VERWERKERSOVEREENKOMST DIDDIT
VERWERKERSOVEREENKOMST DIDDIT
Over deze Verwerkersovereenkomst
Uitgeverij VAN IN biedt verschillende producten en diensten aan waarin persoonsgegevens worden verwerkt. We respecteren de privacy van onze eindgebruikers en willen hen in klare taal informeren over de verwerking en de bescherming van persoonsgegevens. We doen dit conform de nieuwe privacywetgeving (AVG / GDPR).
Onderwijsinstellingen en Uitgeverij VAN IN leggen hun wederzijdse rechten en verplichtingen voor de verwerking van persoonsgegevens vast in de Verwerkersovereenkomst. Uitgeverij VAN IN maakt daarbij gebruik van het Model Verwerkersovereenkomst. Dat model hoort bij de Intentieverklaring Privacy in Digitale Onderwijsmiddelen afgesloten tussen onderwijsverstrekkers, Federatie Centra voor Basiseducatie en VCLB enerzijds en de GEWU en softwareontwikkelaars anderzijds.
Meer informatie over de Intentieverklaring en het Model Verwerkersovereenkomst is te vinden op xxx.xxxxxxxxxxxxxxxxxx.xx.
Meer informatie en antwoorden op vragen over privacy en de wettelijke rechten en verplichtingen voor onderwijsinstellingen zijn te vinden op de websites van de onderwijsverstrekkers en de website van de gegevensbeschermingsautoriteit.
Alle informatie en afspraken over privacy en de verwerking en de bescherming van persoonsgegevens in de producten en diensten die Uitgeverij VAN IN aanbiedt, is te vinden op xxx.xxxxx.xx/xx/xxxxxxx.
Stappenplan afsluiten Verwerkersovereenkomst Diddit
Onderwijsinstellingen die met Uitgeverij VAN IN de Verwerkersovereenkomst voor Diddit afsluiten, kunnen gebruik maken van onderstaand stappenplan.
Download de gewenste Verwerkersovereenkomst en bijbehorende Product- en Dienstenovereenkomst op xxx.xxxxx.xx/xx/xxxxxxx.
Vul de ontbrekende gegevens digitaal in:
Verwerkersovereenkomst pagina 2: gegevens van de onderwijsinstelling
Verwerkersovereenkomst pagina 7: plaats en datum
Product- en Dienstenovereenkomst pagina 1: gegevens van de onderwijsinstelling, optioneel aangevuld in Bijlage 1
Druk de Verwerkersovereenkomst en Product- en Dienstenovereenkomst af.
Onderteken de Verwerkersovereenkomst op pagina 7.
Het is niet nodig om Uitgeverij VAN IN een ondertekend exemplaar te bezorgen. Het volstaat dat de onderwijsinstelling de Verwerkersovereenkomst en Product- en Dienstenovereenkomst bijhoudt.
Partijen:
Het schoolbestuur <naam vzw>, geregistreerd onder ondernemingsnummer <ondernemingsnummer> (Vrij Gesubsidieerd Onderwijs), gevestigd te <adres>, <postcode> <plaats>, te dezen rechtsgeldig vertegenwoordigd door <naam>, <functie>,
of
De school (GO! onderwijs van de Vlaamse Gemeenschap), gevestigd te <adres>, <postcode> <plaats>, te dezen rechtsgeldig vertegenwoordigd door <naam>, <functie>,
of
Het schoolbestuur <naam gemeente/provincie> (gesubsidieerd officieel onderwijs), gevestigd te <adres>, <postcode> <plaats>, te dezen rechtsgeldig vertegenwoordigd door <naam>, <functie>,
of
<naam school/organisatie/andere>, gevestigd te <adres>, <postcode> <plaats>, te dezen rechtsgeldig vertegenwoordigd door <naam>, <functie>,
hierna te noemen: "Verwerkingsverantwoordelijke"
en
Uitgeverij VAN IN nv, geregistreerd onder ondernemingsnummer 0465.672.452, gevestigd en kantoorhoudende te Xxxxxxxxxxxxxxxxx 00 xxx 0, 0000 Xxxxxxxxx, te dezen rechtsgeldig vertegenwoordigd door Xxxxxxxx Xxxxxxxxxx, Managing Director, hierna te noemen: "Verwerker"
hierna gezamenlijk te noemen: "Partijen", of afzonderlijk: "Partij"
Overwegen het volgende:
Partijen zijn een primaire overeenkomst aangegaan waarbij de Verwerker de Verwerkingsverantwoordelijke het Digitale Onderwijsmiddel Diddit levert ten behoeve van één of meer van de volgende doeleinden ('de Product- en Dienstenovereenkomst'):
leerlingenadministratie: verwerkingen met betrekking tot leerlingen ("diddit-beheer");
leerlingenbegeleiding: verwerkingen in verband met het begeleiden van leerlingen in hun kennis, prestaties, vaardigheden of (mentale) gezondheidstoestand, de opvolging van de evolutie ervan, alsmede het begeleiden van leerlingen bij hun studie- en beroepskeuze ("evalueren", "opdrachten", "oefenen");
het verstrekken of ter beschikking stellen van leermiddelen voor het geven en volgen van onderwijs ("lesmateriaal", "bordboeken", "evalueren", "opdrachten", "oefenen").
