Privacy verklaring

Privacy beleid Educus

In EduArte worden uitsluitend (persoons)gegevens verwerkt door en in opdracht van de opdrachtgevers; de onderwijsinstellingen. Het is dan ook de onderwijsinstelling die bepaalt welke gegevens er verwerkt worden, voor welk doel de gegevens verwerkt worden en of er sprake is van verstrekken van gegevens aan derden. Educus is de Bewerker, de onderwijsinstelling is de Verantwoordelijke, zoals bedoeld in de Wet Bescherming Persoonsgegevens (Wbp). Per 25 mei 2018 zal de Wbp vervangen worden door de Algemene Verordening Gegevensbescherming.

Onze gebruikers (studenten, ouders, docenten, medewerkers en praktijkbegeleiders) kunnen vragen hebben over de beveiliging van EduArte (en de App). Dat snappen wij goed, er worden namelijk in EduArte verschillende persoonsgegevens verwerkt. Het is onze zorg dat deze verwerking betrouwbaar en veilig gehouden wordt. Hieronder worden een aantal aspecten hiervan uitgewerkt.

Privacy convenant: om te beginnen is Educus, leverancier van EduArte (of EduArte App), aangesloten bij het Privacy Convenant. Daarmee conformeren wij ons aan alle afspraken die binnen dit platform tot stand komen. Middels de bewerkersovereenkomst (kopje hieronder) maken de onderwijsinstelling en Educus heldere afspraken over de verwerking van (persoons)gegevens door Educus. Voor meer informatie kunt u kijken op www.privacyconvenant.nl.

Bewerkersovereenkomst: de onderwijsinstelling dient met Educus een bewerkersovereenkomst af te sluiten. Als leverancier nemen wij echter hierin het voortouw om de zaken goed te regelen. Dat is immers ook in ons belang. Wij zijn aangesloten bij het landelijke initiatief waarbij een generieke model bewerkersovereenkomst ontwikkeld is voor de MBO sector (Netwerk IPB, Surf, Kennisnet en saMBO-ICT). Wij hanteren dit generieke model.

Toegangsbeveiliging: de applicatie en de APP worden standaard beveiligd met een gebruikersnaam en wachtwoord. De school kan ervoor kiezen om 2-factor authentication toe te passen. Ook zijn koppelingen met een Single Sign On omgeving mogelijk. De EduArte applicatie draait op andere servers dan de database. Zo zorgen we ervoor dat de database niet te benaderen is via het internet, terwijl er op de applicatieserver een (managed) firewall draait.

Wachtwoordbeleid: het wachtwoordbeleid is de verantwoordelijkheid van de onderwijsinstelling. Ons advies aan gebruikers is om het wachtwoord van EduArte nooit ergens anders ook te gebruiken. Schrijf het wachtwoord nooit ergens op, zeker niet op een post-it bij de computer. Wanneer u een nieuw wachtwoord kiest, zorg er dan voor dat het een sterk wachtwoord is (https://nl.wikipedia.org/wiki/Wachtwoord).

Beveiliging verbinding: de verbinding wordt beveiligd middels een SSL-certificaat. Dit SSL-certificaat zorgt er tevens voor dat de gegevens versleuteld worden verstuurd.

Rollen en rechten: EduArte kent een uitgebreide autorisatiematrix die de onderwijsinstelling ondersteunt om de verschillende rollen goed in te regelen. De onderwijsinstelling is zelf verantwoordelijk voor de inrichting daarvan. Elke gebruiker krijgt hiermee alleen maar toegang tot gegevens die voor zijn of haar rol nodig zijn. Zo ziet een student enkel gegevens over zichzelf. Een docent (of mentor) krijgt informatie getoond van studenten waaraan hij les geeft of begeleiding. Daarbij geldt ook dat niet iedere docent dezelfde rechten hoeft te hebben. Zo kan een docent die jouw begeleiding doet wellicht meer zien dan een andere docent.

Een administratief medewerker ziet in het algemeen veel meer informatie over alle studenten. Immers dat is voor de taakuitvoering nodig. Echter wordt zo veel mogelijk voorkomen dat een administratief medewerker vertrouwelijke documenten kan zien. Ook hier geldt dat het aan de onderwijsinstelling is om hier een goed passend beleid op te voeren en de applicatie vervolgens daarop in te richten.

Wil je weten hoe jouw school hier mee om gaat? Vraag dit dan gerust na bij je school. 

Hosting: EduArte wordt gehost bij een hostingpartij in Nederland. Deze partij is ISO27001 gecertificeerd en levert ons jaarlijks de uitkomsten van de ISAE3402 type 2 audit. Deze hostingpartij werkt professioneel en heeft meerdere fysieke en digitale maatregelen genomen om te zorgen dat de servers veilig zijn.

Audits: naast de audits die de hostingpartij doet, controleert Educus zijn eigen niveau van beveiliging ook jaarlijks door middel van een ISAE3402 type 2 audit. Daarnaast werkt Educus conform de richtlijnen van ISO27001 om continu de beveiliging te verbeteren.

Servicedesk toegang: soms is het nodig dat onze Servicedesk “mee kijkt” bij de omgeving van de onderwijsinstelling. Dit voor de analyse van specifieke problemen. Welke rechten onze Servicedesk heeft, wordt strikt vastgelegd in afspraken tussen de onderwijsinstelling en Educus. Daarnaast dient de onderwijsinstelling expliciet de toegang tot de productie omgeving van EduArte “te activeren”. Dit gebeurt dus altijd alleen maar met toestemming en medeweten van de onderwijsinstelling. De Servicedesk medewerkers hebben ook een geheimhoudingsverklaring getekend.

Loggen: EduArte kent een uitgebreide logging op onze servers. Dit geeft miljoenen regels per uur. De toegang tot deze logging is strikt toebedeeld aan onze technisch beheerders. Met deze logging kunnen we eventuele problemen achterhalen en oplossen. Ook kennen we logging over inlogpogingen, deze zijn toegankelijk voor functioneel beheer van de school. Zij kunnen hiermee in de gaten houden of er “vreemde” inlogpogingen tussen zitten.

Security scans: Educus werkt conform ISO27001 en heeft daarvoor een informatie beveiliging management systeem in het leven geroepen.  Wij blijven alert naar hoe onze beveiliging van informatie nog beter kan. De techniek staat nooit stil, dus wij ook niet. Op meerdere momenten in het jaar controleren we of wijzelf nog wel voldoen aan ons beleid. Daarnaast gaan we in gesprek met onze belangrijkste leveranciers om te controleren of zij zich aan de afspraken houden.

Responsible disclosure Iddink Groep: Educus behoort tot de Iddink Groep. We delen dan ook onze opvattingen over responsible disclosure. Voor meer informatie kijk gerust eens: https://www.iddinkgroep.nl/responsible-disclosure/