Bijlage 1: Privacy Bijsluiter
Bijlages Verwerkersovereenkomst Privacyconvenant 4.0 volgens format MEVW
Bijlage 1: Privacy Bijsluiter
Behorende bij verwerkersovereenkomst bij de lesmethodes van Uitgeverij NEO
Versie: 19 september 2022
Uitgeverij NEO is een educatieve uitgeverij die digitale onderwijsmiddelen aanbiedt voor gebruik in het onderwijs waarbij persoonsgegevens worden verwerkt. Wij vinden het belangrijk om uiterst zorgvuldig met deze persoonsgegevens om te gaan. Wij stellen daarom hoge eisen aan de betrouwbaarheid en veiligheid van onze systemen. Leerresultaten en de gegevens van onze gebruikers beschouwen wij te allen tijde als privacygevoelige gegevens.
Uitgeverij NEO heeft het ‘Convenant Digitale Onderwijsmiddelen en Privacy’ onderschreven. In dit convenant is tussen aanbieders en de onderwijssectorraden vastgelegd dat een onderwijsinstelling in juridische zin de ‘verwerkersverantwoordelijke’ is voor de verwerking van persoonsgegevens. Daardoor hebben en houden onderwijsinstellingen zeggenschap over de gegevens die binnen leermiddelen worden verwerkt. Uitgeverij NEO is een ‘verwerker’, die uitvoering geeft aan de opdracht van een onderwijsinstelling.
De afspraken die hiervoor gelden, zijn vastgelegd in de Verwerkersovereenkomst van Uitgeverij NEO. De bijlagen vormt een onlosmakelijk onderdeel van de Verwerkersovereenkomst. In bijlage 1 staat beschreven welke opdracht u, als Onderwijsinstelling, Uitgeverij NEO geeft ten aanzien van de verwerking van persoonsgegevens in de lesmethodes. Deze bijlage stelt u tevens in staat om ouders en leerlingen hierover te informeren.
Algemene informatie
Naam product en/of dienst
Deze bijlage heeft betrekking op de lesmethodes van Uitgeverij NEO.
Naam Verwerker en vestigingsgegevens
Uitgeverij NEO te Oisterwijk.
Beknopte uitleg en werking product en dienst
In de lesmethodes vallen de volgende producten en diensten:
Methode M
Studio BX
Burgerschapskaarten
De verwerking van persoonsgegevens binnen deze producten en diensten heeft betrekking op:
Het toegang krijgen tot producten door middel van een inlogprocedure;
Het werken met oefenmateriaal, waaronder oefenopgaven en toetsen, waarbij de gegevens worden verwerkt die leerlingen invullen bij het gebruik van het leermiddel.
het terugkoppelen van resultaten van het gebruik door leerlingen aan een docent, waardoor het bijvoorbeeld mogelijk is om te zien wat ieder van de leerlingen met de lesstof heeft gedaan en wat het resultaat daarvan is.
Op basis van de resultaten van het gebruik van deze lesmethodes kan de onderwijsinstelling zelf conclusies trekken over de leerontwikkeling van leerlingen.
Link naar uitgever en/of productpagina
xxxxx://xxx.xxxxxxxx.xx
xxxxx://xxx.xxxxxxxx.xx
xxxxx://xxx.xxxxxxxxxxxxxxxxxxx.xx
Doelgroep
VO, alle leerjaren
Gebruikers
De lesmethode richt zich op gebruik door: leerlingen en docenten
Xxxxxxxxxx voor het verwerken van persoonsgegevens
De lesmethode kent een onderscheid tussen verwerkingen die een onlosmakelijk onderdeel vormen van de aangeboden dienst, en optionele verwerkingen.
Verwerkingen die een onlosmakelijk onderdeel vormen van de lesmethode
De verwerkingen door Uitgeverij NEO vinden primair plaats om onderwijsinstellingen in staat te stellen om met gebruikmaking van de digitale leermiddelen onderwijs te geven en leerlingen te kunnen volgen en begeleiden.
Bij het gebruik van de lesmethode vinden altijd de volgende verwerkingen plaats, in lijn met artikel 5 van het Convenant Digitale Onderwijsmiddelen en Privacy:
de opslag van leer- en testresultaten;
het terugontvangen door de onderwijsinstelling van leer- en testresultaten;
De beoordeling van leer- en testresultaten om leerstof en toetsmateriaal te verkrijgen of aan te bieden;
het geleverd krijgen/in gebruik kunnen nemen van Digitale Onderwijsmiddelen conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Leverancier;
het verkrijgen van toegang tot de aangeboden digitale leermiddelen, waaronder de identificatie, authenticatie en autorisatie;
de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik, en het voorkomen van inconsistentie en onbetrouwbaarheid in de verwerkte persoonsgegevens;
de continuïteit en goede werking van het digitale leermiddel, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen onder andere na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning;
het door de Onderwijsinstelling voor onderzoeks- en analyse doeleinden beschikbaar kunnen stellen van geanonimiseerde Persoonsgegevens om daarmee de kwaliteit van het onderwijs te verbeteren.
