BIJLAGE 1 bij Verwerkersovereenkomst Versie 3.0: Privacy Bijsluiter Oefenweb.nl B.V. (Rekentuin, Taalzee en Words & Birds)
BIJLAGE 1 bij Verwerkersovereenkomst Versie 3.0: Privacy Bijsluiter Xxxxxxxx.xx B.V. (Rekentuin, Taalzee en Words & Birds)
Deze Privacy Bijsluiter van Xxxxxxxx.xx B.V. (hierna te noemen: “Oefenweb”) is tot stand gekomen op basis van het model dat is vastgesteld door het Convenant Digitale Onderwijsmiddelen en Privacy - Leermiddelen en Toetsen -, een initiatief van de PO-Raad, VO-raad, de verschillende betrokken ketenpartijen (GEU, KBb-e en vDOD), het ministerie van Onderwijs, Cultuur en Wetenschappen en het ministerie van Economische Zaken (hierna: het “Convenant”).
De Privacy Bijsluiter is een bijlage bij de Verwerkersovereenkomst (die eveneens is vastgesteld op basis van het model van het Convenant), versie 3.0, en is bedoeld om eenvoudig te begrijpen informatie te verschaffen over de Verwerking en bescherming van Persoonsgegevens bij de dienstverlening van Oefenweb
A. Algemene informatie
Naam product en/of dienst: Rekentuin / Taalzee / Words&Birds
Naam Verwerker en vestigingsgegevens: Xxxxxxxx.xx B.V., Xxxxxxxxxxxxxxxxx 000,
Xxxxxxxxx.
Link naar uitgever en/of productpagina: Xxxxxxxx.xx, Xxxxxxxxx.xx, Xxxxxxx.xx,
Words&Xxxxx.xx
Beknopte uitleg en werking product en dienst: Rekentuin, Taalzee en Words&Birds zijn
webapplicaties om rekenen, Nederlands en Engels mee te oefenen en volgen. De leerling kan op zijn of haar eigen tempo werken en de opgaven die de leerling krijgt, zijn afgestemd op het niveau van de leerling. Leerkrachten krijgen inzicht in de leerresultaten van hun leerlingen
Doelgroep (zoals PO/VO, onderbouw/bovenbouw):
Gebruikers (leerlingen/ouders/verzorgers/docenten):
PO, VO, MBO, HBO
Xxxxxxxxxx, ouders/verzorgers, leerkrachten, ICT- coördinatoren, intern begeleiders, remedial teachers en directeuren.
B. Doeleinden voor het verwerken van Persoonsgegevens en specifieke diensten
Verwerker is leverancier van digitale leermiddelen die adaptief onderwijs mogelijk maken. De doeleinden van de Verwerking van Persoonsgegevens met behulp van de producten van Oefenweb, zijn in overeenstemming met de Verwerkingsdoeleinden voor Leermiddelen en Toetsen, zoals opgenomen in artikel 5 van het Convenant Digitale Onderwijsmiddelen en Privacy 3.0.
Verwerkingen die een onlosmakelijk onderdeel vormen van de onder A genoemde producten
De verwerkingen door Xxxxxxxx vinden plaats om Onderwijsinstellingen in staat te stellen om onderwijs te geven en volgen en leerlingen te kunnen volgen en begeleiden.
