Achtergrondinformatie: totstandkoming van deze verwerkersovereenkomst
Achtergrondinformatie: totstandkoming van deze verwerkersovereenkomst
Deze verwerkersovereenkomst is gebaseerd op het model verwerkersovereenkomst dat is aangehecht bij het Convenant Digitale Onderwijsmiddelen en Privacy (versie 3.0). Hoewel KiVa B.V. is niet aangesloten bij dit convenant, is getracht om zoveel mogelijk aan te sluiten bij een model dat bij Onderwijsinstellingen bekend is. Alle verwijzingen naar het convenant zijn uit de verwerkersovereenkomst gehaald en de wijzigingen zijn rechtstreeks doorgevoerd in het stuk.
1. Het bevoegd gezag van <naam + rechtsvorm onderwijsinstelling>, geregistreerd onder BRIN-nummer <brin> bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, gevestigd en kantoorhoudende aan <adres>, te (<postcode>)
<plaats>, te dezen rechtsgeldig vertegenwoordigd door <functie + naam>, hierna te noemen: “Onderwijsinstelling”.
en
2. De besloten vennootschap KiVa B.V., gevestigd en kantoorhoudende aan de Xxxxx Xxxxxxxxxxx 00, xx (0000 XX) Xxxxxxxxx, te dezen rechtsgeldig vertegenwoordigd door Xxxx xxx xxx Xxx, hierna te noemen: “Verwerker”
hierna gezamenlijk te noemen: “Partijen”, of afzonderlijk: “Partij”
a. Onderwijsinstelling en Verwerker zijn een overeenkomst aangegaan waarbij Xxxxxxxxx een programma voor het bevorderen van de sociale veiligheid bij Onderwijsinstelling implementeert en uitvoert, (‘de Product- en Dienstenovereenkomst’). In het kader van de Product- en Dienstenovereenkomst ontvangt Verwerker gegevens van leerlingen van Onderwijsinstelling en koppelt deze aan de in het kader van het programma verzamelde informatie teneinde de school te kunnen adviseren over het bevorderen van sociale veiligheid. Deze Product- en Dienstenovereenkomst leidt aldus ertoe dat Xxxxxxxxx in opdracht van Onderwijsinstelling Persoonsgegevens verwerkt.
b. Partijen wensen, mede gelet op het bepaalde in artikel 28 lid 3 Algemene Verordening Gegevensbescherming, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.
Artikel 1: Definities
In deze Verwerkersovereenkomst wordt verstaan onder:
a. Betrokkene, Verwerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens en Verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG;
b. Bijlage(n): bijlage(n) bij de Verwerkersovereenkomst;
c. Datalek: een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG;
d. Digitaal Onderwijsmiddel: Leermiddelen en Toetsen, en School- en Leerlinginformatiemiddelen;
e. Instructies: geschreven of elektronisch gestuurde aanwijzing van de Verwerkingsverantwoordelijke aan de Verwerker in het kader van haar bevoegdheden zoals geformuleerd in deze Verwerkersovereenkomst of in de Product- en Dienstenovereenkomst. Instructies worden verstrekt door en aan de contactpersonen van partijen zoals die zijn opgenomen in de Bijlage(n);
f. Keten iD: een pseudoniem van een persoonsgebonden nummer van een Onderwijsdeelnemer dat de Onderwijsdeelnemer niet langer direct identificeerbaar maakt. Hierna wordt dat pseudoniem opnieuw versleuteld tot het Keten iD, dat
voor identificatiedoeleinden gebruikt wordt voor de toegang tot en het gebruik van Digitale Onderwijsmiddelen. Het Keten iD wordt ook ECK iD genoemd;
g. Leermiddelen en Toetsen: digitaal product en/of digitale dienst bestaande uit leerstof en/of toetsen en de daarmee samenhangende digitale diensten, gericht op onderwijsleersituaties, ten behoeve van het geven van onderwijs door of namens Onderwijsinstellingen;
h. Leverancier: leverancier van een Digitaal Onderwijsmiddel, zoals een distributeur, uitgever of leverancier van een administratiesysteem;
i. Onderwijsdeelnemer: onderwijsdeelnemer in het primair onderwijs, voortgezet onderwijs of middelbaar beroepsonderwijs;
j. Product- en Dienstenovereenkomst: de overeenkomst tussen Onderwijsinstelling en Verwerker, zoals omschreven in overweging a;
k. Privacybijsluiter: één of meerdere privacybijsluiter(s) zoals opgenomen in de Bijlage(n) die van toepassing zijn op de aangeboden Digitale Onderwijsmiddelen;
l. School- en Leerlinginformatiemiddelen: een digitaal product en/of digitale dienst ten behoeve van het onderwijs(proces), zoals een leerling-administratiesysteem, kernregistratiesysteem, studentinformatiesysteem, deelnemersadministratie, roostersysteem, ouderportaal, leerling- en oudercommunicatiesysteem, dashboards en kwaliteitsmanagementsystemen voor zover zij Persoonsgegevens van Onderwijsdeelnemers bevatten, een elektronische leeromgeving en een leerlingvolgsysteem;
m. Subverwerker: de partij die door Verwerker wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van de Model Verwerkersovereenkomst en de Product- en Dienstenovereenkomst;
n. AVG: de Algemene Verordening Gegevensbescherming (Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG);
o. Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de toepasselijke (Unierechtelijke en lidstaatrechtelijke) wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet.
Artikel 2: Onderwerp en opdracht Verwerkersovereenkomst
1. Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Product- en Dienstenovereenkomst.
2. De Onderwijsinstelling geeft Verwerker conform artikel 28 AVG opdracht en Instructies om Persoonsgegevens te verwerken namens de Onderwijsinstelling. De Instructies van de Onderwijsinstelling kunnen onder meer nader omschreven zijn in deze Verwerkersovereenkomst en de Product- en Dienstenovereenkomst.
