Privacyvoorwaarden

Voor Stamhoofd is privacy enorm belangrijk, het zit diep ingebakken in onze software. In dit document geven we meer uitleg welke persoonsgegevens we verzamelen, waarom en wie ze kan bekijken.

Versie 10/01/2021

Dit zijn de privacyvoorwaarden van Stamhoofd zelf. De privacyvoorwaarden van elke vereniging kan je terugvinden op hun eigen website. Stamhoofd treedt enkel op als een verwerker van de gegevens van leden en is uiteraard geen eigenaar van de gegevens van leden bij aangesloten verenigingen.

1. We gebruiken geen cookies

Stamhoofd maakt geen gebruik van cookies. Om bij te houden of je al dan niet ingelogd bent maken we gebruik van localstorage. Daarin houden we een soort van willekeurige tekstreeks bij die ervoor zorgen dat je aangemeldt kan blijven als je de website opnieuw laadt. Deze opslag is enkel toegankelijk voor de browser, niet voor servers, en dient enkel ter beveiliging van jouw account. We houden geen enkele cookies of opslag bij die gebruikers volgt of kan identificeren zonder dat ze ingelogd zijn.

Om statistieken bij te houden van het aantal bezoekers, welke browser ze gebruiken en hoe ze op de website terecht komen, gebruiken we de privacyvriendelijke dienst Plausible. Hier wordt nooit identificeerbare data verstuurd of cookies gebruikt. Deze data is altijd anoniem.

2. Welke persoonsgegevens worden verwerkt?

De volgende gegevens verzamelen we van verenigingen, hun beheerders in naam van Stamhoofd:

  • E-mailadres van beheerders van verenigingen

  • Voor- en achternaam van beheerders van verenigingen

  • Adres van de vereniging zelf

  • Niet-persoonsgegevens van de vereniging:

    • Adres van de vereniging

    • Website van de vereniging

    • Bankrekeningnummer van de vereniging

    • ...

Stamhoofd verzamelt gegevens in naam van de aangesloten verenigingen en treedt dus op als een verwerker voor volgende gegevens. De gegevens met een sterretje ernaast (*) worden beveiligd door middel van end-to-end encryptie (meer info onderaan). Die laatste zijn enkel zichtbaar voor de beheerders van de aangesloten vereniging en voor de gebruikers die de informatie zelf hebben ingegeven.

  • Voornaam van leden

  • E-mailadres van ouders en leden

  • E-mailadres van gebruikers die een account aanmaken bij de verenigingen

  • Naam, GSM-nummer, geboortedatum, adres van leden* 🔒

  • Naam, GSM-nummer, adres van ouders*🔒

  • Naam, GSM-nummer van noodcontacten*🔒

  • De volgende (mogelijk) gevoelige gegevens van leden indien hiervoor toestemming is gegeven door ouders of volwassen leden* 🔒

    • Allergieën (voeding, stoffen, ...)

    • Dieet (Vegetarisch, veganistisch, Halal, Koosjer of iets anders)

    • Eventuele ziekten, mentale of fysieke aandoeningen en medicijnen (lid kiest zelf wat hij precies invult)

    • Contactgegevens van de huisdokter

De voornaam van leden wordt niet end-to-end versleuteld opgeslagen. Dit is een afweging die we hebben gemaakt om een evenwicht te vinden tussen gebruiksgemak en beveiliging. Als een gebruiker namelijk een wachtwoord vergeet, zijn alle end-to-end versleutelde gegevens verloren (deze zijn wel nog beschikbaar voor andere gebruikers met een sleutel, zoals bijvoorbeeld de vereniging zelf). Omdat we nu nog de voornaam hebben, kunnen we de gebruiker wel nog duidelijk maken welke leden nu geregistreerd zijn en welke niet. Hij kan vervolgens de gegevens terug aanvullen. Bovendien is het sowieso erg moeilijk om de voornaam van een lid de hele tijd end-to-end encrypted te houden: het is bijvoorbeeld niet mogelijk om met zekerheid te zeggen dat een e-mail via een beveiligd kanaal wordt verstuurd en sommige verenigingen gaan die voornamen vermelden in e-mails. Die e-mail komt ook steeds langs de server van Stamhoofd, dus de voornaam is in dat geval ook steeds leesbaar. Het privacyrisico is ook beperkter door enkel de voornaam (niet de familienaam) zo op te slaan. We kijken in de toekomst naar oplossingen zodat de vereniging dit zelf aan/uit kan zetten, maar voorlopig is dat nog niet aan de orde.

Een ander voordeel van het opslaan van de voornaam is dat we automatisch een bevestigingsmail kunnen sturen naar de gebruiker waarin de voornaam van het lid vermeld staat. Na het inschrijven kunnen we bijvoorbeeld een mailtje sturen, en ook nog eens als een overschrijving als betaald wordt gemarkeerd.

