thaliawww-service
commented
4 years ago In GitLab by @se-bastiaan on Jun 11, 2018, 15:31
Ik zie niet in waarom dit nodig is.
Closed thaliawww-service closed 4 years ago
thaliawww-service
commented
4 years ago In GitLab by @se-bastiaan on Jun 11, 2018, 15:31
Ik zie niet in waarom dit nodig is.
thaliawww-service
commented
4 years ago In GitLab by @thomwiggers on Jun 11, 2018, 16:01
We hebben per ALV afgesproken dat we de voorwaarden hanteren die zijn afgesproken. Daarvoor hebben we geen opt-in nodig.
thaliawww-service
commented
4 years ago In GitLab by @thomwiggers on Jun 11, 2018, 16:06
Daarnaast zijn er nog een aantal dingen die een rol spelen:
thaliawww-service
commented
4 years ago In GitLab by @thomwiggers on Jun 11, 2018, 16:06
closed
thaliawww-service
commented
4 years ago In GitLab by jguijt on Jun 18, 2018, 13:55
reopened
thaliawww-service
commented
4 years ago In GitLab by @thomwiggers on Jun 18, 2018, 14:07
(at)jguijt kun je dit motiveren?
thaliawww-service
commented
4 years ago In GitLab by jguijt on Jun 18, 2018, 15:57
Ter verduidelijking:
Voor de AVG is een nieuwe versie van de privacyvoorwaarden gemaakt. Hoewel deze voorwaarden gebaseerd zijn op de vorige versie en er niet per sé om consent gevraagd wordt, lijkt het ons een goed idee om deze te laten zien zodra gebruikers inloggen op de site, zodat ze de nieuwe voorwaarden te zien krijgen (op een manier die bv. ook bij Google gedaan wordt).
In reactie op je eerste punt: Het is dus geen blokkade van de hele website, het is enkel een vereiste om op akkoord/gezien/gelezen te drukken als je je voor een evenement wilt inschrijven etc. Als mensen bezwaren hebben tegen het verwerken van de gegevens die genoemd worden bij de privacyvoorwaarden kunnen ze geen lid blijven van Thalia, waardoor het ook niet echt zin heeft om ze op de website te laten.
Het laatste is ook meteen een antwoord op je tweede punt. Mensen kunnen geen lid blijven als we de basisadministratie niet bij kunnen houden (qua foto's is dit discutabel, maar dit kan worden aangegeven bij de fotograaf). We verwerken de informatie dan ook niet wanneer mensen weigeren in te stemmen, maar het lid wordt uitgeschreven en de informatie wordt verwijderd. De website is hiermee ook de meest praktische plek om de voorwaarden aan leden te tonen, in aanvulling op een e-mail met de voorwaarden en het tonen van de voorwaarden bij (her)inschrijving.
Mochten jullie nog vragen hebben dan hoor ik het graag. Ik vind het fijner dat we erover in gesprek gaan dan dat de issue direct wordt gesloten.
thaliawww-service
commented
4 years ago In GitLab by @thomwiggers on Jun 18, 2018, 16:22
Als mensen bezwaren hebben tegen het verwerken van de gegevens die genoemd worden bij de privacyvoorwaarden kunnen ze geen lid blijven van Thalia, waardoor het ook niet echt zin heeft om ze op de website te laten.
Toch is dit waarom dit niet op de website kan. Er zijn te veel mensen die (bijna) nooit op de website inloggen, waardoor dit niet de juiste manier is om de voorwaarden te laten zien. Ze van de website uitsluiten is ook niet de juiste weg: mensen sluiten het tabblad terwijl ze contact op moeten nemen met het bestuur.
We hebben bovendien nog steeds geen toestemming nodig. We verwerken praktisch uitsluitend gegevens voor (obviously) noodzakelijke doeleinden om Thalia's diensten uit te voeren. Je wil ze misschien laten zien uit netheid. Maar een betere manier om ze te laten zien aan de leden was ze bij aankondiging van de ALV als stuk rond te sturen en er mededeling te maken.
