Model Verwerkersovereenkomst
Deze Verwerkersovereenkomst hoort bij de Intentieverklaring Privacy in Digitale Onderwijsmiddelen (hierna: de Intentieverklaring) afgesloten tussen onderwijsverstrekkers, Federatie Centra voor Basiseducatie en VCLB enerzijds en de GEWU en softwareontwikkelaars anderzijds.
De uitgangspunten van deze Verwerkersovereenkomst sluiten aan bij de bepalingen in de Intentieverklaring, de Algemene Verordening Gegevensbescherming (hierna: AVG) en de Belgische wetgeving hieromtrent, en de richtsnoeren van de Gegevensbeschermingsautoriteit.
In de Intentieverklaring is afgesproken dat Onderwijsinstellingen en Intentieverklaringspartijen dit model gebruiken bij het maken van verbintenissen over de Verwerking van Persoonsgegevens. Gezien het aantal bepalingen dat wettelijk is voorgeschreven, is de ruimte voor afwijking van de bepalingen in dit Model Verwerkersovereenkomst beperkt.
Deze Verwerkersovereenkomst bevat standaard twee model-bijlagen:
Deze twee bijlagen zullen verschillen per verwerker.
Informatie over de Intentieverklaring en het Model Verwerkersovereenkomst is te vinden op de website www.privacyinonderwijs.be. Meer informatie en antwoorden op vragen over privacy en de wettelijke rechten en verplichtingen voor Onderwijsinstellingen zijn te vinden op bovengenoemde website, de websites van de Onderwijsverstrekkers en deze van de Gegevensbeschermingsautoriteit.
18 mei 2018
Partijen:
- Het schoolbestuur <naam vzw>, geregistreerd onder ondernemingsnummer-nummer <ondernemingsnummer> (Vrij Gesubsidieerd Onderwijs), gevestigd te <adres>, <postcode> <plaats>, te dezen rechtsgeldig vertegenwoordigd door <naam>,<functie>,
of
- De school (GO! onderwijs van de Vlaamse Gemeenschap), gevestigd te <adres>, <postcode> <plaats>, te dezen rechtsgeldig vertegenwoordigd door <naam>,<functie>,
of
Het schoolbestuur <naam gemeente/provincie> (gesubsidieerd officieel onderwijs), gevestigd te <adres>, <postcode> <plaats>, te dezen rechtsgeldig vertegenwoordigd door <naam>,<functie> ,
- …
hierna te noemen: “Verwerkingsverantwoordelijke”.
en
hierna gezamenlijk te noemen: “Partijen”, of afzonderlijk: “Partij”
Overwegen het volgende:
Komen het volgende overeen:
In deze Verwerkersovereenkomst wordt verstaan onder:
Artikel 2: Onderwerp en opdracht Verwerkersovereenkomst
Artikel 3: Rolverdeling
Artikel 4: Gebruik Persoonsgegevens
In geval van een wettelijke verplichting, verifieert Verwerker voorafgaand aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Verwerker de Verwerkingsverantwoordelijke – indien wettelijk toegestaan - onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.
Artikel 5: Geheimhouding
Artikel 6: Beveiliging en controle
Artikel 7: Inbreuken in verband met persoonsgegevens
Verwerker verstrekt ingeval van een Inbreuk in verband met persoonsgegevens alle relevante informatie aan Verwerkingsverantwoordelijke met betrekking tot deze Inbreuk, waaronder de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en aantal persoonsgegevens in kwestie; de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; de maatregelen die de Verwerker heeft voorgesteld of genomen om de Inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Partijen houden een overzicht bij van alle incidenten en de maatregelen die ze daarbij genomen hebben om dergelijke Incidenten te voorkomen. De Verwerker verleent de Verwerkingsverantwoordelijke, op diens verzoek, inzage.
Artikel 8: Procedure rechten betrokkenen
Artikel 9: Verwerking buiten de Europese Economische Ruimte (EER)
Artikel 10: Inschakeling Subverwerker
Artikel 11: Bewaartermijnen en vernietiging Persoonsgegevens
Deze acties gebeuren binnen een overeengekomen, redelijke termijn.
Artikel 12: Aansprakelijkheid en vrijwaring
Artikel 13: Tegenstrijdigheid en wijziging Verwerkersovereenkomst
Artikel 14: Duur en beëindiging
Aldus overeengekomen in tweevoud opgemaakt en ondertekend te <plaats> op datum van ….
