[Projectleiding] AVG holadiejee

Attilla de Groot attilla at ifcat.org
Wed Jul 24 09:49:50 CEST 2019 

Heren,

Om eerlijk te zijn vind ik deze discussie al enigsinds uit de hand lopen.

Ik ben absoluut geen expert op het gebied van de AVG, maar Julius, zoals je zelf aangeeft jij ook niet. Het lijkt mij verstandig om de inhoud dan ook over te laten aan iemand met de kennis op het gebied en onze evenementen kent. Brenno lijkt mij daar de meest aangewezen persoon voor en of dat een FG titel heeft of niet, dat maakt mij weinig uit. 

Ik zou graag een extern advies willen, omdat ik mij afvraag (aan de hand van de onderstaande discussie) of we niet opzoek zijn naar regelgeving waar we aan moeten voldoen of dat er daadwerkelijk een probleem is. Zover ik mij bewust ben hebben wij namelijk zeer weinig gegevens van onze deelnemers.

Als jij ons hierbij wilt helpen Brenno, dan ben ik helemaal voor.


Groet,
Attilla

> On 24 Jul 2019, at 09:40, Julius <julius at ifcat.org> wrote:
> 
> Hoi Brenno,
> 
> Dank voor je input. Ik ben bekend met de eisen van de GGD en de EHBO. Daar heb ik bij SHA2017 ook al mee te maken gehad, en was redelijk tevreden over de uitkomst. En de vragen die ik stel zijn maatregelen om mensen na te laten denken over de AVG. Het zijn geen zaken die iets direct "compliant" maken.
> 
> Als je advies wil geven, graag zelfs. Alles zelf willen doen gaat mij gewoon niet lukken. Ik ben geen jurist en heb te weinig kennis over de AVG om iets zinnigs op papier te krijgen. Daarom wil ik graag met je samen zitten en een goed sluitend privacy protocol schrijven voor het evenement. Je hebt als het goed is mijn gegevens, bel me op zou ik zeggen?
> 
> Wat ik wil voorkomen (en dat is met iedereen die onderdeel is van een "core" team) is dat men meerdere taken/projecten op zich gaat nemen tijdens het evenement, vooral "pret" projecten die weinig bijdragen aan het evenement. Dit soort projecten leiden namelijk heel makkelijk tot stress, burnouts en psychische klachten voor de betrokkenen. Daarom wil ik ook dat iedereen tijdens het evenement slechts met 1 pet rondloopt, namelijk de pet die het evenement het meest vooruit helpt. Ga je proberen je takenpakket uit te breiden, dan gaat dit gegarandeerd leiden tot stress en klachten die op het hele evenement voelbaar zijn. Dat wil dus zeggen dat als je als FG op het terrein wil rondlopen, je het risico loopt dat je de taak van havenmeester moet gaan laten vallen. En dat wil ook zeggen dat als we minder mensen hebben op proefballonnen, we meer mensen op de kritieke teams (zoals safe harbour) kunnen zetten.
> 
> Met vriendelijke groet,
> 
> Julius
> 
> On 23-7-2019 22:35, Brenno de Winter wrote:
>> Hoi Julius,
>> 
>> Niets moet. Het was slechts een geste om jullie te helpen dingen te kanaliseren. De FG is slechts voor advies, ondersteuning en het contact met de autoriteiten. 
>> 
>> Dat ik geen onderdeel van de projectleiding ben is juist het doel van een FG en wettelijk ook verboden. Een FG mag geen bestuurlijke taken hebben. En ik heb geen enkele behoefte om PL te zijn. 
>> 
>> Wat de regels zijn, is mij bekend. Anders zou ik geen FG kunnen zijn bij meerdere instellingen, waaronder gemeenten. 
>> 
>> De zeven vragen die je stelt zijn maatregelen, maar maken je niet compliant. Bovendien staan er fouten in. Om je een voorbeeld te geven: je bent zelfs verplicht bijzondere persoonsgegevens te verwerken. Denk maar aan de eisen van de GGD en de EHBO vorige keer. 
>> 
>> Kies wat je wilt. Ik heb geen gebrek aan tijdsbesteding. Maar mocht je alles alleen en zelf willen doen: ga nog eventjes wat bijleren.
>> 
>> Brenno de Winter
>> 06-53536508
>> Beveiliging is geen voodoo. Lees de Survivalgids voor de Digitale Jungle: https://dewinter.com/2019/01/17/survivalgids-voor-de-digitale-jungle-beschikbaar/
>> 
>> 
>> 