3. De bepalingen uit de Verwerkersovereenkomst gelden voor alle Verwerkingen zoals opgenomen in Bijlage 1, die plaatsvinden ter uitvoering van de Product- en Dienstenovereenkomst. Verwerker brengt Onderwijsinstelling onverwijld op de hoogte indien Verwerker reden heeft om aan te nemen dat Verwerker niet langer aan de Verwerkersovereenkomst kan voldoen.
Artikel 3: Rolverdeling
1. Onderwijsinstelling is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verwerkingsverantwoordelijke. Verwerker is Verwerker in de zin van de AVG. De Onderwijsinstelling heeft en houdt zelfstandige zeggenschap over het (bepalen van) doel en de middelen van de Verwerking van de Persoonsgegevens.
2. Verwerker draagt er zorg voor dat de Onderwijsinstelling voorafgaande aan het sluiten van deze Verwerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) die de Verwerker verleent, en de uit te voeren Verwerkingen. De gegeven informatie stelt de Onderwijsinstelling in staat om te doorgronden welke Verwerkingen onlosmakelijk zijn verbonden met een aangeboden dienst en voor welke Verwerkingen Onderwijsinstelling een keuze kan maken voor eventueel aangeboden optionele diensten.
3. Onverminderd hetgeen elders in deze Verwerkersovereenkomst is bepaald, informeert Verwerker voorafgaand aan het sluiten van deze Verwerkersovereenkomst de Onderwijsinstelling in Bijlage 1 over de in lid 2 bedoelde diensten, waaronder eventuele optionele diensten, en de Verwerkingen die in dat kader plaatsvinden. De in Bijlage 1 opgenomen informatie moet in begrijpelijke taal zijn beschreven, waardoor Onderwijsinstelling geïnformeerd akkoord kan gaan met de afname van deze dienst(en) en de uitvoering van de bijbehorende Verwerkingen.
4. De Onderwijsinstelling neemt de in lid 2 van dit artikel genoemde Verwerking van de Persoonsgegevens op in een register van de verwerkingsactiviteiten1 die onder hun verantwoordelijkheid plaatsvinden.
5. Voor zover artikel 30 lid 5 AVG daartoe verplicht, houdt Verwerker conform artikel 30, lid 2 AVG een register bij van alle categorieën van verwerkingsactiviteiten die Verwerker ten behoeve van een Onderwijsinstelling verricht.
6. Onderwijsinstelling en Verwerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens mogelijk te maken.
7. Onderwijsinstelling en Verwerker zijn overeengekomen dat Verwerker de Persoonsgegevens van Onderwijsinstelling mag verstrekken aan de Rijksuniversiteit Groningen (hierna: de RUG) ten behoeve van door de RUG uitgevoerd wetenschappelijk onderzoek, zoals beschreven in Bijlage 3. Voorwaarde hierbij is, dat ouders van de leerlingen op wie de Persoonsgegevens betrekking hebben toestemming hebben gegeven aan de RUG en de RUG voldoet aan de eisen van de AVG.
Artikel 4: Gebruik Persoonsgegevens
1. Verwerker verplicht zich om de van Onderwijsinstelling verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en conform de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door de Onderwijsinstelling (schriftelijk dan wel elektronisch) aan Verwerker in het kader van de uitvoering van de Product- en Dienstenovereenkomst zijn opgedragen, behoudens een eventuele afwijkende Unierechtelijke of lidstaatrechtelijke bepaling of bepaling in deze Verwerkersovereenkomst, dan wel een rechterlijke uitspraak, voor zover daartegen geen beroep meer openstaat. In dat geval stelt Verwerker de Onderwijsinstelling
1 Zie voor een voorbeeld de Aanpak IBP bij xxxxx://xx.xx/XXXxxxxxxxxx
voorafgaand aan de Verwerking van dat wettelijke voorschrift dan wel de rechterlijke uitspraak in kennis, tenzij dergelijke kennisgeving om gewichtige redenen van algemeen belang verboden is.
2. Een overzicht van onder meer de categorieën Persoonsgegevens en het doel waarvoor de Persoonsgegevens worden verwerkt, is uiteengezet in de Privacybijsluiter bij deze Verwerkersovereenkomst.
3. De Verwerker dient in de Privacybijsluiter aan te geven of de Privacybijsluiter toeziet op een Leermiddel en Toets en/of een School- en Leerlinginformatiemiddel. Verwerker specificeert in de Privacybijsluiter voor welke, door de Verwerkersverantwoordelijke vastgestelde, doeleinden persoonsgegevens worden verwerkt bij het gebruik zijn product en/of dienst, en welke categorieën Persoonsgegevens daarbij worden verwerkt.
4. Verwerker zal Onderwijsinstelling jaarlijks informeren over wijzigingen in de Privacybijsluiter in Bijlage 1. Ook indien er geen wijzigingen zijn, wordt Onderwijsinstelling op de hoogte gebracht. Als er wel wijzigingen zijn, treden Partijen in overleg en leggen zij deze gezamenlijk schriftelijk vast in een nieuwe versie van de Privacybijsluiter die de voorgaande versie vervangt.
5. Indien Verwerker het doel en de middelen van de Verwerking van Persoonsgegevens bepaalt, wordt Verwerker met betrekking tot die Verwerking als Verwerkingsverantwoordelijke beschouwd.