Verwerkingsverantwoordelijke, Verwerker,
Naam: Naam:
Functie: Functie:
Bijlage 1: Privacy Bijsluiter
Bijlage 2: Algemene technische en organisatorische beveiligingsmaatregelen
BIJLAGE 1: PRIVACY BIJSLUITER [naam product/dienst]
Onderwijsinstellingen maken in toenemende mate gebruik van digitale toepassingen binnen het onderwijs. Bij het gebruik en levering van deze producten en diensten zijn gegevens nodig die te herleiden zijn tot personen (zoals bv. leerlingen en leerkrachten). De Verwerkingsverantwoordelijken moeten met Verwerkers afspraken maken over het gebruik van die Persoonsgegevens. Deze bijsluiter geeft Onderwijsinstellingen informatie over de dienstverlening die Verwerker verleent en welke persoonsgegevens de Verwerker daarbij verwerkt. Alles bij elkaar gaat het over de vragen “wie gegevens van de betrokken personen verwerkt en waar, waarom en hoe deze gegevens worden verwerkt”.
Het gebruik van deze Privacy Bijsluiter helpt de Verwerkingsverantwoordelijken (en dus ook de Onderwijsinstellingen) om beter te begrijpen wat de werking van het product en/of dienst is en welke gegevens daarvoor worden uitgewisseld. Op basis van deze bijsluiter kan een register van verwerkingsactiviteiten verder ingevuld en onderhouden worden.
In het kader van de herkenbaarheid is het wenselijk dat Verwerkers zo veel mogelijk op uniforme wijze gebruik maken van deze Privacy Bijsluiter. Afwijkingen van dit model zijn weliswaar mogelijk, maar dienen bij voorkeur beperkt te blijven. Indien de ruimte in deze bijlage onvoldoende is om de benodigde informatie te beschrijven, is het mogelijk de informatie op te nemen in aparte Bijlage(n), welke als volgt genummerd worden: “Bijlage 1A”, “Bijlage 1B”, etc.. Deze Bijlagen worden aan de Verwerkersovereenkomst gehecht.
A. Algemene informatie
Naam product en/of dienst: | Gynzy |
Naam Verwerker en vestigingsgegevens: | Gynzy Belgium, geregistreerd onder ondernemingsnummer <ondernemingsnummer> gevestigd en kantoorhoudende te Broederminstraat 9 (2018) te Antwerpen, Belgie |
Beknopte uitleg over werking product en dienst: | Gynzy is een digitaal leerplatform voor het basisonderwijs dat bestaat uit digitale verwerking en bordsoftware. Hiermee bieden we je ondersteuning bij klassenmanagement, het geven van interactieve lessen, aanbieden van adaptieve lesstof, nakijken en begeleiding op maat. |
Link naar aanbieder en/of productpagina: | www.gynzy.com |
Doelgroep: | basis- of secundaire school, deeltijds kunstonderwijs, centrum voor volwassenenonderwijs, centrum voor basiseducatie, hoger onderwijs, internaat of centrum voor leerlingenbegeleiding |
Gebruikers: | leerlingen/ouders/verzorgers/leerkrachten/administratief personeel/andere (specifieer) |
B. Algemene informatie betreffende de Verwerkingen
Onderwerp van de Verwerking(en): | Diensten die in de Product- en Dienstenovereenkomst uiteengezet worden |
Duur van de Verwerking(en): | Duur van de Product- en Dienstenovereenkomst |
Aard van de Verwerking(en): | Terbeschikkingstelling van, en mogelijkheid tot wijzigingen aan, gegevens voor het leveren van het product en de diensten die in de Product- en Dienstenovereenkomst uiteengezet worden |
Omschrijving van de specifiek verleende diensten en bijbehorende Verwerkingen |
Gynzy Basis: Gynzy levert met Gynzy Basis een digitaal product en digitale dienst waarin een beperkte set aan persoonsgegevens van Medewerkers Onderwijsinstellingen worden verwerkt ten behoeve van het verzorgen van onderwijs, waaronder het voorbereiden, uitvoeren en ondersteunen van het onderwijs(proces). Gynzy Basis bevat alles om interactief les te geven door de leerkracht. Met de kant en klare lessen, activiteiten, spelletjes en hulpmiddelen geef je je onderwijs een boost, en bespaar je veel tijd. Met Gynzy Basis worden geen leerresultaten bijgehouden. Gynzy Plus: Gynzy levert met Gynzy Plus een digitaal product en digitale dienst waarin ook persoonsgegevens van Onderwijsdeelnemers worden verwerkt ten behoeve van het verzorgen van onderwijs, waaronder het voorbereiden, uitvoeren, evalueren en ondersteunen van het onderwijs(proces) en het begeleiden en volgen van Onderwijsdeelnemers (in hun leerproces) Met Gynzy Plus vinden alle verwerkingen plaats die gerelateerd zijn aan de doeleinden, zoals omschreven Onderdeel E van deze verwerkersovereenkomst. Gynzy Plus laat Onderwijsdeelnemers digitaal leren op hun eigen niveau. Behalve interactief lesgeven zet je snel en gemakkelijk extra leerdoelen met opgaven klaar, of gebruik je Gynzy als aanvulling op je methode. Gynzy Compleet: Gynzy Compleet biedt dezelfde verwerkingen als Gynzy Plus, maar biedt daarnaast nog meer mogelijkheden en voordelen, zoals instructielessen, het maken van eigen leerlijnen en persoonlijke begeleiding voor jouw team.
