Product- en Dienstenovereenkomst Basispoort
Product- en Dienstenovereenkomst Basispoort
Definities
Basispoort: De Stichting Basispoort, Xxxxxxx 000 xx Xxxxxxxx (0000 XX), statutair gevestigd aan de Xxxxxxxxxxxx 00 xx Xxxxxx (0000 XX).
Basispoortdienst: Het Basispoort-platform waaronder begrepen de software, diensten en website van Basispoort.
Gebruiker: De School, persoon of personen die toegang verkrijgen tot de diensten van Basispoort, zoals leerkrachten, ict-coördinatoren en leerlingen. In geval van een minderjarige, wordt onder Xxxxxxxxx tevens verstaan diens wettelijk vertegenwoordiger(s).
School: De onderwijsinstelling die voor haar Gebruikers gebruik maakt van de Basispoortdienst.
Afgevaardigde: De contactpersoon van de School, zoals de directie of door hen gemandateerde, zoals bijvoorbeeld een ict-coördinator.
Derden: Anderen dan de in de definities genoemde organisaties of personen.
Participant: Een bij Basispoort aangesloten partij, zoals uitgeverijen en schoolleveranciers, vermeld op de website xxx.xxxxxxxxxx.xx.
Leermiddel: De producten en diensten, waaronder digitale leermiddelen, van een Participant waartoe de Gebruiker via zijn Account toegang krijgt.
Account: De faciliteit waarmee een Gebruiker via zijn Accountgegevens toegang krijgt tot een Leermiddel.
Accountgegevens: De gegevens, waaronder begrepen de gebruikersnaam en het wachtwoord, waarmee de Gebruiker toegang krijgt tot een Leermiddel.
Gegevens: De gegevens die door de Scholen (handmatig of geautomatiseerd via hun administratiesystemen) aan de Basispoortdienst beschikbaar worden gesteld, bestaande uit school-, Afgevaardigde-, docent- en leerlinggegevens.
Verantwoordelijke: Verantwoordelijke in de zin van artikel 1 onder d. Wet bescherming persoonsgegevens.
Overeenkomst: Deze gebruikersovereenkomst.
Paragraaf 1 Algemene bepalingen
Artikel 1. De Overeenkomst
- Basispoort is een serviceorganisatie die laagdrempelige toegang regelt voor Gebruikers tot Leermiddelen. Basispoort verschaft Gebruikers toegang tot Leermiddelen waarvoor een School een licentieovereenkomst met een Participant is aangegaan. De Basispoortdienst
biedt een zogenaamde ‘single logon’ , dat wil zeggen een combinatie van een gebruikersnaam en een wachtwoord, waarmee Gebruikers toegang verkrijgen tot voor hen geactiveerde Leermiddelen.
- Basispoort spant zich daarbij in om het inloggen op deze Leermiddelen zo eenvoudig mogelijk te maken.
- Het is voor Gebruikers uitsluitend mogelijk om in te loggen op Leermiddelen waarvoor licenties zijn geactiveerd.
- Deze Overeenkomst regelt de voorwaarden die van toepassing zijn wanneer een School gebruik maakt van de Basispoortdienst. Deze Overeenkomst is van toepassing op ieder gebruik van de Basispoortdienst. Partijen bij deze Overeenkomst zijn enerzijds Basispoort, anderzijds de School.
Artikel 2. Totstandkoming Overeenkomst
- De Overeenkomst komt tot stand nadat de School binnen de Basispoortdienst op ‘Akkoord’ heeft geklikt in het inlogscherm waar de vraag wordt gesteld met deze Overeenkomst in te stemmen en deze handeling is bevestigd door Basispoort door toegang te verlenen tot de Basispoortdienst. De Overeenkomst duurt zolang de onder deze Overeenkomst beschikbaar gestelde Accounts in gebruik zijn.
- Basispoort gaat ervan uit dat de persoon die op ‘Akkoord’ klikt – en zo instemt met de voorwaarden in deze Overeenkomst – bevoegd is om deze Overeenkomst namens de School af te sluiten. De School staat er voor in dat de persoon of de personen die deze Overeenkomst sluit rechtsgeldig bevoegd is/zijn om de desbetreffende partij te vertegenwoordigen en namens deze partij de Overeenkomst te sluiten.
- De Basispoortdienst wordt bij beëindiging van het gebruik van de Accounts door de School beëindigd door middel van schriftelijke opzegging door de School met inachtneming van een opzegtermijn van één maand, welke opzegging door Basispoort binnen deze termijn wordt bevestigd.
Artikel 3. Moment van toegang tot de Basispoortdienst
Zodra deze Overeenkomst is bevestigd door Basispoort, geeft zij – via haar Basispoortdienst – alle door of via de School ingeschreven Gebruikers, toegang tot de geactiveerde Leermiddelen.
Artikel 4. Inspanningsverplichting en beschikbaarheid
- Basispoort spant zich in om de Basispoortdienst ongehinderd aan te bieden met een beschikbaarheid van de Basispoortdienst op schooldagen tussen 8.00 en 17.00 uur van 98% per jaar en tenminste 90% buiten deze uren.