Artikel 5: Vertrouwelijkheid
1. Verwerker garandeert dat hij alle Persoonsgegevens strikt vertrouwelijk zal behandelen ten opzichte van derden, waaronder overheidsinstanties. Verwerker zorgt ervoor dat een ieder die hij betrekt bij de Verwerking van Persoonsgegevens, waaronder zijn werknemers, vertegenwoordigers en/of Subverwerkers, deze gegevens als vertrouwelijk behandelt. Verwerker waarborgt dat met de tot het Verwerken van de Persoonsgegevens geautoriseerde personen een geheimhoudingsovereenkomst of –beding is gesloten, of dat deze door een wettelijke verplichting tot geheimhouding zijn gebonden.
2. De in lid 1 bedoelde geheimhoudingsplicht geldt niet in de hierna genoemde gevallen:
a. voor zover Onderwijsinstelling uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken;
b. indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Verwerker aan Onderwijsinstelling te verlenen diensten; of
c. indien Verwerker op grond van een Unierechtelijke of lidstaatrechtelijke bepaling dan wel een gerechtelijke uitspraak, voor zover daartegen geen beroep meer openstaat, tot verstrekking verplicht is.
3. Verwerker onthoudt zich van verstrekking of bekendmaking van Persoonsgegevens aan een Derde, tenzij deze verstrekking of bekendmaking plaatsvindt in opdracht van Onderwijsinstelling respectievelijk wanneer dit noodzakelijk is om te voldoen aan een gerechtelijke uitspraak, voor zover daartegen geen beroep meer openstaat, of een op de Verwerker rustende wettelijke verplichting. Onder wettelijke verplichtingen zijn begrepen Unierechtelijke of lidstaatrechtelijke bepalingen op grond waarvan Verwerker tot verstrekken verplicht is. In geval van een wettelijke verplichting, verifieert Verwerker voorafgaand aan de verstrekking de wettelijke grondslag en de identiteit van de partij die zich daarop beroept. Daarnaast stelt Xxxxxxxxx - tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt - Onderwijsinstelling onmiddellijk, zo
mogelijk voorafgaand aan de verstrekking, in kennis van de voor Onderwijsinstelling relevante informatie inzake deze verstrekking.
4. Verwerker zorgt ervoor dat de onder diens gezag werkende medewerkers uitsluitend toegang hebben tot Persoonsgegevens voor zover noodzakelijk voor de vervulling van hun werkzaamheden.
Artikel 6: Beveiliging en controle
1. Met inachtneming van het bepaalde in artikel 32 AVG zal Verwerker, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden de maatregelen getroffen als beschreven in Bijlage 2.
3. Partijen zullen de door haar getroffen beveiligingsmaatregelen periodiek evalueren en aanscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de passende technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud, vorm en de werkwijze van de verklaringen die Verwerker verstrekt over de afgesproken beveiligingsmaatregelen.
5. De Verwerker stelt in goed overleg de Onderwijsinstelling in staat om effectief te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 7 genoemde verplichtingen ten aanzien van Datalekken.
6. In aanvulling op de voorgaande leden heeft Onderwijsinstelling te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Product- en Dienstenovereenkomst en deze Verwerkersovereenkomst, waaronder de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren middels een audit uitgevoerd door een onafhankelijke gecertificeerde externe deskundige:
a. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een Verwerker, in overleg met Onderwijsinstelling, in te schakelen externe deskundige die een derden-verklaring (TPM) afgeeft.
b. De auditor verstrekt het auditrapport alleen aan Partijen.
c. Partijen maken onderling afspraken over de omgang met de uitkomsten van de audit.
d. Partijen kunnen in onderling overleg afspreken dat, aan de hand van een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel, een reeds uitgevoerde audit en daaruit afgegeven derden- verklaring gebruikt kan worden. Onderwijsinstelling wordt in dat geval geïnformeerd over de uitkomsten van de audit.
e. Partijen komen overeen dat de kosten van deze audit voor rekening komen van de Onderwijsinstelling, tenzij uit de audit (grote) gebreken blijken, die aan Verwerker kunnen worden toegerekend. In dat geval treden partijen in overleg over de verdeling van de kosten van de audit.
Artikel 7: Datalekken
1. Partijen hebben een passend beleid voor de omgang met Datalekken.
2. Indien Onderwijsinstelling of Verwerker een Datalek vaststelt, dan zal deze de andere Partij daarover zonder onredelijke vertraging informeren zodra hij kennis heeft genomen van dat Xxxxxxx. Verwerker verstrekt ingeval van een Datalek alle relevante informatie aan Onderwijsinstelling met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de Verwerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen. De te verstrekken informatie is opgenomen in Bijlage 2 en wordt toegezonden aan de in Bijlage 2 opgenomen contactpersoon van Onderwijsinstelling.
3. Verwerker informeert Onderwijsinstelling onverwijld indien een vermoeden bestaat dat een Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen zoals bedoeld in artikel 34, lid 1, AVG.
4. Verwerker stelt bij een Datalek de Onderwijsinstelling in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking van de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, te voorkomen of te beperken.
5. In geval van een Datalek, voldoet Onderwijsinstelling aan eventuele wettelijke meldingsplichten. In geval een Datalek bij Verwerker meerdere Onderwijsinstellingen in gelijke mate treft, kan Verwerker, na overleg met een of meerdere Verwerkingsverantwoordelijken, namens de Onderwijsinstellingen een melding doen van het Datalek aan de Autoriteit Persoonsgegevens. Van het voornemen hiervan zal Verwerker Onderwijsinstelling onverwijld (en zo mogelijk voorafgaand aan de melding) in kennis stellen.
6. In geval van het Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zal de Onderwijsinstelling de Betrokkenen informeren over het Datalek.
7. Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.
8. Partijen documenteren alle Datalekken in een (incidenten)register, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.