Toelichting: Het gaat hier om aanvullende diensten en bijhorende Verwerkingen die geen onlosmakelijk onderdeel vormen van de aangeboden dienst. Dit zijn bijvoorbeeld optionele diensten voor de Onderwijsinstelling die behulpzaam kunnen zijn voor de Onderwijsinstelling t.b.v. het primaire (leer)proces en administratieve werkzaamheden De Onderwijsinstelling dient een keuze te maken (opdracht te geven) voor het afnemen van deze diensten. Dat kan eventueel door de keuze schriftelijk aan te geven in deze bijlage. Instemming kan ook plaatsvinden doordat de Onderwijsinstelling in de praktijk de dienst activeert, bijvoorbeeld door een product of dienst aan of uit zetten. De Onderwijsinstelling die op deze wijze de keuze maakt, dient dit op basis van eerder verstrekte informatie (zoals bijvoorbeeld opgenomen in deze bijsluiter) te kunnen doen.
|
Toelichting: Het gaat hier om aanvullende diensten en bijhorende Verwerkingen die geen onlosmakelijk onderdeel vormen van de aangeboden dienst. Dit zijn bijvoorbeeld optionele diensten voor de Onderwijsinstelling die behulpzaam kunnen zijn voor de Onderwijsinstelling t.b.v. het primaire (leer)proces en administratieve werkzaamheden
De Onderwijsinstelling dient een keuze te maken (opdracht te geven) voor het afnemen van deze diensten. Dat kan eventueel door de keuze schriftelijk aan te geven in deze bijlage.
Instemming kan ook plaatsvinden doordat de Onderwijsinstelling in de praktijk de dienst activeert, bijvoorbeeld door een product of dienst aan of uit zetten. De Onderwijsinstelling die op deze wijze de keuze maakt, dient dit op basis van eerder verstrekte informatie (zoals bijvoorbeeld opgenomen in deze bijsluiter) te kunnen doen.
[….]
C. Doeleinden
Doel:
☐ Leerlingenadministratie, waaronder:
☐ Leerlingenbegeleiding: Het begeleiden van leerlingen in hun kennis, prestaties, vaardigheden of (mentale) gezondheidstoestand, de opvolging van de evolutie ervan, alsmede het begeleiden van leerlingen bij hun studie- en beroepskeuze.
☐ Schooladministratie: Verwerkingen nodig voor de organisatie van het schoolgebeuren, waaronder: opstellen van uurroosters, communicatie,…
☐ Leermiddelen verstrekken of ter beschikking stellen voor het geven en volgen van onderwijs waaronder:
☐ Het geleverd krijgen/in gebruik kunnen nemen van Digitale Onderwijsmiddelen conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Verwerker waaronder:
☐ Het door de Onderwijsinstelling voor onderzoeks- en analysedoeleinden beschikbaar kunnen stellen van volledig geanonimiseerde Persoonsgegevens om daarmee de kwaliteit van het onderwijs te verbeteren;
☐ De uitvoering of toepassing van andere wet- en regelgeving.
