<br
class="">
<br class="">
Twee dingen die ik wil voorleggen:<br class="">
<br class="">
1: Brenno geeft aan interesse te hebben in de rol
van FG naast de haven (twee dingen bij 1 persoon?).
Volgens het AP zijn we niet verplicht een FG te
hebben[1], echter iemand die deze rol op zich neemt
schept wel duidelijkheid en plaatst het onderwerp.<br
class="">
<br class="">
2: Julius heeft al wat stappen gezet, @Julius, lijkt
het jou wat om in kaart te brengen welke
privacygevoelige gegevens we hebben en wat het
bereik hiervan is?<br class="">
<br class="">
Ik heb onderaan de mail een inhoudelijk stukje
gezet, dat zette me aan om deze mail te schrijven:
het is stiekem best veel.<br class="">
<br class="">
Groeten,<br class="">
Elger / Stitch<br class="">
<br class="">
<br class="">
[1]: <a
href="https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/functionaris-gegevensbescherming-fg"
class="" moz-do-not-send="true">https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/functionaris-gegevensbescherming-fg</a><br
class="">
<br class="">
<br class="">
<br class="">
<br class="">
---<br class="">
Inhoudelijk stukje / braindump:<br class="">
<br class="">
Het is misschien mogelijk een scheiding aan te
brengen in verzamelen van verschillende doelgroepen,
bijvoorbeeld vrijwilligers en bezoekers.<br class="">
<br class="">
Plaatsen waar mogelijk persoonsgegevens worden
verwerkt:<br class="">
<br class="">
- Finance: betalingen (rekeninghouder,
rekeningnummer, order, adresgegevens in order,
nickname evt). Deels zit hier een wettelijke
verplichting aan om dit te bewaren. Wordt deels
verwerkt door de accountant en de belastingdienst.
(wat precies?)<br class="">
- Contactgegevens van vrijwilligers in het angel
system. Denk aan telefoonnummer, etc.<br class="">
- ID kaarten van vrijwilligers voor de
vergunningsaanvraag, contracten e.d.<br class="">
- Informatie op de publieke wiki's<br class="">
- Informatie van sprekers (wie, contactgegevens etc)<br
class="">
- Adresgegevens van vrijwilligers (PL o.a.)<br
class="">
- Vallen chatgesprekken hier onder? Dingen die
automatisch in IRC logs komen omdat iemand ze in het
kanaal zet?<br class="">
- Email berichten, IP adressen die daar in zitten.<br
class="">
- IP adressen in de shop, wiki en andere plaatsen
(wat mogelijk wisselend beleid heeft ivm risico's)<br
class="">
<br class="">
Verder zijn er natuurlijk teams die veel met mensen
moeten werken zoals cohesion, volunteering, safety,
security e.d. Ik had begrepen dat deze gegevens zijn
geanonimiseerd of vernietigd: dit werd door teams
als vanzelfsprekend gezien wat helpt :).<br class="">
_______________________________________________<br
class="">
Projectleiding mailing list<br class="">
<a href="mailto:Projectleiding@lists.ifcat.org"
class="" moz-do-not-send="true">Projectleiding@lists.ifcat.org</a><br
class="">
<a class="moz-txt-link-freetext" href="https://lists.ifcat.org/mailman/listinfo/projectleiding">https://lists.ifcat.org/mailman/listinfo/projectleiding</a><br class="">
</blockquote>
</div>
</div>
</blockquote>
</div>
<br class="">
</div>
</div>
</blockquote>
</body>
</html>