Privacybeleid

Voor Stamhoofd is privacy enorm belangrijk, het zit diep ingebakken in onze software. In dit document geven we meer uitleg welke persoonsgegevens we verzamelen voor onze werking, waarom en wie ze kan bekijken.

Dit zijn de privacyvoorwaarden van Stamhoofd zelf en gaat over de persoonsgegevens die we verzamelen van elke vereniging voor onze eigen werking. Daarnaast verzamelen we ook gegevens in naam van elke vereniging als verwerker, die voorwaarden wordt bepaald in onze verwerkersovereenkomst. De privacyvoorwaarden van elke vereniging kan je terugvinden op hun eigen website.


1. Cookies

Om bij te houden of je al dan niet ingelogd bent maken we gebruik van localstorage, een soort van nieuwe versie van cookies. Daarin houden we een soort van willekeurige tekstreeks bij die ervoor zorgen dat je aangemeldt kan blijven als je de website opnieuw laadt. Deze opslag is enkel toegankelijk voor de browser, niet voor servers, en dient enkel ter beveiliging van jouw account.

Om statistieken bij te houden van het aantal bezoekers, welke browser ze gebruiken en hoe ze op de website terecht komen, gebruiken we de privacyvriendelijke dienst Plausible. Hier wordt nooit identificeerbare data verstuurd of cookies gebruikt. Deze data is altijd anoniem. IP-adressen worden niet bewaard door deze dienst.

Om onze Facebook advertenties te optimaliseren, gebruiken we een Facebook pixel op onze websites. Die houdt cookies bij waarmee we kunnen bijhouden wat iemand doet nadat die persoon op een advertentie heeft geklikt. We kunnen ook advertenties tonen aan personen die onze websites bezoeken, ook als ze nooit op een advertentie hebben geklikt. Met deze informatie kan Facebook onze advertenties optimaliseren, of tonen aan bezoekers van onze websites.


2. Welke persoonsgegevens worden verwerkt?

De volgende persoonsgegevens verzamelen we van verenigingen op Stamhoofd:

  • E-mailadres van beheerders van verenigingen
  • Voor- en achternaam van beheerders van verenigingen
  • Adres van de vereniging zelf (kan soms van een persoon zijn)
  • Niet-persoonsgegevens van de vereniging:
    • Adres van de vereniging
    • Website van de vereniging
    • Bankrekeningnummer van de vereniging
    • ... (verder niet relevant voor het privacybeleid)
  • IP-adressen van bezoekers

Stamhoofd verzamelt gegevens in naam van de aangesloten verenigingen en treedt op als een verwerker voor bepaalde gegevens. Over welke gegevens het gaat, en hoe die verwerkt worden, wordt bepaald in de afzonderlijke verwerkingsovereenkomst tussen de vereniging en Stamhoofd (Codawood BV). Deze gegevens maken geen voorwerp uit van het privacybeleid.

Wachtwoorden van gebruikers worden nooit verwerkt (ook niet heel kort) door servers van Stamhoofd. Deze blijven in de browser, ontoegankelijk voor Stamhoofd, en worden nooit naar de servers van Stamhoofd gestuurd. Er wordt dus ook geen hash van het wachtwoord opgeslagen door Stamhoofd. De authenticatie is challenge-based en maakt gebruik van cryptografie om te verhinderen dat het wachtwoord naar de server moet worden verstuurd. Op die manier is het wachtwoord nooit gekend door Stamhoofd, maar kunnen we wel weten of je het wachtwoord kent (zonder het zelf te weten).


3. Wie zijn de ontvangers van deze persoonsgegevens en waarom worden ze verwerkt?

Persoonsgegevens toegankelijk voor medewerkers van Stamhoofd:

  • E-mailadres van beheerders
  • Naam van beheerders
  • Adres van vereniging

Deze worden gebruikt voor facturatiedoeleinden (bv. digitale factuur versturen), beveiliging (bv. emailverificatie, wachtwoord vergeten...), opvolging (Stamhoofd die bv. vraagt of alles goed gaat met het gebruik van de software) en ondersteuning (vereniging die vragen heeft).

Van tijd tot tijd, wanneer Stamhoofd dat nodig acht, kunnen we een algemene e-mail versturen naar beheerders van verenigingen met daarin belangrijke aankondigingen. Zoals uitleg over grote nieuwe functies of voor de opvolging van belangrijke zaken. Gebruikers kunnen zich altijd afmelden voor algemene emailberichten via een knop onderaan de e-mail. Het versturen van e-mails voor marketing wordt absoluut zoveel mogelijk beperkt. E-mails worden pas verstuurd als die echt belangrijk zijn en een meerwaarde zijn voor de ontvangers.