D. Categorieën Persoonsgegevens en bewaartermijnen
Omschrijving en opsomming categorieën Persoonsgegevens die gebruikt worden:
Betrokkene: Onderwijsdeelnemer | ||
Categorie persoonsgegevens | Specificatie | Aankruisen indien van toepassing op Verwerking(en) |
Contactgegevens | Voorna(a)m(en)* | ☒ |
Voorletter(s) | ☐ | |
Achternaam* | ☒ | |
Geslacht | ☐ | |
Woonadres | ☐ | |
Postcode | ☐ | |
Woonplaats | ☐ | |
Telefoonnummer | ☐ | |
E-mailadres (privé) | ☐ | |
E-mailadres (school) | ☐ | |
Burgerservicenummer (BSN) of PGN | ☐ | |
Onderwijsdeelnemer-nummer | Een administratienummer dat Onderwijsdeelnemers identificeert | ☒ |
ECK-iD | ☒ | |
Nationaliteit | ☐ | |
Geboortedatum | ☐ | |
Geboorteplaats | ☐ | |
Financiële gegevens met het oog op het berekenen, vastleggen en innen van gelden en bijdragen | Bankrekeningnummer | ☐ |
Facturenadministratie | ☐ | |
Gegevens over gezondheid** | Gegevens die noodzakelijk zijn met het oog op de gezondheid of het welzijn van de Betrokkene of op verzoek van de Onderwijsdeelnemer worden verwerkt, een en ander voor zover noodzakelijk voor het onderwijs | ☐ |
Godsdienst** | Gegevens betreffende de godsdienst of levensovertuiging van de Betrokkene, voor zover die noodzakelijk zijn voor het onderwijs of op verzoek van de Onderwijsdeelnemer worden verwerkt, een en ander voor zover noodzakelijk voor het onderwijs | ☐ |
Studievoortgang | Klas / leerjaar / ILT-code | ☒ |
Examinering | ☐ | |
Studievoortgang (waaronder studieresultaten) en/of studietraject | ☒ | |
Begeleiding Onderwijsdeelnemers, inclusief handelingsplan | ☐ | |
Aan- en afwezigheidsregistratie | ☒ | |
Onderwijsorganisatie | Gegevens met het oog op de organisatie van het onderwijs (zoals een rooster) en het verstrekken of ter beschikking stellen van leermiddelen (zoals schoolgegevens) | ☒ |
Beeldmateriaal | Foto’s en videobeelden (beeldmateriaal) van Betrokkene met of zonder geluid van activiteiten van de Onderwijsinstelling*** | ☒ |
Gebruikersgegevens | Diagnostische gegevens, loggegevens, metadata. | ☒ |
IP-adres | ☐ | |
Andere Persoonsgegevens, namelijk | Gebruikersnaam, voor- en achternaam, pincode, gekoppelde groep(en) en leerkracht(en), gekoppelde leerjaren. | ☒ |
Betrokkene: Medewerker Onderwijsinstelling | ||
Categorie gegevens | Specificatie | Aankruisen indien van toepassing op Verwerking(en) |
Contactgegevens | Voorna(a)m(en) | ☒ |
Voorletter(s) | ☐ | |
Achternaam | ☒ | |
Aanschrijftitel zoals geslacht | ☐ | |
E-mailadres (school) | ☒ | |
Onderwijsorganisatie | Rooster | ☐ |
Begeleidingsgegevens | ☐ | |
Beeldmateriaal en overig | Persoonsgegevens die de medewerker zelf upload, zoals bijvoorbeeld foto’s en videobeelden (beeldmateriaal) van Betrokkene met of zonder geluid van activiteiten van de Onderwijsinstelling* | ☒ |
Gebruiksgegevens | Diagnostische gegevens, zoals loggegevens, metadata. | ☒ |
IP-adres | ☐ | |
Andere Persoonsgegevens, namelijk: | Opgegeven e-mailadres, werkgever, gekoppelde groep(en), functie / rol, wachtwoord, taal, Google ID, Gynzy ID, Gynzy account ID, leerjaar en land. Eenmalig de Geolocatie om de taal in te stellen. | ☒ |
Bewaartermijnen van de Persoonsgegevens:
Bewaartermijnen vastgesteld door de Onderwijsinstelling worden door Verwerker op onderstaande wijze geïmplementeerd:
De verplichting om tot de verwijdering van de accounts van Onderwijsdeelnemers over te gaan ligt in eerste instantie bij Onderwijsinstelling. Onderwijsinstelling kan Verwerker een verzoek doen tot verwijdering van persoonsgegevens, waarna Verwerker het verzoek onverwijld tot uitvoering zal brengen.