Sorry, maar ik wil niet meedoen aan die overbodige, onzinnige rondstuur en 'ga opnieuw akkoord'-hype van de afgelopen maand. Het is niet nodig. De ALV kan ook gewoon toestemming geven namens alle leden (in aanvulling op een andere motivatie). Foto's zijn ook nog prima.
thaliawww-service
commented
4 years ago In GitLab by jguijt on Jun 18, 2018, 17:00
Even wat korte reacties n.a.v. je links:
https://blog.iusmentis.com/2018/03/07/moet-avg-al-opt-ins-opnieuw-om-toestemming-vragen-nieuwsbrief/
Bovenstaande links zeggen dat het vragen van consent niet opnieuw nodig is wanneer er de toestemming al is verkregen volgens de vereisten van de alv. De vorige versie van de privacyvoorwaarden was niet volgens de avg en de manier van goedkeuren is discutabel, dus als er consent nodig is, is het in ieder geval goed verdedigbaar dat we dit nogmaals vragen.
https://nos.nl/artikel/2233352-al-die-privacymailtjes-in-je-inbox-een-beetje-overdreven.html
Ook nieuwe privacyvoorwaarden hoeven echt niet altijd gemaild te worden, meent juriste Meindersma. "In veel gevallen moeten die inderdaad worden aangepast vanwege de nieuwe privacywet. Maar je hoeft ze niet per se te mailen. Je kunt die ook gewoon laten zien als een klant weer bij je langskomt", meent zij. Dat kan bijvoorbeeld als een gebruiker de app of dienst opent.
Hier wordt juist genoemd dat het een prima optie kan zijn om je voorwaarden op de website te zetten.
Het ligt volgens hem anders als de betreffende partij opeens iets heel anders met je gegevens gaat doen. "Als de bank mijn gegevens opeens wil gaan delen met derden bijvoorbeeld. Dan moeten ze daar wel opnieuw toestemming voor vragen."
Dit soort dingen zijn toegevoegd aan de voorwaarden. Het is vooral vollediger geworden.
https://www.parool.nl/opinie/-laat-je-niet-opjagen-door-privacyophef~a4598418/
Ik mis de relevantie van dit artikel en vind het inhoudelijk niet bijzonder sterk.
Volgens mij ondersteunt deze blogpost je punt dat de alv toestemming mag geven niet ("De relevantie van het besluit van de ledenraad zie ik niet direct, je hebt als organisatie een belang of niet en daarover stemmen verandert je belang niet, volgens mij."), maar je zou wel het punt kunnen maken dat Thalia geen toestemming van leden nodig heeft (wat je elders in je post doet).
De feature op de site kan gebruikt worden voor akkorderen of enkel informeren (in technische zin een erg klein verschil). Zelf vind ik het discutabel of bepaalde zaken (zoals het adres) in de privacyvoorwaarden een gerechtvaardigd belang zijn of toch consent nodig hebben. Hierbij is ook het informeren over veranderingen aan privacyvoorwaarden een goed idee. Al met al lijkt het mij een prima feature om te hebben.
https://blog.iusmentis.com/2018/05/15/je-kunt-nog-gewoon-blijven-fotograferen-na-de-avg/
Dit artikel gaat in op foto's voor persoonlijk of journalistiek gebruik.
thaliawww-service
commented
4 years ago In GitLab by @thomwiggers on Jun 19, 2018, 08:48
Bovenstaande links zeggen dat het vragen van consent niet opnieuw nodig is wanneer er de toestemming al is verkregen volgens de vereisten van de alv. De vorige versie van de privacyvoorwaarden was niet volgens de avg en de manier van goedkeuren is discutabel, dus als er consent nodig is, is het in ieder geval goed verdedigbaar dat we dit nogmaals vragen.