Deze Product- en Dienstenovereenkomst leidt ertoe dat Verwerker in opdracht van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt voor de Onderwijsinstelling(en) opgesomd in de Product- en Dienstenovereenkomst.
Partijen wensen, mede gelet op het bepaalde in artikel 28 §3 van de AVG, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.
Komen het volgende overeen:
Artikel 1: Definities
In deze Verwerkersovereenkomst wordt verstaan onder:
Betrokkene, Verwerker, Derde, Persoonsgegevens, Ontvanger, Verwerking en Verwerkingsverantwoordelijke, Pseudonimisering, Inbreuk in verband met persoonsgegevens: de begrippen zoals gedefinieerd in artikel 4 van de AVG;
Intentieverklaring: de Intentieverklaring Privacy in Digitale Onderwijsmiddelen;
Digitaal Onderwijsmiddel: ieder product of iedere dienst die in het kader van het onderwijsproces persoonsgegevens verwerkt. We denken onder andere aan leerlingen- en cursistenadministratie- en volgsystemen, personeelsadministratiesystemen, financieel-beheersystemen, roostersystemen, leerling- en oudercommunicatiesystemen, agendasystemen, toets-, rapport- en evaluatiesystemen, educatieve leermiddelen, elektronische leeromgevingen en leerplatformen (niet limitatieve lijst);
Onderwijsinstelling: het bevoegd bestuur van een basis- of secundaire school, internaat, academie, centrum voor hoger en volwassenenonderwijs, centrum voor basiseducatie of centrum voor leerlingenbegeleiding;
Overlegplatform: het platform zoals bedoeld in artikel 8 van de Intentieverklaring;
Subverwerker: een andere verwerker die door Verwerker wordt ingeschakeld ten behoeve van de Verwerking van Persoonsgegevens in het kader van deze Verwerkersovereenkomst en de Product- en Dienstenovereenkomst;
AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
Artikel 2: Onderwerp en opdracht Verwerkersovereenkomst
Deze Verwerkersovereenkomst legt verbintenissen vast betreffende de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Product- en Dienstenovereenkomst rond Digitale Onderwijsmiddelen.
De Verwerkingsverantwoordelijke verstrekt aan de Verwerker de opdracht tot Verwerking van Persoonsgegevens ten behoeve van de uitvoering van de Product- en Dienstenovereenkomst.
Artikel 3: Rolverdeling
Partijen zullen bij de Verwerking van Persoonsgegevens in kader van deze overeenkomst handelen in overeenstemming met de toepasselijke wet- en regelgeving. Partijen verstrekken elkaar alle benodigde informatie teneinde een goede naleving van de relevante privacywet- en regelgeving (o.a. AVG) mogelijk te maken.
Verwerker zal de Verwerkingsverantwoordelijke bijstaan om aan alle wettelijke verplichtingen inzake gegevensbescherming te voldoen.
Artikel 4: Gebruik Persoonsgegevens
Verwerker verplicht zich om de Persoonsgegevens, die verkregen zijn van de Verwerkingsverantwoordelijke, niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel en de wijze waarvoor de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door de Verwerkingsverantwoordelijke (schriftelijk: op papier, dan wel elektronisch) met Verwerker is overeengekomen. Deze verplichting geldt zowel gedurende de looptijd van deze overeenkomst als na afloop daarvan. Indien Verwerker meent dat een gegevensverwerking in strijd is met de AVG, licht hij Verwerkingsverantwoordelijke hierover onverwijld in.
De Verwerker specificeert in de Privacy Bijsluiter voor welke doeleinden hij, in opdracht van de Verwerkingsverantwoordelijke, Persoonsgegevens verwerkt die gebruikt worden bij het product en/of de dienst, en welke categorieën Persoonsgegevens daarbij worden verwerkt.
