eCommons beheert digitale infrastructuur als gemeenschappelijk goed voor en door haar leden. Bij het leveren van onze diensten verwerken wij persoonsgegevens. In deze verklaring leggen wij uit welke gegevens wij verwerken, waarom, en hoe wij daarmee omgaan.

Voor de gegevens die onze leden en afnemers via onze diensten opslaan en verzenden, treedt eCommons op als verwerker. Voor die situatie geldt deze Privacyverklaring tevens als verwerkersovereenkomst in de zin van artikel 28 AVG. Het lid of de afnemer hoeft daarvoor geen aparte overeenkomst te tekenen; aanvaarding van de Algemene Voorwaarden omvat deze afspraken.

eCommons heeft twee verschillende rollen onder de AVG, afhankelijk van welke gegevens het betreft:

eCommons is verwerkingsverantwoordelijke voor de gegevens die wij voor onze eigen administratie gebruiken: de contact-, lidmaatschaps- en facturatiegegevens van onze leden en afnemers, en de gegevens van mensen die zich op onze nieuwsbrief abonneren. Voor deze gegevens bepalen wij zelf het doel en de middelen.

eCommons is verwerker voor de gegevens die een lid of afnemer zelf via onze gehoste diensten (zoals Nextcloud en e-mail) opslaat of verzendt. Het lid of de afnemer is hiervoor de verwerkingsverantwoordelijke en bepaalt zelf welke gegevens worden verwerkt en met welk doel. eCommons verwerkt deze gegevens uitsluitend in opdracht van het lid of de afnemer.

De partijen die wij inschakelen om de dienst te leveren, zoals onze hostingpartij, zijn subverwerkers van eCommons. Deze staan in de subverwerkerslijst onderaan deze verklaring.

Wij bewaren deze gegevens niet langer dan nodig is voor het doel, en houden ons aan wettelijke bewaartermijnen (zoals de fiscale bewaarplicht van 7 jaar voor facturatiegegevens). Nieuwsbriefabonnees kunnen zich op elk moment afmelden.

Als verwerker (gegevens in de gehoste diensten)

Wanneer een lid of afnemer onze gehoste diensten gebruikt, kunnen daarin uiteenlopende persoonsgegevens staan, zoals namen, e-mailadressen, bestandsinhoud en gegevens van de eigen leden, medewerkers, vrijwilligers of donateurs van het lid. Het lid bepaalt zelf welke gegevens dit zijn. eCommons verwerkt deze uitsluitend om de dienst te leveren (hosting, onderhoud en back-up) en op instructie van het lid.

Wil een lid in de gehoste diensten bijzondere categorieën persoonsgegevens (zoals gegevens over gezondheid, religie of politieke voorkeur), burgerservicenummers of strafrechtelijke gegevens opslaan, dan stemt het lid dit vooraf met eCommons af. Zo kunnen wij samen beoordelen of er aanvullende maatregelen nodig zijn om deze gegevens passend te beschermen.

Voor de gegevens waarvoor eCommons verwerker is, gelden de volgende afspraken tussen eCommons (verwerker) en het lid of de afnemer (verwerkingsverantwoordelijke).

4.1 Onderwerp en duur. eCommons verwerkt persoonsgegevens uitsluitend voor het leveren van de dienst. De verwerking duurt zolang de overeenkomst loopt.

4.2 Instructies. eCommons verwerkt de gegevens alleen op grond van de overeenkomst en de redelijke instructies van het lid, en niet voor eigen doeleinden. eCommons meldt het als zij meent dat een instructie in strijd is met de wetgeving over gegevensbescherming.

4.3 Geheimhouding. Iedereen die namens eCommons toegang heeft tot de gegevens is tot geheimhouding verplicht.

4.4 Beveiliging. eCommons treft passende technische en organisatorische maatregelen om de gegevens te beschermen, waaronder versleuteling van gegevens tijdens verzending en, waar passend, in opslag; toegangsbeheer volgens het principe van minimale rechten; logging; en regelmatige back-ups.

4.5 Subverwerkers. eCommons mag voor de uitvoering van de dienst subverwerkers inschakelen. De actuele subverwerkers staan in de lijst onderaan deze verklaring. eCommons legt elke subverwerker dezelfde verplichtingen op als die in deze verwerkersovereenkomst staan, en blijft tegenover het lid volledig aansprakelijk voor het nakomen van de verplichtingen van die subverwerker. eCommons informeert de leden vooraf over een voorgenomen wijziging in de subverwerkers. Maakt een lid binnen 30 dagen gemotiveerd bezwaar, dan treden partijen in overleg; komen zij er niet uit, dan kan het lid de overeenkomst opzeggen.

