PRIVACYBELEID - WAX ON bvba

Wanneer je Assist gebruikt - een product van Wax On bvba - dan vertrouw je ons heel wat persoonsgegevens toe. Dit privacybeleid is bedoeld om je inzicht te geven in de gegevens die we verzamelen, waarom we deze gegevens verzamelen en hoe jij deze gegevens kunt updaten, beheren, exporteren en verwijderen.


Introductie
Vanaf 25 mei 2018 is de nieuwe privacywetgeving van toepassing, ook wel gekend als de GDPR (General Data Protection Regulation) of de AVG (Algemene Verordening Gegevensbescherming). Deze nieuwe privacywet is door de EU voor haar lidstaten opgesteld om het verwerken van persoonlijke informatie te reguleren. Het vervangt eerdere wetgeving die van vóór het tijdperk stamt waarin gegevens 'in the cloud' werden verzameld en verwerkt. Deze nieuwe wet wil de risico's van een dergelijke 'Verwerking' controleren.

Omdat er in Assist heel wat persoonlijke informatie 'in the cloud' wordt bijgehouden, trachten we je op deze pagina zo concreet, zo duidelijk en zo transparant als mogelijk te informeren over hoe, wanneer, voor hoe lang en door wie deze data in Assist zelf verzameld, opgeslagen, bekeken, verwerkt en verwijderd kan worden. Daarnaast krijg je alle nodige informatie over de manier waarop Wax On bvba, de organisatie die Assist ontwikkelt en verdeelt, omgaat met de GDPR in het algemeen en zich in orde stelt met de nieuwe regelgeving.

Concreet wordt deze informatie opgedeeld in drie delen:
1. In een eerste deel informeren we je over de nieuwe privacywetgeving in het algemeen en overlopen we enkele
    belangrijke begrippen die je moet kennen om de rest van de informatie correct te kunnen begrijpen en interpreteren.
2. In een tweede deel geven we algemene informatie over Assist, over de manier waarop gegevens worden opgeslagen,
    over welke medewerkers van Assist of onze partners toegang hebben tot deze gegevens, enz.
3. In het derde deel geven we specifieke informatie, afhankelijk van de manier waarop jij 'betrokken' bent bij de werking
    van het programma Assist. Afhankelijk van de 'rol' die jij hebt, krijg je voornamelijk die informatie die binnen die 'rol'
    van toepassing is:
    - Rol 1: Ik gebruik Assist actief en ben de beheerder van het abonnement van mijn vereniging
    - Rol 2: Ik gebruik Assist actief op uitnodiging van de beheerder van het abonnement van onze vereniging
    - Rol 3: Ik gebruik Assist niet, maar ik denk of weet dat mijn persoonlijke gegevens in Assist opgeslagen staan.




1. Wat je moet weten over de GDPR
1.1. Over de 'General Data Protection Regulation'
De afkorting 'GDPR' staat voor General Data Protection Regulation (in het Nederlands wordt dat 'AVG' of de Algemene Verordening Gegevensbescherming) en is een geheel van Europese regels om de burger te beschermen rond het gebruik van persoonsgegevens. De GDPR is al in werking sinds 24 mei 2016, maar ze is pas echt van toepassing vanaf 25 mei 2018. Verenigingen hebben tot die datum de tijd om zich in regel te stellen. Vanaf 25 mei 2018 moet je bij een controle of betwisting actief kunnen aantonen dat je volgens de nieuwe wetgeving handelt.

Elke organisatie, ook vzw's en feitelijke verenigingen die persoonsgegevens gebruiken, opslaan of verwerken, vallen onder de regelgeving en moeten zich in orde stellen. Zelfs als je vereniging geen enkel winstdoel nastreeft of geen enkele commerciële ingesteldheid heeft. Verenigingen die via Assist persoonsgegevens opslaan van hun leden, vrijwilligers, bestuurders, deelnemers aan activiteiten... kunnen via de 'GDPR-Checklist' in Assist stap voor stap nakijken of ze in regel zijn en zo niet, wat ze precies moeten doen om zich in regel te stellen.


1.2. Wat verandert er
Kort samengevat heeft elke lidstaat van de EU momenteel al eigen lokale wetten inzake bescherming van persoonsgegevens, maar die lokale wetten verschillen echter aanzienlijk tussen de deelstaten. De GDPR wil o.a. daar verandering in brengen door één centraal uitgegeven wet die - zonder wijzigingen - effectief wordt in elk van de lidstaten. Daarnaast is het ook zo dat deze nieuwe wet voor het eerst ook de de boetes bepaalt indien een organisatie niet in orde is met of een inbreuk pleegt tegen de GDPR. Deze boetes zijn aanzienlijk en maken het overduidelijk dat de EU de bescherming van haar burgers uiterst serieus neemt. Ten slotte zet de GDPR ook de rechten uiteen van elke inwoner binnen de EU betreffende het bewaren en verwerken van zijn of haar persoonsgegevens. Zo heb je dankzij de GDPR voortaan bijvoorbeeld het recht om vergeten te worden of het recht om voldoende te worden geïnformeerd als er ongeoorloofde dingen met jouw 'persoonlijke informatie' zouden gebeuren.


1.3. Over 'persoonlijke informatie'
In Assist wordt heel wat 'persoonlijke informatie' opgeslagen van leden, vrijwilligers, deelnemers aan activiteiten,... Tot de komst van de GDPR kon een deelstaat zelf invulling geven aan de betekenis van de woorden 'persoonlijke informatie'. De GDPR geeft vanaf nu een eenduidige definitie die geldt voor alle lidstaten binnen de EU en veel verder gaat dan de meeste lokale wetgeving deed.

