Privacybeleid

Voor Stamhoofd is privacy enorm belangrijk, het zit diep ingebakken in onze software. In dit document geven we meer uitleg welke persoonsgegevens we verzamelen voor onze werking, waarom en wie ze kan bekijken.

Dit is het privacybeleid van Stamhoofd zelf en gaat over de persoonsgegevens die we verzamelen van elke vereniging voor onze eigen werking en waarvoor we zelf de verwerkingsverantwoordelijke zijn. Daarnaast verzamelen we ook gegevens in naam van elke vereniging als verwerker (bv. gegevens van leden, bestellingen...), hoe we daarmee omgaan wordt bepaald in onze verwerkersovereenkomst . De privacyvoorwaarden van elke vereniging kan je terugvinden op hun eigen website.


1. Cookies

Om bij te houden of je al dan niet ingelogd bent maken we gebruik van localstorage, een soort van nieuwe versie van cookies. Daarin houden we een soort van willekeurige tekstreeks bij die ervoor zorgen dat je aangemeldt kan blijven als je de website opnieuw laadt. Deze opslag is enkel toegankelijk voor de browser, niet voor servers, en dient enkel ter beveiliging van jouw account.

Om statistieken bij te houden van het aantal bezoekers, welke browser ze gebruiken en hoe ze op de website terecht komen, gebruiken we de privacyvriendelijke dienst Plausible. Hier wordt nooit identificeerbare data verstuurd of cookies gebruikt. Deze data is altijd anoniem. IP-adressen worden niet bewaard door deze dienst.


2. Welke persoonsgegevens worden verwerkt?

De volgende persoonsgegevens verzamelen we van verenigingen op Stamhoofd:

  • E-mailadres van beheerders van verenigingen
  • Voor- en achternaam van beheerders van verenigingen
  • Adres van de vereniging zelf (kan soms van een persoon zijn)
  • Niet-persoonsgegevens van de vereniging:
    • Adres van de vereniging
    • Website van de vereniging
    • Bankrekeningnummer van de vereniging
    • ... (verder niet relevant voor het privacybeleid)
  • IP-adressen van alle gebruikers van het platform
  • Wachtwoorden

Stamhoofd verzamelt gegevens in naam van de aangesloten verenigingen en treedt op als een verwerker voor bepaalde gegevens. Over welke gegevens het gaat, en hoe die verwerkt worden, wordt bepaald in de afzonderlijke verwerkingsovereenkomst tussen de vereniging en Stamhoofd (Codawood BV). Deze gegevens maken geen voorwerp uit van het privacybeleid.

Sluit je ook aan bij een online betaalprovider via Stamhoofd? Dan kan het zijn dat je die gegevens via e-mail of de app naar ons doorstuurt. Dit kan onder andere om volgende gegevens gaan:

  • Foto's van identiteitskaarten
  • UBO uitreksels van jouw vereniging
  • Namen
  • Adressen
  • Telefoonnummer
  • E-mailadres

Deze gegevens worden uitsluitend gebruikt om te voldoen aan wettelijke verplichtingen van onze betaalpartners (bankwetgeving). We spelen ze naar deze betaalpartners door zodat zij jullie kunnen identificeren (ook wel KYC genoemd).


3. Wie zijn de ontvangers van deze persoonsgegevens en waarom worden ze verwerkt?

Langs de ene kant worden de persoonsgegevens gebruikt om het platform zelf mogelijk te maken. Het adres die je ingeeft voor je vereniging tonen we bijvoorbeeld op elke inschrijvingspagina en webshop die je via het platform aanmaakt, dit zodat jullie ook in orde zijn met de nodige wetgeving. De naam van beheerders zorgt ervoor dat je medebeheerders makkelijk kan identificeren. Het e-mailadres maakt het mogelijk dat je kan inloggen en jouw wachtwoord opnieuw kan instellen als je die bent vergeten. Het is een essentieel deel van de beveiliging van het platform.

Bepaalde gegevens worden ook gebruikt voor facturatiedoeleinden (bv. digitale factuur versturen), beveiliging (bv. emailverificatie, wachtwoord vergeten...), opvolging (Stamhoofd die bv. vraagt of alles goed gaat met het gebruik van de software) en ondersteuning (vereniging die vragen heeft). Bijvoorbeeld om beheerders van verenigingen aan te spreken in een e-mail als we een vraag hebben, of om iets via de post te versturen moest dat nodig zijn.

Van tijd tot tijd, wanneer Stamhoofd dat nodig acht, kunnen we een algemene e-mail versturen naar beheerders van verenigingen met daarin belangrijke aankondigingen. Zoals uitleg over grote nieuwe functies of voor de opvolging van belangrijke zaken. Gebruikers kunnen zich altijd afmelden voor algemene emailberichten via een knop onderaan de e-mail. Het versturen van e-mails voor marketing wordt absoluut zoveel mogelijk beperkt. E-mails worden pas verstuurd als die echt belangrijk zijn en een meerwaarde zijn voor de ontvangers.