Betrokkene: Onderwijsdeelnemer | ||
Categorie gegevens | Bewaartermijn: verwijdering door Onderwijsinstelling | Bewaartermijn: geen actie door Onderwijsinstelling |
Contactgegevens | 24 uur uit productieomgeving, binnen 1 jaar uit alle systemen. | 1 jaar na verlaten Onderwijsinstelling |
Onderwijsdeelnemernummer | 24 uur uit productieomgeving, binnen 1 jaar uit alle systemen. | 1 jaar na verlaten Onderwijsinstelling |
ECK-iD | 3 maanden, zodat de gegevens van een onderwijsdeelnemer bij een wisseling van school niet verloren gaan en de voortgang op de nieuwe school overgenomen kunnen worden. | 1 jaar na verlaten Onderwijsinstelling |
Studievoortgang | 3 maanden, zodat de gegevens van een onderwijsdeelnemer bij een wisseling van school niet verloren gaan en de voortgang op de nieuwe school overgenomen kunnen worden. | 1 jaar na verlaten Onderwijsinstelling |
Onderwijsorganisatie | 24 uur uit productieomgeving, binnen 1 jaar uit alle systemen. | 1 jaar na verlaten Onderwijsinstelling |
Andere Persoonsgegevens | 24 uur uit productieomgeving, binnen 1 jaar uit alle systemen. | 1 jaar na verlaten Onderwijsinstelling |
Betrokkene: Medewerker Onderwijsinstelling | ||
Categorie gegevens | Bewaartermijn: verwijdering door Onderwijsinstelling | Bewaartermijn: geen actie door Onderwijsinstelling |
Contactgegevens | 24 uur | 3 jaar* |
Gebruiksgegevens | 24 uur | 3 jaar* |
Beeldmateriaal en overig | 24 uur | 3 jaar* |
Andere Persoonsgegevens, namelijk: | 24 uur | 3 jaar* |
E. Categorieën van betrokkenen
☒ Onderwijsdeelnemers: Leerlingen/cursisten en personen die ouderlijk gezag over de leerlingen uitoefenen of in rechte of in feite de minderjarige onder hun bewaring hebben
☒ Medewerkersonderwijsinstelling: Leerkrachten, ondersteuners en overige medewerkers van een onderwijsinstelling
F. Opslag van de persoonsgegevens:
Plaats/land van opslag en Verwerking van de Persoonsgegevens: | Eemshaven, te Nederland. |
Indien de Persoonsgegevens buiten de EER opgeslagen worden, moet dit expliciet aangegeven worden en dienen de passende waarborgen (of een verwijzing ernaar) opgenomen te worden.
G. Subverwerkers
Verwerker maakt voor dienst/product gebruik van de volgende Subverwerkers:
Verwerker maakt gebruik van de volgende Subverwerkers voor het leveren van de diensten door Verwerker aan de klant:
Naam Subverwerker | Google Ireland Limited |
Soort Verwerking (beknopte omschrijving taak/dienst waaruit blijkt welke informatie wordt Verwerkt) | Alle databases en dus ook alle resultaten en lessen (zie MongoDB) die mogelijk persoonsgegevens bevatten die de Medewerker Onderwijsinstelling in de les heeft toegevoegd. |
(Categorie) Persoonsgegevens die de Subverwerker verwerkt | Alle genoemde categorieën Persoonsgegevens binnen onderdeel F. |
Land van opslag/Verwerking Persoonsgegevens door Subverwerker | Nederland |
Vestigingsland Subverwerker NB Vergeet niet indien de Verwerking van de gegevens buiten de Europese Economische Ruimte plaatsvindt, ook onderdeel E in te vullen. | Ierland |
Naam Subverwerker | MongoDB |
Soort Verwerking (beknopte omschrijving taak/dienst waaruit blijkt welke informatie wordt Verwerkt) | Cloud NoSQL Database |
(Categorie) Persoonsgegevens die de Subverwerker verwerkt | Student ID en eventuele andere persoonsgegevens die de Medewerker van de Onderwijsinstelling aan de database toevoegt. Medewerker van de Onderwijsinstelling bepaalt de naam van een bundel. Deze naam staat in deze database en bevat soms de naam van Onderwijsdeelnemers uit de klas. Hier hebben we echter geen invloed op. |
