Bijlage 1
Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten (‘digitale leermiddelen’) aanbiedt voor gebruik in het onderwijs waarbij persoonsgegevens worden verwerkt. Wij vinden het belangrijk om uiterst zorgvuldig met deze persoonsgegevens om te gaan. Uitgeverij Zwijsen B.V. heeft het Privacyreglement van haar brancheorganisatie GEU en het ‘Convenant Digitale Onderwijsmiddelen en Privacy - Leermiddelen en Toetsen’ onderschreven. In dit convenant is tussen aanbieders en de onderwijssectorraden vastgelegd dat een onderwijsinstelling in juridische zin de ‘verantwoordelijke’ is voor de verwerking van persoonsgegevens. Daardoor hebben en houden onderwijsinstellingen zeggenschap over de gegevens die binnen leermiddelen worden verwerkt. Uitgeverij Zwijsen B.V. is een ‘bewerker’, die uitvoering geeft aan de opdracht van een onderwijsinstelling. De afspraken die hiervoor gelden, zijn vastgelegd in de Bewerkersovereenkomst van Uitgeverij Zwijsen B.V. In deze Privacy Bijsluiter richten wij ons tot u als onderwijsinstelling om u meer specifiek te informeren over onze digitale leermiddelen en de bijbehorende gegevensverwerkingen. Daardoor wordt duidelijk welke opdracht u als onderwijsinstelling geeft aan Uitgeverij Zwijsen B.V. om gegevens te verwerken. Deze Privacy Bijsluiter stelt u tevens in staat om ouders en leerlingen te informeren over de verwerking van persoonsgegevens.
A. Productoverzicht Deze Privacy Bijsluiter heeft betrekking op de volgende producten: Digiregie Schatkist Digiregie Schatkist editie 3 Digiregie Veilig leren lezen Toetssite Estafette Toetssite Spelling in beeld 2 Toetssite Taal in beeld 2 Toetssite Veilig leren lezen Toetssite Veilig Stap voor Stap Toetssite Wizwijs
B. Algemene informatie Naam product en/of dienst:
Deze Privacy Bijsluiter heeft betrekking op de onder A. genoemde producten van Uitgeverij Zwijsen B.V.
Naam Bewerker en vestigingsgegevens:
Uitgeverij Zwijsen B.V., Tilburg. Uitgeverij Zwijsen B.V. is een aanbieder van digitale leermiddelen.
Beknopte uitleg en werking product en dienst:
De verwerking van persoonsgegevens binnen deze producten en diensten heeft betrekking op: het toegang krijgen tot producten door middel van een inlogprocedure; -
het tonen van de naam van de ingelogde persoon in de applicatie;
1 van 6
-
het werken met oefenmateriaal, waaronder oefenopgaven en toetsen. De gegevens die leerlingen invullen bij het gebruik van het leermiddel, zoals in een oefenopgaaf of toets worden verwerkt door Uitgeverij Zwijsen B.V.;
-
het terugkoppelen van resultaten van het gebruik door leerlingen aan een leerkracht. Daardoor is het bijvoorbeeld mogelijk voor een leerkracht om te zien wat ieder van zijn leerlingen met de lesstof heeft gedaan en wat het resultaat daarvan is.
-
het tonen en verwerken van resultaten die middels een door de school geautoriseerde koppeling zijn overgezet van een externe partij naar Uitgeverij Zwijsen B.V.
Link naar uitgever en/of productpagina:
www.zwijsen.nl
Doelgroep:
PO, groepen 1 t/m 8
Gebruikers:
De digitale leermiddelen zijn gericht op gebruik door leerlingen, leerkrachten, intern begeleiders, remedial teachers, ICT-coördinatoren en directeuren.
C. De specifieke diensten Uitgeverij Zwijsen B.V. maakt een onderscheid tussen verwerkingen die een onlosmakelijk onderdeel vormen van de aangeboden dienst, en optionele verwerkingen.
Verwerkingen die een onlosmakelijk onderdeel vormen van de onder A. genoemde producten De verwerkingen door Uitgeverij Zwijsen B.V. vinden primair plaats om onderwijstellingen in staat te stellen om met gebruikmaking van de digitale leermiddelen onderwijs te geven en leerlingen te kunnen volgen en begeleiden. Bij het gebruik van instructie-/leerlingsoftware vinden altijd de volgende verwerkingen plaats:
de opslag van leer- en testresultaten;
het terugontvangen door de onderwijsinstelling van leer- en testresultaten;
het geleverd krijgen/in gebruik kunnen nemen van de digitale leermiddelen;
het verkrijgen van toegang tot de aangeboden digitale leermiddelen, waaronder de identificatie, authenticatie en autorisatie;
de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik, en het voorkomen van inconsistentie en onbetrouwbaarheid in de verwerkte persoonsgegevens;
de continuïteit en goede werking van het digitale leermiddel, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning;
het verwerken van gegevens om daarmee de kwaliteit van het onderwijs te verbeteren.