Bij het in gebruik nemen van de producten van Oefenweb vinden altijd de volgende verwerkingen plaats:
• de opslag van leer- en toetsresultaten;
• het terugontvangen door de Onderwijsinstelling van leer- en toetsresultaten;
• de beoordeling van leer- en toetsresultaten om leerstof en toetsmateriaal te kunnen verkrijgen dat is afgestemd op de specifieke leerbehoefte van een leerling;
• de beoordeling van leer- en toetsresultaten van een leerling t.o.v. de resultaten van een groep van leerlingen om inzicht te krijgen hoe een leerling presteert t.o.v. deze groep (bijvoorbeeld: percentielscores);
• analyse en interpretatie van leerresultaten;
• het geleverd krijgen/in gebruik kunnen nemen van de digitale leermiddelen;
• het verkrijgen van toegang tot de aangeboden digitale leermiddelen, en externe informatiesystemen, waaronder identificatie, authenticatie en autorisatie;
• de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomen van inconsistentie en onbetrouwbaarheid in de verwerkte Persoonsgegevens
• de continuïteit en goede werking van het digitale leermiddel, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning;
• onderzoek en analyse op basis van strikte voorwaarden, vergelijkbaar met bestaande gedragscodes op het terrein van onderzoek en statistiek, ten behoeve van het (optimaliseren van het) leerproces, het product of het beleid van de Onderwijsinstelling;
• het door de Onderwijsinstelling voor onderzoeks- en analysedoeleinden beschikbaar kunnen stellen van volledig geanonimiseerde Persoonsgegevens om daarmee de kwaliteit van het onderwijs te verbeteren.
• het beschikbaar stellen van Persoonsgegevens voor zover noodzakelijk om te kunnen voldoen aan de wettelijke eisen die worden gesteld aan Digitale Onderwijsmiddelen;
• de uitvoering of toepassing van een andere wet.
Optionele verwerkingen:
Bij het gebruik van de digitale leermiddelen van Oefenweb kunnen ook andere verwerkingen plaatsvinden, afhankelijk van de keuzes, voorkeuren of instellingen van de betreffende Onderwijsinstelling:
• Het kunnen uitwisselen van leer- en toetsresultaten met leerlingadministratiesystemen van de Onderwijsinstelling.
• Het kunnen uitwisselen van leer- en toetsresultaten met dashboards die de Onderwijsinstelling in gebruik heeft.
• Sommige contactgegevens zijn optioneel, zoals het telefoonnummer van docenten/beheerders en het mailadres van leerlingen.
• Voor bovenschoolse besturen is het een optie om gebruikersstatistieken per school en per klas te (laten) verwerken.
• Verwerking van het e-mailadres voor nieuwsbrieven is optioneel en verloopt via opt-in.
• Het geven van een review over producten van Oefenweb is optioneel en verloopt via opt-in.
• Het bewaren van persoonsgegevens voor longitudinale onderzoeks- en productoptimalisatie projecten, zie artikel C voor toelichting en de mogelijkheid om hier bezwaar tegen te maken.
C. Bewaartermijnen en wetenschappelijk onderzoek
Persoonsgegevens van leerlingen en leerkrachten van scholen worden bewaard tot 12 maanden na het aflopen van het abonnement, tenzij Verantwoordelijke expliciet verzoekt om een kortere bewaartermijn. Hierdoor hebben scholen de gelegenheid om nog een jaar lang terug te kunnen kijken als ze nog willen weten hoe kinderen presteerden met het betreffende leermiddel van Oefenweb. Mocht een school bijvoorbeeld overstappen op een ander leermiddel, dan stelt dit de school tevens in staat om leerresultaten uit het nieuwe product te vergelijken met die van Oefenweb. Daarnaast stelt het scholen in staat om binnen een periode van 12 maanden terug te komen op hun beslissing om te stoppen met de producten van Oefenweb en kunnen leerlingen verdergaan waar ze waren gebleven.
Data wordt in volledig geanonimiseerde vorm voor onbeperkte termijn bewaard voor wetenschappelijk onderzoek. Voor wetenschappelijk onderzoek kan de geanonimiseerde data ook ter beschikking worden gesteld aan derden.
Er kunnen wetenschappelijke projecten of interne projecten ter verbetering van de producten van Oefenweb zijn waarvoor het ook na de termijn van 12 maanden van belang kan zijn om een koppeling te kunnen leggen tussen de geanonimiseerde onderzoeksdata en de persoonsgegevens van de gebruikers van Oefenweb. Een voorbeeld van een dergelijk project kan een onderzoek zijn naar de correlatie tussen de leerresultaten van leerlingen in de producten van Oefenweb en hun latere (leer)prestaties. Voor deze doeleinden bewaart Oefenweb in een daarvoor speciaal beveiligde omgeving een koppeling tussen de onderzoeksdata en de persoonsgegevens. Alleen medewerkers met het hoogste autorisatieniveau hebben toegang tot deze gegevens. Telkens geldt dat gewerkt wordt volgens de normen die voortvloeien uit huidige en toekomstige wet- en regelgeving. Mocht Verantwoordelijke bezwaar maken tegen de verwerking van persoonsgegevens voor dit doeleinde dan kan Verantwoordelijke dit kenbaar maken door een mail te sturen naar xxxxxxx@xxxxxxxx.xx. De persoonsgegevens zullen dan niet bewaard worden.