Optionele verwerkingen bij [Naam product(groep)]
Bij het gebruik van de lesmethodes vinden geen optionele verwerkingen plaats
Categorieën en soorten persoonsgegevens
Bij het gebruik van de lesmethodes worden de volgende persoonsgegevens verwerkt.
Verwerkte persoonsgegevens voor autorisatie en authenticatie
Het verkrijgen van toegang tot digitale leermiddelen is vastgelegd in de Attribute Release Policy die kan worden afgesloten met een tweetal toegangsdienstverleners: Stichting Edu-iX en/of Entree Federatie van Kennisnet. Via één inlogprocedure kan op deze wijze toegang aan leerkrachten en leerlingen wordt verleend tot de digitale onderwijsmiddelen van verschillende leveranciers. De toegangsdienstverlener ontvangt geen leerresultaten van uitgevers. Na het inloggen worden in ieder geval de volgende gegevens verwerkt: gebruikers ID’s, voornaam (optioneel), gebruikersrol, emailadressen van gebruikers, naam van de Onderwijsinstelling.
Verwerkte persoonsgegevens bij gebruik van het leermiddel
Na het inloggen worden door Uitgeverij NEO vervolgens de gegevens verwerkt die gebruikers invullen bij:
oefenopgaven;
diagnostische toetsopgaven;
inlogactiviteit gebruikers en wijziging van (persoons)gegevens;
Daardoor is het bijvoorbeeld mogelijk voor een docent om te zien wat ieder van zijn leerlingen met de lesstof heeft gedaan en wat het resultaat daarvan is.
Optionele persoonsgegevens
* Het invullen van een voornaam/gebruikersnaam is optioneel.
Soorten van gegevens
In de lesmethodes worden geen bijzondere categorieën van persoonsgegevens verwerkt in de zin van artikel 9 van de AVG.
Bewaartermijnen
De verkregen persoonsgegevens in de lesmethodes worden na verloop van tijd gewist. In de tabel hieronder staan de bewaartermijnen.
Gebruikersinformatie |
6 maanden na inactiviteit |
Loginformatie |
13 maanden na inactiviteit |
|
|
Subverwerkers en locatie van opslag en verwerking van persoonsgegevens
Voor de
verwerking van persoonsgegevens worden door Uitgeverij NEO de
volgende subverwerkers ingeschakeld.
Naam: |
Omschrijving: |
Land van opslag en verwerking: |
Adaptivity B.V. |
Softwareleverancier |
Nederland |
COMBELL nv. |
Hostingprovider |
Nederland |
YourHosting B.V. |
Hostingprovider |
Nederland |
TransIP B.V. |
Beveiligde back-up |
Nederland |
SMTP2GO |
Mailserver |
Nederland |
Contactgegevens
Voor vragen of opmerkingen over deze bijlage of de werking van onze digitale onderwijsmiddelen, kunt u terecht bij:
Uitgeverij NEO,
xxxx@xxxxxxxxxxxxx.xx
Indien er voor ons reden is om contact op te nemen, doen wij dat in beginsel per email met de contactpersoon van de Onderwijsinstelling die is vermeld in bijlage 4.
P
araaf
Onderwijsinstelling Verwerker
------------------------------------------------------------------------------------------------------------------------------------------------------------------
Deze bijlage is opgezet volgens het branche-specifieke format van MEVW en vormt een integraal onderdeel van de bijbehorende verwerkersovereenkomst. Verwerkersovereenkomst en de bijlagen daarbij maken onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen en Privacy 4.0, een initiatief van de PO-Raad, VO-raad, MBO Raad de verschillende betrokken ketenpartijen (MEVW, KBB-e en VDOD) en het ministerie van Onderwijs, Cultuur en Wetenschap. Meer informatie hierover vindt u hier: xxxxx://xxx.xxxxxxxxxxxxxxxx.xx/.
Bijlage 2: Beveiligingsbijlage
Behorende bij verwerkersovereenkomst de lesmethodes, van Uitgeverij NEO
Uitgeverij NEO heeft, overeenkomstig de AVG en artikel 7 en 8 van de Model Verwerkersovereenkomst passende technische en organisatorische maatregelen genomen om de verwerking van persoonsgegevens aantoonbaar te beveiligen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.
Maatregelen die Uitgeverij NEO heeft genomen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, wijziging, opslag, toegang of openbaarmaking.