Verwerker onthoudt zich van verstrekking van Persoonsgegevens aan een Derde, tenzij
deze uitwisseling plaatsvindt in opdracht van de Verwerkingsverantwoordelijke;
de Verwerkingsverantwoordelijke uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken;
de Betrokkene (zijn ouders of wettelijk vertegenwoordiger) zelf aangeeft dat deze Persoonsgegevens aan een Derde mogen worden verstrekt;
dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting.
In geval van een wettelijke verplichting verifieert Verwerker voorafgaand aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Verwerker de Verwerkingsverantwoordelijke – indien wettelijk toegestaan – onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.
Artikel 5: Geheimhouding
Verwerker zorgt er voor dat eenieder, waaronder zijn werknemers, vertegenwoordigers en/of Subverwerkers, die betrokken is bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt en de geheimhoudingsplicht naleeft, zowel tijdens als na de afloop van de overeenkomst. Verwerker waarborgt dat de tot het verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
Artikel 6: Beveiliging en controle
Partijen zullen zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico's die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen.
De maatregelen zoals genoemd in artikel 6.1 omvatten in ieder geval:
een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens;
maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt;
maatregelen om de Persoonsgegevens te beschermen tegen met name toevallige/onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;
op regelmatige basis het door haar getroffen informatiebeveiligingsbeleid te evalueren en met inachtneming van de laatste stand van de techniek dit beleid aan te vullen, te verscherpen of verbeteringen aan te brengen ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet in het kader van de uitvoering van de Product- en Dienstenovereenkomst.
In Bijlage 2 wordt onder meer een algemeen overzicht gegeven van de technische en organisatorische beveiligingsmaatregelen die door de Verwerker zijn genomen. Deze lijst met maatregelen wordt door de Verwerker up-to-date gehouden.
De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de verplichtingen die voortvloeien uit artikel 28 van de AVG aan te tonen en toezicht te houden op de naleving van de in artikel 8 van deze overeenkomst genoemde verplichtingen ten aanzien van Inbreuken in verband met persoonsgegevens. Naast rapportages door de Verwerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.
Ongeacht de in bovenstaande alinea's opgesomde maatregelen heeft de Verwerkingsverantwoordelijke het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, op eigen kosten, de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Verwerker in te schakelen gecertificeerde en onafhankelijke auditor die een derden-verklaring afgeeft. De Verwerkingsverantwoordelijke wordt geïnformeerd over de uitkomsten van de audit.
Artikel 7: Inbreuken in verband met persoonsgegevens
Partijen hebben een passend beleid voor de omgang met Incidenten waaronder Inbreuken in verband met persoonsgegevens.
Indien Verwerkingsverantwoordelijke dan wel Verwerker een Inbreuk in verband met persoonsgegevens in het kader van deze overeenkomst vaststelt, dan zal deze de andere Partij zonder onredelijke vertraging informeren conform de afspraken zoals neergelegd in Bijlage 2.
Partijen informeren elkaar onverwijld indien een vermoeden bestaat dat de Inbreuk in verband met persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Indien het niet mogelijk is om alle vereiste informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
Verwerker verstrekt ingeval van een Inbreuk in verband met persoonsgegevens alle relevante informatie aan Verwerkingsverantwoordelijke met betrekking tot deze Inbreuk, waaronder de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en aantal persoonsgegevens in kwestie; de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; de maatregelen die de Verwerker heeft voorgesteld of genomen om de Inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
De Verwerkingsverantwoordelijke verbindt zich ertoe om slechts bijstand van de Verwerker te verzoeken in de mate dat de Verwerkingsverantwoordelijke niet over de nodige informatie beschikt om zijn wettelijke verplichtingen na te komen.
Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de AVG of andere regelgeving betreffende de Verwerking van de Persoonsgegevens, te voorkomen of te beperken. Deze nieuwe maatregelen worden opgenomen in Bijlage 2 van deze overeenkomst.
In geval van een Inbreuk in verband met persoonsgegevens zal de Verwerkingsverantwoordelijke aan de wettelijke meldplicht voldoen. Verwerker stelt bij een Inbreuk in verband met persoonsgegevens de Verwerkingsverantwoordelijke in staat om passende vervolgstappen te (laten) nemen. Afhankelijk van de aard van het incident zal de Verwerker de Verwerkingsverantwoordelijke hierin bijstaan en adviseren.
Partijen houden een overzicht bij van alle incidenten en de maatregelen die ze daarbij genomen hebben om dergelijke Incidenten te voorkomen. De Verwerker verleent de Verwerkingsverantwoordelijke, op diens verzoek, inzage.