Indien gebruikers van Oefenweb zich voor de nieuwsbrief hebben aangemeld (opt-in) dan blijven ze deze nieuwsbrief ontvangen ook als er geen klantrelatie met Oefenweb meer bestaat. Zij kunnen zich wel te allen tijde, zowel gedurende als na afloop van de klantrelatie, hiervoor afmelden. Oefenweb bewaart de contactgegevens van de contactpersoon (voornaam, achternaam, telefoonnummer, mailadres en functie) van de school ook na de termijn van 12 maanden in haar CRM-systeem, om informatie te kunnen verstrekken over soortgelijke producten of diensten als eerder werden afgenomen. De contactpersoon kan zich op ieder moment afmelden van het ontvangen van dergelijke berichten. In geval van expliciete afmelding of een uitdrukkelijk verzoek daartoe, worden de contactgegevens verwijderd uit het CRM-systeem. Contactgegevens, zowel voor de nieuwsbrief als het CRM-systeem, zullen alleen gebruikt worden om te informeren over de eigen producten van Oefenweb. Deze gegevens zullen nooit gedeeld worden met derden.
D. Categorieën en soorten Persoonsgegevens
Betrokkenen: Klant
Categorie | Toelichting |
Contactgegevens | Naam, voornamen, geslacht (optioneel), telefoonnummer, adres, postcode en plaats. Voor de laatste gegevens is de verwachting dat de klant de gegevens van de school zal gebruiken |
Financiën | Bankgegevens (bankrekeningnummer en verrichte betalingen). Oefenweb slaat zelf geen bankgegevens op, maar heeft wel inzicht in de betalingstransacties bij haar betaaldienstverlener. |
Betrokkenen: Gebruikers – beheerders/docenten
Categorie | Toelichting |
Contactgegevens | Naam, voornamen, e-mailadres, telefoonnummer (optioneel) |
Onderwijs-deelnemer-nummer | Een administratienummer dat deelnemer identificeert. Optioneel: LAS-key, Basispoort ID en indien beschikbaar het ECK-ID |
School/instellingsinformatie | Schoolnaam, klasnaam |
Gebruiksinstellingen en handelingen | Aantal logins, handelingen die leerkracht op klasniveau uitvoert zoals spelinstelling |
Technische gegevens | - Browseridentificatie (user agent) om in het geval van problemen te kunnen zien welke software gebruikt wordt door de klant en problemen op te lossen - IP-adres. Voor intern gebruik voor inzicht in gebruikersstatistieken en om misbruik (overbelasting netwerk) tegen te gaan. |
Betrokkenen: Gebruikers – spelers (kinderen, scholieren, volwassenen)
Categorie | Toelichting |
Contactgegevens | Naam, voornamen, geslacht, geboortedatum, leerjaar, e-mailadres (optioneel) |
Onderwijs-deelnemer-nummer | Een administratienummer dat deelnemer identificeert. Optioneel: LAS-key, Basispoort ID en indien beschikbaar het ECK-ID |
School/instellingsinformatie | Schoolnaam, leerkracht, klasnaam |
Leerprestaties | Gemaakte opgaven inclusief antwoorden en reactietijden Daarvan afgeleide gegevens, zoals vaardigheidsscores, leerdoelscores en percentielscores |
Gebruiksinstellingen en handelingen | Hieronder vallen o.a. behaalde xxxxxxxxxx, beschikbare spellen, gekozen moeilijkheidsniveaus, aantal logins en bekeken instructievideo’s |
Technische gegevens | - Browseridentificatie (user agent) om in het geval van problemen te kunnen zien welke software gebruikt wordt door de klant en problemen op te lossen - IP-adres. Voor intern gebruik voor inzicht in gebruikersstatistieken en om misbruik (overbelasting netwerk) tegen te gaan. |
E. Algemene informatie over getroffen beveiligingsmaatregelen:
Veiligheid staat voorop bij Oefenweb. Oefenweb stimuleert bewustzijn en training ten aanzien van privacy en informatiebeveiliging. Oefenweb neemt onder andere de volgende maatregelen:
- Iedere webapplicatie van Oefenweb is beveiligd met behulp van encryptietechnologie (SSL/TLS) om de uitwisseling van gegevens met Oefenweb te beveiligen.