Land van opslag/Verwerking Persoonsgegevens door Subverwerker | Nederland - GCP / Netherlands (europe-west4) |
Vestigingsland Subverwerker NB Vergeet niet indien de Verwerking van de gegevens buiten de Europese Economische Ruimte plaatsvindt, ook onderdeel E in te vullen. | Ierland (Google Cloud) |
Op incidentele basis worden de navolgende subverwerkers gebruikt:
Naam Subverwerker | Hotjar |
Soort Verwerking (beknopte omschrijving taak/dienst waaruit blijkt welke informatie wordt Verwerkt) | Het visualiseren van bepaalde functionaliteiten en het gebruik daarvan binnen Gynzy door Medewerkers Onderwijsinstellingen om naar aanleiding van een probleem/ of aanpassing van functionaliteiten van Gynzy inzicht te krijgen in het gebruik en de gebruikservaring te verbeteren. |
(Categorie) Persoonsgegevens die de Subverwerker verwerkt | Gebruiksgegevens Medewerkers Onderwijsinstelling |
Land van opslag/Verwerking Persoonsgegevens door Subverwerker | Ierland |
Vestigingsland Subverwerker NB Vergeet niet indien de Verwerking van de gegevens buiten de Europese Economische Ruimte plaatsvindt, ook onderdeel E in te vullen. | Malta |
Naam Subverwerker | Atlassian (Statuspage) |
Soort Verwerking (beknopte omschrijving taak/dienst waaruit blijkt welke informatie wordt Verwerkt) | Medewerkers Onderwijsinstellingen kunnen zich aanmelden om op de hoogte gebracht te worden van rapportages omtrent downtime, Software status, etcetera. Het verzenden van deze rapportages gebeurt via Atlassian. |
(Categorie) Persoonsgegevens die de Subverwerker verwerkt | Mailadres medewerker |
Land van opslag/Verwerking Persoonsgegevens door Subverwerker | Duitsland / Frankrijk |
Vestigingsland Subverwerker NB Vergeet niet indien de Verwerking van de gegevens buiten de Europese Economische Ruimte plaatsvindt, ook onderdeel E in te vullen. | Verenigde Staten |
Naam Subverwerker | Bugsnag |
Soort Verwerking (beknopte omschrijving taak/dienst waaruit blijkt welke informatie wordt Verwerkt) | Naar aanleiding van foutmeldingen kan Gynzy gebruik maken van Bugsnag om inzicht te verzamelen in de foutmelding om op basis van deze inzichten de dienst te verbeteren. |
(Categorie) Persoonsgegevens die de Subverwerker verwerkt | Gebruiksgegevens (medewerker), Gynzy account ID |
Land van opslag/Verwerking Persoonsgegevens door Subverwerker | Ierland |
Vestigingsland Subverwerker NB Vergeet niet indien de Verwerking van de gegevens buiten de Europese Economische Ruimte plaatsvindt, ook onderdeel E in te vullen. | Verenigde Staten |
Naam Subverwerker | SendInBlue |
Soort Verwerking (beknopte omschrijving taak/dienst waaruit blijkt welke informatie wordt Verwerkt) | Om onze service goed te kunnen gebruiken versturen wij (transactionele) emails zoals verificatie emails en “wachtwoord vergeten” emails. Daarnaast houden we gebruikers op de hoogte van ontwikkelingen binnen ons platform. Hier kunnen zij zich voor inschrijven. Het betreft hier dus E-mails (Nieuwsbrieven en transactioneel). |
(Categorie) Persoonsgegevens die de Subverwerker verwerkt | Contactgegevens & gebruiksgegevens (medewerker) |
Land van opslag/Verwerking Persoonsgegevens door Subverwerker | Frankrijk |
Vestigingsland Subverwerker NB Vergeet niet indien de Verwerking van de gegevens buiten de Europese Economische Ruimte plaatsvindt, ook onderdeel E in te vullen. | Frankrijk |
H. Contactgegevens
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij: Jeroen van Woezik (DPO) via privacy@gynzy.nl of telefoonnummer: 0031 6 20791755.