Een passend beleid voor de beveiliging van de Verwerking van de Persoonsgegevens, waarbij het beleid periodiek wordt geëvalueerd en – zo nodig – aangepast;
Een systeem van autorisatie waardoor enkel geautoriseerde medewerkers toegang kunnen verkrijgen tot de Verwerking van Persoonsgegevens in het kader van de Verwerkersovereenkomst. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie;
Er is een coördinator informatiebeveiliging die de risico’s omtrent de verwerking van persoonsgegevens inventariseert, het beveiligingsbewustzijn stimuleert, voorzieningen controleert en maatregelen treft die zien op naleving van het informatiebeveiligingsbeleid. Deze coördinator is bereikbaar op het volgende emailadres: xxxx@xxxxxxxxxxxxx.xx
Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid;
Er is een proces ingericht voor communicatie over informatiebeveiligingsincidenten;
Met medewerkers worden geheimhoudingsverklaringen afgesloten en worden informatiebeveiligingsafspraken gemaakt;
Het bewustzijn, opleiding en training ten aanzien van informatiebeveiliging wordt gestimuleerd.
Maatregelen om de Persoonsgegevens te beveiligen en continuïteit van de middelen, het netwerk, de server en de applicatie te waarborgen.
Hieronder staat de rapportage van de BIV-classificatie, de mate van compliance en de uitleg bij eventuele afwijkingen van de standaarden, zoals beschreven in het Certificeringsschema informatiebeveiliging en privacy ROSA. Zie: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx_xxxxxxxxx/xxxxxxxxxxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxx-xx-xxxxxxx-xxxx/xxxxxxxxxxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxx-xx-xxxxxxx-xxxx/.
Toetsvorm |
Peer review |
||
Uitvoerder toets |
Xxxxx xxx Xxx, eigenaar Adaptivity B.V. |
||
Inlogpagina |
xxxxx://xxx.xxxxxxxx.xx, xxxxx://xxx.xxxxxxxx.xx, xxxxx://xxx.xxxxxxxxxxxxxxxxxxx.xx |
||
BIV-classificatie |
Beschikbaarheid = H Integriteit = L Vertrouwelijkheid = M |
||
Categorie |
Maatregelen |
Compliance |
Uitleg |
Beschikbaarheid |
Ontwerp |
voldaan |
|
|
Capaciteit beheer |
voldaan |
|
|
Onderhoud |
voldaan |
|
|
Testen |
voldaan |
|
|
Monitoring |
voldaan |
|
|
Herstel |
voldaan |
|
Integriteit |
Herleidbaarheid (gebruikers) |
voldaan |
|
|
Backup |
voldaan |
|
|
Application controls |
voldaan |
|
|
Onweerlegbaarheid |
voldaan |
|
|
Herleidbaarheid (technisch beheer) |
voldaan |
|
|
Controle integriteit |
voldaan |
|
|
Onweerlegbaarheid (toepassing) |
voldaan |
|
Vertrouwelijkheid |
Levenscyclus gegevens |
voldaan |
|
|
Logische toegang |
voldaan |
|
|
Fysieke toegang |
voldaan |
|
|
Netwerk toegang |
voldaan |
|
|
Scheiding omgevingen |
voldaan |
|
|
Transport en fysieke opslag |
voldaan |
|
|
Logging |
voldaan |
|
|
Omgaan met kwetsbaarheden |
voldaan |
|
Afspraken over het informeren over beveiligingsincidenten en/of Datalekken
Uitgeverij NEO heeft een procedure voor de monitoring en identificatie van incidenten en het informeren in geval van Xxxxxxxxxx en/of incidenten met betrekking tot beveiliging. In zo’n geval zullen wij de verwerkingsverantwoordelijke de volgende informatie ter hand stellen:
De kenmerken van de inbreuk, zoals: datum en tijdstip ontdekken en duur inbreuk, samenvatting van de inbreuk waaronder de aard van de inbreuk en de aard en beschrijving van het beveiligingsincident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
De oorzaak van de inbreuk;
Hoe de inbreuk is ontdekt;
De maatregelen die getroffen zijn om de inbreuk aan te pakken en eventuele (verdere en toekomstige) schade te voorkomen;
Of de bij de inbreuk betrokken gegevens versleuteld, gehasht etc. waren;
Benoemen van groep(en) Betrokkenen die gevolgen kunnen ondervinden van het incident, en de aantallen en omvang van de groep Betrokkenen;
Wat de mogelijke gevolgen zijn van de inbreuk voor de Onderwijsinstelling en de Betrokkene(n), waaronder indien mogelijk een inschatting van het risico van de gevolgen voor betrokkene(n);
De hoeveelheid en soort Persoonsgegevens betrokken bij de inbreuk (met name bijzondere gegevens zoals gegevens over gezondheid of godsdienst, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
In geval van een (vermoeden van) beveiligingsincident en/of Datalek zal onze coördinator informatiebeveiliging, in beginsel per email contact opnemen met de contactpersoon van de Onderwijsinstelling die is vermeld in bijlage 4. De coördinator informatiebeveiliging is tevens aanspreekpunt voor het geval de Onderwijsinstelling contact wil opnemen over een beveiligingsincident en/of Datalek. De coördinator informatiebeveiliging is bereikbaar op het volgende mailadres: xxxx@xxxxxxxxxxxxx.xx.
