Privacybeleid

Laatst bijgewerkt op .

Zeus WPI biedt een waaier aan diensten en projecten aan aan haar leden en het algemene publiek. Met dit privacybeleid wilt ze aangeven hoe en waarvoor ze data verzamelt.

Samenvatting

Zeus verzamelt vier grote categorieën van data:

  1. Administratieve informatie, zoals e-mailadressen en UGent-gebruikersnamen. Deze informatie heeft Zeus nodig om haar verplichtingen na te komen opgelegd door de statuten en om haar goede werking te verzekeren.
  2. Technische informatie, zoals serverlogs. Deze data zijn noodzakelijk om de systemen van Zeus draaiende te houden. Buiten het opsporen en oplossen van problemen doet Zeus hier niets mee.
  3. Projectdata. Hiermee worden alle gegevens bedoelt die gebruikt worden in projecten, zoals bestellingen in Haldis of transacties in Tab. Deze gegevens worden uiteraard gebruikt voor het doel van het project (bv. bestellingen opnemen bij Haldis). Uitzonderlijk kunnen ze ook gebruikt worden voor statistische of onderzoeksdoeleinden. In dat geval worden de data altijd geanonimiseerd.
  4. Sommige projecten verzamelen ook gebruikersstatistieken (analytics) en/of foutrapporten. De analytics om een beter inzicht te krijgen in het gebruik van projecten en de foutrapporten om de fouten en bugs snel te kunnen oplossen.

In de regel heeft enkel het bestuur toegang tot de data. Op individuele basis kunnen projectontwikkelaars ook toegang krijgen tot de data van een specifiek project, indien dit nodig zou blijken voor de verdere ontwikkeling en ontplooiing van het desbetreffende project.

Opbouw

Het privacybeleid begint met een uiteenzetting van het beleid dat van toepassing is op alle gegevensverzameling of -verwerking die Zeus doet. Dit eerste deel wordt het algemene deel genoemd. Vervolgens worden alle projecten opgesomd die bijkomende gegevens verzamelen, of waarbij bijkomende uitleg nuttig is. Sommige projecten hebben ook uitzonderingen op het algemene deel. Dit deel wordt aangeduid als het project-specifieke deel. Tot slot volgt een lijst van diensten die door meerdere projecten gebruikt worden, en waarnaar verwezen wordt in het project-specifieke deel.

Wanneer en waar is dit privacybeleid van toepassing?

Zeus stelt projecten beschikbaar aan haar leden en het publiek in het algemeen. Daarbovenop worden de diensten en projecten van Zeus ook door derden gebruikt. Onder de Algemene Verordening Gegevensbescherming (AVG / GDPR) kan Zeus verschillende rollen vervullen. Meer informatie over deze termen vindt u o.a. hier.

Zeus als dataverantwoordelijke

Voor het aanbieden van haar projecten verzamelt Zeus data. In dat geval is Zeus zelf de dataverantwoordelijke. Bij sommige projecten doet Zeus echter een beroep op derden, die namens Zeus gegevens verzamelen. Hierbij treedt Zeus op als “Verwerkingsverantwoordelijke”.

Voorbeelden van projecten waarbij Zeus de dataverantwoordelijke is, zijn Haldis, Tab, Hydra, enz.

Zeus als verwerker

Zeus biedt ook diensten aan aan derden. In dat geval dient u zich te wenden tot het privacybeleid van de derde in wiens naam Zeus de data verwerkt. Zeus treedt dan op als “Verwerker”.

Zeus kan de websites van andere verenigingen hosten op haar servers. Dan is niet het privacybeleid van Zeus van toepassing, maar dat van de vereniging wier website bij Zeus gehost wordt.

Als Zeus optreedt als verwerker, zal Zeus in het algemeen slechts de absoluut noodzakelijke data verzamelen voor de integriteit en goede werking van haar systemen in stand te houden: enkel technische informatie, zoals beschreven in paragraaf Technische gegevens.

Wie heeft toegang tot de verzamelde data?

In de eerste plaats heeft het bestuur van Zeus toegang tot de gegevens, en in het bijzonder hebben de systeemadministrators toegang tot de data. Het bestuur beperkt zijn inzage in de gegevens tot het strikt noodzakelijke om zijn mandaat te vervullen.