Daarnaast houden we de IP-adressen bij van bezoekers van onze website en applicaties. Dit is onder andere om logs bij te kunnen houden voor foutopsporing en voor de beveiliging van het systeem. Het IP-adres wordt nooit gebruikt om gebruikers te identificeren (tenzij ze een strafbaar feit hebben begaan en die informatie moet worden doorgespeeld naar de bevoegde instanties) of hen te volgen. Deze gegevens zijn enkel toegankelijk voor technische medewerkers van Stamhoofd die daarvoor bevoegd zijn (enkel voor foutopsporing en beveiligingsdoeleinden). Logbestanden worden bewaard zolang noodzakelijk, met een maximum van één jaar. Daarnaast is het IP-adres sowieso al technisch noodzakelijk voor het mogelijk maken van HTTP-verkeer met onze servers, verwerking is daardoor automatisch noodzakelijk. Bij online betalingen wordt het IP-adres (indien gevraagd door de betaalprovider) van bezoekers meegestuurd naar de betaalproviders zodat zij de nodige analyses kunnen doen om fraude te voorkomen (en voor hun beveiliging).


4. Beveiliging van gegevens

Beveilging in meerdere lagen

Stamhoofd maakt gebruik van meerdere lagen beveiliging om persoonsgegevens zo veel mogelijk te beschermen. Dit zorgt ervoor dat het omzeilen of onbeschikbaar zijn van één van de beveiligingsmethode niet meteen zorgt voor het bloodstellen van persoonsgegevens. In de eerste plaats beveiligen we de toegang tot de servers zo veel mogelijk.

HTTPS verbindingen

Alle communicatie met de servers van Stamhoofd verloopt over een veilig HTTPS kanaal. Dit wordt niet alleen afgedwongen door middel van de servers zelf. We maken gebruik van de nieuwe domeinnaam extensies .app die bij moderne browsers enkel gebruikt kan worden over een veilige HTTPS verbinding. Dit voorkomt bv. het uitlekken van verstuurde gegevens in geval van een programmeerfout.

Beveiligde server omgeving en toegangscontrole

Industry best practices worden toegepast om de toegang tot de server te beveiligen. We maken nooit gebruik van wachtwoord gebaseerde login methodes voor servers, maar altijd cryptografische sleutels. Alle servers zijn uitgerust met een firewall en de software wordt regelmatig bijgewerkt naar de laatste versie.

Fysieke beveiliging gegevens

De gegevens worden opgeslagen in een server in een datacenter in de omgeving van Amsterdam (Nederland). Deze staan in een datacenter van DigitalOcean. DigitalOcean is gelicencieerd met de internationale standaard ISO/IEC 27001:2013 voor gegevensbeveiliging.

Versleutelde backups

De inhoud van de database wordt regelmatig gebackupt naar een externe versleutelde opslagschijf.

Wachtwoorden hashen met salt

Wachtwoorden worden nooit leesbaar opgeslagen in onze database. Ze worden voor opslag gehashed met een algoritme dat speciaal ontwikkeld is voor het beveiligen van wachtwoorden. Op die manier kan iemand die de database bekijkt nooit jouw wachtwoord bekijken. Het terug omzetten van een wachtwoord naar een hash is onmogelijk, tenzij alle mogelijke wachtwoorden geprobeerd worden. Een aanval is dan ook heel duur. Het blijft voor ons systeem wel nog altijd mogelijk om te kijken of een gegeven wachtwoord het jouwe is, wat noodzakelijk is om in te loggen. Maar je wachtwoord kunnen we buiten het registreren en inloggen niet meer bekijken.

Openbare code en responsible disclosure

Iedereen is vrij om de broncode van Stamhoofd in te kijken en deze na te lezen. Op die manier hopen we sneller beveiligingsproblemen op te sporen in samenwerking met onze gebruikers die technischer onderlegd zijn. Je kan deze terugvinden in de publieke repositories van ons Github account: https://github.com/stamhoofd

Beveiligingsprobleem ontdekt? Dan kan je die altijd doorgeven via security@stamhoofd.be. We vragen altijd om beveilingsproblemen pas publiek bekend te maken nadat we voldoende tijd hebben gehad om die te dichten. Vraag en wacht zeker op een bevestiging van ontvangst, aangezien jouw e-mail wel in spam zou kunnen toekomen.


5. Verantwoordelijke verwerking

Stamhoofd is een dienst van Codawood BV, een belgische onderneming gevestigd te Markt 14 bus 11, Wetteren, met ondernemingsnummer 0747832683. Vragen, opmerkingen of problemen over privacy kunnen worden gesteld via privacy@stamhoofd.be


6. Wat zijn mijn rechten?

We verwijzen graag door naar de overzichtelijke informatiepagina van de Gegevensbeschermingsautoriteit: https://www.gegevensbeschermingsautoriteit.be/burger/privacy/wat-zijn-mijn-rechten


7. Hoe kan ik mijn rechten uitoefenen?

Stuur een e-mail naar privacy@stamhoofd.be, vanaf het e-mailadres waarop je geregistreerd staat bij Stamhoofd. Stamhoofd zal je aanvraag kostenloos binnen twee maanden beantwoorden en in orde brengen. Hou er rekening mee dat jouw e-mail ook in spam kan aankomen.


Laatst aangepast op 21/01/2022