2 van 6
het verwerken van gegevens tot volledig geanonimiseerde onderzoeks- of analysedata ten behoeve van de verbetering van de kwaliteit van het onderwijs.
Optionele verwerkingen Bij het gebruik van de onder A. genoemde producten kunnen met specifieke toestemming van de onderwijstelling ook andere verwerkingen plaatsvinden. Het betreft verwerkingen in het kader van:
het kunnen uitwisselen van leer- en testresultaten met leerling administratiesystemen van de onderwijsinstelling;
het beschikbaar stellen van gegevens voor zover noodzakelijk om te kunnen voldoen aan de wettelijke eisen die worden gesteld aan digitale leermiddelen;
extern onderzoek en analyse op basis van strikte voorwaarden zoals vastgesteld binnen het Ketenplatform van het ‘Convenant Digitale Onderwijsmiddelen en Privacy - Leermiddelen en Toetsen’;
D. Categorieën en soorten persoonsgegevens Omschrijving van de verwerkte persoonsgegevens:
Verwerkte persoonsgegevens voor autorisatie en authenticatie Het verkrijgen van toegang tot digitale leermiddelen verloopt via de Stichting Basispoort. Hierdoor kan via één inlogprocedure toegang worden verkregen tot digitale leermiddelen van verschillende uitgeverijen. Uitgeverij Zwijsen B.V. ontvangt van Basispoort: een uniek nummer; de naam; de groep; geboortedata van leerlingen. De kern van de dienstverlening van Basispoort is dat in opdracht van de onderwijsinstelling aan leerkrachten en leerlingen toegang wordt verleend tot online educatief materiaal door middel van één uniforme inlogprocedure. De Stichting Basispoort ontvangt geen leerresultaten van uitgevers en wisselt deze evenmin uit. Verwerkte persoonsgegevens bij gebruik van het leermiddel Na het inloggen worden door Uitgeverij Zwijsen B.V. vervolgens de gegevens verwerkt die gebruikers invullen bij het gebruik van het leermiddel, zoals: een oefenopgaaf; een toetsopgave. Daardoor is het bijvoorbeeld mogelijk voor een leerkracht om te zien wat ieder van zijn leerlingen met de lesstof heeft gedaan en wat het resultaat daarvan is.
Optionele persoonsgegevens:
Niet van toepassing. 3 van 6
In de onder A. genoemde producten worden geen ‘bijzondere persoonsgegevens’ verwerkt in de zin van artikel 16 van de Wbp.
Soorten van gegevens:
Op basis van de resultaten van het gebruik van de onder A. genoemde producten kan de onderwijsinstelling zelf conclusies trekken over eventuele beperkingen in de leerontwikkeling en de oorzaak daarvan. Leerresultaten en de gegevens van onze gebruikers beschouwen wij te allen tijde als privacygevoelige gegevens, waarbij wij hoge eisen stellen aan de betrouwbaarheid en veiligheid van onze systemen.
E. Algemene informatie over getroffen beveiligingsmaatregelen: Voor de genomen veiligheidsmaatregelen verwijzen wij u naar Bijlage 2 van de Bewerkersovereenkomst. Persoonsgegevens worden door Uitgeverij Zwijsen B.V. verwerkt binnen Nederland. Een overzicht van de plaats van opslag en verwerkingen door subbewerkers die worden ingeschakeld door Uitgeverij Zwijsen B.V. treft u hieronder.
F. Subbewerkers Voor de verwerking van persoonsgegevens worden door Uitgeverij Zwijsen B.V. subbewerkers ingeschakeld. Naam:
Omschrijving:
Land van opslag en verwerking:
Nováccent Group B.V.
Serviceprovider
Nederland
G. Contactgegevens Voor vragen of opmerkingen over deze Privacy Bijsluiter of de werking van onze digitale leermiddelen, kunt u terecht bij: Uitgeverij Zwijsen B.V., Postbus 805, 5000 AV Tilburg. Onze helpdesk is telefonisch bereikbaar via 013 5838888 of via
[email protected]. Meer informatie treft u op www.zwijsen.nl.
H. Versie Deze Privacy Bijsluiter is voor het laatst bijgewerkt op 15 oktober 2015.
4 van 6
Bijlage 2
Technische en organisatorische beveiligingsmaatregelen Omschrijving van de maatregelen zoals bedoeld in artikel 7.2 Bewerkersovereenkomst I.