'Persoonlijke informatie' omvat nu: enige data waarmee een individu persoonlijk kan worden geïdentificeerd. Naast 'harde' data zoals geboortedatum en beroep, omvat de term ook 'zachte' data zoals gezondheidsgegevens en informatie over de culturele achtergrond. Zelfs als data 'geanonimiseerd' is (door bijv. de voornaam en de familienaam te vervangen door een 'X' en een 'Y'), valt ze onder de definitie als het toch mogelijk is om de data zodanig te bewerken dat de personen met een redelijke graad van zekerheid identificeerbaar zijn.


1.4. Op wie van toepassing
De GDPR maakt een onderscheid tussen 4 soorten 'rollen' binnen het verwerkingsproces van persoonlijke informatie. Afhankelijk van jouw 'rol' binnen dit verwerkingsproces, bepaalt de GDPR specifieke rechten en plichten:
• De Betrokkene is elke persoon wiens persoonlijke informatie wordt verwerkt. Dit is bijvoorbeeld een lid, een vrijwilliger of een deelnemer aan een activiteit van een vereniging die Assist gebruikt en wiens persoonlijke informatie door die vereniging in Assist opgeslagen en verwerkt wordt.
• De Verwerkingsverantwoordelijke is verantwoordelijk voor het verwerken van de persoonlijke informatie van de Betrokkene. Dit is bijvoorbeeld een vereniging die klant is van Wax On en via het programma Assist persoonlijke gegevens verwerkt zoals namen, contactgegevens, persoonlijke eigenschappen en voorkeuren van de Betrokkene. De Verwerkingsverantwoordelijke is verplicht om aan de Verwerker te melden hoe hij deze specifieke data moet verwerken en zelfs waarom. De Verwerkingsverantwoordelijke moet ervoor instaan dat de verwerking wettig is, een specifiek (legaal) doel dient en transparant wordt uitgevoerd. Om dit in goede banen te leiden en dit proces voor de gebruikers van Assist zo gebruiksvriendelijk en eenvoudig als mogelijk te laten verlopen, wordt Assist momenteel grondig aangepast en zal elke gebruiker van Assist in zijn eigen abonnement via de rubriek 'GDPR' per categorie van Betrokkene en per veld kunnen aangeven hoe en waarom deze gegevens door de Verwerker verwerkt moeten worden.
• De Verwerker is de entiteit die de data verwerkt zoals de Verwerkingsverantwoordelijke die aanlevert. Als Wax On bijvoorbeeld het programma Assist aanbiedt aan de klant in de voorgaande bullet, is Wax On de Verwerker van die databewerking. Wij moeten dan bijvoorbeeld logs bijhouden van die bewerking en zijn verantwoordelijk voor incidenten die aan Wax On of Assist verwijtbaar zijn.
• De sub-Verwerker is elke derde partij die de Verwerker inhuurt in verband met de Verwerking. De Verwerker moet er tevens voor zorgen dat elke van deze sub-Verwerkers ook volledig conform de GDPR werkt. De Verwerker is volledig verantwoordelijk voor de inbreuken die volgen uit het inhuren van een sub-Verwerker.


1.5. Wettige verwerking
Het eerste dat de Verwerkingsverantwoordelijke - de vereniging dus die Assist gebruikt - moet bepalen en vaststellen, is of de verwerking van de persoonlijke informatie wel wettig is. De GDPR laat ook hier niets aan de verbeelding over en definieert de volgende gevallen als 'wettig' (er moet aan tenminste één van de criteria worden voldaan):
• Contractuele basis - Als je vereniging persoonsgegevens moet bewaren en verwerken die noodzakelijk zijn voor de uitvoering van een contract of overeenkomst, zoals bijvoorbeeld een verkoopsovereenkomst, arbeidsovereenkomst, lidmaatschapsovereenkomst of vrijwilligersovereenkomst. In het kader van Assist heeft Wax On bijvoorbeeld als Verwerker van minstens één contactpersoon per vereniging die Assist gebruikt de naam, e-mailadres en eventueel GSM-nummer nodig. Anders kunnen we je niet contacteren met de vraag om je abonnement te verlengen of te informeren over nieuwe mogelijkheden of aanpassingen aan Assist. Om die reden mag Wax On deze gegevens bewaren en verwerken. Als jouw vereniging bijvoorbeeld iemand in dienst heeft, dan is jouw vereniging als Verwerkingsverantwoordelijke gemachtigd om de contactgegevens van jouw werknemer(s) te bewaren en te verwerken.
• Wettelijke verplichting - Alle verwerking die je vereniging doet om aan andere wetten te voldoen, is uiteraard ook wettig onder de GDPR. Valt jouw vereniging dus onder een bepaald decreet en stelt dat decreet dat je bepaalde persoonlijke informatie moet verwerken, dan ben je volgens die 'wettelijke verplichting' gewettigd om deze gegevens te verwerken.
• Vitaal belang - Als je vereniging persoonsgegevens moet bewaren die noodzakelijk zijn om de persoonlijke veiligheid of de gezondheid van de Betrokkene te vrijwaren. Dit is bijvoorbeeld relevant in de gezondheidszorg, waar het verwerken van persoonlijke informatie van essentieel belang is voor het leven van patiënten.
• Gerechtvaardigd belang - Als je vereniging persoonsgegevens moet bewaren omdat de werking van de vereniging of een bepaalde activiteit anders niet uitvoerbaar is. Let wel: deze wettelijke grond kan enkel toegepast worden indien dit zwaarder doorweegt dan het belang, de rechten en de redelijke privacyverwachtingen van de Betrokkene.
• Algemeen belang of openbaar gezag - Verwerking die het publieke belang dient (bijv. door de politie), is eveneens wettig onder de GDPR.
• Ondubbelzinnige, actieve toestemming - Als je vereniging persoonsgegevens bewaart en verwerkt van personen die niet vallen onder minstens één van bovenstaande wettelijke gronden, dan moet elk van deze personen hiervoor zijn of haar expliciete toestemming gegeven hebben. Het volstaat niet om slechts een 'opt-out' vakje te laten aanklikken of akkoord te gaan met Algemene Voorwaarden waarin tevens een 'opt-in' verstopt zit. De Betrokkene moet actief toestemming geven voor de verwerking. Deze toestemming moet bovendien deugdelijk worden opgeslagen - en moet eenvoudig weer kunnen worden ingetrokken. De verwerking is alleen geldig als aan al deze voorwaarden is voldaan.