Paraaf
Onderwijsinstelling Verwerker
------------------------------------------------------------------------------------------------------------------------------------------------------------------
Deze bijlage is opgezet volgens het branche-specifieke format van MEVW en vormt een integraal onderdeel van de bijbehorende verwerkersovereenkomst. Verwerkersovereenkomst en de bijlagen daarbij maken onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen en Privacy 4.0, een initiatief van de PO-Raad, VO-raad, MBO Raad de verschillende betrokken ketenpartijen (MEVW, KBB-e en VDOD) en het ministerie van Onderwijs, Cultuur en Wetenschap. Meer informatie hierover vindt u hier: xxxxx://xxx.xxxxxxxxxxxxxxxx.xx/.
Bijlage 3: Afwijking model verwerkersovereenkomst
Behorende bij:
Verwerkersovereenkomst lesmethodes
Versie: 19 september 2022
Van: Uitgeverij NEO
In het Privacyconvenant is bepaald dat Onderwijsinstellingen en Verwerkers de Model Verwerkersovereenkomst gebruiken bij het maken van afspraken over de Verwerking van Persoonsgegevens met behulp van Digitale Onderwijsmiddelen. Hoewel veel bepalingen wettelijk zijn voorgeschreven, of de Autoriteit Persoonsgegevens heeft aangegeven dat deze in een verwerkersovereenkomst moeten worden opgenomen, zijn Partijen toch de volgende afwijkingen, zoals bedoeld in artikel 14, lid 2 Model Verwerkersovereenkomst overeengekomen.
Beschrijving noodzakelijke afwijkingen overeenkomst |
|
Betreft artikel: |
X |
Wijziging of aanvulling? |
X |
Huidige tekst artikel: |
X |
Nieuwe tekst artikel: |
X |
Reden van wijziging of aanvulling: |
X |
Paraaf
Onderwijsinstelling Verwerker
------------------------------------------------------------------------------------------------------------------------------------------------------------------
Deze bijlage is opgezet volgens het branche-specifieke format van MEVW en vormt een integraal onderdeel van de bijbehorende verwerkersovereenkomst. Verwerkersovereenkomst en de bijlagen daarbij maken onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen en Privacy 4.0, een initiatief van de PO-Raad, VO-raad, MBO Raad de verschillende betrokken ketenpartijen (MEVW, KBB-e en VDOD) en het ministerie van Onderwijs, Cultuur en Wetenschap. Meer informatie hierover vindt u hier: xxxxx://xxx.xxxxxxxxxxxxxxxx.xx/.
Bijlage 4: Overzicht van scholen die vallen onder het bevoegd gezag van het bestuur
Naam schoolbestuur |
|
Adres schoolbestuur |
|
Administratienummer schoolbestuur*) |
|
De contactpersoon namens het schoolbestuur**) |
|
Mailadres van de contactpersoon |
|
*) BRIN-, RIO of KVK-nummer.
**) Bedoeld wordt degene die bevoegd/gemandateerd is om namens de Onderwijsinstelling opdrachten en instructies aan de Verwerker te verstrekken en die in het geval van een datalek door de Verwerker wordt geïnformeerd.
Overzicht van scholen
BRIN -6 |
schoolnaam |
plaats |
e-mail adres |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Indien dit overzicht geactualiseerd moet worden, zal het schoolbestuur de wijzigingen door geven aan de verwerker.
P
araaf
Onderwijsinstelling Verwerker
------------------------------------------------------------------------------------------------------------------------------------------------------------------
Deze bijlage is opgezet volgens het branche-specifieke format van MEVW en vormt een integraal onderdeel van de bijbehorende verwerkersovereenkomst. Verwerkersovereenkomst en de bijlagen daarbij maken onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen en Privacy 4.0, een initiatief van de PO-Raad, VO-raad, MBO Raad de verschillende betrokken ketenpartijen (MEVW, KBb-e en VDOD) en het ministerie van Onderwijs, Cultuur en Wetenschap. Meer informatie hierover vindt u hier: xxxxx://xxx.xxxxxxxxxxxxxxxx.xx/.
11