Bijlage 1 bij de Verwerkersovereenkomst Bohn Stafleu van Loghum
Bijlage 1 bij de Verwerkersovereenkomst Xxxx Stafleu van Loghum
Privacy Bijsluiter Digitale Leermiddelen Primair Onderwijs, Xxxx Stafleu van Loghum
Xxxx Stafleu van Loghum, onderdeel van Springer media B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten (‘digitale leermiddelen’) aanbiedt voor gebruik in het onderwijs waarbij persoonsgegevens worden verwerkt. Wij vinden het belangrijk om uiterst zorgvuldig met deze persoonsgegevens om te gaan.
Xxxx Stafleu van Loghum heeft het Privacyreglement van haar brancheorganisatie GEU en het ‘Convenant Digitale Onderwijsmiddelen en Privacy - Leermiddelen en Toetsen’ onderschreven. In dit convenant is tussen aanbieders en de onderwijssectorraden vastgelegd dat een onderwijsinstelling in juridische zin de ‘verwerkersverantwoordelijke’ is voor de verwerking van persoonsgegevens. Daardoor hebben en houden onderwijsinstellingen zeggenschap over de gegevens die binnen leermiddelen worden verwerkt. Xxxx Stafleu van Loghum is een ‘verwerker’, die uitvoering geeft aan de opdracht van een onderwijsinstelling.
De afspraken die hiervoor gelden, zijn vastgelegd in de Verwerkersovereenkomst van Xxxx Stafleu van Loghum. Deze Privacy Bijsluiter vormt een onlosmakelijk onderdeel van de Verwerkersovereenkomst. In deze bijsluiter richten wij ons tot u als onderwijsinstelling om u meer specifiek te informeren over onze digitale leermiddelen en de bijbehorende gegevensverwerkingen. Daardoor wordt duidelijk welke opdracht u als onderwijsinstelling geeft aan Xxxx Stafleu van Loghum om gegevens te verwerken. Deze Privacy Bijsluiter stelt u tevens in staat om ouders en leerlingen te informeren over de verwerking van persoonsgegevens.
A. Algemene informatie
Naam product en/of dienst: | Deze Privacy Bijsluiter heeft betrekking op het online product BSL Testweb Onderwijs van Xxxx Stafleu van Loghum. |
Naam Verwerker en vestigingsgegevens: | Xxxx Stafleu van Loghum te Houten. Xxxx Stafleu van Loghum is een aanbieder van digitale leermiddelen. |
Beknopte uitleg en werking product en dienst: | Met BSL Testweb Onderwijs beschikt de Onderwijsinstelling over een platform en een assortiment vragenlijsten en meetinstrumenten (tests) waarmee specifieke sociale en/of psychische problematiek onderzocht kan worden. Onder meer op het gebied van ADHD, autisme, agressie, leervoorwaarden, sociaal-emotionele problematiek, psychosociale vaardigheden en taal- en spraakstoornissen. De verwerking van persoonsgegevens binnen deze producten en diensten heeft betrekking op: - het toegang krijgen tot het platform door middel van een inlogprocedure; - Het opvoeren van gegevens van de |
behandelaar(s) en leerkracht(en) - Het toewijzen van tests aan leerkrachten - het invullen/uitvoeren van de test voor leerlingen door de leerkracht - het inzien van en rapporteren over de resultaten aan de behandelaar | |
Link naar uitgever en/of productpagina: | xxxxx://xxxxxxxxx.xxxxxxxxxx.xx of xxx.xxx.xx |
Doelgroep: | Primair Onderwijs, alle groepen |
Gebruikers: | De digitale leermiddelen zijn gericht op gebruik door Orthopedagogen, leerkrachten, ict-coördinatoren. |
B. Doeleinden voor het verwerken van gegevens en specifieke diensten
Xxxx Stafleu van Loghum maakt een onderscheid tussen verwerkingen die een onlosmakelijk onderdeel vormen van de aangeboden dienst, en optionele verwerkingen.
Verwerkingen die een onlosmakelijk onderdeel vormen
De verwerkingen door Xxxx Stafleu van Loghum vinden primair plaats om onderwijstellingen in staat te stellen om met gebruikmaking van BSL Testweb Onderwijs de leerlingen met specifieke sociale en/of psychische problematiek te onderzoeken.