De verwerkingsdoelen in de nieuwe versie van de voorwaarden zijn hetzelfde als in de oude versie. Dat er een paar paragraafjes bij zijn gekomen over inzagerecht en dergelijke is niet zo relevant: die rechten hadden mensen ook al. Dus we hebben die toestemming wel.
Hier wordt juist genoemd dat het een prima optie kan zijn om je voorwaarden op de website te zetten.
Dat is wat anders dan de illegale loginmuur.
Het ligt volgens hem anders als de betreffende partij opeens iets heel anders met je gegevens gaat doen. "Als de bank mijn gegevens opeens wil gaan delen met derden bijvoorbeeld. Dan moeten ze daar wel opnieuw toestemming voor vragen."
Dit soort dingen zijn toegevoegd aan de voorwaarden. Het is vooral vollediger geworden.
Die stonden er al in. Zie https://thalia.nu/privacy-policy/ (het pivacybeleid moet om technische redenen in de website ingebouwd worden – dus dat document stilletjes uploaden saboteert ons)
https://www.parool.nl/opinie/-laat-je-niet-opjagen-door-privacyophef~a4598418/
Ik mis de relevantie van dit artikel en vind het inhoudelijk niet bijzonder sterk.
Het ging mij vooral om:
Dit beeld is niet juist en onnodige stemmingmakerij. De nieuwe rechten die burgers krijgen verschillen niet veel van de rechten die ze al hebben.
Volgens mij ondersteunt deze blogpost je punt dat de alv toestemming mag geven niet ("De relevantie van het besluit van de ledenraad zie ik niet direct, je hebt als organisatie een belang of niet en daarover stemmen verandert je belang niet, volgens mij."), maar je zou wel het punt kunnen maken dat Thalia geen toestemming van leden nodig heeft (wat je elders in je post doet).
Het ging me eigenlijk om een artikel wat gelinkt was in deze: https://blog.iusmentis.com/2016/05/25/hoe-knvb-en-always-meisjes-maandverband-opdringen/
Toen viel ik van mijn stoel, want de journalist had de Autoriteit Persoonsgegevens gebeld en die zegt:
Een vereniging mag na toestemming van de ledenvergadering inderdaad gegevens over die leden verstrekken voor commerciële activiteiten.
Dat wordt bevestigd in hun informatieblad over verenigingen:
Uw vereniging hoeft u niet expliciet om toestemming te vragen om uw gegevens door te geven als het gaat om activiteiten die zijn goedgekeurd door de ledenvergadering.
Wel moet je worden geïnformeerd en heb je een recht van verzet (opt-out) als je niet wilt dat men dit doet.
In telefonisch overleg meldt de AP aan mij dat goedkeuring door de ALV niet genoeg is. Je moet nog steeds toestemming of een andere grondslag vinden, bijvoorbeeld een eigen dringende noodzaak (art. 8 sub f) die zwaarder weegt dan de privacy van de leden. De goedkeuring ALV is een extra controle: zonder goedkeuring mag het überhaupt niet. Maar goedkeuring impliceert niet “alles mag”. Ik kan dan werkelijk geen rechtvaardiging bedenken onder die dringende noodzaak die handel in persoonsgegevens rechtvaardigt.
Maar wij handelen niet in persoonsgegevens, en ik denk dat de dringende noodzaak van de bestuursbeurzen prima te verantwoorden is.
https://blog.iusmentis.com/2018/05/15/je-kunt-nog-gewoon-blijven-fotograferen-na-de-avg/
Dit artikel gaat in op foto's voor persoonlijk of journalistiek gebruik.