- Voor de toegang tot de Basispoortdienst wordt gebruikgemaakt van internet. Dit kan betekenen dat er, incidenteel, geen toegang kan worden verkregen tot de Basispoortdienst. Basispoort spant zich in om alles te doen wat in redelijkheid van haar kan worden gevergd om de beschikbaarheid en toegankelijkheid te optimaliseren.
- Het onderhoud aan de Basispoortdienst wordt drie dagen van tevoren gemeld aan de Afgevaardigde.
- Het onderhoud wordt uitgevoerd op werkdagen tussen 16.00 uur en 07.00 uur. De aankondiging door Basispoort kan achterwege blijven als het onderhoud tijdens de genoemde tijdstippen minder dan vijf minuten zal duren.
Artikel 5. Beschikbaarheid en storingen
- Een storing is een acute onderbreking van de beschikbaarheid van de Basispoortdienst. Storingen die worden vastgesteld met betrekking tot de beschikbaarheid van de server of de Basispoortdienst worden gerapporteerd aan Basispoort. Storingsmeldingen kunnen worden gezonden naar xxxx@xxxxxxxxxx.xx, worden doorgeven via de website xxx.xxxxxxxxxx.xx of telefonisch worden gemeld via 073 6287557.
- Tijdens kantooruren (tussen 8.00-17.00 uur) op werkdagen bevestigt Basispoort de ontvangst van een storingsmelding binnen negentig minuten. Binnen negentig minuten na de bevestiging van de storingsmelding, geeft Basispoort een redelijke indicatie van de tijd die nodig is om de storing te verhelpen via de website xxx.xxxxxxxxxx.xx of de (op de Basispoort-website vermelde) social media-kanalen van Basispoort.
Artikel 6. Versie browser en bandbreedte
- De specificaties van browsers, besturingssystemen en plug-ins waarvoor het gebruik door de School van de Basispoortdienst geoptimaliseerd is, zijn terug te vinden in de helpdocumentatie op de website xxx.xxxxxxxxxx.xx. Indien browsers, besturingssystemen en plugins niet voldoen aan deze specificaties, is het mogelijk dat de Basispoortdienst niet
juist of volledig functioneert.
- In het geval dat Basispoort eerder ondersteunde browsers, besturingssystemen of plug-ins niet langer ondersteunt, wordt daarvan minimaal drie maanden van tevoren melding gedaan via de website xxx.xxxxxxxxxx.xx.
- De Gebruiker dient te beschikken over toegang tot internet voor het gebruik van de Basispoortdienst. Het gebruik van de Basispoortdienst heeft geen nadelige invloed op de benodigde bandbreedte van een Leermiddel.
Paragraaf 2: Beperking aansprakelijkheid
Artikel 7. Beperking aansprakelijkheid
- Basispoort is niet aansprakelijk en is geen enkele schadevergoeding verschuldigd voor enige schade die geleden is ten gevolge van het gebruik, (tijdelijk) niet of verminderd beschikbaar zijn van de Basispoortdienst, en/of het ontbreken van adequate of volledige toegang tot Leermiddelen en het staken of beëindigen van de Basispoortdienst.
- Tevens is Basispoort niet aansprakelijk voor enige door Gebruikers of de School geleden schade als gevolg van de (inhoud van de) Leermiddelen. Het kan daarbij onder meer gaan om schade als gevolg van onrechtmatigheid van de Leermiddelen, zoals schade als gevolg van inbreuken op de rechten van Derden, maar het is hiertoe niet beperkt.
- Basispoort is evenmin aansprakelijk voor enige schade als gevolg van het niet nakomen van enige overeenkomst (waaronder mede begrepen maar niet beperkt tot overeenkomsten tussen de School en uitgeverijen, ict-dienstverleners en schoolleveranciers) in het kader van de Basispoortdienst.
- De in dit artikel bedoelde uitsluiting van aansprakelijkheid komt te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid door Basispoort.
Artikel 8. Aanspraken van Xxxxxx
- Voor elke schade of aanspraken van Derden die voortvloeien of verband houden met ieder ander gebruik van de Accountgegevens of Gegevens dan het gebruik met inachtneming van de Overeenkomst vrijwaart de School Basispoort voor zover deze schade of aanspraken voortvloeien uit doen of nalaten door School of Gebruiker, waaronder (maar niet beperkt tot) het onzorgvuldig omgaan door de School met Gegevens en Accountgegevens.
- Bij schending van de wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens vrijwaart de School Basispoort voor alle aanspraken, behalve wanneer er sprake is van opzet en/of grove schuld aan de kant van Basispoort, rekening houdend met de inhoud van de Bewerkersovereenkomst.
- Wanneer de School tekortschiet in het informeren van Gebruikers over gebruik van persoonsgegevens zoals verwoord in deze Overeenkomst, vrijwaart zij Basispoort voor alle door Basispoort geleden schade of aanspraken die voortvloeien uit of verband houden met het niet nakomen van die informatieplicht.