Bij het gebruik van BSL Testweb Onderwijs vinden altijd de volgende verwerkingen plaats, in lijn met artikel 5 van het Convenant Digitale Onderwijsmiddelen en Privacy - Leermiddelen en Toetsen:
• de opslag van ingevulde vragenlijsten en meetresultaten; |
• het invullen van vragenlijsten en meten met meetinstrumenten; |
• het rapporteren over meetresultaten per leerling en klas om inzicht te krijgen hoe een leerling presteert ten opzichte van deze groep]; |
• het geleverd krijgen/in gebruik kunnen nemen van het platform; |
• het verkrijgen en verlenen van toegang tot het BSL Testweb Onderwijs platform, waaronder de identificatie, authenticatie en autorisatie; |
• de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik, en het voorkomen van inconsistentie en onbetrouwbaarheid in de verwerkte persoonsgegevens; |
• de continuïteit en goede werking van het platform, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning; |
• het verwerken van gegevens tot volledig geanonimiseerde onderzoeks- of analysedata ten behoeve van de verbetering van de kwaliteit van het onderwijs. |
Optionele verwerkingen
Er zijn geen optionele verwerkingen.
C. Categorieën en soorten persoonsgegevens
Bij het gebruik van BSL Testweb Onderwijs worden alleen identificerende persoonsgegevens verwerkt.
Omschrijving van de verwerkte persoonsgegevens: | De beheerder of coördinator van de Onderwijsinstelling krijgt bij aanschaf van BSL Testweb Onderwijs een account om in te loggen op het platform en om toegang te krijgen tot de omgeving van de school. De volgende persoonsgegevens worden verwerkt: • Naam Onderwijsinstelling • Naam beheerder • Emailadres (=gebruikersnaam) • rol De beheerder richt de omgeving van de Onderwijsinstelling in door o.a. accounts aan te maken voor behandelaars en leerkrachten en rechten toe te kennen. De volgende persoonsgegevens worden verwerkt: • Naam behandelaar of leerkracht • Emailadres (=gebruikersnaam) • rol Behandelaars loggen met hun account in om tests toe te wijzen aan leraren, inzage te krijgen in de resultaten en om te rapporteren. Leraren loggen met hun account in om vragenlijsten in te vullen en gebruik te maken van de meetinstrumenten. De volgende persoonsgegevens worden per test verwerkt: • Naam leerling • Klas |
Soorten van gegevens: | BSL Testweb Onderwijs is ontwikkeld voor het onderzoeken en testen van leerlingen met mogelijk specifieke sociale en/of psychische problemen. Op basis van de resultaten van het gebruik van BSL Testweb Onderwijs kan de onderwijsinstelling zelf conclusies trekken over eventuele beperkingen in de ontwikkeling en de oorzaak daarvan. Testresultaten en de gegevens van onze gebruikers beschouwen wij te allen tijde als privacygevoelige gegevens, waarbij wij hoge eisen stellen aan de betrouwbaarheid en veiligheid van onze systemen. |
Bewaartermijn: | Accountgegevens van de beheerder worden bewaard zolang het contract met de onderwijsinstelling loopt. Accountgegevens van behandelaars en leraren alsook de testresultaten van leerlingen worden bewaard totdat de beheer deze gegevens verwijdert of totdat het contract met de Onderwijsinstelling eindigt. |
D. Algemene informatie over getroffen beveiligingsmaatregelen:
Voor de genomen veiligheidsmaatregelen verwijzen wij u naar Bijlage 2 van de Verwerkersovereenkomst.
Persoonsgegevens worden door Xxxx Stafleu van Loghum verwerkt binnen Nederland. Een overzicht van de plaats van opslag en verwerkingen door subverwerkers die worden ingeschakeld door Xxxx Stafleu van Loghum treft u hieronder.
E. Subverwerkers
Voor de verwerking van persoonsgegevens worden door Xxxx Xxxxxxx van Loghum subverwerkers ingeschakeld.