2. Algemene informatie over Assist
2.1. Wat is Assist?
Assist is een online administratie- en boekhoudprogramma voor vzw's en feitelijke verenigingen. Met Assist kan je de volledige werking van je vereniging online beheren: boekhouding, ledenbeheer, adressenbestand, activiteiten, werkgroepen en medewerkers, informatie over de werking van je vereniging,... Al deze gegevens zijn in Assist met elkaar verbonden, waardoor je op ieder moment, in real-time, een duidelijk overzicht krijgt van de werking en de financiële situatie van je vereniging.



2.2. Voor wie is Assist bedoelt?
Assist is ontstaan uit het verenigingsleven, met als doel een online hulpmiddel te ontwikkelen en aan te bieden, waarmee bestuurders, beroepskrachten, vrijwilligers en medewerkers de administratie en de boekhouding van hun vereniging zo eenvoudig mogelijk, maar meteen ook volgens de wettelijke regels van de huidige VZW-wet kunnen beheren. Iedereen die denkt Assist goed te kunnen gebruiken om de administratie en/of de boekhouding van zijn vereniging online te beheren, kan een jaarabonnement op Assist afsluiten. Per jaar betaal je vanaf dan een bepaald bedrag (het 'abonnementsgeld') waardoor je toegang krijgt tot het abonnement van jouw vereniging. Het staat je vrij om jaarlijks je abonnement stop te zetten door eenvoudigweg het abonnementsgeld van het volgende jaar niet te betalen. Werd het abonnementsgeld niet betaald voor de einddatum van het lopende abonnement, dan krijgen alle gebruikers die gekoppeld staan aan dat abonnement, geen toegang meer tot dat abonnement.



2.3. Wie biedt Assist aan?
Assist wordt ontwikkeld en aangeboden door Wax On bvba, met maatschappelijke zetel te Breemputstraat 120, 1800 Vilvoorde en ondernemingsnummer BE 0892.605.282. Deze bvba werd opgericht door Vincent Jansen en Barbara Ooms op 8 oktober 2007. Vincent was tussen 1996 en 1999 werkzaam in Jeugdhuis 't Mutske vzw te Laken. Het was daar dat hij een eerste versie ontwikkelde van een adminisitratie- en boekhoudprogramma voor dat jeugdhuis. Nadien bleek dat heel wat andere jeugdhuizen, en nog later heel wat andere verenigingen en VZW's interesse toonden in een dergelijk programma. Om die reden werd in 2007 de bvba Wax On opgericht, om het programma Assist verder online te kunnen uitbouwen en aan te bieden aan het brede verenigingsleven. Vincent is zaakvoerder van Wax On bvba. Barbara, de vrouw van Vincent, is stille vennoot en is niet actief in Wax On bvba.



2.4. Wie heeft toegang tot Assist, en tot welke gegevens?
Om op deze vraag correct te antwoorden, moeten we een onderscheid maken tussen 1. medewerkers van Wax On bvba, de organisatie die Assist ontwikkelt en verdeelt, 2. medewerkers en vrijwilligers van verenigingen die een abonnement op Assist hebben en 3. medewerkers van koepelverenigingen en federaties waarmee Wax On bvba een samenwerkingsovereenkomst heeft.

1. Medewerkers van Wax On bvba
Binnen Wax On bvba zijn er twee medewerkers die toegang hebben tot alle (persoons)gegevens die opgeslagen staan in de gegevensbank. Het gaat om Vincent Jansen, zaakvoerder van Wax On bvba en Tom Janssens, werknemer bij Wax On bvba en de vaste en enige ontwikkelaar/programmeur van Assist. De taakverdeling is als volgt:

Vincent Jansen
Vincent volgt de 'helpdesk' op. Gebruikers van Assist of geïnteresseerden kunnen ofwel via het contactformulier op de website of via het mailadres vincent@assistonline.eu een vraag stellen of problemen/bugs melden. Indien nodig, kan Vincent zijn account tijdelijk koppelen aan het abonnement van de persoon die de vraag stelt, om zelf te kunnen nakijken wat het probleem is en/of hij het probleem kan reconstrueren. In principe heeft Vincent op die manier dus toegang tot alle gegevens van deze vereniging. Dit valt ook niet te vermijden, want zonder deze toegang kan Vincent dergelijke problemen of bugs niet nakijken, laat staan doorgeven aan Tom, die deze zal moeten oplossen.

Tom Janssens
Als ontwikkelaar/programmeur van Assist moet Tom ervoor zorgen dat Assist bugvrij werkt. Als hij bugs of opmerkingen doorkrijgt via Vincent, is het zijn taak om deze na te kijken en op te lossen. Het spreekt voor zich dat hij om die reden ook toegang heeft tot alle gegevens die door gebruikers in Assist werden opgeslagen. Hij is echter de enige persoon die een rechtstreekse toegang heeft tot de algemene gegevensbank van Assist. Vincent heeft deze toegang niet, en kan enkel zijn account aan een specifiek abonnement koppelen om zich indien nodig aan te melden aan dat abonnement.