Artikel 8: Procedure rechten betrokkenen
Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens die in het kader van de Product- of Dienstverlening verwerkt worden, wordt door de Verwerker onverwijld doorgestuurd naar de Verwerkingsverantwoordelijke, die verantwoordelijk is voor de verdere afhandeling van het verzoek.
Verwerker verleent Onderwijsinstelling – voor zover redelijkerwijs mogelijk – volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens.
Artikel 9: Verwerking buiten de Europese Economische Ruimte (EER)
Partijen zien erop toe dat voor zover Persoonsgegevens buiten de EER worden Verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Onderwijsinstellingen rusten. Indien gegevens buiten de EER worden verwerkt, wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de landen waar de gegevens worden verwerkt en de waarborgen.
Artikel 10: Inschakeling Subverwerker
De Verwerkingsverantwoordelijke geeft een algemene toestemming aan de Verwerker om Subverwerkers in te schakelen. Verwerker legt deze Subverwerkers, via een overeenkomst of andere rechtshandeling, minimaal dezelfde verplichtingen inzake gegevensbescherming op als die welke in deze Verwerkersovereenkomst zijn opgenomen. De lijst met Subverwerkers is opgenomen in Bijlage 1.
De Verwerker licht de Verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere Subverwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. Verwerker zal de lijst met Subverwerkers, die opgenomen is in Bijlage 1, steeds up-to-date houden.
Artikel 11: Bewaartermijnen en vernietiging Persoonsgegevens
Verwerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig de bewaartermijnen die in Bijlage 1 opgenomen zijn.
De Verwerker is verplicht om de in opdracht van Verwerkingsverantwoordelijke verwerkte Persoonsgegevens na het verstrijken van de bewaartermijn of bij de beëindiging van de Product- en Dienstenovereenkomst te (doen) vernietigen en dit op alle locaties, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van wettelijke verplichtingen. In het geval van verdere bewaring worden de gegevens door de Verwerker in machine-leesbaar formaat overgedragen aan de Verwerkingsverantwoordelijke, met zo weinig mogelijk verlies van gegevens en dit met het oog op continuïteit binnen de Onderwijsinstelling. Hiervoor worden onderlinge afspraken gemaakt.
Deze acties gebeuren binnen een overeengekomen, redelijke termijn.Verwerker zal Verwerkingsverantwoordelijke (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte persoonsgegevens heeft plaatsgevonden.
Artikel 12: Aansprakelijkheid en vrijwaring
Elke Verwerkingsverantwoordelijke die bij Verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door een Verwerking die inbreuk maakt op de AVG. Een Verwerker is slechts aansprakelijk voor de schade die door de Verwerking is veroorzaakt wanneer bij de Verwerking niet is voldaan aan de specifiek tot Verwerkers gerichte verplichtingen van de AVG of buiten dan wel in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke is gehandeld. De Verwerkingsverantwoordelijke of de Verwerker kan vrijgesteld worden van deze aansprakelijkheid indien ze bewijst dat ze op geen enkele wijze verantwoordelijk is voor het schadeveroorzakend feit.
Wanneer een Verwerkingsverantwoordelijke of Verwerker de schade geheel heeft vergoed, kan deze Verwerkingsverantwoordelijke of Verwerker op andere Verwerkingsverantwoordelijken of Verwerkers die bij de Verwerking waren betrokken, het deel van de schade verhalen dat overeenkomt met hun deel van de aansprakelijkheid voor de schade, overeenkomstig de in §1 gestelde voorwaarden.
Artikel 13: Tegenstrijdigheid en wijziging Verwerkersovereenkomst
In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de primaire Product- en Dienstenovereenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
In het geval enige bepaling van deze Verwerkersovereenkomst in strijd is met de regelgeving, en bij gevolg vernietigbaar is, dan blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om deze bepaling(en) te vervangen door een bepaling die in overeenstemming is met de regelgeving. De vervanging gebeurt met instemming van beide partijen.
Artikel 14: Duur en beëindiging
Deze Verwerkersovereenkomst hangt onlosmakelijk samen met de Product- en Dienstenovereenkomst en is niet tussentijds opzegbaar.
Deze Verwerkersovereenkomst gaat in op het moment van ondertekening.
Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Product- en Dienstenovereenkomst.
De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die uit hun aard worden geacht ook na beëindiging voort te duren.
Aldus overeengekomen in tweevoud opgemaakt en ondertekend te <plaats> op datum van <datum>.