9. Over incidenten met betrekking tot de beveiliging, anders dan een Datalek, die vallen buiten het bereik van artikel 1 sub d van deze Verwerkersovereenkomst, informeert de Verwerker de Onderwijsinstelling conform de afspraken zoals neergelegd in Bijlage 2.
Artikel 8 Bijstand
1. Verwerker verleent Onderwijsinstelling bijstand bij het doen nakomen van de op Onderwijsinstelling rustende verplichtingen op grond van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zoals met betrekking - maar niet beperkt - tot:
a. het - voor zover redelijkerwijs mogelijk en verplicht op grond van de AVG - vervullen van de plicht van Onderwijsinstelling om aan verzoeken van de in hoofdstuk III van de AVG vastgelegde rechten van de betrokkene binnen de wettelijke termijnen te voldoen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens;
b. het uitvoeren van controles en audits zoals bedoeld in artikel 6 van deze Verwerkersovereenkomst;
c. het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en een eventuele daaruit voortkomende verplichte voorafgaande raadpleging van de Autoriteit Persoonsgegevens;
d. het voldoen aan verzoeken van de Autoriteit Persoonsgegevens of een andere overheidsinstantie;
e. het voorbereiden, beoordelen en melden van datalekken zoals bedoeld in artikel 7 van deze Verwerkersovereenkomst.
2. Een klacht of verzoek van een Betrokkene of een verzoek of onderzoek van de Autoriteit Persoonsgegevens met betrekking tot de Verwerking van de Persoonsgegevens, wordt door de Verwerker, voor zover wettelijk is toegestaan, onverwijld doorgestuurd naar Onderwijsinstelling, die verantwoordelijk is voor de afhandeling van het verzoek.
3. Partijen brengen elkaar voor in redelijkheid verleende bijstand geen kosten in rekening. In het geval dat één van de Partijen kosten in rekening wil brengen, brengt deze partij de andere partij hiervan vooraf op de hoogte.
Artikel 9: Doorgifte aan derde landen buiten de Europese Economische Ruimte
1. Verwerker is uitsluitend gerechtigd tot doorgifte van Persoonsgegevens aan een derde land of internationale organisatie indien Onderwijsinstelling daarvoor specifieke Schriftelijke toestemming heeft gegeven, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot Verwerking verplicht. In dat geval stelt Verwerker Onderwijsinstelling voorafgaand aan de Verwerking Schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
2. Indien na toestemming van Onderwijsinstelling Persoonsgegevens worden doorgegeven aan derde landen buiten de Europese Economische Ruimte of aan een internationale organisatie zoals bedoeld in artikel 4 lid 26 AVG, dan zien Partijen erop toe dat dit alleen plaatsvindt conform wettelijke voorschriften en eventuele verplichtingen die in dit verband op Onderwijsinstelling rusten. Indien gegevens worden doorgegeven aan een derde land of een internationale organisatie, dan wordt dit in Bijlage 1 bij deze Verwerkersovereenkomst aangegeven, inclusief een opgave van de landen waar, of internationale organisaties door wie, de Persoonsgegevens worden verwerkt. Daarbij wordt tevens aangegeven op welke wijze is voldaan aan de voorwaarden op basis van de AVG voor doorgifte van Persoonsgegevens aan derde landen of internationale organisaties.
Artikel 10: Inschakeling Subverwerker
1. Onderwijsinstelling geeft Verwerker door ondertekening van deze Verwerkers- overeenkomst toestemming tot het inschakelen van Subverwerkers, van wie de identiteit en vestigingsgegevens zijn opgenomen in de Privacybijsluiter.
2. Tijdens de duur van de Verwerkersovereenkomst licht Verwerker Onderwijsinstelling in over een voorgenomen toevoeging van een nieuwe Subverwerker of wijziging in de samenstelling van de bestaande Subverwerkers, waarbij Onderwijsinstelling de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
3. Verwerker is verplicht iedere Subverwerker via een overeenkomst of andere rechtshandeling minimaal dezelfde verplichtingen inzake gegevensbescherming op te leggen als in deze Verwerkersovereenkomst aan Verwerker zijn opgelegd. Wanneer en voor zover ten tijde van het sluiten van deze Verwerkersovereenkomst
nog niet aan deze verplichting is voldaan, zal Verwerker zich ervoor inspannen om daaraan alsnog te voldoen.
Artikel 11: Bewaartermijnen en vernietiging Persoonsgegevens
1. Onderwijsinstelling zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker. Verwerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen, voor zover het Verwerking voor de doelen van Onderwijsinstelling betreft.
2. Onderwijsinstelling verplicht Verwerker om de in opdracht van Onderwijsinstelling Verwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van de Onderwijsinstelling. De Onderwijsinstelling kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.
3. Verwerker zal Onderwijsinstelling (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte persoonsgegevens heeft plaatsgevonden.
4. Verwerker zal alle Subverwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkers- overeenkomst en zal waarborgen dat alle Subverwerkers de Persoonsgegevens (laten) vernietigen.
Artikel 12: Aansprakelijkheid
Partijen sluiten over en weer, binnen de grenzen van de wet, alle aansprakelijkheid uit voor schade, waaronder gevolgschade, gederfde winst, gemiste besparingen, bestuurlijke boetes en schade door bedrijfsstagnatie, die wordt veroorzaakt bij/door de Verwerking van Persoonsgegevens of door ander handelen of nalaten met betrekking tot hun samenwerking. De uitsluiting van aansprakelijkheid geldt niet voor personenschade of zaakschade die is veroorzaakt door roekeloos of opzettelijk handelen. Imagoschade, geleden door een der Partijen, valt niet onder deze beperking van aansprakelijkheid indien en voor zover de aansprakelijkheidsverzekeraar van de schadeveroorzakende Partij dit soort schade vergoedt.