2. Medewerkers en vrijwilligers van verenigingen die een abonnement op Assist hebben
Iedereen kan via het invulformulier op de website www.assistonline.eu een abonnement bestellen op Assist. De persoon die dat doet, wordt vanaf dan de 'beheerder' genoemd van dat abonnement. Hij of zij kan vanaf dan (persoons)gegevens importeren of ingeven. Daarnaast kan deze beheerder ook extra medewerkers of vrijwilligers via mail uitnodigen om ook datzelfde abonnement te gebruiken. Personen die ingaan op deze uitnodiging en hun account via de uitnodigingsmail activeren, worden vanaf dan 'gebruikers' genoemd van dat abonnement. Na het zelf activeren van hun account, krijgen zij meteen ook toegang tot datzelfde abonnement en dus tot de gegevens die de beheerder en/of andere gebruikers reeds ingegeven hebben in dat abonnement. Het is echter niet zeker dat elke gebruiker ook toegang krijgt tot de persoonsgegevens die in het abonnement staan. De beheerder kan nl. tijdens het uitnodigen bepalen welke 'rechten' hij geeft aan de gebruiker. Zo kan de beheerder bepalen dat een bepaalde gebruiker helemaal geen toegang krijgt tot een bepaalde rubriek, of dat deze gebruiker enkel de gegevens kan opzoeken of lezen, of dat deze gebruiker alle rechten krijgt en dus ook gegevens kan toevoegen, wijzigen of verwijderen.

Net zoals Wax On bvba via deze pagina iedereen zo transparant als mogelijk tracht te informeren over de manier waarop persoonsgegevens in Assist worden opgeslagen en wie al dan niet toegang heeft tot deze gegevens, is het aan elke vereniging die Assist gebruikt (of gebruikt heeft) om dit ook te doen. Concreet moet elke vereniging dus een soortgelijke pagina maken (een 'privacyverklaring') en deze openbaar stellen via bijv. de website van de vereniging, het ledenboekje... In die informatie zal dus duidelijk moeten vermeld worden dat je als vereniging Assist gebruikt om persoonsgegevens op te slaan en wie al dan niet toegang heeft tot het abonnement in Assist.

Assist helpt je om je in orde te stellen met de GDPR!
In samenwerking met Scwitch zijn we momenteel de nieuwe rubriek 'GDPR-Helper' aan het uitwerken. Aan de hand van een overzichtelijke 'GDPR-Checklist' kan je jouw vereniging stap voor stap in orde stellen met de nieuwe richtlijnen. Concreet zal je via Assist een GDPR-Logboek kunnen bijhouden en een GDPR-Inventaris en GDPR-Register kunnen opmaken. Tot slot maakt Assist op basis van alle antwoorden in de GDPR-Checklist en de gegevens die je al dan niet opslaat in je abonnement een voorstel tot privacyverklaring op die je kan delen met iedereen van wie je persoonsgegevens in Assist bewaart.


3. Medewerkers van koepelverenigingen en federaties waarmee Wax On bvba een samenwerkingsovereenkomst heeft
Wax On bvba heeft momenteel een samenwerkingsovereenkomst met verschillende koepelverenigingen en federaties. Afhankelijk van deze overeenkomst hebben de medewerkers of vrijwilligers die betrokken zijn bij de werking van deze koepel of federatie al dan niet toegang tot Assist en eventuele persoonsgegevens. Om die reden overlopen we hier elke overeenkomst en de mogelijke gevolgen voor de GDPR.

Scwitch cvba-so
Scwitch is een organisatie ontstaan uit de socioculturele sector ter ondersteuning van elke VZW of feitelijke vereniging op vlak van organisatiebeheer, wetgeving, administratie... In samenwerking met Scwitch werden de rubrieken 'Statutenbouwer' en 'GDPR-Helper' ontwikkeld. Daarnaast krijgen verenigingen die Assist via Scwitch leren kennen een korting op de normale prijs van een jaarabonnement op Assist.
Gevolgen voor de GDPR: Geen, omdat geen enkele medewerker van Scwitch toegang heeft of krijgt tot deze abonnementen, laat staan tot de (persoons)gegevens die via deze verenigingen in Assist worden opgeslagen.

Formaat Jeugdhuiswerk Vlaanderen vzw
Formaat is de federatie van jeugdhuizen in Vlaanderen. Formaat biedt aan haar meer dan 400 leden-jeugdhuizen een basisversie van Assist gratis aan. Concreet betekent dit dat elk jeugdhuis dat aangesloten is bij Formaat een eigen abonnement op Assist kan activeren en binnen dit abonnement toegang krijgt tot de rubrieken 'VZW-Helper' en 'Boekhouding'. Daarnaast kan elk jeugdhuis individueel beslissen om zelf een 'upgrade' te bestellen om zo toegang te krijgen tot alle overige rubrieken in Assist.
Gevolgen voor de GDPR: Geen, omdat geen enkele medewerker van Formaat toegang heeft of krijgt tot deze abonnementen, laat staan tot de (persoons)gegevens die via deze jeugdhuizen in Assist worden opgeslagen.