I. Versie [versie nummer en datum laatste aanpassing]: Versie 0.4 april 2018
BIJLAGE 2: Algemene Technische en organisatorische beveiligingsmaatregelen
Volgens artikel 28.1 van de AVG doet de Verwerkersverantwoordelijke uitsluitend een beroep op Verwerkers die afdoende garanties m.b.t. technische en organisatorische maatregelen bieden zodat Persoonsgegevens voldoende beschermd zijn en de rechten van de Betrokkene gewaarborgd blijven.
Volgens artikel 32 van de AVG moet de Verwerker passende technische en organisatorische maatregelen nemen ter beveiliging van de Verwerking van Persoonsgegevens.
In deze bijlage geven Verwerkers aan wat hun algemene technische en organisatorische beveiligingsmaatregelen zijn zodat Verwerkingsverantwoordelijke voldoende garanties krijgt inzake beveiliging van Persoonsgegevens.
Toegang tot persoonsgegevens
Gynzy Teachers B.V. hanteert een autorisatiebeleid om te bepalen wie toegang moet hebben tot welke gegevens. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
Medewerkers kunnen (tijdelijk) een rol toegewezen krijgen om toegang tot data te krijgen. Hierin is onderscheid gemaakt tussen de volgende rollen:
Datarol | Omschrijving |
Data admins | Toegang tot het volledige datamodel en het onderliggende datawarehouse. Deze rol maakt het mogelijk om data te ontsluiten naar andere data rollen. |
Data editors | Toegang tot het volledige datamodel dat door data admins beschikbaar is gesteld. |
Data viewers - anonymized | Read-only toegang tot geanonimiseerde gegevens, maar enkel de dashboards en overzichten die expliciet met deze rol gedeeld zijn door data editors of admins. Hierin zitten geen persoonsgegevens. |
Data viewers - sensitive | Read-only toegang tot gegevens, maar enkel de dashboards en overzichten die expliciet met deze rol gedeeld zijn door data editors of admins. Inclusief persoonsgegevens. |
Data exporter | De mogelijkheid om naast het bekijken van gegevens ook de data te mogen downloaden. |
Medewerkers en gegevens | Handelingen |
Medewerkers van de klantenservice hebben toegang tot licentie-informatie. Zij kunnen onder meer zien voor welke Onderwijsdeelnemer een digitaal leermiddel is geactiveerd. De klantenservice heeft geen inzage in leerresultaten van Onderwijsdeelnemers. De klantenservice kan naar aanleiding van een hulpvraag en na toestemming van de Medewerker Onderwijsinstelling, tijdelijk (gedurende het gesprek) toegang krijgen tot de Gynzy account van de Medewerker Onderwijsinstelling en de daarin verwerkte persoonsgegevens. Toegang wordt na het gesprek met de klantenservice weer beperkt. | Administratieve handelingen in het kader van de werking van leermiddelen van licenties. Ondersteuningen van de Medewerker Onderwijsinstelling of Onderwijsdeelnemer. |
Analisten / deskundigen op het gebied van ontwikkeling van lesmateriaal hebben toegang tot geanonimiseerde (gepseudonimiseerde) sets van resultaten van gebruik van leermiddelen, eventuele problemen/fouten bij gebruik. | Analyse van het lesmateriaal, gericht op verbetering van het materiaal, ontwikkeling en optimalisatie van adaptief lesmateriaal, opsporing en verbetering van fouten in de werking van het digitale leermiddel |
IT-databasebeheerders hebben toegang tot de databases. | De handelingen van IT-databasebeheerders zijn gericht op continuïteit en optimalisatie van ICT-systemen. |
Maatregelen om persoonsgegevens te beschermen tegen misbruik
Organisatie van informatiebeveiliging en communicatieprocessen
Medewerkers
Fysieke beveiliging en continuïteit van de middelen
Netwerk-, server- en applicatiebeveiliging en onderhoud
Hieronder staat de rapportage van de BIV-classificatie, de mate van compliance en de uitleg bij eventuele afwijkingen van de standaarden. Verwerker gebruikt hiervoor in beginsel het ‘Certificeringsschema informatiebeveiliging en privacy ROSA’ v1.2 (Edustandaard) als toetsingskader en voor het creëren van een solide basisniveau van informatiebeveiliging en privacy.