De systeemadministrators hebben toegang tot alle gegevens, daar zij toegang hebben tot alle infrastructuur van Zeus. Uiteraard houden zij zich niet bezig met het bekijken van de verzamelde data; dit gebeurt enkel indien nodig, zoals wanneer een server crasht.

Ook kunnen ontwikkelaars van een bepaald project toegang krijgen tot de data van dat project, indien dit nodig zou blijken voor de ontwikkeling van het project. Het bestuur, en de systeemadministrators in het bijzonder, kijken er op toe dat ontwikkelaars van projecten nooit meer toegang hebben dan nodig en dat de data niet misbruikt worden.

De ontwikkelaars van Hydra krijgen toegang de API-server en kunnen zo aan de serverlogs.

Welke data worden verzameld en waarvoor worden ze gebruikt?

Zeus verzamelt vier grote categorieën van data.

Administratieve gegevens

Zeus houdt een reeks administratieve gegevens bij over haar leden, zoals vereist door de statuten of om de goede werking van de vereniging te bewerkstelligen. Onder deze data valt onder meer:

  • Accountgegevens, zoals de gebruikersnaam, UGent-gebruikersnaam, enz. Dit is om de accountfunctionaliteit van de leden, zoals vereist in de statuten, mogelijk te maken.
  • E-mailadressen. Dit om de leden in te schrijven op de mailinglijsten, zoals vereist door de statuten.

Deze gegevens worden door u aan Zeus verstrekt op het moment dat u zich inschrijft.

Indien u gebruik maakt van het Google Formulier voor uw inschrijving, worden de gegevens die u daar invult, opgeslagen in Google Drive. Deze zijn onderhevig aan het privacybeleid van Google.

Technische gegevens

Hieronder vallen de data die door de servers of projecten opgeslagen worden in logboeken, zoals access logs. Dit zijn logboeken van de verzoeken die gestuurd worden naar een van de servers of projecten van Zeus. In de logboeken zitten o.a. volgende data:

  • IP-adressen, van wie de verzoeken maakte
  • Tijdstippen, wanneer de verzoeken gemaakt werden
  • Doel, wat er precies opgevraagd werd
  • Technische gegevens, zoals welk apparaat en software er gebruikt zijn voor het verzoek, welk protocol er gebruikt wordt en hoeveel bytes er verstuurd zijn.

Deze informatie wordt gebruikt om de toestand van de server in de gaten te houden, teneinde de dienstverlening van de server te garanderen. Zo kunnen we de belasting van de server in de gaten houden, misbruik detecteren en foute verzoeken (bv. missende webpagina’s) verhelpen.

Een typische gebeurtenis in het serverlogboek ziet er als volgt uit:

94.XXX.XXX.XXX - [11/Sep/2019:11:18:59 +0200] "GET /api/2.0/association/logo/js.png HTTP/1.1" 200 34464 "-" "okhttp/3.12.2"

Deze informatie zegt ons:

  • Het IP-adres van de gebruiker (hier onherkenbaar gemaakt).
  • Het tijdstip waarop het verzoek naar de API gestuurd werd.
  • Technische informatie over het verzoek: wat is er opgevraagd, welk protocol is er gebruikt, hoeveel bytes zijn er verstuurd om aan het verzoek te voldoen.
  • De useragent van het verzoek: welk apparaat stuurde het verzoek en waarmee. In dit voorbeeld gaat het bijvoorbeeld over de Android-app van Hydra.

Specifiek vraagt dit verzoek het logo van een studentenvereniging op, meer bepaald dit logo.

Deze data worden niet automatisch verwerkt; ze dienen om manueel de oorzaken van problemen te vinden. Serverlogs worden onbeperkt bijgehouden.

Projectdata

Veel projecten hebben data nodig om te kunnen functioneren, dus verzamelt Zeus die uiteraard ook. Vaak zijn dit gegevens die u zelf ingeeft of laat genereren door het project dat u gebruikt. Soms worden deze data ook benoemd als “door gebruikers gegenereerde gegevens”.

Als u bijvoorbeeld gebruik maakt van Haldis, moet Zeus opslaan wat u besteld hebt, of Haldis zal niet werken. Bij Tab gaat het om de transacties.