Artikel 9. Vorderingsrechten
Wanneer er sprake is van een tekortkoming in de nakoming of onrechtmatige daad door Basispoort, of een andere grond waardoor een vordering of aanspraak of bevoegdheid ontstaat voor de School jegens Basispoort, zal de School dit binnen twee jaar nadat dit haar bekend werd
– of redelijkerwijs bekend had kunnen zijn – kenbaar moeten maken aan Basispoort, anders vervallen die vorderingen of aanspraken en kan de School er dus geen aanspraak meer op maken.
Paragraaf 3: Wijziging en beëindiging van de Overeenkomst
Artikel 10. Wijziging Overeenkomst
Basispoort behoudt zich het recht voor de Overeenkomst te wijzigen. Basispoort zal ten minste 45 dagen voor de nieuwe voorwaarden in werking treden deze bekendmaken, inclusief de datum waarop deze in werking zal treden. Basispoort spant zich in om wijzigingen te laten plaatsvinden in de zomervakanties. Door gebruik te blijven maken van de Basispoortdienst, na de inwerkingtreding van de wijziging, wordt de gewijzigde Overeenkomst van toepassing.
Wijzigingen worden beperkt tot een minimum en zullen op de website xxx.xxxxxxxxxx.xx worden gepubliceerd en worden gemeld aan de Afgevaardigde. Voor de inwerkingtreding van de nieuwe voorwaarden zal Basispoort overleg hebben met de PO-Raad over de noodzaak van de wijzigingen, onverminderd het recht van Scholen om met Basispoort in overleg te treden over een individuele overgangsregeling die voortvloeit uit technische noodzaak.
Artikel 11. Staking dienstverlening
Artikel 12. Beëindiging wegens misbruik
Basispoort kan de Overeenkomst, met onmiddellijke ingang, opzeggen indien er sprake is van zwaarwegende redenen zoals misbruik, oneigenlijk gebruik of het (doen) plegen van fraude door de School of Gebruikers. Basispoort zal echter eerst een schriftelijke waarschuwing melden aan de Afgevaardigde en schooldirectie en de School in staat stellen om binnen een redelijke termijn maatregelen te treffen om misbruik, oneigenlijk gebruik of het (doen) plegen van fraude verder te voorkomen. Indien School onvoldoende in staat is om op redelijke termijn maatregelen te treffen kan Basispoort de Overeenkomst en het verlenen van de Basispoortdienst met onmiddellijke ingang beëindigen.
Paragraaf 4: Slotbepalingen
Artikel 13. Overdracht Overeenkomst
Het is School toegestaan om deze Overeenkomst na voorafgaande toestemming van Basispoort aan een Derde over te dragen. Deze overdracht tast de verantwoordelijkheden van de School als Verantwoordelijke niet aan.
Artikel 14. Vervanging van eerdere voorwaarden
Deze Overeenkomst vervangt alle eerdere voorwaarden en is van toepassing zolang de Basispoortdienst wordt gebruikt.
Artikel 15. Verwerking in het kader van relatiebeheer
De persoonsgegevens van de Afgevaardigden worden zelfstandig verwerkt door Basispoort die alleen in dit geval zélf optreedt als Verantwoordelijke. Basispoort verwerkt de persoonsgegevens van Afgevaardigden voor relatiebeheer en om hen te informeren over de ontwikkelingen van Basispoort, wijziging in dienstverlening, wijziging in dienstverleningsvoorwaarden en wijzigingen op de website xxx.xxxxxxxxxx.xx. De bepalingen in de Bewerkersovereenkomst omtrent beveiliging, vertrouwelijkheid en vernietiging zijn op deze verwerkingen onverminderd van toepassing.
Artikel 16. Algemene voorwaarden en Bewerkersovereenkomst
- Op deze Overeenkomst zijn geen algemene voorwaarden van de School of Basispoort van toepassing.
- De hierna volgende Bewerkersovereenkomst en bijlagen vormen integraal onderdeel van deze Overeenkomst.
- Kopjes in deze Overeenkomst dienen slechts ter toelichting.
Artikel 17. Gedeeltelijke nietigheid
In geval van vernietigbaarheid of nietigheid van één of meer bepalingen van deze Overeenkomst blijven de overige bepalingen van kracht. Partijen verplichten zich nu alvast om, mocht een dergelijke situatie zich te zijner tijd voordoen, dan met elkaar met elkaar in overleg te treden over nieuwe bepalingen ter vervanging van de nietige en/of vernietigbare bepalingen. Uitgangspunt daarbij zal zijn om (voor zoveel mogelijk) de strekking van deze Overeenkomst en de nietige en/of vernietigbare bepalingen te behouden.
Artikel 18. Toepasselijk recht
Op deze Overeenkomst is het Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechtbank te Amsterdam.