Artikel 13: Tegenstrijdigheid en wijziging Verwerkersovereenkomst
1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Product- en Dienstenovereenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
2. Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens de Onderwijsinstelling de keuze hiertoe aanvaardt, de Onderwijsinstelling in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens en de doeleinden waaronder de Persoonsgegevens worden Verwerkt. De wijzigingen zullen in Bijlage 1 worden opgenomen.
3. Wijzigingen in de artikelen van de Verwerkersovereenkomst kunnen uitsluitend in gezamenlijkheid worden overeengekomen.
4. In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met
elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
Artikel 14: Duur en beëindiging
1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingen daarvan.
2. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Product- en Dienstenovereenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren, waaronder in ieder geval artikel 4, lid 1, en de artikelen 5, 8 en 11.
3. Verwerker zal na afloop van de samenwerking het verwerken van Persoonsgegevens van Onderwijsinstelling staken, voor zover het verwerken ten behoeve van Onderwijsinstelling gebeurt.
Aldus overeengekomen, in tweevoud opgemaakt en ondertekend,
Onderwijsinstelling, Verwerker,
Naam: Naam:
Functie: Functie:
Datum: Datum:
Bijlage 2: Beveiligingsbijlage
Bijlage 3: Beschrijving verwerking persoonsgegevens in het kader van het wetenschappelijk onderzoek van de Rijksuniversiteit Groningen
BIJLAGE 1: PRIVACYBIJSLUITER KiVa-monitor
Naam product en/of dienst : KiVa-monitor Naam Verwerker en vestigingsgegevens : KiVa B.V.
Link naar leverancier en/of productpagina : xxx.xxxxxxxxxx.xx
Beknopte uitleg en werking product en dienst : De KiVa-monitor is een tweejaarlijkse digitale vragenlijst over welbevinden, sociale veiligheid, pesten en (vriendschap)relaties van leerlingen binnen de klas. Leerkrachten krijgen hiervan een rapport, inclusief sociogrammen. Met het rapport krijgen leerkrachten een beeld van de sfeer in de groep.
Doelgroep (zoals po/vo, onderbouw/bovenbouw) : po en vo Gebruikers: leerlingen/onderwijsdeelnemers/leerkrachten/docenten
KiVa verricht op grond van deze Verwerkersovereenkomst de volgende verwerkingen:
Ten behoeve van Onderwijsinstelling:
1. Het coördineren van werkzaamheden en metingen in het kader van de uitrol en uitvoering van een programma voor de bevordering voor de sociale veiligheid bij Onderwijsinstelling;
2. Het aanbieden van vragenlijsten aan Betrokkenen (medewerkers en leerlingen van Onderwijsinstelling) via een online portal;
3. Het verwerken van ingevulde vragenlijsten naar rapportages voor de metingcoör- dinator en de leerkrachten van Onderwijsinstelling.
C. Xxxxxxxxxx voor het verwerken van gegevens
De Verwerker is leverancier van een School- en Leerlinginformatiemiddel.
De volgende doelstellingen van gegevensverwerking zijn, afhankelijk van de inhoud van de Product- en Dienstenovereenkomst, van toepassing:
a. de organisatie, het geven en volgen van onderwijs, het begeleiden en volgen van Onderwijsdeelnemers of het geven van school- en studieadviezen, waaronder:
▪ het begeleiden en ondersteunen van leerkrachten en andere medewerkers binnen de Onderwijsinstelling;
▪ de communicatie met Onderwijsdeelnemers en ouders en medewerkers van de onderwijsinstelling;
▪ monitoring en verantwoording, ten behoeve van met name: (prestatie)metingen van de Onderwijsinstelling, kwaliteitszorg, tevredenheidsonderzoek, effectiviteitsonderzoek van onderwijs(vorm) of de geboden ondersteuning van Onderwijsdeelnemers bij passend onderwijs;
▪ het uitwisselen van Persoonsgegevens met Derden, waaronder:
toezichthoudende instanties en zorginstellingen in het kader van de uitvoering van hun (wettelijke) taak
b. het geleverd krijgen/in gebruik kunnen nemen van Digitale Onderwijsmiddelen conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Leverancier;
c. het verkrijgen van toegang tot de aangeboden Digitale Onderwijsmiddelen, en externe informatiesystemen, waaronder de identificatie, authenticatie en autorisatie;
d. de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomen van inconsistentie en onbetrouwbaarheid in de, met behulp van het Digitale Onderwijsmiddel, Verwerkte Persoonsgegevens.
e. de continuïteit en goede werking van het Digitale Onderwijsmiddel conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Leverancier, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning;
f. onderzoek en analyse op basis van strikte voorwaarden, vergelijkbaar met bestaande gedragscodes op het terrein van onderzoek en statistiek, ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling;
g. onderzoek en analyse op basis van strikte voorwaarden, vergelijkbaar met bestaande gedragscodes op het terrein van onderzoek en statistiek, ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling;
h. het beschikbaar stellen van Persoonsgegevens voor zover noodzakelijk om te kunnen voldoen aan de wettelijke eisen die worden gesteld aan Digitale Onderwijsmiddelen.
i. De uitvoering of toepassing van wetgeving.
