Privacy & meer

Privacybeleid Educus


In Eduarte worden uitsluitend (persoons)gegevens verwerkt door en in opdracht van de opdrachtgevers; de onderwijsinstellingen. Het is dan ook de onderwijsinstelling die bepaalt welke gegevens er verwerkt worden, voor welk doel de gegevens verwerkt worden en of er sprake is van verstrekken van gegevens aan derden. Educus is de Verwerker, de onderwijsinstelling is de Verwerkingsverantwoordelijke, zoals bedoeld in de Wet Bescherming Persoonsgegevens (Wbp). Per 25 mei 2018 zal de Wbp vervangen worden door de Algemene Verordening Gegevensbescherming.


Onze gebruikers (studenten, ouders, docenten, medewerkers en praktijkbegeleiders) kunnen vragen hebben over de beveiliging van Eduarte (en de App). Dat snappen wij goed, er worden namelijk in Eduarte verschillende persoonsgegevens verwerkt. Het is onze zorg dat deze verwerking betrouwbaar en veilig gehouden wordt. Hieronder worden een aantal aspecten hiervan uitgewerkt.


Privacy convenant: om te beginnen is Educus, leverancier van Eduarte (of Eduarte App), aangesloten bij het Privacy Convenant. Daarmee conformeren wij ons aan alle afspraken die binnen dit platform tot stand komen. Middels de verwerkersovereenkomst (kopje hieronder) maken de onderwijsinstelling en Educus heldere afspraken over de verwerking van (persoons)gegevens door Educus. Voor meer informatie kunt u kijken op https://www.privacyconvenant.nl/.


Verwerkersovereenkomst: de onderwijsinstelling dient met Educus een verwerkersovereenkomst af te sluiten. Als leverancier nemen wij echter hierin het voortouw om de zaken goed te regelen. Dat is immers ook in ons belang. Wij zijn aangesloten bij het landelijke initiatief waarbij een generieke model verwerkersovereenkomst ontwikkeld is voor de MBO sector (Netwerk IPB, Surf, Kennisnet en saMBO-ICT). Wij hanteren dit generieke model.


Toegangsbeveiliging: de applicatie en de App worden standaard beveiligd met een gebruikersnaam en wachtwoord. De school kan ervoor kiezen om 2-factor authentication toe te passen. Ook zijn koppelingen met een Single Sign-On omgeving mogelijk. De Eduarte applicatie draait op andere servers dan de database. Zo zorgen we ervoor dat de database niet te benaderen is via het internet, terwijl er op de applicatieserver een (managed) firewall draait.


Wachtwoordbeleid: het wachtwoordbeleid is de verantwoordelijkheid van de onderwijsinstelling. Ons advies aan gebruikers is om het wachtwoord van Eduarte nooit ergens anders ook te gebruiken. Schrijf het wachtwoord nooit ergens op, zeker niet op een post-it bij de computer. Wanneer u een nieuw wachtwoord kiest, zorg er dan voor dat het een sterk wachtwoord is (https://nl.wikipedia.org/wiki/Wachtwoord).


Beveiliging verbinding: de verbinding wordt beveiligd middels een SSL-certificaat. Dit SSL-certificaat zorgt er tevens voor dat de gegevens versleuteld worden verstuurd.


Rollen en rechten: Eduarte kent een uitgebreide autorisatiematrix die de onderwijsinstelling ondersteunt om de verschillende rollen goed in te regelen. De onderwijsinstelling is zelf verantwoordelijk voor de inrichting daarvan. Elke gebruiker krijgt hiermee alleen maar toegang tot gegevens die voor zijn of haar rol nodig zijn. Zo ziet een student enkel gegevens over zichzelf. Een docent (of mentor) krijgt informatie getoond van studenten waaraan hij les geeft of begeleiding. Daarbij geldt ook dat niet iedere docent dezelfde rechten hoeft te hebben. Zo kan een docent die jouw begeleiding doet wellicht meer zien dan een andere docent.


Een administratief medewerker ziet in het algemeen veel meer informatie over alle studenten. Immers dat is voor de taakuitvoering nodig. Echter wordt zo veel mogelijk voorkomen dat een administratief medewerker vertrouwelijke documenten kan zien. Ook hier geldt dat het aan de onderwijsinstelling is om hier een goed passend beleid op te voeren en de applicatie vervolgens daarop in te richten.


Wil je weten hoe jouw school hier mee om gaat? Vraag dit dan gerust na bij je school.


Hosting: Eduarte wordt gehost bij een hostingpartij in Nederland. Deze partij is ISO27001 gecertificeerd en levert ons jaarlijks de uitkomsten van de ISAE3402 type 2 audit. Deze hostingpartij werkt professioneel en heeft meerdere fysieke en digitale maatregelen genomen om te zorgen dat de servers veilig zijn.


Audits: naast de audits die de hostingpartij doet, controleert Educus zijn eigen niveau van beveiliging ook jaarlijks door middel van een ISAE3402 type 2 audit. Daarnaast is Educus ISO 27001 gecertificeerd.