Verwerkingsverantwoordelijke, Verwerker,
Naam: Naam:
Xxxxxxxx Xxxxxxxxxx
Functie: Functie: Managing Director
Bijlage 1: Privacy Bijsluiter
Bijlage 2: Algemene technische en organisatorische beveiligingsmaatregelen
BIJLAGE 1: PRIVACY BIJSLUITER DIDDIT
Onderwijsinstellingen maken in toenemende mate gebruik van digitale toepassingen binnen het onderwijs. Bij het gebruik en levering van deze producten en diensten zijn gegevens nodig die te herleiden zijn tot personen (zoals bv. leerlingen en leerkrachten). De Verwerkingsverantwoordelijken moeten met Verwerkers afspraken maken over het gebruik van die Persoonsgegevens. Deze bijsluiter geeft Onderwijsinstellingen informatie over de dienstverlening die Verwerker verleent en welke persoonsgegevens de Verwerker daarbij verwerkt. Alles bij elkaar gaat het over de vragen "wie gegevens van de betrokken personen verwerkt en waar, waarom en hoe deze gegevens worden verwerkt".
Het gebruik van deze Privacy Bijsluiter helpt de Verwerkingsverantwoordelijken (en dus ook de Onderwijsinstellingen) om beter te begrijpen wat de werking van het product en/of dienst is en welke gegevens daarvoor worden uitgewisseld. Op basis van deze bijsluiter kan een register van verwerkingsactiviteiten verder ingevuld en onderhouden worden.
In het kader van de herkenbaarheid is het wenselijk dat Verwerkers zo veel mogelijk op uniforme wijze gebruik maken van deze Privacy Bijsluiter. Afwijkingen van dit model zijn weliswaar mogelijk, maar dienen bij voorkeur beperkt te blijven. Indien de ruimte in deze bijlage onvoldoende is om de benodigde informatie te beschrijven, is het mogelijk de informatie op te nemen in aparte Bijlage(n), welke als volgt genummerd worden: "Bijlage 1A", "Bijlage 1B", etc. Deze Bijlagen worden aan de Verwerkersovereenkomst gehecht.
A. Algemene informatie
Naam product en/of dienst: |
Diddit |
Naam Verwerker en vestigingsgegevens: |
Uitgeverij VAN IN nv, Xxxxxxxxxxxxxxxxx 00 xxx 0, 0000 Xxxxxxxxx |
Beknopte uitleg over werking product en dienst: |
Diddit is een digitaal leer- en onderwijsplatform voor het secundair onderwijs en volwassenenonderwijs. Leerlingen kunnen er adaptief en gepersonaliseerd leren en oefenen. Leraren en andere leden van het schoolteam vinden er inhouden, materialen en tools die hen ondersteunen in hun verschillende professionele activiteiten. De verwerking van persoonsgegevens binnen Diddit heeft betrekking op:
Uitgeverij VAN IN nv maakt gebruik van Google Analytics ten behoeve van het meten van het gebruik van de Digitale Onderwijsmiddelen en het bepalen van het gebruik van besturingssystemen en webbrowsers. Google verwerkt de volgende gegevens: uniek nummer, sessie-informatie (tijd, browsergegevens, locatie) en pagina-bezoeken. |
Link naar aanbieder en/of productpagina: |
|
Doelgroep: |
secundaire school, centrum voor volwassendonderwijs |
Gebruikers: |
leerlingen, leraren (waaronder klasleraren, ambulante leraren, co-teachers, zorgleraren, zorgcoördinatoren, interne begeleiders, docenten, leraren in opleiding – niet-limitatieve lijst), ICT-coördinatoren, directies, administratief personeel |
B. Algemene informatie betreffende de Verwerkingen
Onderwerp van de Verwerking(en): |
Diensten die in de Product- en Dienstenovereenkomst uiteengezet worden |
Duur van de Verwerking(en): |
Duur van de Product- en Dienstenovereenkomst |
Aard van de Verwerking(en): |
Terbeschikkingstelling van, en mogelijkheid tot wijzigingen aan, gegevens voor het leveren van het product en de diensten die in de Product- en Dienstenovereenkomst uiteengezet worden |
Omschrijving van de specifiek verleende diensten en bijbehorende Verwerkingen |
De verwerkingen door Uitgeverij VAN IN nv vinden primair plaats om Onderwijstellingen in staat te stellen om met gebruikmaking van digitale leermiddelen onderwijs te geven en leerlingen te kunnen volgen en begeleiden.