Naam: | Omschrijving: | Land van opslag en verwerking: |
Stipp B.V te Deventer | Leverancier van de applicatie(s). Ontwikkelt en onderhoudt de applicatie in opdracht van Xxxx Xxxxxxx van Loghum. Verantwoordelijk voor de hosting van het platform welke is uitbesteed bij Interconnect B.V te ‘s-Hertogenbosch | Nederland |
F. Contactgegevens
Voor vragen of opmerkingen over deze Privacy Bijsluiter of de werking van onze digitale leermiddelen, kunt u terecht bij: Xxxx Stafleu van Loghum, Xxxxxxxx 0, 0000 XX xx Xxxxxx. Onze helpdesk is telefonisch bereikbaar via x00 00 000 0000 of via xxxx@xxx.xx. Meer informatie treft u op xxx.xxx.xx.
I. Versie
Deze Privacy Bijsluiter is voor het laatst bijgewerkt op 1 juli 2018.
Bijlage 2 bij de Verwerkersovereenkomst BSL Testweb Onderwijs, Xxxx Stafleu van Loghum
Beveiligingsbijlage
Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst
I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens.
Xxxx Stafleu van Loghum hanteert een autorisatiebeleid om te bepalen wie toegang moet hebben tot welke gegevens. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
Medewerkers en gegevens: | Handelingen: |
Medewerkers van de klantenservice hebben toegang tot licentieinformatie. Zij kunnen onder meer zien voor welke Onderwijsinstelling BSL Testweb Onderwijs (platform) is geactiveerd. De klantenservice heeft geen inzage in testresultaten van leerlingen. | Administratieve handelingen in het kader van de werking van het platform en licenties. Ondersteuning van de eindgebruiker. |
Materiedeskundigen op het gebied van ontwikkeling van testmateriaal hebben toegang tot geanonimiseerde sets van resultaten van gebruik van leermiddelen, eventuele problemen/fouten bij gebruik | Opvoeren en onderhouden van testmateriaal w.o. vragenlijsten en meetinstrumenten, gericht op verbetering van het materiaal, opsporing en verbetering van fouten in de werking van het digitale leermiddel. |
IT-databasebeheerders hebben toegang tot de databases. | De handelingen van IT-databasebeheerders zijn gericht op continuïteit en optimalisatie van ICT- systemen. |
II. Omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, Verwerking, toegang of openbaarmaking.
Organisatie van informatiebeveiliging en communicatieprocessen
• Xxxx Stafleu van Xxxxxx beschikt over een actief informatiebeveiligingsbeleid.
• Xxxx Stafleu van Loghum heeft een coördinator voor informatiebeveiliging om risico’s omtrent de verwerking van persoonsgegevens te inventariseren, beveiligingsbewustzijn te stimuleren, voorzieningen te controleren en maatregelen te treffen die zien op naleving van het informatiebeveiligingsbeleid.
• Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
• Xxxx Stafleu van Loghum heeft een proces ingericht voor communicatie over informatiebeveiligingsincidenten.
Medewerkers
• Met medewerkers worden geheimhoudingsverklaringen overeengekomen en informatiebeveiligingsafspraken gemaakt.
• Xxxx Stafleu van Loghum stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.
• Medewerkers hebben op grond van een autorisatiesystematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
Beveiliging en continuïteit van de middelen, het netwerk, de server en de applicatie
Xxxx Stafleu van Loghum heeft het Certificeringsschema (zie xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx_xxxxxxxxx/xxxxxxxxxxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxx-xx-xxxxxxx- rosa/certificeringsschema-informatiebeveiliging-en-privacy-rosa/) gebruikt als toetsingskader en voor het creëren van een solide basisniveau van informatiebeveiliging en privacy voor BSL Testweb Onderwijs. Hieronder staat de rapportage van de BIV-classificatie, de mate van compliance en de uitleg bij eventuele afwijkingen van de standaarden.