Afhankelijk van de applicatie is het niet altijd mogelijk om de gegevens te verwijderen of aanpassen zonder de integriteit of goede werking van het project op de helling te zetten. In dat geval probeert Zeus de data zoveel mogelijk te anonimiseren als u een verwijderverzoek stuurt of zoveel mogelijk data aan te passen als u een aanpassingsverzoek stuurt. Bij een verwijderingsverzoek probeert Zeus de relevante en verwijderbare data zo snel mogelijk te verwijderen. Doch is het mogelijk dat de data door back-upsystemen langer bewaard blijven.

Bij Tab kan u bijvoorbeeld geen transacties laten verwijderen, maar wel anonimiseren.

Naast het gebruik van deze gegevens voor het doel van het project te verwezenlijken, kunnen deze gegevens ook gebruikt worden voor statistisch of wetenschappelijk onderzoek, om zo inzichten in het algemene doen en laten van de leden van de vereniging. Bij het gebruik hiervoor worden de data altijd geanonimiseerd. Kijk bijvoorbeeld bij de gedetailleerde uitleg over Haldis voor een voorbeeld.

Gebruiksstatistieken en foutrapporten

Bij sommige projecten (vaak de projecten die aangeboden worden aan een breed publiek) worden ook statistieken over het gebruik van het project en eventuele foutrapporten verzameld. De gebruiksstatistieken (analytics) worden verzameld om inzicht te krijgen in het gebruik van een project, om zo de aandacht op de vaak-gebruikte onderdelen te kunnen vestigen. De foutrapporten zijn nuttig om bugs en andere fouten zo snel en goed mogelijk op te lossen.

Voor deze diensten doet Zeus vaak een beroep op diensten van derden. Zie het projectspecifieke deel voor meer informatie.

Als blijkt uit de analytics dat een bepaald deel van Hydra niet vaak gebruikt wordt, kan Zeus overwegen om dat onderdeel te schrappen, om zo meer aandacht te kunnen geven aan de delen die wel vaak gebruikt worden.

Hoe contacteert u ons en laat u uw rechten gelden?

Om uw rechten te laten gelden, voor vragen of opmerkingen, kan u Zeus contacteren via de contactpagina.

Hieronder volgt een korte opsomming van uw rechten:

  • Recht op inzage. U mag weten of Zeus gegevens over u heeft, welke gegevens dat zijn en op welke manier en waarom Zeus ze gebruiken. Ook heeft u het recht een overzicht te krijgen wie uw gegevens verwerkt.
  • Recht op rectificatie en aanvulling. U heeft het recht in voorkomend geval foute gegevens te laten corrigeren, bv. door een rechtzetting of aanvulling te vragen.
  • Recht op vergetelheid. U kan verzoeken dat Zeus de gegevens die we over u hebben te wissen op grond van een aantal zaken.
  • Recht op overdraagbaarheid. U hebt het recht om uw gegevens op te vragen en te ontvangen in een gestructureerd, door een machine leesbaar document.
  • Recht op beperking van de verwerking. U heeft het recht om de verwerking van uw gegevens te beperken, bijvoorbeeld als er een juridische procedure loopt, een rechtzetting nog niet is doorgevoerd, of de gegevens onrechtmatig gebruikt worden.
  • Recht op bezwaar. Indien u meent dat Zeus uw gegevens verwerken op onrechtmatige basis, kan u bezwaar aantekenen.

Overzicht der projecten

Project-specifieke bepalingen

Onder deze paragraaf volgt een lijst van alle projecten…

  1. … met uitzonderingen op het algemeen beleid, of
  2. … waarvoor er bijkomende informatie is over het gebruik van data in het project.

Blokmap

Nuttige links: projectwebsite | repo


Fathom

Nuttige links: projectwebsite

Het gebruik van Fathom moet in twee categorieën ingedeeld worden:

  • Als gebruiker van een website met Fathom als analytics. In dit geval verzamelt Fathom geen persoonlijke data, zie het databeleid (Engels).
  • Als gebruiker van Fathom zelf. Fathom verzamelt geen bijkomende data in dat geval.