Primair worden geen 'bijzondere categorieën van persoonsgegevens' (in de zin van artikel 9 van de AVG) verwerkt. Op basis van de resultaten van het gebruik van digitale leermiddelen kan de Onderwijsinstelling zelf conclusies trekken over eventuele beperkingen in de leerontwikkeling van een leerling en de oorzaak daarvan. Leerresultaten en de gegevens van onze gebruikers beschouwen wij te allen tijde als privacygevoelige gegevens, waarbij we hoge eisen stellen aan de betrouwbaarheid en veiligheid van onze systemen.
Toelichting: Het gaat hier om aanvullende diensten en bijhorende Verwerkingen die geen onlosmakelijk onderdeel vormen van de aangeboden dienst. Dit zijn bijvoorbeeld optionele diensten voor de Onderwijsinstelling die behulpzaam kunnen zijn voor de Onderwijsinstelling t.b.v. het primaire (leer)proces en administratieve werkzaamheden Instemming vindt plaats doordat de Onderwijsinstelling in de praktijk de dienst activeert, bijvoorbeeld door een product of dienst aan of uit zetten. De Onderwijsinstelling die op deze wijze de keuze maakt, dient dit op basis van eerder verstrekte informatie (zoals bijvoorbeeld opgenomen in deze bijsluiter) te kunnen doen. |
C. Doeleinden
Doel:
☒ Leerlingenadministratie, waaronder:
het aanleggen van een leerlingenbestand;
het organiseren van het onderwijs;
het organiseren van examens, het registreren van de uitslagen en de deliberatieresultaten;
het berekenen, factureren en innen van verschuldigde bedragen (financieel beheer);
communicatie met leerlingen en ouders;
het behandelen van geschillen;
het uitwisselen van Persoonsgegevens met Derden, onder meer:
AgODi in het kader van de uitvoering van hun (wettelijke) taak;
Andere onderwijsinstellingen ingeval van overstappen naar een andere onderwijsinstelling;
Partijen betrokken bij de invulling van stage of leer-/ werkplekken voor zover noodzakelijk en wettelijk toegestaan.
☒ Leerlingenbegeleiding: Het begeleiden van leerlingen in hun kennis, prestaties, vaardigheden of (mentale) gezondheidstoestand, de opvolging van de evolutie ervan, alsmede het begeleiden van leerlingen bij hun studie- en beroepskeuze.
het bijhouden van persoonlijke (waaronder medische) omstandigheden van een leerling ten behoeve van het leren en studeren, de onderwijsloopbaan, de preventieve gezondheidszorg en het psychisch en sociaal functioneren.
☐ Schooladministratie: Verwerkingen nodig voor de organisatie van het schoolgebeuren, waaronder: opstellen van uurroosters, communicatie, …
☒ Leermiddelen verstrekken of ter beschikking stellen voor het geven en volgen van onderwijs waaronder:
de opslag van leer- en toetsresultaten;
het terug ontvangen door de Onderwijsinstelling van leer- en toetsresultaten;
de beoordeling van leer- en toetsresultaten om leerstof en toetsmateriaal te kunnen verkrijgen dat is afgestemd op de specifieke leerbehoefte van een leerling (o.a. adaptief lesmateriaal);
analyse en interpretatie van leerresultaten;
het kunnen uitwisselen van leer- en toetsresultaten tussen Digitale Onderwijsmiddelen.
☐ Personeelsadministratie: Alle administratie rond personeelsbeheer, onder meer:
de aanwerving en selectie van het personeel;
loonadministratie;
personeelsbeleid met het oog op evaluatie, opleiding en planning van de loopbaan.
☒ Het geleverd krijgen/in gebruik kunnen nemen van Digitale Onderwijsmiddelen conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Verwerker, waaronder:
het verkrijgen van toegang tot de aangeboden Digitale Onderwijsmiddelen (identificatie, authenticatie en autorisatie);
de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomen van inconsistentie en onbetrouwbaarheid in de, met behulp van het Digitale Onderwijsmiddel, Verwerkte Persoonsgegevens;
de continuïteit en goede werking van het Digitale Onderwijsmiddel conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Leverancier (het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning, ...).
☒ Het door de Onderwijsinstelling voor onderzoeks- en analysedoeleinden beschikbaar kunnen stellen van volledig geanonimiseerde Persoonsgegevens om daarmee de kwaliteit van het onderwijs te verbeteren;
☒ De uitvoering of toepassing van andere wet- en regelgeving.