- Er vinden dagelijks backups plaats om te voorkomen dat gegevens verloren gaan.
- Oefenweb hanteert een autorisatiebeleid om ervoor te zorgen dat medewerkers alleen toegang hebben tot Persoonsgegevens voor zover dat nodig is om hun werkzaamheden uit te voeren.
Een meer volledig overzicht van de genomen veiligheidsmaatregelen is opgenomen in Bijlage 2 bij de Verwerkersovereenkomst.
Audits
Verwerker zal alle medewerking verlenen die Verantwoordelijke redelijkerwijs nodig heeft voor het doen uitvoeren van een audit door een gekwalificeerde onafhankelijke auditor, om te controleren dat Verwerker diens verplichtingen onder deze overeenkomst nakomt. Een audit mag alleen uitgevoerd worden indien de Verantwoordelijke een concreet en op redelijk bewijs gebaseerd vermoeden heeft dat Verwerker diens verplichtingen onder de Verwerkersovereenkomst niet nakomt.
In ieder geval zal Verantwoordelijke (i) Verwerker tijdig op de hoogte stellen van haar voornemen een audit uit te voeren op grond van artikel 7.6, (ii) bewerkstelligen dat iedere door Verantwoordelijke ingeschakelde auditor voldoet aan de redelijke regels van Verwerker omtrent vertrouwelijkheid, gezondheid en veiligheid die Verwerker meedeelt aan Verantwoordelijke; en (iii) bewerkstelligen dat de audit zo wordt uitgevoerd dat belangrijke bedrijfsprocessen van Verwerker niet worden gehinderd.
Plaats/Land van opslag en Verwerking van de Persoonsgegevens
Verwerker zal geen persoonsgegevens van Verantwoordelijke doorgeven aan (een partij gevestigd in) een land dat door de Europese Unie niet is aangemerkt als een land waar privacy adequaat is beschermd, tenzij Verwerker met de betreffende partij een Verwerkersovereenkomst heeft gesloten waarbij de relevante door de Europese Commissie beschikbaar gestelde modelclausules zijn opgenomen, of in het geval van verwerking in de Verenigde Staten in ieder geval wordt voldaan aan de vereisten van het EU-U.S. Privacy Shield.
F. Subverwerkers
Verwerker maakt voor de dienstverlening gebruik van de volgende Subverwerkers:
• LeaseWeb is de hostingprovider die Oefenweb in staat stelt om haar applicaties beschikbaar te maken op het internet. Deze hostingprovider is gevestigd in Nederland.
• Hetzner is de hostingprovider waar backups van de data worden opgeslagen en de ontwikkelomgeving van Oefenweb staat. Deze hostingprovider is gevestigd in Duitsland.
• Buckaroo is de Payment Service Provider die Oefenweb gebruikt voor het verwerken van betalingen van de abonnementen op de producten van Oefenweb. Buckaroo is gevestigd in Nederland. Voor zover Buckaroo persoonsgegevens niet voor of namens Oefenweb verwerkt, zou Buckaroo als verwerkingsverantwoordelijke kunnen gelden, waarbij zij als financieel dienstverlener onder toezicht staat van de AFM en/of DNB.
• UvA Holding doet de financiële administratie voor Oefenweb en heeft voor dit doeleinde ook inzicht in de bestellingsgegevens (inclusief klantgegevens) van de klanten van Oefenweb. UvA Holding is gevestigd in Nederland.
