Privacybeleid
In Eduarte worden uitsluitend (persoons)gegevens verwerkt door en in opdracht van de opdrachtgevers; de onderwijsinstellingen. Het is dan ook de onderwijsinstelling die bepaalt welke gegevens er verwerkt worden, voor welk doel de gegevens verwerkt worden en of er sprake is van verstrekken van gegevens aan derden. Topicus Onderwijs Eduarte B.V. is de Verwerker, de onderwijsinstelling is de Verwerkingsverantwoordelijke, zoals bedoeld in de Wet Bescherming Persoonsgegevens (Wbp). Per 25 mei 2018 zal de Wbp vervangen worden door de Algemene Verordening Gegevensbescherming.
Onze gebruikers (studenten, ouders, docenten, medewerkers en praktijkbegeleiders) kunnen vragen hebben over de beveiliging van Eduarte (en de App). Dat snappen wij goed, er worden namelijk in Eduarte verschillende persoonsgegevens verwerkt. Het is onze zorg dat deze verwerking betrouwbaar en veilig gehouden wordt. Hieronder worden een aantal aspecten hiervan uitgewerkt.
Privacy convenant: Topicus Onderwijs Eduarte B.V., leverancier van Eduarte (of Eduarte App), wordt zo spoedig mogelijk aangesloten bij het Privacy Convenant. Daarmee conformeren wij ons aan alle afspraken die binnen dit platform tot stand komen. Middels de verwerkersovereenkomst (kopje hieronder) maken de onderwijsinstelling en Topicus Onderwijs Eduarte B.V. heldere afspraken over de verwerking van (persoons)gegevens door Topicus Onderwijs Eduarte B.V.. Voor meer informatie kun je kijken op https://www.privacyconvenant.nl/.
Verwerkersovereenkomst: de onderwijsinstelling dient met Topicus Onderwijs Eduarte B.V. een verwerkersovereenkomst af te sluiten. Als leverancier nemen wij echter hierin het voortouw om de zaken goed te regelen. Dat is immers ook in ons belang. Wij zijn aangesloten bij het landelijke initiatief waarbij een generieke model verwerkersovereenkomst ontwikkeld is voor de MBO sector (Netwerk IPB, Surf, Kennisnet en saMBO-ICT). Wij hanteren dit generieke model.
Toegangsbeveiliging: de applicatie en de App worden standaard beveiligd met een gebruikersnaam en wachtwoord. De school kan ervoor kiezen om 2-factor authentication toe te passen. Ook zijn koppelingen met een Single Sign-On omgeving mogelijk. De Eduarte applicatie draait op andere servers dan de database. Zo zorgen we ervoor dat de database niet te benaderen is via het internet, terwijl er op de applicatieserver een (managed) firewall draait.
Wachtwoordbeleid: het wachtwoordbeleid is de verantwoordelijkheid van de onderwijsinstelling. Ons advies aan gebruikers is om het wachtwoord van Eduarte nooit ergens anders ook te gebruiken. Schrijf het wachtwoord nooit ergens op, zeker niet op een post-it bij de computer. Als je een nieuw wachtwoord kiest, zorg er dan voor dat het een sterk wachtwoord is (https://nl.wikipedia.org/wiki/Wachtwoord).
Beveiliging verbinding: de verbinding wordt beveiligd middels een SSL-certificaat. Dit SSL-certificaat zorgt er tevens voor dat de gegevens versleuteld worden verstuurd.
Rollen en rechten: Eduarte kent een uitgebreide autorisatiematrix die de onderwijsinstelling ondersteunt om de verschillende rollen goed in te regelen. De onderwijsinstelling is zelf verantwoordelijk voor de inrichting daarvan. Elke gebruiker krijgt hiermee alleen maar toegang tot gegevens die voor zijn of haar rol nodig zijn. Zo ziet een student enkel gegevens over zichzelf. Een docent (of mentor) krijgt informatie getoond van studenten waaraan hij les geeft of begeleiding. Daarbij geldt ook dat niet iedere docent dezelfde rechten hoeft te hebben. Zo kan een docent die jouw begeleiding doet wellicht meer zien dan een andere docent.