D. Persoonsgegevens en bewaartermijnen
Omschrijving en opsomming categorieën Persoonsgegevens die gebruikt worden:
☒ Administratieve gegevens: bv. naam, adres, e-mailadres, inloggegevens, …
☐ Medische gegevens
☐ Sociale gegevens
☒ Gegevens betreffende de kennis, prestatie, vaardigheden
☐ Gegevens betreffende aanwezigheden
☐ Financiële gegevens
Bewaartermijnen van de Persoonsgegevens:
Specificatie van de bewaartermijnen van de Persoonsgegevens.
Uitgeverij VAN IN nv verwijdert de in de Digitale Onderwijsmiddelen verkregen persoonsgegevens:
voor wat betreft leerlingen: 4 jaar na het schooljaar waarin de Betrokkene het secundair onderwijs of volwassenonderwijs verlaten heeft;
voor wat betreft leraren, ICT-coördinatoren, directies, administratief personeel: 4 jaar na het schooljaar waarin de account van de Betrokkene het laatst actief was.
E. Categorieën van betrokkenen
☒ Leerlingen/cursisten en personen die ouderlijk gezag over de leerlingen uitoefenen of in rechte of in feite de minderjarige onder hun bewaring hebben
☒ Personeel en medewerkers
F. Opslag van de persoonsgegevens
Plaats/land van opslag en Verwerking van de Persoonsgegevens: |
Ierland |
Indien de Persoonsgegevens buiten de EER opgeslagen worden, moet dit expliciet aangegeven worden en dienen de passende waarborgen (of een verwijzing ernaar) opgenomen te worden.
G. Subverwerkers
Verwerker maakt voor dienst/product gebruik van de volgende Subverwerkers:
Naam: |
Omschrijving: |
Plaats/land van opslag en Verwerking: |
Sentia: xxx.xxxxxx.xxx |
Serviceprovider |
België, Nederland |
Amazon Web Services (AWS): xxxxx://xxx.xxxxxx.xxx |
Hostingprovider, Cloudservices |
Ierland |
Kikora: xxxx://xxx.xxxxxx.xxx/ |
Math engine |
EU/EER |
Logging |
EU |
|
Sowiso: xxxxx://xxxxxx.xx/ |
Math engine |
In lijn met GDPR-wetgeving |
Knooppunt: xxxxx://xxx.xxxxxxxxx.xxx/ |
Licentiebeheer, user authenticatie |
België |
MailChimp/Mandrill: xxxxx://xxxxxxxxx.xxx/ |
E-mailservice |
In lijn met EU-U.S. Privacy Shield Framework |
Google Analytics |
Volledig geanonimiseerde statistische gegevens |
|
H. Contactgegevens
Mocht u vragen hebben over deze Privacy Bijsluiter, dan kunt u terecht op xxx.xxxxx.xx/xx/xxxxxxx, schrijven naar Uitgeverij VAN IN nv – Privacy, Xxxxxxxxxxxxxxxxx 00 xxx 0, 0000 Xxxxxxxxx, of contact opnemen via xxxxxxx@xxxxx.xx.
Mocht u vragen hebben over de werking van Xxxxxx, dan kunt u terecht op de website xxxx://xxxxx.xxxxxx.xx, schrijven naar Uitgeverij VAN IN nv, t.a.v. Xxxxxx, Xxxxxxxxxxxxxxxxx 00 xxx 0, 0000 Xxxxxxxxx, of contact opnemen via xxxxxx@xxxxx.xx.
I. Versie
Verwerkersovereenkomst Diddit – versie 1.0 – laatste aanpassing op 15 augustus 2018
Gebruikmakend van het Model Verwerkersovereenkomst versie 1.0 mei 2018
BIJLAGE 2: Algemene technische en organisatorische beveiligingsmaatregelen
Volgens artikel 28.1 van de AVG doet de Verwerkersverantwoordelijke uitsluitend een beroep op Verwerkers die afdoende garanties m.b.t. technische en organisatorische maatregelen bieden zodat Persoonsgegevens voldoende beschermd zijn en de rechten van de Betrokkene gewaarborgd blijven.
Volgens artikel 32 van de AVG moet de Verwerker passende technische en organisatorische maatregelen nemen ter beveiliging van de Verwerking van Persoonsgegevens.
In deze bijlage geven Verwerkers aan wat hun algemene technische en organisatorische beveiligingsmaatregelen zijn zodat Verwerkingsverantwoordelijke voldoende garanties krijgt inzake beveiliging van Persoonsgegevens.