• Google Apps is de e-mailprovider van Oefenweb, die het mogelijk maakt om per e-mail met Oefenweb te communiceren. Tevens wordt gebruik gemaakt van Google Drive voor documentenopslag. Oefenweb heeft met Google (een Amerikaans bedrijf) een Verwerkersovereenkomst met door de Europese Commissie vastgestelde modelclausules gesloten, om de bescherming van persoonsgegevens te waarborgen.
• Mailchimp is de dienst die Oefenweb gebruikt voor het versturen van nieuwsbrieven naar docenten en beheerders. Oefenweb heeft met Mailchimp (een Amerikaans bedrijf) een Verwerkersovereenkomst met door de Europese Commissie vastgestelde modelclausules gesloten, om de bescherming van persoonsgegevens te waarborgen.
• Kiyoh is de dienst die het mogelijk maakt om een review te geven over de producten van Oefenweb. Kiyoh is gevestigd in Nederland.
G. Contactgegevens
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij: E-mail: xxxxxxx@xxxxxxxx.xx
Telefoon: 020-8969444
H. Versie
Versie 3.0, laatst aangepast op 24 mei 2018.
Oefenweb kan de inhoud van deze Privacy Bijsluiter van tijd tot tijd bijwerken. De meest actuele versie staat altijd op xxx.xxxxxxxx.xx/xxxxxxx. Bij belangrijke wijzigingen, zoals bijvoorbeeld het toevoegen van (sub)verwerkers, zal Oefenweb de Onderwijsinstelling hier actief (bijvoorbeeld per e-mail) over informeren. De Onderwijsinstelling heeft na in kennis te zijn gesteld van een (voorgestelde) wijziging 30 dagen de tijd om enig bezwaar tegen een wijziging gemotiveerd kenbaar te maken. Wanneer een dergelijke kennisgeving achterwege blijft, geldt de wijziging als aanvaard.
Deze Privacybijsluiter maakt onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen en Privacy 3.0, een initiatief van de PO-Raad, VO-raad, MBO Raad de verschillende betrokken ketenpartijen (GEU, KBb-E en VDOD) en het ministerie van Onderwijs, Cultuur en Wetenschap. Meer informatie hierover vindt u hier: xxxx://xxx.xxxxxxxxxxxxxxxx.xx.
BIJLAGE 2 bij Verwerkersovereenkomst Versie 3.0: Technische en organisatorische beveiligingsmaatregelen
De Verwerker is overeenkomstig de AVG en artikel 7 en 8 van de Verwerkersovereenkomst verplicht technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens.
In deze bijlage wordt omschreven welke beveiligingsmaatregelen er door Xxxxxxxx.xx B.V. (hierna te noemen: “Oefenweb”) zijn getroffen. De beveiliging is een continu punt van aandacht en zorg.
Omschrijving van de maatregelen zoals bedoeld in artikel 7 van de Verwerkersovereenkomst
I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van persoonsgegevens
Oefenweb hanteert een autorisatiebeleid om ervoor te zorgen dat medewerkers alleen toegang hebben tot Persoonsgegevens voor zover dat nodig is om hun werkzaamheden uit te voeren.
Medewerkers en gegevens | Handelingen |
Medewerkers van de klantenservice hebben toegang tot informatie over het abonnement en het gebruik daarvan. | Administratieve handelingen en ondersteuning aan de eindgebruiker. |
Deskundigen op het gebied van ontwikkeling en analyse van lesmateriaal hebben toegang tot sets van resultaten van het gebruik van de leermiddelen. | Analyse van het lesmateriaal, gericht op verbetering van het materiaal, ontwikkeling en optimalisatie van adaptief lesmateriaal, opsporing en verbetering van fouten in de werking van het digitale leermiddel. In sommige gevallen tevens het beantwoorden van inhoudelijke vragen over leerresultaten. |
IT- & databasebeheerders en ontwikkelaars hebben toegang tot de online applicaties die Oefenweb aanbiedt en bijbehorende (live) databases. | De handelingen van de IT- & databasebeheerders en ontwikkelaars zijn gericht op beschikbaarheid, continuïteit en optimalisatie van de ICT-systemen en software. |
II. Omschrijving van de maatregelen om Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, Verwerking, toegang of openbaarmaking.