Vlamo vzw
Vlamo is de Vlaamse Amateurmuziekorganisatie die ondersteuning biedt aan alle amateurmuzikanten en verenigingen in Vlaanderen. Formaat biedt aan haar meer dan 1.200 leden een basisversie van Assist gratis aan. Concreet betekent dit dat elke muziekvereniging die aangesloten is bij Vlamo een eigen abonnement op Assist kan activeren en binnen dit abonnement toegang krijgt tot de rubrieken 'VZW-Helper' en 'Boekhouding'. Daarnaast kan elke muziekvereniging individueel beslissen om zelf een 'upgrade' te bestellen om zo toegang te krijgen tot alle overige rubrieken in Assist.
Gevolgen voor de GDPR: Geen, omdat geen enkele medewerker van Vlamo toegang heeft of krijgt tot deze abonnementen, laat staan tot de (persoons)gegevens die via deze muziekverenigingen in Assist worden opgeslagen.

Vlaamse Zwemfederatie vzw
De Vlaamse Zwemfederatie (VZF) is de federatie van zwemclubs in Vlaanderen. VZF biedt aan haar meer dan 140 leden-zwemclubs de volledige versie van Assist gratis aan en dit om het ledenbeheer van alle individuele leden-zwemmers in al deze zwemclubs via Assist te beheren. Concreet betekent dit dat elke zwemclub die aangesloten is bij de VZF een eigen actief abonnement op Assist heeft en binnen dit abonnement op vraag van de VZF de persoonsgegevens van al haar leden-zwemmers moet opslaan en beheren. Deze persoonsgegevens worden bijgevolg verwerkt op twee niveau's: een eerste keer door de beheerder en de medewerkerkers van een zwemclub die toegang hebben tot het Assist-abonnement van die zwemclub en een tweede keer door de medewerkers van de VZF die toegang hebben tot het Assist-abonnement van de VZF.
Gevolgen voor de GDPR: Net zoals elke vereniging die Assist gebruikt een transparante privacyverklaring moet opmaken, informeert ook de VZF zijn leden over welke gegevens er al dan niet in Assist worden opgeslagen en wie al dan niet toegang heeft tot deze gegevens. Je kan de privacyverklaring van de VZF hier nalezen.

Chirojeugd Vlaanderen, KLJ, Koor&Stem...
Naast bovenstaande federaties heeft Assist nog andere, niet schriftelijke samenwerkingsovereenkomsten met andere federaties en koepelverenigingen zoals Chirojeugd Vlaanderen, KLJ, Koor&Stem... Bij elk van deze federaties geldt hetzelfde als bij Formaat of Vlamo. Deze federaties communiceren enkel over het bestaan van Assist en hun aangesloten leden krijgen in ruil een korting op de normale prijs van een jaarabonnement op Assist. Veel verder gaat deze samenwerking niet, waardoor geen enkele medewerker van deze federaties ook maar enige toegang heeft tot de gegevensbank van Assist. Bijgevolg is er bij elk van deze samenwerkingsvormen geen enkel gevolg voor de GDPR.



2.5. Waar en hoe worden de gegevens van Assist opgeslagen?
Assist wordt gehost op een dedicated server bij de Belgische hostingfirma Combell. Combell is de absolute marktleider in hostingdiensten voor bedrijven, IT integratoren en software ontwikkelaars en staat bekend als de meest betrouwbare one-stop partner voor de hosting van zowat elke IT infrastructuur, website of applicatie. Bij controles scoort Combell altijd zo goed waardoor ze ISO 9001 en ISO 27001 certificaten hebben ontvangen. Wil je in detail nakijken hoe Combell zelf omgaat met de GDPR, dan kan je hier het document van Combell zelf downloaden.



2.6. Hoe worden de gegevens van Assist beschermd?
Om de (persoons)gegevens die gebruikers van Assist in hun abonnement ingeven optimaal te beschermen, hebben we steeds gekozen voor de meest betrouwbare beveiligingsopties:
- Door te kiezen voor een dedicated server, draait Assist als enige applicatie op die server. Daardoor is het uitgesloten dat andere applicaties,
  en vooral de manier waarop deze applicaties beveiligd worden, een invloed zouden uitoefenen op de server waarop Assist draait.
- Door te kiezen voor het https-protocol wordt de data tijdens het transport tussen server en eindgebruiker versleuteld,
  zodat ze tijdens dat transport niet afgeluisterd of gewijzigd kan worden. Lees hier meer over dit https-protocol.
- De database is enkel toegankelijk via een beveiligde VPN verbinding.
- De computers van onze medewerkers zijn geëncrypteerd.



2.7. Hoe vaak en hoe worden er backups gemaakt van de gegevens van Assist?
Combell maakt op vraag van Wax On elke nacht een volledige back-up van de integrale gegevensbank van Assist. Daarnaast wordt in de loop van de dag om het kwartier een beperkte backup gemaakt van enkel die gegevens die in dat afgelopen kwartier gewijzigd zijn. Concreet komt het erop neer dat bij een eventuele crash van de server, of in geval van gegevensverlies om welke reden ook, we de gegevens tot maximum een kwartier voordien kunnen herstellen.

Wie wil, kan zelf ook een backup of reservekopie maken van alle gegevens die in je abonnement opgeslagen zijn. Daarvoor moet je je eerst aanmelden in je abonnement om dan via de rubriek 'Opties' op de knop 'Gegevens exporteren naar Excel' te klikken. Selecteer de gegevens die je wilt exporteren en klik op de export-knop.