Eventuele certificeringen: |
Niet van toepassing |
Audits/derden-verklaringen: |
|
Algemene omschrijving van de maatregelen zoals bedoeld in artikel 6.2 Verwerkersovereenkomst
I. Algemene omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens.
Groepen van medewerkers die toegang hebben tot welke Persoonsgegevens: |
Handelingen die deze medewerkers uitvoeren met de Persoonsgegevens: |
Geheimhoudingsverplichting: |
Medewerkers van sales en marketing, klantendienst- en helpdeskmedewerkers en medewerkers van het productteam hebben toegang tot licentie-informatie. Ze kunnen onder meer zien voor welke Gebruiker welk Digitaal Onderwijsmiddel geactiveerd is. |
Administratieve handelingen in het kader van de werking van onderwijsmiddelen en licenties. |
Met medewerkers (zowel intern als extern) worden geheimhoudingsverklaringen overeengekomen. Uitgeverij VAN IN nv stimuleert het bewustzijn rond privacy en biedt medewerkers opleiding en training in verband met privacy en informatiebeveiliging. |
Helpdeskmedewerkers en medewerkers van het productteam hebben toegang tot de Persoonsgegevens vermeld in de Privacy Bijsluiter. |
Eerstelijns-, tweedelijns- en derdelijnsondersteuning op vraag van de Gebruiker. |
|
Business Technology-medewerkers van het productteam hebben toegang tot de databases. |
De handelingen van de Business Technology-medewerkers zijn gericht op continuïteit en verbetering van ICT-systemen. |
|
Contentmedewerkers hebben toegang tot geanonimiseerde sets van resultaten van gebruik van Digitale Onderwijsmiddelen, eventuele problemen/fouten bij gebruik. |
Analyse van het Digitale Onderwijsmiddel en bijbehorende content, gericht op opsporing van fouten, verbetering, ontwikkeling en optimalisatie. |
II. Algemene omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, Verwerking, toegang of openbaarmaking.
De netwerkomgeving waarbinnen Persoonsgegevens worden verwerkt, is strikt beveiligd. Daarbij worden verkeersstromen gescheiden en zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
De omgeving waarbinnen Persoonsgegevens worden verwerkt, wordt gemonitord.
De Digitale Onderwijsmiddelen waarbinnen Persoonsgegevens worden verwerkt, komen tot stand op basis van systeemplanning, beveiligingscontrole en acceptatie. Wijzigingen in applicaties worden getest op kwetsbaarheden voordat deze in productie worden genomen.
Op wachtwoorden worden cryptografische maatregelen toegepast om deze gegevens veilig op te slaan.
Er wordt voor inlogprocessen gebruikgemaakt van versleutelde verbindingen. De uitwisseling van persoonsgegevens aan derden in opdracht van de Onderwijsinstelling vindt versleuteld plaats.
Persoonsgegevens worden uitsluitend verwerkt in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf.
Persoonsgegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren.
Er worden periodiek back-ups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze back-ups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving.
De locaties waar gegevens worden verwerkt worden periodiek getest, onderhouden en periodiek beoordeeld op veiligheidsrisico's.
III. Algemene omschrijving rond het informatieveiligheidsbeleid en de maatregelen om zwakke plekken te identificeren en aan te pakken ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Onderwijsinstelling.
Penetratietests en vulnerability assessments worden periodiek uitgevoerd.
Op systemen worden periodiek de laatste (beveiligings)patches geïnstalleerd op basis van patchmanagement.
Informeren over Inbreuken in verband met persoonsgegevens
Het informeren in geval van Inbreuken in verband met persoonsgegevens en/of incidenten met betrekking tot beveiliging. Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de onderstaande informatie zonder onredelijke vertraging in stappen worden verstrekt.
Informatie die in ieder geval over een incident gedeeld moet worden zodat de Verwerkingsverantwoordelijke aan de meldplicht aan de Gegevensbeschermingsautoriteit kan voldoen. De vetgedrukte elementen moeten zeker worden meegedeeld ingeval van een inbreuk in verband met persoonsgegevens.
De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
De oorzaak van het beveiligingsincident;
De maatregelen die getroffen zijn om het incident aan te pakken en eventuele/verdere schade te beperken en voorkomen;
Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin;
De omvang van de groep betrokkenen;
Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties);
De omvang van de gegevens;
De waarschijnlijke gevolgen voor de betrokkene.
Versie
Verwerkersovereenkomst Diddit – versie 1.0 – laatste aanpassing op 15 augustus 2018
Gebruikmakend van het Model Verwerkersovereenkomst versie 1.0 mei 2018
Verwerkersovereenkomst Diddit – versie 1.0 – 15 augustus 2018 1/15