Daarnaast houden we de IP-adressen bij van bezoekers van onze website en applicaties. Dit is onder andere om logs bij te kunnen houden voor foutopsporing en voor de beveiliging van het systeem. Het IP-adres wordt nooit gebruikt om gebruikers te identificeren (tenzij ze een strafbaar feit hebben begaan en die informatie moet worden doorgespeeld naar de bevoegde instanties) of hen te volgen. Deze gegevens zijn enkel toegankelijk voor technische medewerkers van Stamhoofd die daarvoor bevoegd zijn (enkel voor foutopsporing en beveiligingsdoeleinden). Logbestanden worden bewaard zolang noodzakelijk, met een maximum van één jaar. Daarnaast is het IP-adres sowieso al technisch noodzakelijk voor het mogelijk maken van HTTP-verkeer met onze servers, verwerking is daardoor automatisch noodzakelijk.


4. Beveiliging van gegevens

Beveilging in meerdere lagen

Stamhoofd maakt gebruik van meerdere lagen beveiliging om persoonsgegevens zo veel mogelijk te beschermen. Dit zorgt ervoor dat het omzeilen of onbeschikbaar zijn van één van de beveiligingsmethode niet meteen zorgt voor het bloodstellen van persoonsgegevens. In de eerste plaats beveiligen we de toegang tot de servers zo veel mogelijk. De code op die server is wel zodanig geschreven dat we er altijd vanuit gaan dat (hoe uitzonderlijk ook) iemand erin kan slagen om toegang te krijgen tot die server. Daarom beperken we ook de 'macht' van de server over de data. De server heeft nooit toegang tot gevoelige gegevens of wachtwoorden.

HTTPS verbindingen

Alle communicatie met de servers van Stamhoofd verloopt over een veilig HTTPS kanaal. Dit wordt niet alleen afgedwongen door middel van de servers zelf. We maken gebruik van de nieuwe domeinnaam extensies .app die bij moderne browsers enkel gebruikt kan worden over een veilige HTTPS verbinding. Dit voorkomt bv. het uitlekken van verstuurde gegevens in geval van een programmeerfout.

Beveiligde server omgeving en toegangscontrole

Industry best practices worden toegepast om de toegang tot de server te beveiligen. We maken nooit gebruik van wachtwoord gebaseerde login methodes, altijd gebruiken we gerbuik van cryptografische sleutels. Alle servers zijn uitgerust met een firewall en de software wordt regelmatig bijgewerkt naar hun laatste versie.

Fysieke beveiliging gegevens

De gegevens worden opgeslagen in een server in een datacenter in de omgeving van Amsterdam (Nederland). Deze staan in een datacenter van DigitalOcean. DigitalOcean is gelicencieerd met de internationale standaard ISO/IEC 27001:2013 voor gegevensbeveiliging.

Versleutelde backups

De inhoud van de database wordt regelmatig gebackupt naar een externe versleutelde opslagschijf.

End-to-end versleuteling

Stamhoofd maakt gebruik van end-to-end versleuteling. Maar deze techniek wordt enkel gebruikt voor de versleuteling van persoonsgegevens die buiten het bereik van dit privacybeleid vallen, het gaat hier bv. over de gegevens van leden uit de ledenadministratie van aangesloten verenigingen. De verwerking daarvan wordt beschreven in de verwerkersovereenkomst.

Openbare code en responsible disclosure

Iedereen is vrij om de broncode van Stamhoofd in te kijken en deze na te lezen. Op die manier hopen we sneller beveiligingsproblemen op te sporen in samenwerking met onze gebruikers die technischer onderlegd zijn. Je kan deze terugvinden in de publieke repositories van ons Github account: https://github.com/stamhoofd

Beveiligingsprobleem ontdekt? Dan kan je die altijd doorgeven via security@stamhoofd.be. We vragen altijd om beveilingsproblemen pas publiek bekend te maken nadat we voldoende tijd hebben gehad om die te dichten. Vraag en wacht zeker op een bevestiging van ontvangst, aangezien jouw e-mail wel in spam zou kunnen toekomen.


5. Verantwoordelijke verwerking

Stamhoofd is een dienst van Codawood BV, een belgische onderneming gevestigd te Markt 14 bus 11, Wetteren, met ondernemingsnummer 0747832683. Vragen, opmerkingen of problemen over privacy kunnen worden gesteld via privacy@stamhoofd.be


6. Wat zijn mijn rechten?

We verwijzen graag door naar de overzichtelijke informatiepagina van de Gegevensbeschermingsautoriteit: https://www.gegevensbeschermingsautoriteit.be/burger/privacy/wat-zijn-mijn-rechten


7. Hoe kan ik mijn rechten uitoefenen?

Stuur een e-mail naar privacy@stamhoofd.be, vanaf het e-mailadres waarop je geregistreerd staat bij Stamhoofd. Stamhoofd zal je aanvraag kostenloos binnen één maand beantwoorden en in orde brengen.


Laatst gewijzigd op 21/10/2021