2.8. Hoe lang worden de gegevens bewaard?
Het spreekt voor zich dat zolang een abonnement actief gebruikt wordt, alle persoonsgegevens die betrekking hebben tot dat abonnement bewaart en verwerkt worden door Wax On. Indien een abonnement verstreken is, worden alle gegevens die betrekking hebben tot dat abonnement nog maximum 24 maanden door Wax On bewaard, te rekenen vanaf de einddatum van dat abonnement (de datum waarop het abonnement verstreken is). Voor we echter persoonsgegevens verwijderen, wordt de Beheerder van dat abonnement hiervan via mail op de hoogte gesteld en krijgt hij de mogelijkheid om alle gegevens tijdig te exporteren.

Indien je als Beheerder van een abonnement na het verstrijken van dat abonnement alle persoonsgegevens vroeger dan na 24 maanden wil verwijderd zien, dan volstaat het om Vincent met een eenvoudig verzoek te mailen op vincent@assistonline.eu.



2.8. Hoe wordt Assist aangepast en geoptimaliseerd aan de GDPR?
In samenwerking met Scwitch zijn we momenteel een nieuwe rubriek 'GDPR-Helper' aan het uitwerken. Aan de hand van een overzichtelijke 'GDPR-Checklist' kan je jouw vereniging stap voor stap in orde stellen met de nieuwe richtlijnen. Concreet zal je via Assist een GDPR-Logboek kunnen bijhouden en een GDPR-Inventaris en GDPR-Register kunnen opmaken. Tot slot maakt Assist op basis van alle antwoorden in de GDPR-Checklist en de gegevens die je al dan niet opslaat in je abonnement een voorstel tot privacyverklaring op die je kan delen met iedereen van wie je persoonsgegevens in Assist bewaart.

Om dit mogelijk te maken, hebben we ervoor gekozen om de gegevensbank van Assist volledig aan te passen en te optimaliseren, om maat van de nieuwe GDPR-richtlijnen. Kort samengevat zal het mogelijk zijn om per dataveld (bijv. geboortedatum, adres, geslacht...) en per 'categorie van personen' (bijv. lid, vrijwilliger, deelnemer aan activiteit...) aan te geven waarom dit specifieke veld voor deze categorie wordt bijgehouden, wat dus de 'wettelijke grond' is, wie toegang heeft tot deze gegevens, hoe lang deze gegevens zullen bijgehouden worden, enzovoort. Op basis van de instellingen die jij per dataveld opgeeft, zal Assist je op de hoogte houden van het feit of je wel degelijk in orde bent met de GDPR, of je jouw privacyverklaring moet aanpassen, enzovoort.

Het is onze bedoeling om met deze ingrepen Assist op zo'n manier aan te bieden, opdat elke vereniging die zijn persoonsgegevens via Assist beheert, op de meest correcte, transparante en meest gebruiksvriendelijke manier zich in orde kan stellen met de GDPR en bij eventuele wijzigingen in de loop van de komende jaren in orde kan blijven.

Noot: aangezien dit om zo'n uitgebreide en verregaande aanpassing gaat, willen we in alle transparantie meegeven dat het niet zeker is dat dit alles tegen 25/05/2018 operationeel zal zijn. We doen echter onze uiterste best om de belangrijkste aanpassingen - het GDPR-register en de privacyverklaring - zo snel als mogelijk aan te bieden in Assist. In afwachting kan je wel al terecht op de website van Scwitch voor extra informatie en downloads van de nodige voorbeeld-documenten.




3. En jijzelf, als 'Betrokkene' van Wax On en/of Assist
Als je dit leest, ben je wellicht ook zelf 'Betrokkene' bij Wax On in het algemeen of het programma Assist in het bijzonder en ben je geïnteresseerd hoe wijzelf, Wax On dus, of de vereniging waarvan je weet of vermoed dat zij jouw persoonsgegevens verwerken in Assist, omgaan met de GDPR. Terecht ook. En daarom trachten we je hieronder zo transparant als mogelijk te informeren over jouw rechten inzake de GDPR en bij wie je terecht kan met eventuele vragen of opmerkingen.

Omdat we jou deze informatie zo correct en zo concreet als mogelijk willen geven, maken we een onderscheid in 3 'rollen' waarop je betrokken kan zijn bij Wax On in het algemeen of Assist in het bijzonder:
- Rol 1: Ik gebruik Assist actief en ben de beheerder van het abonnement van mijn vereniging
- Rol 2: Ik gebruik Assist actief op uitnodiging van de beheerder van het abonnement van onze vereniging
- Rol 3: Ik gebruik Assist niet, maar ik denk of weet dat mijn persoonlijke gegevens in Assist opgeslagen staan.



Rol 1. Ik gebruik Assist actief als Beheerder van een abonnement
Indien je via het invulformulier op de website www.assistonline.eu een abonnement bestelt op Assist, dan wordt je niet alleen automatisch de 'Beheerder' van dat abonnement, maar dan wordt je voor Wax On ook meteen de contactpersoon voor dat abonnement. Bij het aanmaken van dat abonnement moet je als Beheerder enkel de benaming van de vereniging en een geldig e-mailadres opgeven. Dit hoeft geen persoonlijk e-mailadres te zijn. Dit kan gerust ook het algemene e-mailadres van de vereniging zijn. Wax On heeft dit e-mailadres nodig om vanaf dan te kunnen communiceren met jou, als Beheerder, over het verloop van jouw abonnement en over eventuele belangrijke wijzigingen in Assist. We bewaren en verwerken dus de gegevens van elke Beheerder op 'Contractuele basis' (zie ook punt 1.5. Wettige verwerking).

In de loop van de eerste 30 dagen dat het abonnement loopt - het zogenaamde 'Proefabonnement' - krijg je als Beheerder via dat e-mailadres 4 automatische mails met extra informatie die de opstart van Assist vergemakkelijken en met een aanbod om tegen een voordelig tarief het proefabonnement te verlengen.