Toetsvorm | Self-assessment, uitgevoerd op 2018-04-07 op basis van het toetsingskader v1.2 | |||
Uitvoerder toets | Koen Geluk, Product Dean, Gynzy Teachers B.V. | |||
Inlogpagina | www.gynzy.com en www.gynzykids.com | |||
BIV-classificatie | Beschikbaarheid=Hoog || Integriteit=Midden || Vertrouwelijkheid=Midden | |||
Categorie | Maatregelen | Compliance | Uitleg | |
[Voldaan/ | [Bij “Niet voldaan” aangeven hoe/wanneer dit wordt gecorrigeerd. Bij “Alternatieve maatregel” deze beschrijven.] | |||
Beschikbaarheid | Overbelasting | Voldaan | ||
Business continuity | Voldaan | |||
Ontwerp | Voldaan | |||
Monitoring | Voldaan | |||
Testen | Voldaan | |||
Software | Voldaan | |||
Actuele dreigingen | Voldaan | |||
Integriteit | Herleidbaarheid (gebruikers) | Niet voldaan | Specifiek niet aan punt 1. ‘Het is mogelijk om wijzigingen terug te draaien’. In het uitzonderlijke geval dat gelijktijdig, alle gebruikte servers van Verwerker uitvallen en de internetverbinding van Onderwijsinstelling wegvalt, kan het voorkomen dat de laatst gemaakte opgaves of resultaten door Onderwijsinstelling niet kunnen worden teruggeplaatst. Het niet kunnen terugplaatsen van deze resultaten ligt in de toepassing van een adaptief systeem, waarbij afhankelijk van elk gegeven antwoord een volgende vraag wordt gegenereerd. | |
Back-up | Voldaan | |||
Application controls | Voldaan | |||
Onweerlegbaarheid | Voldaan | |||
Herleidbaarheid | Voldaan | |||
Controle integriteit | Voldaan | |||
Onweerlegbaarheid | Voldaan | |||
Actuele dreigingen | Voldaan | |||
Vertrouwelijkheid | Levenscyclus gegevens | Voldaan | ||
Logische toegang | Voldaan | |||
Fysieke toegang | Voldaan | |||
Netwerktoegang | Voldaan | |||
Scheiding omgevingen | Voldaan | |||
Transport en fysieke opslag | Voldaan | |||
Logging | Voldaan | |||
Toetsing | Voldaan | |||
Actuele dreigingen | Voldaan |
Maatregelen om zwakke plekken te identificeren
Het beveiligingsbeleid van Gynzy Teachers B.V. in interne processen om kwetsbaarheden te identificeren en op te lossen.
Rapportage
Gynzy actualiseert deze informatie voortdurend en informeert gebruikers over wijzigingen in de getroffen maatregelen om persoonsgegevens te beschermen tegen misbruik per email en via haar privacyverklaring, waarvan de actuele versie te raadplegen is via https://www.gynzy.com/nl/privacy/.
Verwerker heeft een procedure voor de monitoring en identificatie van incidenten en het informeren in geval van Datalekken en/of incidenten met betrekking tot beveiliging. In zo’n geval zal Verwerker de Verwerkingsverantwoordelijke de onderstaand beschreven informatie ter hand stellen.
Gynzy monitort middels logging dagelijks haar eigen en externe servers op incidenten. In geval van incidenten zal Gynzy daarop actie ondernemen conform het datalek protocol.
De wijze waarop informatie wordt gedeeld
De informatie die in geval van een beveiligingsincident gedeeld wordt door Gynzy betreft in ieder geval:
In geval van een (vermoeden van een) beveiligingsincident en/of Datalek, kunnen Onderwijsinstelling en Verwerker in beginsel per e-mail contact met elkaar opnemen via onderstaande contactgegevens, dan wel de contactgegevens zoals opgenomen in Bijlage 4.
Naam en functie contactpersoon bij beveiligingsincidenten/Datalekken | Contactgegevens (e-mail en telefoonnummer) | |
Verwerker | Naam: Jeroen van Woezik Functie: FG (DPO) | E-mail: privacy@gynzy.com Telefoonnummer: 00 316-20791755 |
Onderwijsinstelling | Naam: Functie: [of: zie Bijlage 4] | E-mail: Telefoonnummer: [of: zie Bijlage 4] |
Versie
[versie nummer en datum laatste aanpassing]: Versie 1.0 mei 2018
Modelverwerkersovereenkomst Privacy in Digitale onderwijsmiddelen versie 1.0 - mei 2018 /