>>> Op 23 jul. 2019, om 22:01 heeft Julius <julius at ifcat.org> het volgende geschreven:
>>> 
>>> Hallo Elger,
>>> 
>>> Dank voor het meedenken. Wij hoeven geen FG aan te stellen, om de volgende redenen:
>>> 1. Wij zijn geen organisatie met een publiekelijke taak.
>>> 2. Wij volgen geen personen of groepen. Hierbij moet tevens duidelijk zijn als IFCAT zijnde, onze kernactiviteit het organiseren van evenementen is en niet het volgen van personen.
>>> 3. Wij slaan geen bijzondere persoonsgegevens op. Dit wil ook zeggen dat het badge team goed moet opletten dat als ze een bloeddrukmeter op een wearable willen zetten, deze devices opeens een "bijzonder persoonsgegeven" bevatten en daarom aan zwaardere voorwaarden moeten gaan voldoen.
>>> 
>>> Daarnaast weet ik niet of het zo verstandig is om een FG aan te stellen: De FG moet namelijk publiekelijk kenbaar worden gemaakt met NAW gegevens, zodat authoriteiten makkelijk en zonder problemen bij deze persoon kunnen aanbellen. De FG moet aan allerlei keurmerken voldoen, om aan te tonen dat wij als "stichting" voldoende kennis in huis hebben om aan te kunnen tonen dat wij aan bovenstaande regels voldoen. Aangezien wij een stichting zijn met 3 personen, geen commerciƫle doelstelling nastreven, en al helemaal geen nut hebben bij een FG, lijkt het me dit een hoop overkill voor iets waar ik klaarblijkelijk wat meer op moet gaan hameren. Daarnaast is Brenno geen onderdeel van de stichting, wat hem dus een "extern persoon" maakt, en daar zit weer een hoop papierwerk aan vast (waaronder dus contractuele verplichtingen).
>>> 
>>> TL;DR: Het aanstellen van een FG kost meer tijd en moeite dan hetgeen het ons oplevert.
>>> 
>>> ---
>>> 
>>> Wat betreft de "opslag" van gegevens: Ik denk dat we ons meer zorgen moeten maken over de vereisten van de belastingdienst vs. de AVG: Zij vereisen dat wij namelijk voor 7 jaar onze boekhouding bijhouden. Dat betreft dus ook ALLE relevante post die van/naar de stichting worden gestuurd, een kopie van onze website, aanvragen, etc. Gegevens die niet relevant zijn voor de bedrijfsvoering (kopie ID, inloggegevens, etc) moeten direct na gebruik vernietigd worden. Dit is ook de reden waarom ik vraag dat aanvragen zoveel mogelijk via het bestuur lopen: Zo voorkomen we dat informatie overal verspreid wordt opgeslagen en ik het overzicht verlies. En dat wil ook zeggen dat ik soms eisen stel aan bepaalde verzoeken (disclaimer invullen, beperken van het aantal personen dat in een golfwagen mag rondrijden, etc.) en in de gaten moet houden of de informatie nog relevant is voor het doel.
>>> 
>>> Wat de overige gevallen betreft: Heb even gecontroleerd, MediaWiki is niet compliant met de AVG. Veel van onze open-source software is niet compliant met de AVG. Van onze websites zijn alleen de frontpages compliant met de AVG. Heck, zelfs de CCC is volgens mij niet compliant met de AVG. Dus als we dit goed willen doen, moet er even goed nagedacht worden en programmeurs geschopt moeten worden met de volgende vragen die we bij elk stuk programmatuur dat we willen gebruiken moeten stellen:
>>> 1. Welke gegevens moet de gebruiker invoeren, en waarom?
>>> 2. Heeft de gebruiker expliciet toestemming gegeven dat wij deze informatie mogen verwerken?
>>> 3. Hoe lang worden deze gegevens opgeslagen? Kan ik de gegevens verwijderen als ze niet meer nodig zijn?
>>> 4. Is er een exportfunctie voor de gebruiker?
>>> 5. Kan de gebruiker zijn account verwijderen? Zo niet, kan een admin dit voor hem doen?
>>> 6. Kan de gebruiker instellen welke gegevens van hem zichtbaar zijn?
>>> 7. Hoe kan ik de database anonimizeren (archiefwaardig maken)?
>>> 
>>> TL;DR: Websites aanpassen zodat deze compliant zijn met de AVG, elke vrijwilliger voorzien van een eigen account, voldoende toegang hebben om eventuele aanvragen/verwijderverzoeken mogelijk te maken, en zorgen dat alles netjes wordt gelogd.