Indien je dit wenst, kan je als Beheerder op elk moment in Assist je persoonlijke gegevens zelf aanpassen, en dit via de rubriek 'Opties' - 'Mijn gebruikersaccount'. Zo heb je via die pagina naast je e-mailadres ook de mogelijkheid om je voor- en familienaam aan te vullen, al is dat niet verplicht. De gegevens die je op deze pagina aanpast of aanvult, zal Vincent via zijn beheersomgeving van Assist ook kunnen bekijken en raadplegen.

Eens aangemeld in Assist kan je zelf persoonsgegevens van derden in Assist inbrengen. Denk aan persoonsgegevens van leden, vrijwilligers, medewerkers, deelnemers aan activiteiten... Vanaf dat moment wordt Wax On de 'Verwerker' van die gegevens, maar jij blijft als eindgebruiker van Assist wel eindverantwoordelijk over alle gegevens die je in Assist opslaat en verwerkt. Jij wordt met andere woorden vanaf dan de 'Verwerkingsverantwoordelijke'. De GDPR stelt dat in zo'n geval er optioneel een 'Verwerkersovereenkomst' kan gesloten worden tussen Verwerker en Verwerkingsverantwoordelijke. Ook al is dit optioneel, wij denken dat dit in het voordeel van beide partijen is om sowieso een Verwerkersovereenkomst af te sluiten en hebben deze daarom standaard toegevoegd aan onze Algemene Voorwaarden en Licentieovereenkomst. Je kan onze Verwerkersovereenkomst hier inkijken.

Alle gegevens die je in Assist ingeeft, kan je op elk moment zelf exporteren naar Excel. Daarvoor moet je je eerst aanmelden in je abonnement om dan via de rubriek 'Opties' op de knop 'Gegevens exporteren naar Excel' te klikken. Selecteer de gegevens die je wilt exporteren en klik op de export-knop.

Je hebt als Beheerder ook het recht om vergeten te worden. Met dit verzoek vereis je dat Wax On als Verwerker alle data wist die we van jou opgeslagen hebben, op voorwaarde dat het doel waarvoor de data origineel werd verzameld, vervallen is. Je kan hetzelfde eisen als je jouw toestemming intrekt, en/of een redelijk bezwaar aandraagt tegen de wijze waarop Wax On jouw data verwerkt. Het is de verantwoordelijkheid van Wax On om mogelijke onderaannemers die bij de serviceverlening betrokken zijn, te contacteren opdat zij ook kopieën van (of links naar) jouw data verwijderen. Zulke partijen kunnen namelijk sub-Verwerker zijn en dan is het de verantwoordelijkheid van ons, als Verwerker, dat ook zij conform de GDPR acteren.

Indien je als Beheerder na verloop van tijd wenst om het aangemaakte abonnement volledig te verwijderen, met inbegrip van alle gegevens die intussen ingegeven zijn, dan volstaat het om Vincent hiervan op de hoogte te brengen door een verzoek via mail te sturen naar vincent@assistonline.eu. In samenspraak met de Beheerder wordt afgesproken wanneer het abonnement precies verwijderd wordt en/of het nodig is om vooraf een kopie van alle ingegeven gegevens te bezorgen.



Rol 2. Ik gebruik Assist actief als Gebruiker, op uitnodiging van de Beheerder
Indien je van de Beheerder van een Assist-abonnement een uitnodiging via mail ontvangen hebt om ook Assist te gebruiken, en je gaat in op deze uitnodiging, dan wordt je automatisch een 'Gebruiker' van dat abonnement. Bij het opmaken van die uitnodiging heeft de Beheerder van dat abonnement jouw voornaam, familienaam en e-mailadres opgegeven. Tijdens het activeren van jouw account kan je deze gegevens nog wijzigen. Na de activatie van je account kan Wax On dat e-mailadres gebruiken om met jou, als Gebruiker van Assist, te communiceren over eventuele belangrijke wijzigingen in de werking van Assist. We bewaren en verwerken dus de gegevens van elke Gebruiker op 'Contractuele basis' (zie ook punt 1.5. Wettige verwerking).

Indien je dit wenst, kan je als Gebruiker op elk moment in Assist je persoonlijke gegevens zelf aanpassen, en dit via de rubriek 'Opties' - 'Mijn gebruikersaccount'. De gegevens die je op deze pagina aanpast of aanvult, zal Vincent via zijn beheersomgeving van Assist ook kunnen bekijken en raadplegen.

Eens aangemeld in Assist kan je zelf persoonsgegevens van derden in Assist inbrengen. Denk aan persoonsgegevens van leden, vrijwilligers, medewerkers, deelnemers aan activiteiten... Vanaf dat moment wordt Wax On de 'Verwerker' van die gegevens, maar de Beheerder van het abonnement dat jij gebruikt, blijft als eindgebruiker van Assist wel eindverantwoordelijk over alle gegevens die jullie samen in Assist opslaan en verwerken. De Beheerder wordt met andere woorden vanaf dan de 'Verwerkingsverantwoordelijke'. De GDPR stelt dat in zo'n geval er optioneel een 'Verwerkersovereenkomst' kan gesloten worden tussen Verwerker en Verwerkingsverantwoordelijke. Ook al is dit optioneel, wij denken dat dit in het voordeel van beide partijen is om sowieso een Verwerkersovereenkomst af te sluiten en hebben deze daarom standaard toegevoegd aan onze Algemene Voorwaarden en Licentieovereenkomst. Je kan onze Verwerkersovereenkomst hier inkijken.