Versie: 2.2
Gepubliceerd op: [20 september 2016]
Inwerking: [1 november 2016]
Bewerkersovereenkomst
(conform Model Bewerkersovereenkomst 2.0 behorend bij Convenant Digitale Onderwijsmiddelen en Privacy, Leermiddelen en Toetsen)
Partijen:
1. Het bevoegd gezag van de School als bedoeld in de Gebruikersovereenkomst, hierna te noemen: “Onderwijsinstelling”.
en
2. de Stichting Basispoort, gevestigd en kantoorhoudende aan de Xxxxxxxxxxxx 00, xx (0000 XX) Xxxxxx, hierna te noemen: “Bewerker”
hierna gezamenlijk te noemen: “Partijen”, of afzonderlijk: “Partij”
Overwegen het volgende:
a. Onderwijsinstelling en Bewerker zijn een overeenkomst aangegaan (‘de Product- en Dienstenovereenkomst’), die ziet op de dienstverlening door Basispoort die bestaat uit het verschaffen van gebruikerstoegang tot de door de Onderwijsinstelling afgenomen leermiddelen. Deze Product- en Dienstenovereenkomst leidt ertoe dat Xxxxxxxx in opdracht van Onderwijsinstelling Persoonsgegevens verwerkt.
b. Partijen wensen, mede gelet op het bepaalde in artikel 14 Wet bescherming persoonsgegevens, in deze Bewerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.
Komen het volgende overeen:
Artikel 1: Definities
In deze Bewerkersovereenkomst wordt verstaan onder:
a. Betrokkene, Bewerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens, en Verantwoordelijke: de begrippen zoals gedefinieerd in artikel 1 van de Wbp;
b. Bewerkersovereenkomst: deze Bewerkersovereenkomst, inclusief Bijlagen;
c. Bijlage: een bijlage bij deze Bewerkersovereenkomst, welke daarvan een onlosmakelijk deel uitmaakt;
d. Convenant: het Convenant Digitale Onderwijsmiddelen en Privacy;
e. Datalek: een inbreuk op de beveiliging, zoals bedoeld in artikel 13 Wbp, die leidt tot de aanzienlijke kans op ernstig nadelige gevolgen, dan wel ernstig nadelige gevolgen heeft voor de bescherming van persoonsgegevens, zoals bedoeld in artikel 34a, lid 1, Wbp;
f. Digitaal Onderwijsmiddel: Leermiddelen en Toetsen, en School- en Leerlinginformatiemiddelen;
g. Leermiddelen en Toetsen: digitaal product en/of digitale dienst bestaande uit leerstof en/of toetsen en de daarmee samenhangende digitale diensten, gericht op onderwijsleersituaties, ten behoeve van het geven van onderwijs door of namens Onderwijsinstellingen;
h. School- en Leerlinginformatiemiddelen: een digitaal product en/of digitale dienst ten behoeve van het onderwijs(proces), zoals een leerling administratiesysteem,
roostersysteem, ouderportaal, leerling- en oudercommunicatiesysteem, een elektronische leeromgeving en een leerling volgsysteem;
i. Privacy Bijsluiter: de privacy bijsluiter zoals opgenomen in Bijlage 1;
j. Product- en Dienstenovereenkomst: de overeenkomst tussen Onderwijsinstelling en Bewerker, zoals omschreven in overweging a;
k. Model Bewerkersovereenkomst: het model voor een bewerkersovereenkomst die als bijlage is bijgevoegd bij het Convenant;
l. Subbewerker: de partij die door Bewerker wordt ingeschakeld als Bewerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze Bewerkersovereenkomst en de Product- en Dienstenovereenkomst;
m. Wbp: Wet bescherming persoonsgegevens.
Artikel 2: Onderwerp en opdracht Bewerkersovereenkomst
1. Deze Bewerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Product- en Dienstenovereenkomst.
2. De Onderwijsinstelling verstrekt aan de Bewerker de opdracht tot Verwerking van Persoonsgegevens ten behoeve van de uitvoering van de Product- en Dienstenovereenkomst.
Artikel 3: Rolverdeling
1. Onderwijsinstelling is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verantwoordelijke. Bewerker is bewerker in de zin van de Wbp. De Onderwijsinstelling heeft en houdt zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens.
2. Bewerker draagt er zorg voor dat de Onderwijsinstelling voorafgaande aan het sluiten van deze Bewerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) die de Bewerker verleent, en de uit te voeren Verwerkingen. De gegeven informatie moet de Onderwijsinstelling in staat stellen een keuze te maken met betrekking tot de aangeboden diensten als zodanig, en daarnaast een afzonderlijke keuze te maken voor eventueel aangeboden optionele diensten.
3. De in lid 2 bedoelde diensten, waaronder eventuele optionele diensten, moeten in de Privacy Bijsluiter bij deze Bewerkersovereenkomst in begrijpelijke taal zijn beschreven, waarna de Onderwijsinstelling geïnformeerd akkoord kan gaan met de afname van deze dienst(en).
4. De Onderwijsinstelling kan verplicht zijn de Verwerking van de Persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. De Onderwijsinstelling onderzoekt of zij hiervan is vrijgesteld en doet melding bij de Autoriteit Persoonsgegevens indien zij hiertoe verplicht is.