Een administratief medewerker ziet in het algemeen veel meer informatie over alle studenten. Immers dat is voor de taakuitvoering nodig. Echter wordt zo veel mogelijk voorkomen dat een administratief medewerker vertrouwelijke documenten kan zien. Ook hier geldt dat het aan de onderwijsinstelling is om hier een goed passend beleid op te voeren en de applicatie vervolgens daarop in te richten.
Wil je weten hoe jouw school hier mee om gaat? Vraag dit dan gerust na bij je school.
Hosting: Eduarte wordt gehost bij een hostingpartij in Nederland. Deze partij is ISO27001 gecertificeerd en levert ons jaarlijks de uitkomsten van de ISAE3402 type 2 audit. Deze hostingpartij werkt professioneel en heeft meerdere fysieke en digitale maatregelen genomen om te zorgen dat de servers veilig zijn.
Audits: naast de audits die de hostingpartij doet, controleert Topicus Onderwijs Eduarte B.V. zijn eigen niveau van beveiliging ook jaarlijks door middel van een ISAE3402 type 2 audit. Daarnaast is Topicus Onderwijs Eduarte B.V. ISO 27001 gecertificeerd.
Servicedesk toegang: soms is het nodig dat onze Servicedesk 'mee kijkt' bij de omgeving van de onderwijsinstelling. Dit voor de analyse van specifieke problemen. Welke rechten onze Servicedesk heeft, wordt strikt vastgelegd in afspraken tussen de onderwijsinstelling en Topicus Onderwijs Eduarte B.V.. Daarnaast dient de onderwijsinstelling expliciet de toegang tot de productie omgeving van Eduarte 'te activeren'. Dit gebeurt dus altijd alleen maar met toestemming en medeweten van de onderwijsinstelling. De Servicedesk medewerkers hebben ook een geheimhoudingsverklaring getekend.
Loggen: Eduarte kent een uitgebreide logging op onze servers. Dit geeft miljoenen regels per uur. De toegang tot deze logging is strikt toebedeeld aan onze technisch beheerders. Met deze logging kunnen we eventuele problemen achterhalen en oplossen. Ook kennen we logging over inlogpogingen, deze zijn toegankelijk voor functioneel beheer van de school. Zij kunnen hiermee in de gaten houden of er 'vreemde' inlogpogingen tussen zitten.
Security scans: Het informatie beveiliging management systeem van Topicus Onderwijs Eduarte B.V. is ISO 27001 gecertificeerd. Wij blijven alert naar hoe onze beveiliging van informatie nog beter kan. De techniek staat nooit stil, dus wij ook niet. Op meerdere momenten in het jaar controleren we of wijzelf nog wel voldoen aan ons beleid. Daarnaast gaan we in gesprek met onze belangrijkste leveranciers om te controleren of zij zich aan de afspraken houden.
Responsible disclosure Topicus Onderwijs Eduarte B.V.: Bij Eduarte vinden wij de veiligheid van onze systemen – ons netwerk en onze producten – erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Indien je een zwakke plek in één van onze systemen hebt gevonden, dan horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Lees hier de Responsible disclosure.
Deze website wordt met de grootst mogelijke zorgvuldigheid onderhouden. Gebruikers van deze website kunnen geen rechten ontlenen aan of aanspraak maken op de juistheid en volledigheid van de inhoud. Maak je gebruik van hyperlinks naar andere websites, dan aanvaardt Topicus Onderwijs Eduarte B.V. geen enkele aansprakelijkheid voor de geboden informatie op deze sites. Mochten er vragen of onduidelijkheden zijn dan kun je contact met ons opnemen via ons contactformulier.