Alle gegevens die je in Assist ingeeft, kan je op elk moment zelf exporteren naar Excel. Daarvoor moet je je eerst aanmelden in je abonnement om dan via de rubriek 'Opties' op de knop 'Gegevens exporteren naar Excel' te klikken. Selecteer de gegevens die je wilt exporteren en klik op de export-knop.

Je hebt als Gebruiker ook het recht om vergeten te worden. Met dit verzoek vereis je dat Wax On als Verwerker alle data wist die we van jou opgeslagen hebben, op voorwaarde dat het doel waarvoor de data origineel werd verzameld, vervallen is. Je kan hetzelfde eisen als je jouw toestemming intrekt, en/of een redelijk bezwaar aandraagt tegen de wijze waarop Wax On jouw data verwerkt. Het is de verantwoordelijkheid van Wax On om mogelijke onderaannemers die bij de serviceverlening betrokken zijn, te contacteren opdat zij ook kopieën van (of links naar) jouw data verwijderen. Zulke partijen kunnen namelijk sub-Verwerker zijn en dan is het de verantwoordelijkheid van ons, als Verwerker, dat ook zij conform de GDPR acteren.



Rol 3. Ik gebruik Assist niet, maar weet of denk dat mijn gegevens in Assist opgeslagen staan
Wax On bvba, de organisatie die Assist aanbiedt, is in principe enkel verantwoordelijk voor de persoonsgegevens van de Beheerders en de Gebruikers van Assist omdat wij deze gegevens gebruiken om met hen te communiceren over de werking van Assist. Wax On is niet verantwoordelijk voor de persoonsgegevens die deze Beheerders of Gebruikers van Assist in hun abonnement opslaan en verwerken. Heb je dus een vermoeden dat jouw persoonsgegevens in een Assist-abonnement opgeslagen staan, dan neem je best eerst contact op met de Beheerder of een Gebruiker van dat abonnement. Via hen heb jij het recht om je gegevens in te kijken, aan te passen of te verwijderen uit Assist.

Indien je geen idee hebt wie Beheerder of Gebruiker is van dat abonnement, neem dan conctact op met Vincent via het e-mailadres vincent@assistonline.eu en vermeld duidelijk de benaming van de vereniging waarvan je vermoed dat ze jouw persoonsgegevens in Assist opslaan. Vincent zal vervolgens jouw mail doorsturen naar de Beheerder van dat abonnement met de vraag contact met jou op te nemen. Op die manier trachten we je toch zo goed als mogelijk, en binnen de grenzen van onze mogelijkheden, te helpen.




4. Cookies en Google Analytics
4.1. Cookies
Deze website (www.assistonline.eu) maakt gebruik van zogenaamde "cookies". Dit zijn kleine informatiebestanden die automatisch bewaard worden op de harde schijf van je computer. De informatie wordt bij elk bezoek teruggestuurd naar de server waarop deze website draait en laat toe de toegang tot de site te vergemakkelijken en sneller en efficiënter te laten verlopen. De meeste internetbrowsers geven je de mogelijkheid cookies van je harde schijf te verwijderen of cookies af te wijzen vooraleer deze geïnstalleerd worden. Voor meer informatie hieromtrent, vragen wij je om de instructies van je internetbrowser te raadplegen.



4.2. Google Analytics
Deze website (www.assistonline.eu) maakt gebruik van Google Analytics, een webanalyse-service die wordt aangeboden door Google Inc. ("Google"). Google Analytics maakt gebruik van "cookies" (tekstbestandjes die op je computer worden geplaatst) om de website te helpen analyseren hoe gebruikers de site gebruiken. De informatie die door het cookie gegenereerd wordt (met inbegrip van je IP-adres) wordt overgebracht naar Google en door Google opgeslagen op hun servers.

Wax On heeft er echter voor gekozen om deze informatie tot een absoluut minimum te beperken en in onze Google Analytics account één en ander zo in te stellen zodat de gegevens die verstuurd worden door Google zelf om geen enkele andere reden mogen gebruikt worden dan de analyse van de website www.assistonline.eu. Concreet gaat het om deze instellingen:
- Gegevens worden veilig naar Google verstuurd middels SSL/HTTPS
- Wax On bvba heeft een Verwerkingsovereenkomst met Google afgesloten, ondertekend op 20 mei 2018
- Wij hebben er voor gekozen om een deel van het IP-adres te maskeren
- Het delen van gegevens met derden is uitgeschakeld
- Wij maken geen gebruik van andere Google-diensten in combinatie met de Google Analytics-cookies




5. Nog vragen of opmerkingen
Heb je over deze informatie nog vragen of mis je nog bepaalde informatie over hoe Wax On omgaat met jouw persoonsgegevens, aarzel dan niet ons te contacteren. De eenvoudigste en snelste manier is door Vincent te mailen op het e-mailadres vincent@assistonline.eu. Een brief schrijven kan ook naar Wax On bvba, t.a.v. Vincent Jansen, Breemputstraat 120, 1800 Vilvoorde.

We doen er alles aan om je zo goed als mogelijk te informeren en je vraag zo transparant als mogelijk te beantwoorden.




6. Aanpassingen en updates van dit Privacybeleid
De GDPR is nieuw voor iedereen, ook voor ons. De komende maanden zullen we wellicht steeds bijleren en hier en daar kleine toevoegingen of aanpassingen moeten doorvoeren aan dit Privacybeleid. Om die reden plaatsen we een duidelijke link naar deze pagina onderaan onze website alsook in Assist zelf, via de rubriek 'GDPR' - 'Privacybeleid Wax On bvba'. Bij grote aanpassingen wordt elke gebruiker van Assist hiervan via het startscherm op de hoogte gebracht.