5. Onderwijsinstelling en Bewerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de relevante privacywet- en regelgeving mogelijk te maken.
Artikel 4: Privacy convenant
1. Partijen onderschrijven de bepalingen in het Convenant Digitale Onderwijsmiddelen en Privacy.
Artikel 5: Gebruik Persoonsgegevens
1. Bewerker verplicht zich om de van Onderwijsinstelling verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is Bewerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door de Onderwijsinstelling (mondeling, schriftelijk dan wel elektronisch) aan Bewerker zijn opgedragen. Deze verplichting geldt zowel gedurende de looptijd van deze overeenkomst als na afloop daarvan.
2. Een overzicht van de categorieën Persoonsgegevens en gebruik waarvoor de Persoonsgegevens worden verwerkt, is uiteengezet in de Privacy Bijsluiter bij deze Bewerkersovereenkomst.
3. De Bewerker dient in de Privacy Bijsluiter aan te geven of de Privacy Bijsluiter ziet op een Leermiddel en Toets en/of School- en Leerlinginformatiemiddel. Bewerker specificeert in de Privacy Bijsluiter voor welke (in het Convenant opgenomen) doeleinden persoonsgegevens worden verwerkt bij het gebruik zijn product en/of dienst, en welke categorieën Persoonsgegevens daarbij worden verwerkt. Indien aangegeven in de toelichting in de Privacy Bijsluiter, dient de Bewerker tevens aan te geven onder welke van de in het Convenant omschreven doeleinden bij het gebruik van het product en/of de dienst de Verwerking van Persoonsgegevens plaatsvindt.
4. Bewerker onthoudt zich van verstrekking van Persoonsgegeven aan een Derde, tenzij deze uitwisseling plaatsvindt in opdracht van de Onderwijsinstelling of wanneer dit noodzakelijk is om te voldoen aan een op de Bewerker rustende wettelijke verplichting. In geval van een wettelijke verplichting, verifieert Bewerker voorafgaande de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Bewerker de Onderwijsinstelling – indien wettelijk toegestaan - onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.
Artikel 6: Geheimhouding
1. Bewerker zorgt er voor dat een ieder, waaronder haar werknemers, vertegenwoordigers en/of Subbewerkers, die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Bewerker bewerkstelligt dat voor een ieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.
2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Onderwijsinstelling uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Bewerker aan Onderwijsinstelling te verlenen diensten, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.
Artikel 7: Beveiliging en controle
1. Bewerker zal, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen.
2. De maatregelen zoals genoemd in artikel 7.1 omvatten in ieder geval:
a. maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de Bewerkersovereenkomst worden verwerkt;
b. maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;
c. maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Onderwijsinstelling;
d. een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.
3. Bewerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud en de frequentie van de rapportages die Bewerker aan de Onderwijsinstelling oplevert over de beveiligingsmaatregelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Onderwijsinstelling moet treffen.
5. De Bewerker stelt de Onderwijsinstelling in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Bewerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door de Bewerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.
6. In aanvulling op artikel 7, lid 4 heeft de Onderwijsinstelling te allen tijde het recht om, in overleg met de Bewerker en met inachtneming van een redelijke termijn, op eigen kosten, de door Bewerker genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke Register EDP auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Bewerker in te schakelen gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. De Onderwijsinstelling wordt geïnformeerd over de uitkomsten van de audit.
Artikel 8: Datalekken
1. Xxxxxxxx heeft een passend beleid voor de omgang met Datalekken.
2. Indien Onderwijsinstelling dan wel Bewerker een Datalek vaststelt, dan zal deze de andere Partij onverwijld informeren. Bewerker verstrekt ingeval van een Datalek alle relevante informatie aan Verantwoordelijke met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de Bewerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen. Aanvullend informeren Partijen elkaar onverwijld indien blijkt dat de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van Betrokken zoals bedoeld in artikel 34a, lid 2, Wbp.
3. Bewerker stelt bij een Datalek de Verantwoordelijke in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek Bewerker dient hierbij aansluiting te zoeken bij de bestaande processen die Verantwoordelijke daartoe heeft ingericht. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of
inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de Wbp of andere regelgeving betreffende de Verwerking van de Persoonsgegevens, te voorkomen of te beperken.
4. In geval van een Datalek, voldoet Onderwijsinstelling aan eventuele wettelijke meldingsplichten. Partijen kunnen in onderling overleg bepalen of, en zo ja hoe, Bewerker een melding aan de Autoriteit Persoonsgegevens kan verrichten. Op verzoek van de Onderwijsinstelling kan Bewerker Onderwijsinstelling hierbij bijstaan en adviseren. De Onderwijsinstelling zal de Betrokkenen, indien wettelijk vereist, informeren over een dergelijke inbreuk. Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.
5. Over incidenten met betrekking tot de beveiliging, anders dan een Datalek, die vallen buiten het bereik van artikel 1 sub e, informeert de Bewerker de Onderwijsinstelling conform de afspraken zoals neergelegd in Bijlage 2.