Hieronder wordt beschreven welke maatregelen Oefenweb heeft genomen om de Persoonsgegevens in haar applicaties te beschermen. In Bijlage 2a is tevens het ingevulde Certificeringsschema informatiebeveiliging en privacy ROSA te lezen.
Organisatie van informatiebeveiliging en communicatieprocessen
• Oefenweb heeft een Privacy & Security board om risico’s omtrent de verwerking van persoonsgegevens te inventariseren, beveiligingsbewustzijn te stimuleren, voorzieningen te
controleren en maatregelen te treffen die toezien op naleving van het informatiebeveiligingsbeleid.
• Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
• Xxxxxxxx heeft een proces ingericht en gedocumenteerd voor communicatie over informatiebeveiligingsincidenten.
Medewerkers
• Met medewerkers (zowel intern als extern) worden geheimhoudingsverklaringen overeengekomen en informatiebeveiligingsafspraken gemaakt.
• Oefenweb stimuleert bewustzijn en training ten aanzien van privacy en informatiebeveiliging.
• Oefenweb hanteert een autorisatiebeleid om ervoor te zorgen dat medewerkers alleen toegang hebben tot Persoonsgegevens voor zover dat nodig is om hun werkzaamheden uit te voeren.
Fysieke beveiliging en continuïteit van de middelen
• Persoonsgegevens worden uitsluitend verwerkt in een fysieke omgeving die op passende wijze is beschermd tegen bedreigingen van buitenaf. Het datacenter waar de servers draaien is ISO 27001 gecertificeerd.
• De continuïteit van de dienstverlening en de beschikbaarheid van de Persoonsgegevens wordt extra gewaarborgd door ‘geo-redundante’ backups. Dit wil zeggen dat de gegevens op een alternatieve, veilige locatie beschikbaar zijn, voor het geval er iets ernstigs mocht gebeuren met de primaire locatie (zoals een overstroming, aanslag of brand).
• Er worden dagelijks (versleutelde) back-ups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze back-ups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving.
• De locaties waar gegevens worden verwerkt worden periodiek getest, onderhouden en periodiek beoordeeld op veiligheidsrisico’s.
Netwerk-, server- en applicatiebeveiliging en onderhoud
• De netwerkomgeving waarbinnen gegevens worden verwerkt is strikt beveiligd. Daarbij worden verkeersstromen gescheiden en zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
• De omgeving waarbinnen persoonsgegevens worden verwerkt wordt gemonitord om aanvallen, inbraken of inbraakpogingen zo snel mogelijk te detecteren.
• De digitale leeromgevingen waarbinnen persoonsgegevens worden verwerkt, komen tot stand op basis van een getrapte ontwikkelstraat. Oefenweb draagt er zorg voor dat deze altijd naar beste kunnen is ingericht om beveiligingslekken te vermijden.
• Op systemen worden periodiek de laatste (beveiligings-)patches geïnstalleerd op basis van patchmanagement.
• Op lokale werkstations en servers worden passende maatregelen genomen om te voorkomen dat kwaadaardige programmatuur of functionaliteit wordt geïnstalleerd.
• Op wachtwoorden worden cryptografische maatregelen (hashing) toegepast, van een kwaliteit die in de industrie over het algemeen als veilig wordt beschouwd, om deze gegevens veilig op te slaan. De enige uitzondering hierop is wachtwoorden van spelers die niet door henzelf zijn ingevoerd teneinde het wachtwoordenmanagement van leerkrachten en beheerders te faciliteren.
• Er wordt voor inlogprocessen gebruik gemaakt van versleutelde verbindingen.
• De uitwisseling van persoonsgegevens tussen de onderwijsinstelling en Oefenweb vindt versleuteld plaats.