Het ingeven van gevoelige gegevens is optioneel, maar er wordt wel een waarschuwing gegeven indien ouders of leden ervoor kiezen om hiervoor geen toestemming te geven. Dit doen we omdat het in het belang van het lid kan zijn dat de vereniging weet heeft van bepaalde gevoelige gegevens. Zo is het in levensbelang voor het lid dat bv. de leiding van een scoutsgroep weet dat een bepaald lid allergisch is voor noten of wespensteken. Dat is de reden waarom we een waarschuwing geven.

E-mailadressen worden niet end-to-end versleuteld opgeslagen, omdat we die nodig hebben voor onder andere de beveiliging (om in te kunnen loggen op basis van je e-mailadres). Als je jouw wachtwoord vergeten bent, moeten we ook weten over welk account het precies gaat. We moeten ook weten wie toegang heeft tot welke leden: als je een nieuw account zou proberen aan te maken, dan kunnen we verhinderen dat een lid dubbel wordt ingeschredven als we dat e-mailadres al kennen.

Wachtwoorden van gebruikers worden nooit verwerkt (ook niet heel kort) door servers van Stamhoofd. Deze blijven in de browser, ontoegankelijk voor Stamhoofd, en worden nooit naar de servers van Stamhoofd gestuurd. Er wordt dus ook geen hash van het wachtwoord opgeslagen door Stamhoofd. De authenticatie is challenge-based en maakt gebruik van cryptografie om te verhinderen dat het wachtwoord naar de server moet worden verstuurd. Op die manier is het wachtwoord nooit gekend door Stamhoofd, maar kunnen we wel weten of je het wachtwoord kent (zonder het zelf te weten).

3. Wie zijn de ontvangers van deze persoonsgegevens en waarom worden ze verwerkt?

Gegevens toegankelijk voor Stamhoofd en/of de server i.v.m. facturatiedoeleinden, beveiliging, onderhoud, en voor opvolging en support:

  • E-mailadres van beheerders

  • Naam van beheerders

  • E-mailadressen van alle gebruikers, leden en ouders

  • Voornaam van ingeschreven leden (enkel zichtbaar, wordt niet gebruikt behalve voor bv. automatische e-mails of bij een supportaanvraag)

  • Versleutelde gegevens van leden die op geen enkele manier ontcijferbaar zijn zonder medewerking van de vereniging of leden in kwestie. Dit is wiskundig afgedwongen door de end-to-end encryptie van de gegevens.

  • Kunnen de bovengenoemde namen en e-mailadressen wel linken met de bijhorende vereniging en groepen (bv. de leeftijdsgroep kapoenen). Dit is een soort van meta-data. Bij politieke verenigingen en vakbonden zou dit om gevoelige gegevens kunnen gaan, aangezien dan het lidmaatschap tot een bepaalde vereniging zou kunnen worden afgeleid.

Persoonsgegevens die toegankelijk zijn voor beheerders van verenigingen. Deze worden gebruikt voor de ledenadministratie van de verenigingen. Zij beschikken zelf over eigen privacyvoorwaarden die de gebruikers kunnen inkijken tijdens het aanmaken van een account bij die vereniging. Daarin staat ook normaal vermeldt waarom deze verwerkt worden en welke personen tot beheerders behoren. De toegang tot gegevens kan verder opgesplitst worden binnenin een vereniging per beheerder en per leeftijdsgroep.

  • E-maildres van beheerders

  • Alle gegevens van de leden opgesomd bij puntje 1 (incl. versleutelde gevoelige gegevens).

4. Beveiliging van gegevens

Beveilging in meerdere lagen

Stamhoofd maakt gebruik van meerdere lagen beveiliging om persoonsgegevens zo veel mogelijk te beschermen. Dit zorgt ervoor dat het omzeilen of onbeschikbaar zijn van één van de beveiligingsmethode niet meteen zorgt voor het bloodstellen van persoonsgegevens.

In de eerste plaats beveiligen we de toegang tot de servers zo veel mogelijk. De code op die server is wel zodanig geschreven dat we er altijd vanuit gaan dat (hoe uitzonderlijk ook) iemand erin kan slagen om toegang te krijgen tot die server. Daarom beperken we ook de 'macht' van de server over de data. De server heeft nooit toegang tot gevoelige gegevens of wachtwoorden.

HTTPS verbindingen

Alle communicatie met de servers van Stamhoofd verloopt over een veilig HTTPS kanaal. Dit wordt niet alleen afgedwongen door middel van de servers zelf. We maken gebruik van de nieuwe domeinnaam extensies .app die bij moderne browsers enkel gebruikt kan worden over een veilige HTTPS verbinding. Dit voorkomt bv. het uitlekken van verstuurde gegevens in geval van een programmeerfout. Domeinnamen van verenigingen in de vorm van x.stamhoofd.be of hun eigen domeinnaam worden ook steeds over HTTPS verstuurd. De communicatie onderliggend met de server is op een apart kanaal.