D. Categorieën en soorten persoonsgegevens
1. Omschrijving van de categorieën Betrokkenen over wie Persoonsgegevens worden verwerkt, en de soorten persoonsgegevens van de Betrokkenen:
Van Onderwijsdeelnemers verwerkt de Verwerker in het kader van de KiVa-monitor de volgende persoonsgegevens:
Voornaam, achternaam, tussenvoegsel, roepnaam, geboortedatum, geslacht, toestemmingsinformatie voor gebruik van de vragenlijstgegevens voor wetenschappelijk onderzoek door RUG, pasfoto (alleen in de onderbouwmonitor om ook afname van de vragenlijst bij kinderen mogelijk te maken die niet of nauwelijks kunnen lezen), gegevens van de school (naam, adres, postcode, plaats, land, latitude, longitude, BRIN-code en dependance-code), deelnemernummer, klas, leerjaar, invuldatum vragenlijst, antwoorden op de vragenlijst (over welbevinden en sociale veiligheid op school en sociale relaties van een leerlingen binnen de schoolklas (rol en status binnen de klas)), inloggegevens vragenlijst (enquête en wachtwoord)
Van leerkrachten/docenten verwerkt de Verwerker in het kader van de KiVa-monitor de volgende Persoonsgegevens:
Voornaam, achternaam, tussenvoegsel, gegevens van de school (naam, adres, postcode, plaats, land, latitude, longitude, BRIN-code en dependance-code), klas(sen)
Van de metingcoördinator(en) op school verwerkt de Verwerker in het kader van de KiVa- monitor de volgende Persoonsgegevens:
Voornaam, achternaam, tussenvoegsel, gegevens van de school (naam, adres, postcode, plaats, land, latitude, longitude, BRIN-code en dependance-code), e-mailadres, accountgegevens (gebruikersnaam en wachtwoord)
N.b. Verwerker verwerkt uitsluitend bovenstaande categorieën Persoonsgegevens voor Onderwijsinstelling. Indien Onderwijsinstelling, in afwijking van bovenstaande tabel, andere categorieën Persoonsgegevens aan Verwerker verstrekt, gebeurt dit voor eigen risico en onder verantwoordelijkheid van Onderwijsinstelling.
2. Door de Verwerker te hanteren specifieke bewaartermijnen van Persoonsgegevens (of toetsingscriteria om dit vast te stellen):
De verwerker bewaart de gegevens gedurende de looptijd van de Product- en Dienstenovereenkomst.
E. Opslag Verwerking Persoonsgegevens:
Plaats/Land van opslag en Verwerking van de Persoonsgegevens: Nederland, Ierland
F. Subverwerkers
Onderwijsinstelling geeft Xxxxxxxxx door ondertekening van de Verwerkersovereenkomst een algemene schriftelijke toestemming voor het inschakelen van een Subverwerker.
Verwerker heeft het recht gebruik te gaan maken van andere Subverwerkers, mits daarvan voorafgaand mededeling wordt gedaan aan Onderwijsinstelling, en Onderwijsinstelling daartegen bezwaar kan maken binnen een redelijke periode.
Verwerker maakt ten tijde van het afsluiten van de Verwerkersovereenkomst gebruik van de volgende Subverwerkers:
1. Subverwerker Ediso
a. Naam organisatie: Ediso B.V.
b. Korte omschrijving dienstverlening: ondersteuning bij het ontwikkelen en onderhouden van de tooling waarmee de diensten van Verwerker worden uitgevoerd
c. Plaats/Land van Verwerking: Nederland
d. Mate van verwerking: Ediso heeft in het kader van testen van de tooling of bij het ondersteunen van het gebruik van de tooling in bepaalde gevallen toegang nodig tot de persoonsgegevens. Dit wordt beperkt tot de gevallen waarvoor dit noodzakelijk is. Verwerker heeft met Ediso een verwerkersoverenkomst gesloten.
2. Subverwerker Rijksuniversiteit Groningen
a. Naam organisatie: Rijksuniversiteit Groningen
b. Korte omschrijving dienstverlening:
• Het aanleveren van de geaggregeerde data voor de Inspectie van het Onderwijs. Dit kan niet geautomatiseerd worden door Ediso en zal jaarlijks door de Rijksuniversiteit Groningen worden gedaan.
• Ondersteuning bij het oplossen van problemen met betrekking tot de monitor of de rapporten om verbeteringen aan de tooling mogelijk te maken en/of de geaggregeerde ontwikkeling van de KiVa-scholen in kaart te brengen.
c. Plaats/Land van Verwerking: Nederland
d. Mate van verwerking: Bovengenoemde werkzaamheden worden alleen voor Verwerker uitgevoerd wanneer dat noodzakelijk is voor de nakoming van de Product- en dienstenovereenkomst of verbetering van de dienstverlening.
BIJLAGE 2: BEVEILIGINGSBIJLAGE
De Verwerker is overeenkomstig de AVG en artikel 6 en 7 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.
i. Verwerker heeft een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast;
ii. Verwerker neemt maatregelen zodat via een systeem van autorisatie enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de Verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst.
iii. Verwerker zorgt dat de toegang tot het product of de dienst beveiligd is door middel van een passend beleid voor wachtwoorden dat aansluit bij de stand van de techniek;
iv. Verwerker heeft procedures voor het verlenen van toegang tot Persoonsgegevens (waaronder een registratie- en afmeldprocedure voor toewijzing van toegangsrechten), en het in logbestanden vastleggen van gebeurtenissen betreffende gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen;
v. Verwerker heeft maatregelen genomen om de Persoonsgegevens te beschermen tegen verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
vi. Verwerker maakt bij de beveiliging van de Verwerking van Persoonsgegevens gebruik van een (inter)nationale beveiligingsnorm;
vii. Verwerker heeft maatregelen genomen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Onderwijsinstelling.
Beveiligingsincidenten en/of datalekken:
De contactpersoon van Onderwijsinstelling is:
a. Naam:
b. Functie:
c. E-mailadres:
d. Telefoonnummer:
De contactpersoon van Verwerker is:
e. Naam: Xxxxxx Xxxxxxxx
f. Functie: Landelijk coördinator KiVa
g. E-mailadres: xxxx@xxxxxxxxxx.xx
h. Telefoonnummer: 050 363 9354
Ook in geval van een (vermoeden van) beveiligingsincident en/of datalek kan contact worden opgenomen met bovengenoemde personen.