Toegang tot persoonsgegevens. Uitgeverij Zwijsen B.V. hanteert een autorisatiebeleid om te bepalen wie toegang moet hebben tot welke gegevens. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
II.
Medewerkers en gegevens:
Handelingen:
Medewerkers van de klantenservice en 1ste- en 2de lijns helpdesk hebben toegang tot licentieinformatie op schoolniveau. Zij hebben geen inzage in licentieinformatie op leerlingniveau of leerresultaten van leerlingen.
Administratieve handelingen in het kader van de werking van leermiddelen en licenties.
Medewerkers van de 3de lijns helpdesk hebben toegang tot licentieinformatie op schoolniveau. Bij toestemming van de school kunnen zij zich autoriseren om te helpen op leerlingniveau met koppelen van licenties en inzien resultaten.
Ondersteuning van de eindgebruiker.
Analisten / deskundigen op het gebied van ontwikkeling van lesmateriaal hebben toegang tot geanonimiseerde sets van resultaten van gebruik van leermiddelen, eventuele problemen/fouten bij gebruik.
Analyse van het lesmateriaal, gericht op verbetering van het materiaal, ontwikkeling en optimalisatie van adaptief lesmateriaal, opsporing en verbetering van fouten in de werking van het digitale leermiddel.
IT-beheerders hebben toegang tot de databases.
De handelingen van IT-beheerders zijn gericht op continuïteit en optimalisatie van ICTsystemen.
Ondersteuning van de eindgebruiker.
Maatregelen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking.
Organisatie van informatiebeveiliging en communicatieprocessen Uitgeverij Zwijsen B.V. heeft een coördinator voor informatiebeveiliging om risico’s omtrent de verwerking van persoonsgegevens te inventariseren, beveiligingsbewustzijn te stimuleren, voorzieningen te controleren en maatregelen te treffen die zien op naleving van het informatiebeveiligingsbeleid.
Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
Uitgeverij Zwijsen B.V. heeft een proces ingericht voor communicatie over informatiebeveiligingsincidenten.
Medewerkers Met medewerkers worden geheimhoudingsverklaringen overeengekomen en informatiebeveiligingsafspraken gemaakt. 5 van 6
Uitgeverij Zwijsen B.V. stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.
Medewerkers hebben op grond van een autorisatiesystematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
Fysieke beveiliging en continuïteit van de middelen Persoonsgegevens worden uitsluitend verwerkt in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf.
Persoonsgegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren.
Er worden periodiek back-ups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze back-ups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving.
De locaties waar gegevens worden verwerkt worden periodiek getest, onderhouden en periodiek beoordeeld op veiligheidsrisico’s.
Netwerk-, server- en applicatiebeveiliging en onderhoud De netwerkomgeving waarbinnen gegevens worden verwerkt is strikt beveiligd. Daarbij worden verkeersstromen gescheiden en zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
De omgeving waarbinnen persoonsgegevens worden verwerkt wordt gemonitord.
De digitale leermiddelen waarbinnen persoonsgegevens worden verwerkt komen tot stand op basis van systeemplanning, beveiligingscontrole en acceptatie. Wijzigingen in applicaties worden getest op kwetsbaarheden voordat deze in productie worden genomen.
Op systemen worden periodiek de laatste (beveiligings)patches geïnstalleerd op basis van patchmanagement.
Gegevens die binnen applicaties worden verwerkt zijn geclassificeerd op risico’s.
Penetratietests en vulnerability assessments worden periodiek uitgevoerd.
Niet (meer) gebruikte informatie wordt verwijderd.
Op wachtwoorden worden cryptografische maatregelen toegepast om deze gegevens veilig op te slaan.
Er wordt voor inlogprocessen gebruikgemaakt van versleutelde verbindingen. De uitwisseling van persoonsgegevens aan derden in opdracht van de onderwijsinstelling vindt waar mogelijk versleuteld plaats.
III.
Maatregelen om zwakke plekken te identificeren
De systemen van Uitgeverij Zwijsen B.V. worden jaarlijks gecontroleerd op veiligheid door Pine Digital Security. Daarnaast voorziet het beveiligingsbeleid van Uitgeverij Zwijsen B.V. in interne processen om kwetsbaarheden te identificeren.
Rapportage Bewerker actualiseert deze informatie voortdurend en informeert gebruikers over wijzigingen in de getroffen maatregelen om persoonsgegevens te beschermen tegen misbruik via http://www.zwijsen.nl/Privacy-statement.htm. In het geval u beveiligingsrisico’s constateert, dan verzoeken wij u contact op te nemen met de helpdesk van Uitgeverij Zwijsen B.V. via 013 5838888 of
[email protected].
Versie Deze bijlage is voor het laatst bijgewerkt op 12 november 2015.
6 van 6