Toetsvorm | Self-assessment in overleg met subverwerker | ||
Uitvoerder toets | Xxxx Xxxxxxx van Loghum, Xxxxxx Xxxxx, Manager Business IT | ||
BIV-classificatie | Beschikbaarheid=2, Integriteit=2, Vertrouwelijkheid=2 | ||
Categorie | Maatregelen | Compliance | Uitleg |
Beschikbaarheid | Overbelasting | Voldaan | |
Business continuity | Voldaan | ||
Ontwerp | Voldaan | ||
Monitoring | Voldaan | ||
Testen | Voldaan | ||
Software | Voldaan | ||
Actuele dreigingen | Voldaan | ||
Integriteit | Herleidbaarheid (gebruikers) | Voldaan | |
Backup | Voldaan | ||
Application controls | Voldaan | ||
Onweerlegbaarheid | Voldaan | ||
Herleidbaarheid (technisch beheer) | Voldaan | ||
Controle integriteit | Voldaan | ||
Onweerlegbaarheid | Voldaan | ||
Actuele dreigingen | Voldaan | ||
Vertrouwelijkheid | Levenscyclus gegevens | Voldaan | |
Logische toegang | Voldaan | ||
Fysieke toegang | Voldaan | ||
Netwerk toegang | Voldaan | ||
Scheiding omgevingen | Voldaan | ||
Transport en fysieke opslag | Voldaan | ||
Logging | Voldaan | ||
Toetsing | Voldaan | ||
Actuele dreigingen | Voldaan |
III. Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Onderwijsinstelling.
Het BSL Test Onderwijs platform van Xxxx Stafleu van Loghum wordt periodiek gecontroleerd op veiligheid. Daarnaast voorziet het beveiligingsbeleid van Xxxx Stafleu van Loghum in interne processen om kwetsbaarheden te identificeren.
Rapportage
Verwerker actualiseert deze informatie voortdurend en informeert gebruikers over wijzigingen in de getroffen maatregelen om persoonsgegevens te beschermen tegen misbruik xxxxx://xxxxxxxxx.xxxxxxxxxx.xx/xxxxxxx.
In het geval u beveiligingsrisico’s constateert, dan verzoeken wij u contact op te nemen met de helpdesk van Xxxx Stafleu van Loghum via 030-638 3736.
Informeren over Datalekken en/of incidenten met betrekking tot beveiliging
• De wijze waarop monitoring en identificatie van Datalekken plaatsvindt
Xxxx Stafleu van Loghum monitort 24/7 haar dienstverlening en heeft de in Bijlage 2 opgenomen maatregelen getroffen om ongeoorloofde of onrechtmatige toegang tot gegevens te voorkomen en te identificeren.
Signalen die duiden op een Datalek worden beoordeeld door de security officer van Xxxx Xxxxxxx van Loghum, die analyseert of sprake kan zijn van een Datalek.
• De wijze waarop informatie wordt gedeeld:
Wanneer zich een Datalek voordoet, wordt de verwerkersverantwoordelijke onderwijsinstelling door of namens Xxxx Stafleu van Loghum in beginsel zonder onredelijke vertraging na vaststelling dat sprake is van een Datalek per e-mail geïnformeerd. Afhankelijk van de situatie, kan ook informatie worden gedeeld via onze website en officiële sociale media kanalen en/of officiële distributeurs en/of handelsagenten.
Voor vervolgacties of vragen kan telefonisch of per e-mail contact worden opgenomen met onze helpdesk via de in de Privacy Bijsluiter opgenomen gegevens.
• Xxxx Stafleu van Loghum deelt ten minste de volgende informatie wanneer zich een Datalek voordoet:
- De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
- De oorzaak van het beveiligingsincident;
- De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen;
- Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin;
- De omvang van de groep betrokkenen;
- Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
Indien een concrete situatie zich daartoe leent, dan kan Xxxx Stafleu van Loghum een (eerste) melding van een Datalek doen aan de Autoriteit Persoonsgegevens. De Onderwijsinstelling wordt hierover geïnformeerd en blijft ook in dit geval eindverantwoordelijk voor de melding.
Versie
Deze bijlage 2 is voor het laatst bijgewerkt op 1 juli 2018.
Deze privacy bijsluiter maakt onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen en Privacy 3.0, een initiatief van de PO-Raad, VO-raad, MBO Raad, de verschillende betrokken ketenpartijen (GEU, KBB-e en VDOD) en het ministerie van Onderwijs, Cultuur en Wetenschap. Meer informatie hierover vindt u hier: xxxx://xx.xxxxxxxxxxxxxxxx.xx.