Informeren over Datalekken en/of incidenten met betrekking tot beveiliging
Als Verwerker de Onderwijsinstelling moet informeren op grond van artikel 7 van de Ver- werkersovereenkomst, zal zij Onderwijsinstelling de volgende gegevens verschaffen:
1. Contactgegevens melder:
a. Naam, functie, emailadres, telefoonnummer
2. Gegevens over het incident:
a. Geef een samenvatting van het incident waarbij de inbreuk op de beveili- ging van Persoonsgegevens zich heeft voorgedaan. <invullen>
b. Van hoeveel personen zijn Persoonsgegevens betrokken bij de inbreuk? (Vul de aantallen in.)
i. Minimaal: (vul aan)
ii. Maximaal: (vul aan)
c. Omschrijf de groep mensen van wie Persoonsgegevens zijn betrokken bij de inbreuk;
d. Wanneer vond de inbreuk plaats? (Kies een van de volgende opties en vul waar nodig aan.)
i. Op (datum)
ii. Tussen (begindatum periode) en (einddatum periode)
iii. Nog niet bekend
e. Wat is de aard van de inbreuk? (U kunt meerdere mogelijkheden aankrui- sen.)
i. Lezen (vertrouwelijkheid)
ii. Kopiëren
iii. Veranderen (integriteit)
iv. Verwijderen of vernietigen (beschikbaarheid)
v. Diefstal
vi. Nog niet bekend
f. Om welk type Persoonsgegevens gaat het? (U kunt meerdere mogelijkhe- den aankruisen.)
i. Naam -, adres - en woonplaatsgegevens
ii. Telefoonnummers
iii. E-mailadressen of andere adressen voor elektronische communica- tie
iv. Toegangs - of identificatiegegevens (bijvoorbeeld inlognaam/wacht- woord of klantnummer)
v. Financiële gegevens (bijvoorbeeld rekeningnummer, creditcardnum- mer)
vi. Burgerservicenummer (BSN)
vii. Paspoortkopieën of kopieën van andere legitimatiebewijzen
viii. Geslacht, geboortedatum en/of leeftijd
ix. Bijzondere Persoonsgegevens (bijvoorbeeld ras, etniciteit, criminele gegevens, politieke overtuiging, vakbondslidmaatschap, religie, sek- suele leven, medische gegevens)
x. Overige gegevens, namelijk: (vul aan)
g. Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de betrokkenen? (U kunt meerdere mogelijkheden aankruisen.)
i. Stigmatisering of uitsluiting
ii. Schade aan de gezondheid
iii. Blootstelling aan (identiteits)fraude
iv. Blootstelling aan spam of phishing
v. Xxxxxx, namelijk: (vul aan)
h. Welke technische en organisatorische maatregelen heeft uw organisatie getroffen om de inbreuk aan te pakken en om verdere inbreuken en schade te voorkomen?
i. Zijn de Persoonsgegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? (Kies een van de volgende opties en vul waar nodig aan.)
i. Ja
ii. Nee
iii. Deels, namelijk: (vul aan)
j. Als de Persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk zijn gemaakt, op welke manier is dit dan gebeurd? (Beantwoord deze vraag als u bij de vorige vraag gekozen heeft voor optie a of optie c. Als u gebruik heeft gemaakt van encryptie, licht dan ook de wijze van versleute- len toe.)
k. Heeft de inbreuk betrekking op personen in andere EU-landen? (Kies een van de volgende opties.)
i. Ja
ii. Nee
iii. Nog niet bekend
Bijlage 3: Beschrijving verwerking persoonsgegevens in het kader van het we- tenschappelijk onderzoek van de Rijksuniversiteit Groningen
A. Xxxxxxxxx voor het verwerken van gegevens
Het doel van de verwerking van persoonsgegevens door de Rijksuniversiteit Gro- ningen is het uitvoeren van wetenschappelijk onderzoek om leerkrachten/docen- ten beter te kunnen ondersteunen bij het verbeteren van de sfeer in de klas. Zij onderzoeken of KiVa wel voor alle leerlingen even goed werkt en waarom leer- lingen op de ene school een hoger welbevinden hebben dan op de andere school. De antwoorden op deze vragen kunnen de sfeer op school nog verder verbeteren en kunnen KiVa beter laten aansluiten bij alle typen scholen, leerkrachten/docen- ten en leerlingen.
Als onderdeel van het KiVa-programma op school vullen leerlingen tweejaarlijks de KiVa-monitor in. Voor het onderzoek wil de Rijksuniversiteit Groningen graag de gegevens uit deze vragenlijsten gebruiken. Alle antwoorden die de leerling geeft, worden vertrouwelijk behandeld. Leerlingen merken dus zelf niets van het onderzoek.
B. Toestemming voor het onderzoek
Deelname aan het onderzoek van de Rijksuniversiteit Groningen is vrijwillig. Ou- der(s)/verzorger(s) bepalen of de gegevens van hun kind(eren) mogen worden ge- bruikt voor onderzoek. Toestemming wordt gegeven via een informatie- en toe- stemmingsbrief. Toestemming wordt door de schoolcoördinatoren verzameld, inge- voerd in de KiVa-monitortool, opgestuurd naar KiVa BV en vergrendeld bewaard aan de Rijksuniversiteit Groningen. Alleen van leerlingen die toestemming hebben van xxxxx(s)/verzorger(s), worden de gegevens uit de vragenlijsten voor het on- derzoek gebruikt. Verleende toestemming geldt voor de gehele loopbaan van de leerling op uw school. Toestemming kan altijd zonder verdere toelichting worden ingetrokken zonder dat dit enige negatieve gevolgen heeft. Ingetrokken toestem- mingen kunnen worden doorgeven aan KiVa BV.