4.6 Doorgifte. De opslag van persoonsgegevens vindt plaats binnen de Europese Economische Ruimte (EER). Eén subverwerker (onze nieuwsbriefdienst) is gevestigd in het Verenigd Koninkrijk; zie de toelichting in de subverwerkerslijst. eCommons geeft gegevens niet door aan landen buiten de EER zonder een passende waarborg zoals bedoeld in de AVG.

4.7 Rechten van betrokkenen. eCommons helpt het lid om verzoeken van betrokkenen (zoals inzage, rectificatie, wissing, beperking, bezwaar en overdraagbaarheid) te behandelen, voor zover dat redelijkerwijs van eCommons kan worden gevraagd.

4.8 Datalekken. eCommons informeert het lid zonder onnodige vertraging nadat zij kennis heeft genomen van een inbreuk in verband met persoonsgegevens, en verstrekt de informatie die het lid nodig heeft om aan zijn eigen meldplicht te voldoen.

4.9 Bijstand. eCommons verleent het lid redelijke bijstand bij het naleven van zijn verplichtingen op het gebied van beveiliging, datalekken en, indien nodig, een gegevensbeschermingseffectbeoordeling (DPIA).

4.10 Einde van de verwerking. Na het einde van de overeenkomst geeft eCommons het lid de gelegenheid de gegevens te exporteren, en verwijdert zij de gegevens uiterlijk 3 maanden daarna, tenzij anders overeengekomen of wettelijk vereist.

4.11 Audit. eCommons stelt op verzoek de informatie beschikbaar die nodig is om de naleving van deze afspraken aan te tonen. Een lid mag de naleving (laten) controleren; de redelijke kosten daarvan komen voor rekening van het lid, behalve wanneer een tekortkoming van eCommons wordt vastgesteld.

eCommons hecht groot belang aan de beveiliging van gegevens. Wij maken gebruik van versleutelde verbindingen, beperken de toegang tot gegevens tot wie deze nodig heeft, maken regelmatig back-ups en kiezen bewust voor hostingpartijen binnen de EER. Wij bekijken, openen of monitoren de inhoud van bestanden en berichten niet, behalve voor zover dat noodzakelijk is voor het leveren van de dienst of het naleven van een wettelijke verplichting.

U heeft het recht om de persoonsgegevens die wij als verwerkingsverantwoordelijke over u verwerken in te zien, te laten corrigeren of te laten verwijderen, en om bezwaar te maken tegen of beperking te vragen van de verwerking. Ook kunt u gegeven toestemming intrekken. Stuur uw verzoek naar info@ecommons.space. Wij reageren binnen één maand.

Gaat het om gegevens die in de gehoste diensten van een lid staan, dan kunt u uw verzoek het beste richten aan dat lid; eCommons is daarvoor verwerker en zal het lid waar nodig ondersteunen.

Bent u het niet eens met hoe wij met uw gegevens omgaan, dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.

eCommons mag deze Privacyverklaring wijzigen. Gewone wijzigingen worden ten minste 30 dagen voordat zij ingaan bekendgemaakt aan de leden en afnemers, bijvoorbeeld per e-mail of via de website. Wijzigingen in de subverwerkers volgen de procedure van artikel 4.5. Een wijziging die de verwerkersafspraken voor leden wezenlijk verzwaart, gaat alleen in met instemming van het lid; stemt het lid niet in, dan kan het de overeenkomst opzeggen.

Is een wijziging naar het oordeel van het bestuur ingrijpend, dan wordt deze eerst ter goedkeuring voorgelegd aan de algemene ledenvergadering voordat zij wordt bekendgemaakt en ingaat.

De opslag van persoonsgegevens vindt plaats binnen de EER. eCommons schakelt de volgende subverwerkers in:

Toelichting bij EmailOctopus. Onze nieuwsbriefdienst EmailOctopus is gevestigd in het Verenigd Koninkrijk en slaat de gegevens van abonnees op binnen de EER (Ierland), op de infrastructuur van Amazon Web Services. Het Verenigd Koninkrijk kent een geldig adequaatheidsbesluit van de Europese Commissie, waardoor doorgifte van persoonsgegevens naar het VK is toegestaan zonder aanvullende waarborgen. eCommons volgt de geldigheid van dit besluit.