III. Omschrijving van maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Onderwijsinstelling
Oefenweb neemt haar beveiliging periodiek onder de loep. Dit betreft o.a. een intern kwetsbaarhedenonderzoek en het reviewen van ‘best practices’ (bijvoorbeeld OWASP en de richtlijnen van het NCSC) op het gebied van beveiliging.
Rapportage en verbetering
Verwerker actualiseert haar beveiligingsmaatregelen en de informatie daarover in deze bijlage periodiek en informeert Verantwoordelijke over wijzigingen in de getroffen beveiligingsmaatregelen via xxx.xxxxxxxx.xx/xxxxxxx.
In het geval u beveiligingsrisico’s constateert, dan verzoeken wij u contact op te nemen met: xxxxxxx@xxxxxxxx.xx of telefonisch via x0000-0000000.
Informeren over inbreuken (datalekken) met betrekking tot beveiliging
Oefenweb monitort haar dienstverlening voortdurend en heeft de in deze bijlage opgenomen maatregelen getroffen om ongeoorloofde of onrechtmatig toegang tot gegevens te voorkomen. Mocht er onverhoopt toch een inbreuk gesignaleerd worden, dan zal Oefenweb zo spoedig mogelijk melding hiervan maken bij de betreffende Verantwoordelijke in de zin van de Wet bescherming persoonsgegevens. Deze melding zal in eerste instantie plaatsvinden via e-mail. Mocht de situatie daar aanleiding toe geven, dan kan de melding tevens telefonisch worden gedaan, via een voor dat doeleinde vooraf aan Oefenweb te communiceren telefoonnummer. Voor de melding zal het e-mailadres dat is gekoppeld aan het beheerdersaccount van de betreffende Oefenweb applicatie worden gebruikt.
De melding zal in ieder geval de volgende informatie bevatten:
- De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
- De oorzaak van het beveiligingsincident;
- De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen;
- Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin;
- De omvang van de groep betrokkenen;
- Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
Indien een concrete situatie daartoe aanleiding geeft, dan kan Oefenweb een (eerste) melding van een datalek doen aan de Autoriteit Persoonsgegevens. De Onderwijsinstelling wordt hierover geïnformeerd en blijft ook in dit geval eindverantwoordelijk voor de melding.
Versie
Versie 3.0, laatst aangepast op 24 mei 2018
Deze Beveiligingsbijlage maakt onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen en Privacy 3.0, een initiatief van de PO-Raad, VO-raad, MBO Raad de verschillende betrokken ketenpartijen (GEU, KBb-E en VDOD) en het ministerie van Onderwijs, Cultuur en Wetenschap. Meer informatie hierover vindt u hier: xxxx://xxx.xxxxxxxxxxxxxxxx.xx.
BIJLAGE 2a bij Verwerkersovereenkomst Versie 3.0: Certificeringsschema informatiebeveiliging en ROSA
Toetsvorm | Self-assessment | |
Uitvoerder toets | CTO | |
BIV-classificatie | Beschikbaarheid = 2/3, Integriteit = 2, Vertrouwelijkheid = 2 | |
Categorie: Beschikbaarheid = 2/3 | ||
Oefenweb ontwikkelt additionele oefenprogramma’s die vaak naast een methode gebruikt worden. De beschikbaarheid van deze programma’s is belangrijk en Oefenweb richt haar systemen en processen zo in dat het zeer onwaarschijnlijk is dat deze gedurende een langere periode niet beschikbaar kunnen raken. De getroffen maatregelen komen overeen met niveau 2 en 3 van het ROSA certificeringsschema en hebben in de afgelopen jaren zeer goed gefunctioneerd. Xxxxxxxx heeft vrijwel nooit te maken gehad met downtime en ook de RTO was hoog. Oefenweb plant onderhoudswerkzaamheden in principe buiten kantooruren. | ||
Maatregelen | Compliance | Uitleg |
Overbelasting | Voldaan | Op niveau 2 |