C. Gebruik van de gegevens
De gegevens worden uitsluitend voor wetenschappelijk onderzoek gebruikt. Resul- taten kunnen worden gepubliceerd in een proefschrift, in onderzoek voor scripties en in wetenschappelijke tijdschriften. De informatie in een publicatie is nooit tot de leerling te herleiden. Als er geschreven wordt over het onderzoek, zal nooit de naam van leerlingen, leerkrachten/docenten of scholen worden genoemd.
D. Persoonsgegevens
Persoonsgegevens die door de Rijksuniversiteit Groningen worden verwerkt, zijn de naam, het deelnemersnummer en de geboortedatum van het kind en de antwoor- den die het geeft op de vragenlijsten. Alleen de hoofdonderzoeker, Xxxx Xxxxxxxx en de KiVa datamanager hebben toegang tot de persoonsgegevens die een leerling direct identificeren.
E. Onderzoekers
• Persoonsgegevens mogen niet door de datamanager of hoofdonderzoeker van de Rijksuniversiteit Groningen worden verstrekt aan derden. Zij mogen de gegevens alleen verwerken onder voorwaarde van geheimhouding en het nemen van passende beschermingsmaatregelen.
• Externe onderzoekers betreffen onderzoekers die de gegevens willen gebrui- ken voor andere onderzoeksvragen dan het evalueren van de pilot. Zij kun- nen op verzoek eventueel toegang krijgen tot een onderdeel van de gege- vens. De Rijksuniversiteit Groningen maakt met hen dan afspraken over het
zorgvuldige omgaan met de gegevens. In deze afspraken staat dat de ge- gevens alleen mogen worden gebruikt voor het doel waarvoor ze zijn gekre- gen. Na afloop van de overeengekomen afspraken moeten de gegevens wor- den vernietigd.
F. Opslaan van gegevens
Beveiliging:
Er worden passende beveiligingsmaatregelen genomen door de Rijksuniversiteit Groningen:
• Gegevens worden vergrendeld opgeslagen in de database van Ediso B.V..
• Toegang tot de gegevens is alleen mogelijk voor specifieke, geautoriseerde personen met gebruik van een unieke, persoonsgebonden inlognaam en wachtwoord.
• Elke toegang tot de gegevens wordt bijgehouden.
• Alleen de door een gebruiker specifiek opgevraagde gegevens worden aan- geleverd (altijd anoniem).
• Het uitwisselen van de gegevens gebeurt altijd via een versleutelde verbin- ding.
Bewaartermijnen:
De gegevens die leerlingen direct herkenbaar maken worden tot 10 jaar na afloop van het onderzoek bewaard. Het bewaren van deze gegevens heeft te maken met het koppelen van de antwoorden van de leerling over meerdere meetmomenten. Daarna worden deze gegevens verwijderd. Na deze verwijdering is het niet meer mogelijk om te achterhalen wie welke antwoorden heeft gegeven. Dat betekent ook dat ouder(s)/verzorger(s) en leerlingen tot tien jaar na afronding van het onderzoek hun gegevens kunnen laten verwijderen. Het geanonimiseerde onderdeel van de gegevens wordt voor verder onderzoek bewaard.
G. Rechten van betrokkenen
Betrokkenen hebben op grond van de privacywetgeving diverse rechten. Als zij ge- bruik willen maken van hun rechten of als zij vragen hebben over privacy, dan kunnen zij contact opnemen met de Rijksuniversiteit Groningen (via pri- xxxx@xxx.xx). Verzoeken worden binnen een maand beoordeeld en afgehandeld. Voor behandeling wordt vastgesteld dat het verzoek legitiem is en is ingediend door een bevoegd persoon. Daarom kan om een legitimatie worden gevraagd voordat het verzoek in behandeling wordt genomen.
Ouder(s)/verzorger(s) hebben het recht namens hun kind te verzoeken om een overzicht van de over hun kind verwerkte persoonsgegevens en de verwerkingen daarvan. Als ouder(s)/verzorger(s) of de leerling vinden dat de persoonsgegevens van de leerling onjuist zijn verwerkt of als zij niet langer willen dat deze gegevens worden verwerkt, dan kunnen zij vragen om deze gegevens aan te passen of om verwerking van de persoonsgegevens te stoppen en deze te verwijderen. Betrok- kenen hebben in bepaalde gevallen ook recht op een afschrift van de persoonsge- gevens in een bruikbaar formaat. Om een verzoek te beoordelen en af te handelen, worden vanzelfsprekend persoonsgegevens verwerkt.
Als ouder(s)/verzorger(s) niet langer willen dat de persoonsgegevens van het kind worden gebruikt, dan kunnen zij dit aangeven bij de ondzoekers. De gegevens van de leerling zullen uit de onderzoeksdata worden verwijderd. Het intrekken van toe- stemming of het verwijderen van de persoonsgegevens maakt de verwerkingen van
de gegevens die al hebben plaatsgevonden, niet ongedaan. Leerlingen die niet lan- ger naar school gaan zullen ook niet meer benaderd worden voor het onderzoek.
Ouder(s)/verzorger(s) kunnen met vragen voor de Functionaris Gegevensbescher- ming van de Rijksuniversiteit Groningen contact opnemen via xxxxxxx@xxx.xx. Naast het feit dat ouder(s)/verzorger(s) bij de Rijksuniversiteit Groningen terecht kunnen met vragen, hebben zij ook het recht om een klacht in te dienen bij de toezichthoudende autoriteit. Dit is in Nederland de Autoriteit Persoonsgegevens.