Maar er staat ook in "als je die toestemming van de betrokkenen al hebt is er niets aan de hand" en "de AVG is niet strenger dan het portretrecht".
thaliawww-service
commented
4 years ago In GitLab by @thomwiggers on Jun 19, 2018, 08:54
Maar los van wat we nou van die linkjes vinden gaat het me vooral hierom:
Toch is dit waarom dit niet op de website kan. Er zijn te veel mensen die (bijna) nooit op de website inloggen, waardoor dit niet de juiste manier is om de voorwaarden te laten zien. Ze van de website uitsluiten is ook niet de juiste weg: mensen sluiten het tabblad terwijl ze contact op moeten nemen met het bestuur.
thaliawww-service
commented
4 years ago In GitLab by @se-bastiaan on Jun 19, 2018, 17:04
Wat is er precies fout met het huidige privacybeleid dat niet voldoet aan de AVG? Ik vind het gek dat dit uit het niets komt zonder (zeker in eerste instantie) goede reden en uitleg. Zeker omdat het wel gaat om een privacybeleid dat de gehele vereniging aangaat en waarvoor we de laatste keer toch zeker een agendapunt in een alv hadden.
Maar goed, als ik zo deze nieuwe voorwaarden lees, dan zie ik in de gegevens die we verzamelen geen verschil. Dat de grondslag niet vermeld is wil niet zeggen dat de toestemming daarmee ongeldig is lijkt mij. Of dat nou wel of niet via de alv mag/kan.
En fin, er zijn genoeg leden, begunstigers en ereleden die nooit de website gebruiken. Dat geeft Thom ook al aan. Dus dit moet je wel op een andere manier doen.
Dan nog wat anders:
Alle gegevens worden minstens voor de duur van het lidmaatschap opgeslagen, tenzij anders aangegeven. Bij het aflopen van het lidmaatschap worden de gegevens verwijderd, of kunnen de gegevens desgewenst worden opgenomen in het alumnibestand.
Wat doen we dan met gegevens van oud-leden?
thaliawww-service
commented
4 years ago In GitLab by @thomwiggers on Jun 20, 2018, 11:19
Alle gegevens worden minstens voor de duur van het lidmaatschap opgeslagen, tenzij anders aangegeven. Bij het aflopen van het lidmaatschap worden de gegevens verwijderd, of kunnen de gegevens desgewenst worden opgenomen in het alumnibestand.
Oh, dit had ik nog gemist.
Dit is een ENORME beleidswijziging. Ik denk ook niet dat we dit moeten willen, want die gegevens zijn super handig om alumni te kunnen contacten, bijvoorbeeld over een reünie. Bovendien wreckt het de commissiegeschiedenis en dergelijke.
Daarnaast is het niet helemaal mogelijk, want we hebben ook nog almanakken, mailarchieven, draaiboeken enzo gemaakt waarin gegevens staan.
Ik het verwijderen eerder opt-in dan opt-out maken.
thaliawww-service
commented
4 years ago In GitLab by @se-bastiaan on Jul 5, 2018, 10:30
Kan deze nou gesloten worden? Ik heb #657 #658 #659 en #660 aangemaakt. Daarnaast is er #648. Mis ik dan nog iets na ons gesprek van gisteren?
Misschien een issue over een cronjob die automatisch gegevens van mensen cleared na uitschrijving? Of iets dergelijks om werk te besparen. (latest_membership.end > 6 maanden geleden)
thaliawww-service
commented
4 years ago In GitLab by @gijshendriksen on Jul 10, 2018, 17:31
Met de toevoeging van #661 denk ik inderdaad dat deze gesloten kan worden. Alle relevante punten voor de website zijn nu in die aparte issues opgenomen.
thaliawww-service
commented
4 years ago In GitLab by @se-bastiaan on Jul 10, 2018, 17:32
closed
In GitLab by jguijt on Jun 11, 2018, 15:30
One-sentence description
Een gebruiker krijgt na inloggen de privacyvoorwaarden te zien en kan deze accepteren.
Desired behaviour
Een gebruiker krijgt na inloggen de privacyvoorwaarden te zien in plaats van de normale website en kan deze accepteren. Bij niet accepteren kan geen gebruik worden gemaakt van de website (iedereen dient de voorwaarden te accepteren).