Artikel 9: Procedure rechten betrokkenen
1. Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Bewerker onverwijld doorgestuurd naar de Onderwijsinstelling, die verantwoordelijk is voor de afhandeling van het verzoek.
2. Bewerker verleent Onderwijsinstelling – voor zover redelijkerwijs mogelijk - volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wbp, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens. Partijen zullen te goeder trouw overleggen over de redelijke verdeling van de eventuele kosten die hiermee gemoeid zijn.
Artikel 10: Verwerking buiten de Europese Economische Ruimte
1. Partijen zien er op toe dat voor zover Persoonsgegevens buiten de Europese Economische Ruimte (verder: EER) worden Verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Onderwijsinstellingen rusten. Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de landen waar de gegevens worden verwerkt.
Artikel 11: Inschakeling Subbewerker
1. Bewerker kan een Subbewerker inschakelen, van wie de identiteit en vestigingsgegevens zullen worden opgenomen in de Privacy Bijsluiter.
2. Bewerker verplicht iedere Subbewerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Bewerkersovereenkomst.
3. Bewerker verplicht iedere Subbewerker contractueel om Persoonsgegevens niet verder te verwerken anders dan in het kader van deze Bewerkersovereenkomst is overeengekomen.
Artikel 12: Bewaartermijnen en vernietiging Persoonsgegevens
1. Onderwijsinstelling zal Bewerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Xxxxxxxx. Bewerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.
2. Onderwijsinstelling verplicht Bewerker om de in opdracht van Onderwijsinstelling Verwerkte Persoonsgegevens bij de beëindiging van de Bewerkersovereenkomst te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van de Onderwijsinstelling. De Onderwijsinstelling kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.
3. Bewerker zal Onderwijsinstelling (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte persoonsgegevens heeft plaatsgevonden.
4. Bewerker zal alle Subbewerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Bewerkersovereenkomst en zal waarborgen dat alle Subbewerkers de Persoonsgegevens (laten) vernietigen.
Aanvullend op de Model Bewerkersovereenkomst:
5. Nadat de opgedragen taken in het kader van de Bewerkersovereenkomst zijn uitgevoerd en de Product- en Dienstenovereenkomst is beëindigd, vernietigt Xxxxxxxx binnen vier weken of op eerste, schriftelijke verzoek van de Onderwijsinstelling onmiddellijk de bestanden van verzamelde (persoons)gegevens en de gemaakte kopieën van persoonsgegevens van de Onderwijsinstelling.
Artikel 13: Tegenstrijdigheid en wijziging Bewerkersovereenkomst
1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Bewerkersovereenkomst en de bepalingen van de Product- en Dienstenovereenkomst, dan zullen de bepalingen van deze Bewerkersovereenkomst leidend zijn.
2. Indien Partijen van de artikelen in de Model Bewerkersovereenkomst door omstandigheden moeten afwijken, of deze willen aanvullen, dan zullen deze wijzigingen en/of aanvullingen door Partijen worden beschreven en gemotiveerd in een overzicht dat als Bijlage 3 aan deze Bewerkersovereenkomst zal worden gehecht. Het bepaalde in dit lid geldt niet voor aanvullingen en/of wijzigingen van de Bijlagen 1 en 2.
3. Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens de Onderwijsinstelling de keuze hiertoe aanvaardt, de Onderwijsinstelling in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens, de doeleinden waaronder de Persoonsgegevens worden Verwerkt en het inschakelen van een (andere) Subbewerker. De wijzigingen zullen in Bijlage 1 worden opgenomen.
4. Wijzigingen in de artikelen van de Bewerkersovereenkomst kunnen uitsluitend in gezamenlijkheid worden overeengekomen.
5. In het geval enige bepaling van deze Bewerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Bewerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk
rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
Artikel 14: Duur en beëindiging
1. De looptijd van deze Bewerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingen daarvan.
2. Deze Bewerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Product- en Dienstenovereenkomst. De beëindiging van deze Bewerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Bewerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
BIJLAGE 1: PRIVACY BIJSLUITER BASISPOORT
A. Algemene informatie
Naam product en/of dienst de Basispoortdienst
Naam Bewerker en vestigingsgegevens Stichting Basispoort te Ochten Beknopte uitleg en werking product en dienst
Basispoort verschaft gebruikers toegang tot leermiddelen waarvoor een School een licentieovereenkomst met een Participant van Basispoort is aangegaan. De Basispoortdienst biedt een zogenaamde ‘single logon’ , dat wil zeggen een combinatie van een gebruikersnaam en een wachtwoord, waarmee leerling of leerkracht toegang verkrijgen tot voor hen geactiveerde Leermiddelen.