Business continuity | Voldaan | Op niveau 2 |
Ontwerp | Voldaan | Op niveau 3 |
Monitoring | Voldaan | Op niveau 3 |
Testen | Voldaan | Op niveau 3 |
Software | Voldaan | Op niveau 3 |
Actuele dreigingen | Voldaan | Op niveau 2 |
Categorie Integriteit = 2 | ||
De leerresultaten van Oefenweb betreffen formatieve data. Integriteit van deze data is belangrijk, maar er worden minder hoge eisen aan gesteld dan aan summatieve data. Bovendien kenmerkt de adaptieve technologie van Oefenweb zich door een doorlopende aanpassing van de leerresultaten op basis van de gemaakte opgaven van de leerling die ervoor zorgt dat een eventuele onjuistheid in de data snel weer gecorrigeerd wordt. Oefenweb heeft verschillende maatregelen genomen om de integriteit van de leerresultaten te waarborgen. In plaats van uitgebreide logging voorkomt Oefenweb dat de integriteit van de data überhaupt wordt aangetast door ongeoorloofde aanpassingen van de data doordat leerresultaten alleen kunnen worden aangepast op basis van de oefenprestaties van de leerlingen. Bij het gebruik van edexbestanden zijn bovendien contact- en feitelijke gegevens van leerlingen en leerkrachten ook niet meer aanpasbaar, met uitzondering van gebruikersnaam en wachtwoord. Daarnaast worden er dagelijks versleutelde backups gemaakt, gebruikt Oefenweb een autorisatiebeleid om ongeoorloofde toegang te voorkomen en hebben alleen IT-personen met de hoogste bevoegdheid rechten om aanpassingen op live databases door te voeren. Naast de al getroffen maatregelen is de uitbreiding van de logging in ontwikkeling. | ||
Maatregelen | Compliance | Uitleg |
Herleidbaarheid (gebruikers) | Voldaan met deels alternatieve maatregelen* | Belangrijke data (zoals leerresultaten) zijn niet aanpasbaar. Deze worden uitsluitend gebaseerd op speelgedrag. Speelgedrag kan, indien nodig, ongedaan gemaakt worden. |
Backup | Voldaan | |
Application controls | Voldaan | |
Onweerlegbaarheid | Niet voldaan* | Uitbreiding logging is in ontwikkeling. |
Herleidbaarheid (technische beheer) | Gedeeltelijk* | Voldaan op niveau 1 |
Controle integriteit | Voldaan met deels alternatieve maatregelen* | |
Onweerlegbaarheid | Niet voldaan* | Uitbreiding logging is in ontwikkeling. |
Actuele dreigingen | Voldaan met deels alternatieve maatregelen* | Oefenweb beperkt het gebruik van aanpalende systemen tot een minimum. Dit betreft alleen nog andere onderwijsdiensten, zoals Basispoort. Deze partijen zijn zelf ook verplicht om aan de benodigde technische maatregelen te voldoen. |
Categorie Vertrouwelijkheid = 2 | ||
Oefenweb verzamelt gegevens over leerlingen en de vorderingen die zij maken en de vertrouwelijkheid van deze gegevens is belangrijk. Deze en andere in de applicaties van Xxxxxxxx verwerkte persoonsgegevens zijn op basis van autorisatiebeheer alleen toegankelijk voor personen die hier vanuit hun functie toegang toe moeten hebben (need-to-know basis). Daarnaast hanteert Oefenweb een ICT personeelsbeleid inclusief wachtwoordbeleid en zijn er procedures voor verificatie van gebruikers en/of klanten. Er is bovendien een strikte scheiding van veilige (trusted) en onveilige (not-trusted) apparatuur. | ||
Maatregelen | Compliance | Uitleg |
Levenscyclus gegevens | Voldaan | |
Logische toegang | Voldaan | |
Fysieke toegang | Voldaan | |
Netwerk toegang | Voldaan met deels alternatieve maatregelen* | |
Scheiding omgevingen | Voldaan | |
Transport en fysieke opslag | Voldaan | |
Logging | Niet voldaan* | Uitbreiding logging is in ontwikkeling. |
Toetsing | Voldaan | |
Actuele dreigingen | Voldaan | |
* Vertrouwelijk op aanvraag in te zien.