Gamification

Nuttige links: projectwebsite | repo

  • De website gebruikt de Google Charts-api voor het tonen van grafieken. Hierop is het privacybeleid van Google Charts van toepassing, dat hier beschikbaar is. Zoals ook vermeld op laatstgenoemde pagina, is het algemene privacybeleid van Google van toepassing.
  • De applicatie verzamelt automatisch data vanop Github, zoals commits en issues. Deze data worden verzameld van uit de repositories van Zeus WPI. Deze gegevens zijn uiteraard essentieel voor de werking van Gamification. Daar de gegevens op geautomatiseerde wijze van Github gehaald worden, zijn verwijder- of aanpasverzoeken niet mogelijk.
  • Bij het bezoeken van Gamification worden avatars geladen van Github. Hierop is het privacybeleid van Github van toepassing.

Gitlab

Nuttige links: projectwebsite

Bij Gitlab moet opgemerkt worden dat de code in de repositories niet onder persoonlijke gegevens valt zoals bedoeld in dit privacybeleid. Dit beleid is dan ook niet van toepassing op de inhoud van de repositories. Het is de verantwoordelijkheid van de gebruikers om geen persoonlijke informatie in de repositories te plaatsen.

Door technische beperkingen kunnen niet alle persoonlijke gegevens verwijderd of geanonimiseerd worden. Zo kunnen de commits bijvoorbeeld noch verwijderd, noch geanonimiseerd worden.


Haldis

Nuttige links: projectwebsite | repo

De bestellingen op Haldis worden, naast het laten werken van Haldis en zo ervoor zorgen dat u uw bestelling ontvangt, ook gebruikt om statistieken op te stellen om inzichten te krijgen in de consumptiegewoonten van Zeus, zoals bijvoorbeeld hier. Bij het opstellen van de statistieken worden de data geanonimiseerd.

Door technische beperkingen is het niet mogelijk data van Haldis te verwijderen. Ze worden hoogsten geanonimiseerd.


Hydra

Nuttige links: projectwebsite | repo

Website

De website van Hydra maakt gebruik van Google Analytics (zie details in de paragraaf Gebruik van Google Analytics) voor het verzamelen van bezoekersinformatie. Dit om te weten hoeveel gebruikers de website gebruiken, hoe deze gebruikers de website vinden en hoe lang ze er op blijven.

Apps

Voor de apps wordt de verzamelde data opgedeeld in twee categorieën: analytics en foutrapportage:

  • Analytics. Zeus wilt graag weten hoe u de app gebruikt, welke onderdelen u het meest gebruikt, hoe lang u de app gebruikt, enzovoort. Dit om de apps optimaal te kunnen afstellen op uw behoeften. Zeus gebruikt deze data niet om gebruikers te identificeren. Voor analytics wordt Google Analytics (zie details in de paragraaf Gebruik van Google Analytics) gebruikt.
  • Foutrapportage. Zeus wilt weten wat u deed toen de crash zich voordeed, alsook welk apparaat u gebruikt, welke software-versies u hebt, enz. Hiermee kan Zeus sneller de oorzaak van de fout opsporen en oplossen. Voor foutrapportage wordt Crashlytics gebruikt (zie paragraaf Foutrapporten met Crashlytics).

Daarnaast gebruiken de apps andere diensten van derden. Indien u gebruik maakt van de betreffende functie in de app, kunnen bijkomende regelingen van toepassing zijn:

  • Urgent.fm. Contacteer Urgent.fm voor meer informatie.
  • Activiteiten van verenigingen. Contacteer de Dienst StudentenActiviteiten voor meer informatie.
  • Kaart van de locaties van de resto’s. Hierbij wordt Google Maps gebruikt. Indien u toestemming geeft, zal uw locatie gebruikt worden om de kaart te centreren op uw locatie. Google Maps is onderhevig aan het privacybeleid van Google.
  • Informatie over bibliotheken. Raadpleeg de disclaimer.
API

Bij het gebruik van de API worden enkel technische data verzameld.