Link naar leverancier en/of productpagina xxx.xxxxxxxxxx.xx Doelgroep Primair Onderwijs
Gebruikers Leerlingen, leerkracht, ict-coordinatoren
B. De specifieke diensten
Omschrijving van de specifiek verleende diensten en bijbehorende Verwerkingen
1. Verwerkingen die een onlosmakelijk onderdeel vormen van de aangeboden dienst.
a. het ontvangen en importeren van Xxxxxxxx;
b. het aanmaken en muteren van Accountgegevens per Gebruiker;
c. het verlenen van toegang aan Gebruikers tot Leermiddelen door een single-logon;
d. het verzorgen van backups van de Accountgegevens;
e. het verlenen van inzage aan de School in de Accountgegevens;
f. het verlenen van inzage aan Gebruikers in de Accountgegevens op verzoek van de School;
g. het op eerste verzoek van de School verwijderen van gegevens van Xxxxxxxxxx;
h. het verlenen van een overzicht via het beheerscherm van door de School geactiveerde licenties;
i. het doorgeven van Gegevens aan Participanten waarvoor licenties zijn geactiveerd, waarbij door Bewerker in geen geval gegevens worden doorgegeven aan Participanten waarvoor een School geen licenties van Leermiddelen heeft afgenomen of geactiveerd;
j. het beheren en uitvoeren van een licentiekantoor voor de autorisatie van Gebruikers in het kader van gebruik van Leermiddelen waarvoor licenties zijn geactiveerd, waarbij door Bewerker in geen geval gegevens worden doorgegeven aan Participanten waarvoor een School geen licenties van Leermiddelen heeft afgenomen of geactiveerd.
De School kan de doorgifte van Gegevens als bedoeld onder i. en j. aan iedere Participant via de Basispoortdienst activeren en deactiveren. Door Bewerker worden geen leer- of toetsresultaten opgeslagen en/of uitgewisseld.
2. Omschrijving van de optionele Verwerkingen die de bewerker aanbiedt
Het verlenen van toegang aan Gebruikers tot Leermiddelen buiten de schoolomgeving (thuis) door een single-logon. De School kan deze optionele dienstverlening zelf activeren en deactiveren.
3. Cookies
Cookies die ter uitvoering van de Product- en Dienstenovereenkomst worden geplaatst door Bewerker betreffen uitsluitend functionele cookies, waarvoor op grond van de Telecomwet geen toestemming noodzakelijk is.
C. Xxxxxxxxxx voor het verwerken van gegevens
De Basispoortdienst kan worden omschreven als ‘Leermiddel of Toets’ in de zin van artikel 1 van de Bewerkersovereenkomst. De mogelijke doelstellingen van deze producten en diensten zijn omschreven in het daarop betrekking hebbende onderdeel van artikel 5 lid 1 van het Convenant Digitale Onderwijsmiddelen en Privacy 2.0.
D. Categorieën en soorten persoonsgegevens
Omschrijving en opsomming categorieën Persoonsgegevens die gebruikt worden:
• van leerlingen: Basispoort ID (aangemaakt door Basispoort), voornaam, achternaam, tussenvoegsel, geboortedatum, leerlingkey, groepskey, groepsnaam, jaargroep, geslacht en BRIN;
• van Afgevaardigden en leerkrachten: Basispoort ID (aangemaakt door Basispoort), voornaam, achternaam, tussenvoegsel, geboortedatum, leerkrachtkey, groepskey, groepsnaam, jaargroep, geslacht, BRIN, e-mailadres.
• Van Scholen: Basispoort ID (aangemaakt door Basispoort), ASSU_nummer_RP, BRIN, schoolnaam en bezoekadres.
Eventuele optionele Persoonsgegevens (die worden niet standaard gevraagd en opgeslagen):
Maximaal twee e-mailadressen die zijn gekoppeld aan een leerling voor het faciliteren van toegang buiten de schoolomgeving (thuistoegang).
Soorten van gegevens (zoals bijzondere gegevens, of financiële gegevens): De gebruikersgegevens worden beschouwd als gevoelige gegevens.
E. Algemene informatie over getroffen beveiligingsmaatregelen:
Specifieke beveiligingsmaatregelen voor deze dienst/product:
Zie bijlage Technische en organisatorische beveiligingsmaatregelen Eventuele certificeringen:
n.v.t.
Audits/derden-verklaringen:
Basispoort zal bij een nieuwe major release van de Basispoortdienst een onafhankelijke beveiligingsaudit laten uitvoeren en hieromtrent een mededeling doen op de website xxx.xxxxxxxxxx.xx. Basispoort voert hierover overleg met de PO-Raad.
Plaats/Land van opslag en Verwerking van de Persoonsgegevens: Nederland
F. Subbewerkers
Bewerker maakt voor dienst/product gebruik van de volgende Subbewerkers: XXXXX, Xxxxxxxxxxx 00, (0000 XX) xx Xxxxxxxxx, beheer van de Basispoortdienst.
[Microsoft Ireland Operations Limited, Dublin, Ierland], aanbieder van Microsoft Azure. Plaats/Land van opslag en Verwerking van de Persoonsgegevens:
Nederland (Microsoft Azure, Agriport Bedrijventerrein A7, Middenmeer)
G. Contactgegevens
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij:
Stichting Basispoort, Xxxxxxx 000 (0000 XX) te Kesteren E-mail: xxxx@xxxxxxxxxx.xx
Telefoon: 073 6287557
H. Versie
Versie [1 november 2016]
BIJLAGE 2: Technische en organisatorische beveiligingsmaatregelen
De Bewerker is overeenkomstig de Wbp en artikel 7 Bewerkersovereenkomst verplicht technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens.