>>> 
>>> Met vriendelijke groet,
>>> 
>>> Julius
>>> PS: Kip & ei verhaal: Om te kunnen anonimizeren moet ik weten welke gegevens er allemaal bij ons bekend zijn, en waar deze gegevens staan. In het geval van Finance is dat makkelijk (gegevens op de factuur) maar in alle overige gevallen zal dit enkel IP adres, naam/nickname en emailadres mogen zijn. Voor telefoonnummers moet je toestemming verlenen. Als je bij een mailinglijst wil komen, MOET je eerst toestemming geven dat je gegevens worden gedeeld met anderen, alvorens zijn emails worden doorgestuurd naar de lijst. Mocht je besluiten om je account te verwijderen, kan het zijn dat we alleen je account kunnen verwijderen en niet de mails die je hebt gestuurd naar de mailinglijst (zie archiefwaardig maken).
>>> 
>>> On 23-7-2019 16:23, Elger Jonker wrote:
>>>> Hi Team,
>>>> 
>>>> Brenno vroeg of we de AVG scherp hebben. Julius heeft daartoe al wat stappen gemaakt begreep ik. Het lijkt me voor erg handig (ook verplicht) om het helder te hebben welke data wordt verzameld en hoe lang we dat moeten doen / hoe snel we er vanaf kunnen. Als ik er zo over nadenk is het een behoorlijke lijst, en ik weet dat er veel gegevens zijn geanonimiseerd en/of verwijderd van SHA2017.
>>>> 
>>>> Twee dingen die ik wil voorleggen:
>>>> 
>>>> 1: Brenno geeft aan interesse te hebben in de rol van FG naast de haven (twee dingen bij 1 persoon?). Volgens het AP zijn we niet verplicht een FG te hebben[1], echter iemand die deze rol op zich neemt schept wel duidelijkheid en plaatst het onderwerp.
>>>> 
>>>> 2: Julius heeft al wat stappen gezet, @Julius, lijkt het jou wat om in kaart te brengen welke privacygevoelige gegevens we hebben en wat het bereik hiervan is?
>>>> 
>>>> Ik heb onderaan de mail een inhoudelijk stukje gezet, dat zette me aan om deze mail te schrijven: het is stiekem best veel.
>>>> 
>>>> Groeten,
>>>> Elger / Stitch
>>>> 
>>>> 
>>>> [1]: https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/functionaris-gegevensbescherming-fg
>>>> 
>>>> 
>>>> 
>>>> 
>>>> ---
>>>> Inhoudelijk stukje / braindump:
>>>> 
>>>> Het is misschien mogelijk een scheiding aan te brengen in verzamelen van verschillende doelgroepen, bijvoorbeeld vrijwilligers en bezoekers.
>>>> 
>>>> Plaatsen waar mogelijk persoonsgegevens worden verwerkt:
>>>> 
>>>> - Finance: betalingen (rekeninghouder, rekeningnummer, order, adresgegevens in order, nickname evt). Deels zit hier een wettelijke verplichting aan om dit te bewaren. Wordt deels verwerkt door de accountant en de belastingdienst. (wat precies?)
>>>> - Contactgegevens van vrijwilligers in het angel system. Denk aan telefoonnummer, etc.
>>>> - ID kaarten van vrijwilligers voor de vergunningsaanvraag, contracten e.d.
>>>> - Informatie op de publieke wiki's
>>>> - Informatie van sprekers (wie, contactgegevens etc)
>>>> - Adresgegevens van vrijwilligers (PL o.a.)
>>>> - Vallen chatgesprekken hier onder? Dingen die automatisch in IRC logs komen omdat iemand ze in het kanaal zet?
>>>> - Email berichten, IP adressen die daar in zitten.
>>>> - IP adressen in de shop, wiki en andere plaatsen (wat mogelijk wisselend beleid heeft ivm risico's)
>>>> 
>>>> Verder zijn er natuurlijk teams die veel met mensen moeten werken zoals cohesion, volunteering, safety, security e.d. Ik had begrepen dat deze gegevens zijn geanonimiseerd of vernietigd: dit werd door teams als vanzelfsprekend gezien wat helpt :).
>>>> _______________________________________________
>>>> Projectleiding mailing list
>>>> Projectleiding at lists.ifcat.org
>>>> https://lists.ifcat.org/mailman/listinfo/projectleiding
>> 
> _______________________________________________
> Projectleiding mailing list
> Projectleiding at lists.ifcat.org
> https://lists.ifcat.org/mailman/listinfo/projectleiding

More information about the Projectleiding mailing list