Assistent

Bij het gebruik van “Hydra van de UGent” in de Google Assistent gebruiken we deze diensten:

  • Technische informatie, zoals serverlogs (zie de paragraaf Technische gegevens.
  • Dialogflow, voor de gespreksmogelijkheden (d.w.z. verstaan wat u bedoelt). Deze data is onderhevig aan het privacybeleid van Google

Dialogflow verzamelt geen persoonlijke data. Om de herkenning van de gesprekken tussen u en Hydra van de UGent te verbeteren, slaat Dialogflow de inhoud van de gesprekken in tekstuele vorm op. Deze kunnen door het bestuur van Zeus of de medewerkers van het Hydra-project beoordeeld worden, om zo de nauwkeurigheid van de herkenning te verbeteren.


Mattermore

Nuttige links: repo

De citaten die hier verzameld zijn, zijn zichtbaar voor leden van de Mattermost-instantie van Zeus. Daar het doel van dit project het verzamelen en bijhouden van citaten is, worden citaten niet automatisch verzameld.

Buiten de citaten worden geen gegevens verzameld.


Mattermost

Nuttige links: projectwebsite

Bij Mattermost is het standaardprivacybeleid van een zelf-gehoste Mattermost-applicatie van toepassing.

Op Mattermost kunnen berichten in twee categorieën ingedeeld worden: openbare berichten en private berichten. Onder private berichten worden alle berichten in private gesprekken of besloten kanalen verstaan. Berichten in openbare kanalen vallen onder openbare berichten.

Daar de private berichten mogelijk een gevoelig karakter hebben, worden deze berichten standaard na een termijn van 1 jaar gewist. U kunt een uitzondering verkrijgen op deze standaardtermijn door contact op te nemen met de systeemadministrators van Zeus.

Door de gevoeligheid der data hebben projectontwikkelaars geen toegang tot deze data; enkel het bestuur heeft toegang.


MessageOS

Nuttige links: projectwebsite

MessageOS bestaat uit meerdere subprojecten:

  • Cammiechat. Dit onderdeel valt integraal onder het algemene privacybeleid.
  • TAp. Dit onderdeel valt integraal onder het algemene privacybeleid.
  • MessageOS. Dit onderdeel verzamelt geen data; berichten blijven getoond op het scherm in de kelder tot de server herstart wordt of de berichten door nieuwe berichten van het scherm gaan.

Tab

Nuttige links: projectwebsite | repo

Merk op dat Zeus niet de bedoeling heeft haar leden financiële dienstverleningen aan te bieden via Tab. Het “geld” op Tab wordt best vergeleken met een systeem voor drankbonnetjes of virtueel geld in een computerspel. Meer technisch heeft Zeus de bedoeling om een wat de ECB “virtual currency scheme with bidirectional flow” (virtuele valuta met omzetting in twee richtingen) noemt aan te bieden. Aangezien het geld op Tab enkel gebruikt kan worden voor aankopen, is hier geen sprake van een financiële dienstverlening.

Niettemin kunnen de gegevens op Tab gevoelig zijn; derhalve heeft enkel het bestuur toegang tot deze gegevens. Projectontwikkelaars hebben geen toegang.

Door technische beperkingen is het niet mogelijk data van Tab te verwijderen. Ze worden hoogsten geanonimiseerd.


Tap

Nuttige links: projectwebsite | repo

De bestellingen op Tap worden, naast het laten werken van Tap en zo ervoor zorgen dat uw drank aangerekend wordt, ook gebruikt om statistieken op te stellen om inzichten te krijgen in de consumptiegewoonten van Zeus, zoals bijvoorbeeld hier. Bij het opstellen van de statistieken worden de data geanonimiseerd.

Door technische beperkingen is het niet mogelijk data van Tap te verwijderen. Ze worden hoogsten geanonimiseerd.


Tappb

Nuttige links: projectwebsite | repo

Tappb verzamelt bijkomende data door het gebruik van Firebase. Het het privacybeleid (Engels) van Firebase verschaft uitgebreide informatie. Concreet gebruikt Tappb volgende diensten en gebruikt daarbij volgende data:

  • Firebase Cloud Messaging. Dit wordt gebruikt om meldingen naar de applicatie te sturen. Hiervoor wordt het “instance ID” verzameld, om te identificeren naar welk toestel een melding gestuurd moet worden. Deze worden onbeperkt bijgehouden. Indien dit ID wenst te verwijderen, zal Firebase het ID binnen de 180 dagen verwijderen.
  • ML Kit for Firebase. Dit wordt gebruikt om de barcodes van producten te scannen. De afbeeldingen met barcodes worden tijdelijk bewaard op de servers van Firebase en worden gewoonlijk na enkele uren verwijderd. Meer informatie is tevens te vinden op deze pagina (Engels). Ook hier worden “instance ID”s bijgehouden, volgens dezelfde voorwaarden als bij Firebase Cloud Messaging.