Omschrijving van de maatregelen zoals bedoeld in artikel 7.2 Bewerkersovereenkomst
I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens.
Meer in het bijzonder de uitwerking welke (groepen) medewerkers van de Bewerker toegang hebben tot welke Persoonsgegevens, inclusief een omschrijving van handelingen die deze medewerkers uit mogen voeren met de persoonsgegevens.
a. (groepen van) medewerkers die toegang hebben tot welke Persoonsgegevens:
Medewerker van de helpdesk hebben toegang tot de interne rapportagesoftware van Basispoort. Databasebeheerders hebben toegang tot de database van Basispoort.
b. handelingen die deze medewerkers uitvoeren met de Persoonsgegevens:
• De handelingen van helpdeskmedewerkers bestaan uit het ondersteunen van individuele gebruikers in het kader van het gebruik van de aangeboden dienstverlening.
• De handelingen van databasebeheerders bestaan uit maatregelen om de continuïteit van de dienstverlening te garanderen of optimalisatie van de technische werking van het platform te kunnen bewerkstelligen.
II. Omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, Verwerking, toegang of openbaarmaking.
• In het kader van de Basispoortdienst wordt gebruik gemaakt van versleutelde verbindingen om gegevens die worden verwerkt bij het inloggen en de uitwisseling van gegevens te beveiligen.
• Basispoort voorziet haar servers van de meest recente beveiligingsupdates, mede op basis van de beveiligingsadviezen van het NCSC.
• Basispoort hanteert een autorisatiesystematiek om te bepalen wie toegang moet hebben tot welke gegevens. Regel bij Basispoort is dat medewerkers geen toegang hebben tot meer data dan strikt noodzakelijk is voor hun functie.
• De ingeschakelde hostingprovider van Basispoort is ISO9001, -14001 en -27001 en NEN7510 gecertificeerd. De gegevens die door Basispoort worden verwerkt zijn daarom opgeslagen in een fysiek beveiligde omgeving.
• Voor de toegang tot persoonsgegevens wordt gebruik gemaakt van toegangsbeveiligingsbeleid.
• Basispoort beschikt over incident- continuïteitsmanagement om de continuïteit van de dienstverlening te kunnen garanderen.
III. Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Onderwijsinstelling.
Basispoort zal bij een nieuwe major release van de Basispoortdienst een onafhankelijke beveiligingsaudit laten uitvoeren en hieromtrent een mededeling doen op de website xxx.xxxxxxxxxx.xx. Basispoort laat deze dienstverlening uitvoeren door Pine Digital Security.
Rapportage
Bewerker rapporteert aan Verantwoordelijke over de door Bewerker genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen en eventuele aandachtspunten daarin via haar website. In het geval zich Datalekken voordoen worden Afgevaardigden daarover op zo kort mogelijke termijn per e-mail geïnformeerd.
De helpdesk van de Stichting Basispoort is in het geval van incidenten bereikbaar via telefoon: 073 6287557.
Informatie over Datalekken
De wijze waarop monitoring en identificatie van Datalekken plaatsvindt
Basispoort monitort 24/7 haar dienstverlening en heeft de in Bijlage 2 opgenomen maatregelen getroffen om ongeoorloofde of onrechtmatige toegang tot gegevens te voorkomen en te identificeren. Signalen die duiden op een Datalek worden beoordeeld door de security officer van Basispoort, die analyseert of sprake kan zijn van een Datalek.
De wijze waarop informatie wordt gedeeld:
Wanneer zich een Datalek voordoet, wordt de verantwoordelijke onderwijsinstelling door of namens Basispoort in beginsel binnen 24 uur na vaststelling dat sprake is van een Datalek per e- mail geïnformeerd. Afhankelijk van de situatie, kan ook informatie worden gedeeld via de website en officiële social media kanalen van Basispoort. De contactgegevens van Afgevaardigden kunnen online worden beheerd binnen de Basispoortdienst.
Voor vervolgacties of vragen kan telefonisch (073 6287557) of per e-mail (xxxx@xxxxxxxxxx.xx) contact worden opgenomen met de helpdesk van Basispoort.
Basispoort deelt ten minste de volgende informatie wanneer zich een Datalek voordoet:
• De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
• De oorzaak van het beveiligingsincident;
• De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen;
• Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin;
• De omvang van de groep betrokkenen;
• Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
Indien een concrete situatie zich daartoe leent, dan kan Basispoort in overleg met de PO-Raad een (eerste) melding van een Datalek doen aan de Autoriteit Persoonsgegevens. De Onderwijsinstelling wordt hierover geïnformeerd en blijft ook in dit geval eindverantwoordelijk voor de melding.
Versie
[1 november 2016]
Deze privacy bijsluiter maakt onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen en Privacy 2.0, een initiatief van de PO-Raad, VO-raad, de verschillende