Servicedesk toegang: soms is het nodig dat onze Servicedesk 'mee kijkt' bij de omgeving van de onderwijsinstelling. Dit voor de analyse van specifieke problemen. Welke rechten onze Servicedesk heeft, wordt strikt vastgelegd in afspraken tussen de onderwijsinstelling en Educus. Daarnaast dient de onderwijsinstelling expliciet de toegang tot de productie omgeving van Eduarte 'te activeren'. Dit gebeurt dus altijd alleen maar met toestemming en medeweten van de onderwijsinstelling. De Servicedesk medewerkers hebben ook een geheimhoudingsverklaring getekend.


Loggen: Eduarte kent een uitgebreide logging op onze servers. Dit geeft miljoenen regels per uur. De toegang tot deze logging is strikt toebedeeld aan onze technisch beheerders. Met deze logging kunnen we eventuele problemen achterhalen en oplossen. Ook kennen we logging over inlogpogingen, deze zijn toegankelijk voor functioneel beheer van de school. Zij kunnen hiermee in de gaten houden of er 'vreemde' inlogpogingen tussen zitten.


Security scans: Het informatie beveiliging management systeem van Educus is ISO 27001 gecertificeerd. Wij blijven alert naar hoe onze beveiliging van informatie nog beter kan. De techniek staat nooit stil, dus wij ook niet. Op meerdere momenten in het jaar controleren we of wijzelf nog wel voldoen aan ons beleid. Daarnaast gaan we in gesprek met onze belangrijkste leveranciers om te controleren of zij zich aan de afspraken houden.


Responsible disclosure Iddink Group: Educus behoort tot de Iddink Group. We delen dan ook onze opvattingen over responsible disclosure.

Responsible Disclosure


Iddink Group vindt de veiligheid van haar systemen erg belangrijk. Ondanks onze zorg voor de beveiliging hiervan kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in een van onze systemen heeft gevonden horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen. Dit programma is NIET bedoeld voor het indienen van klachten over de dienstverlening van Iddink Group of de beschikbaarheid van onze websites. Gebruik daarvoor de gebruikelijke support kanalen.


De spelregels: Misbruik het probleem niet door meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen. Deel het probleem niet met derden. Verwijder eventueel via een lek verkregen vertrouwelijke gegevens direct na het dichten van het lek. Maak geen gebruik van aanvallen op fysieke beveiliging, bruteforce-technieken, social engineering, distributed denial of service, spam of applicaties van derden. Voorzie ons van voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Zorg ervoor dat u tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht.


Uw onderzoek mag niet leiden tot onderbreking van onze online dienstverlening of het openbaar maken van vertrouwelijke gegevens. Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door het plaatsen van een backdoor in een systeem, wordt dat systeem nog onveiliger. Wijzig of verwijder geen gegevens in het systeem. Is het voor het onderzoek nodig om gegevens uit het systeem te kopiëren? Kopieer dan nooit meer gegevens dan nodig. Als 1 record voldoende is voor uw onderzoek, ga dan niet verder. Breng geen systeemveranderingen aan. Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen. Mail uw bevindingen naar responsibledisclosure@iddinkgroup.com.


Wat wij beloven: Wij reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing. Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding. Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk. In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker. In het geval dat uw gemelde kwetsbaarheden zijn opgelost of hebben geleid tot een verandering in onze diensten, komt u in aanmerking voor een beloning. Onze publieke websites waarvoor geen login vereist is komen in beginsel niet in aanmerking voor een beloning. Dit programma richt zich vooral op onze klantsystemen. Een beloning zal alleen worden toegekend aan de eerste melder van de kwetsbaarheid. Meerdere meldingen voor eenzelfde soort kwetsbaarheid met minimale verschillen zullen als één verslag worden behandeld (slechts één melding wordt beloond). In het geval dat u in aanmerking komt voor een beloning, zullen wij uw persoonlijke gegevens nodig hebben om de betaling uit te kunnen voeren. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.


Voor serieuze meldingen, waarbij bijvoorbeeld direct persoonsgegevens worden geraakt, geldt een vergoeding van een waardebon van zeker € 500,-. Overige meldingen zullen pro rato worden beloond. Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost (Bron: responsibledisclosure.nl).

Onze Algemene Voorwaarden zijn opgebouwd uit de Nederland ICT Voorwaarden. Klik hier voor deze voorwaarden.

Disclaimer


Deze website wordt met de grootst mogelijke zorgvuldigheid onderhouden. Gebruikers van deze website kunnen geen rechten ontlenen aan of aanspraak maken op de juistheid en volledigheid van de inhoud. Maakt u gebruik van hyperlinks naar andere websites, dan aanvaardt Educus geen enkele aansprakelijkheid voor de geboden informatie op deze sites. Mochten er vragen of onduidelijkheden zijn dan kunt u contact met ons opnemen via ons contactformulier.