We voorzien alle registratiepagina's van onze verenigingen automatisch met een HTTPS certificaat.

Beveiligde server omgeving en toegangscontrole

Industry best practices worden toegepast om de toegang tot de server te beveiligen. We maken nooit gebruik van wachtwoord gebaseerde login methodes, altijd gebruiken we gerbuik van cryptografische sleutels.

Alle servers zijn uitgerust met een firewall en de software wordt regelmatig bijgewerkt naar hun laatste versie.

Fysieke beveiliging gegevens

De gegevens worden opgeslagen in een server in een datacenter in de omgeving van Amsterdam (Nederland). Deze staan in een datacenter van DigitalOcean. DigitalOcean is gelicencieerd met de internationale standaard ISO/IEC 27001:2013 voor gegevensbeveiliging.

Versleutelde backups

De inhoud van de database wordt regelmatig gebackupt naar een externe versleutelde opslagschijf. Deze versleuteling gebeurt dus nog eens bovenop de bestaande end-to-end versleuteling van gegevens.

End-to-end versleuteling

Stamhoofd maakt gebruik van end-to-end encryptie. Dit dwingt op een wiskundige manier de toegang tot de gegevens van leden af tot enkel de personen die hier toegang tot mogen hebben. Om gegevens te ontcijferen is toegang tot een sleutel nodig. De medewerkers van Stamhoofd hebben hierdoor geen toegang tot deze gegevens, dat verhindert misbruik. Ook indien, in een uitzonderlijk geval, een kwaadwillige persoon zou kunnen binnendringen in de database van Stamhoofd, dan zijn deze gegevens in principe veilig. Zolang de beheerders en leden altijd een sterk wachtwoord kiezen is het bijna onmogelijk en extreem duur om gegevens te kunnen ontcijferen. De aanvaller heeft enorme hoeveelheden rekenkracht nodig om de gegevens te kunnen ontcijferen. Zelfs indien hij toegang heeft tot enorme rekenkracht kan het nog steeds jaren of eeuwen duren voor gegevens ontcijferd kunnen worden.

Voor de versleuteling wordt gebruik gemaakt van moderne algoritmen gebundeld in libsodium:

  • Encryption: XSalsa20 stream cipher

  • Authentication: Poly1305 MAC

  • Single-part signature: Ed25519

  • Multi-part signature: Ed25519ph

  • Key derivation: Argon2 v1.3

Hoe werkt de end-to-end versleuteling?

We zijn van plan om een artikel te schrijven over hoe de end-to-end versleuteling werkt. Op dit moment hebben we dit nog niet gedetailleerd gedocumenteerd.

Man in the middle

Een mogelijke aanval op end-to-end encryptie is een man in the middle aanval. Hierbij doet een kwaadaardig persoon zich voor als bv. Stamhoofd en kan deze de gebruiker misleiden om bv. persoonlijke data te encrypteren met een publieke sleutel waarvan de kwaadwillige persoon zelf de private sleutel heeft. Hij kan op die manier de data die hij ontvangt meteen ontcijferen. Een man-in-the middle aanval is een erg geavanceerde aanval en actieve aanval. Dat wil zeggen dat dit soort aanvallen enkel mogelijk is bij nieuwe data. Data die reeds opgeslagen staat op de server is niet vatbaar of kan niet ontcijferd worden door deze aanval. De mogelijke winst is in dit geval ook erg gering. Toch nemen we deze aanvallen op in onze risicoanalyses en zorgen we voor allerlei beschermlagen tegen dit soort aanvallen.

Een andere methode voor een man-in-the-middle aanval is dat een kwaadwillige persoon één van de web servers overneemt en de HTML en JavaScript code aanpast. Hij kan hierdoor alle ingevoerde data meteen zelf opslaan. Elke website is vatbaar voor deze aanvallen en we passen altijd de industry-standard best practices toe om ons hiertegen te beveiligen.

Openbare code

Iedereen is vrij om de broncode van Stamhoofd in te kijken en deze na te lezen. Je kan deze terugvinden in de publieke repositories van ons Github account: https://github.com/stamhoofd

5. Verantwoordelijke verwerking

Stamhoofd is een dienst van Codawood BV, met ondernemingsnummer 0747832683. Vragen, opmerkingen of problemen over privacy kunnen worden gesteld via privacy@stamhoofd.be

6. Wat zijn mijn rechten?

We verwijzen graag door naar de overzichtelijke informatiepagina van de Gegevensbeschermingsautoriteit:

https://www.gegevensbeschermingsautoriteit.be/burger/privacy/wat-zijn-mijn-rechten

7. Hoe kan ik mijn rechten uitoefenen?

Stuur een e-mail naar privacy@stamhoofd.be, vanaf het e-mailadres waarop je geregistreerd staat bij Stamhoofd. Stamhoofd zal je aanvraag kostenloos binnen één maand beantwoorden en in orde brengen.

Last updated