Ook gebruikt Tappb de diensten van Tab en Tap.


Wiki

Nuttige links: projectwebsite

De wiki laadt bibliotheken via Cloudflare (zie de gelijknamige paragraaf) en mathjax.org.


zeus.ugent.be

Nuttige links: projectwebsite | repo

De website van Zeus verzamelt bijkomende data:

  • De website laadt Font Awesome via een site van derden, MaxCDN. Zie hun privacybeleid (Engels).
  • Bezoekersstatistieken worden bijgehouden met Fathom, zie de paragraaf Fathom.

  • Sommige pagina’s kunnen om bijkomende functionaliteit aan te bieden, aanvullende zaken laden via services van derden. Hieronder is een lijst van alle gebruikte services en wat ze laden:

Projecten zonder specifieke bepalingen

Deze projecten vallen integraal onder het algemene beleid.

Projecten in ontwikkeling

Deze projecten zijn nog in ontwikkeling. U mag geen persoonlijke data aan deze projecten leveren. Doet u dit toch, dan is dit op eigen risico: noch de functionaliteit, noch de beveiliging van deze projecten staat op punt.

Projecten in opdracht

Deze projecten worden door Zeus in opdracht van derden aangeboden. Hierbij treedt Zeus op als verwerker, zoals uitgelegd in paragraaf Zeus als verwerker. Dat komt er op neer dat Zeus enkel technische informatie verzamelt.

Overzicht der diensten

Verschillende projecten gebruiken dezelfde diensten van derden. In plaats van deze informatie meerdere keren in het beleid te plaatsen, wordt de informatie hier eenmaal vermeld. Vanuit de beschrijving van de projecten wordt er dan verwezen naar deze bijlagen.

Gebruik van Google Analytics

Uitgebreide informatie over hoe Google met uw gegevens omgaat, vindt u hier. Verdere details over het gebruik van Google Analytics door Zeus:

  • Uw gegevens worden gedurende 14 maanden bewaard door Google Analytics na uw laatste bezoek.
  • Uw gegevens worden door Google niet gedeeld met derden.
  • Google verwerkt uw gegevens mogelijk buiten de EER. Google is gecertificeerd in het kader van het EU-VS-privacyschild.
  • Er wordt geen informatie verzameld waarmee Zeus of Google u kunnen identificeren (zoals IP-adressen).
  • Indien u niet wenst dat Zeus uw gegevens verzamelen met Google Analytics, kan u o.a. deze add-on installeren.

Enkele voorbeelden van de verzamelde gegevens:

  • Softwareversies. Welke browser u gebruikt en zijn versie, welk besturingssysteem, enz.
  • Gebruiksdata. Hoe u de website gebruik, wat u bezoekt, hoe lang u die onderdelen bezoekt, enz.
  • Hardware-informatie. De resolutie van uw scherm.

Door deze informatie kan Zeus ervoor zorgen dat de website goed werkt in de browsers die de bezoekers gebruiken. Als het merendeel van de gebruikers bv. een mobiel toestel gebruikt, kan Zeus haar aandacht richten op het optimaliseren van de website voor mobiel gebruik.

Gebruik van Cloudflare CDN

We gebruiken de Cloudflare CDN om softwarebibliotheken te laden. Zie hun privacybeleid (Engels).

Foutrapporten met Crashlytics

Voor het verzamelen van foutrapporten gebruiken sommige apps Crashlytics van Firebase. Uitgebreide informatie over hoe Google met uw gegevens omgaat, vindt u hier. Verdere details over het gebruik van Google Analytics door Zeus:

  • Stacktraces en bijhorende anonieme identificatienummers van crashes worden 90 dagen bewaard door Google.
  • Er wordt geen informatie verzameld waarmee we u kunnen identificeren (zoals IP-adressen).