Privacybeleid

Informatiebeveiligings- en Privacybeleid

Quayn wordt ontwikkeld door De Rode Planeet B.V., onderdeel van Iddink Group.

De Rode Planeet B.V. is zich bewust van haar verantwoordelijkheid en zorgplicht ten aanzien van haar dienstverlening met Quayn. Vanuit Iddink Group heeft De Rode Planeet B.V. een actueel Informatiebeveiligings- en Privacybeleid en neemt voortdurend passende technische en organisatorische maatregelen. Deze maatregelen zijn gericht op het continu waarborgen van de Beschikbaarheid, de Integriteit en de Vertrouwelijkheid (BIV) van de verwerkte informatie binnen Quayn. Hieronder lichten wij toe hoe wij hier in praktijk mee omgaan.

Gegevens Verwerkingsverantwoordelijke

In Quayn worden toetsgegevens verwerkt in opdracht van de onderwijsinstelling. De onderwijsinstelling is de verwerkingsverantwoordelijke voor de persoonsgegevens die worden verwerkt in Quayn. Als u vragen heeft over of gebruik wilt maken van uw rechten onder de AVG, zoals het recht op inzage, dan kunt u contact opnemen met de Functionaris voor de gegevensbescherming (FG) van de betreffende instelling.

De Rode Planeet B.V. is in opdracht van de onderwijsinstelling de verwerker van de (persoons)gegevens en heeft hiervoor een Verwerkersovereenkomst gesloten conform het model van het PrivacyConvenant 3.0. De Rode Planeet heeft, binnen Iddink Group, een Functionaris voor de gegevensbescherming.

Doeleinden en rechtsgrond van de verwerking

Onderwijsinstellingen bepalen zelf de doeleinden voor de verwerking en deze doeleinden zijn overeengekomen in het Privacy Convenant met De Rode Planeet B.V. Onderwijsinstellingen verwerken verschillende persoonsgegevens om hun wettelijke taak – het organiseren en het geven van onderwijs – uit te kunnen voeren.

Wetgeving en Het Privacy Convenant

De AVG kent de rol van verwerkingsverantwoordelijke (=onderwijsinstelling) en van Verwerker (De Rode Planeet B.V.). De Rode Planeet B.V. verwerkt (persoons)gegevens uitsluitend in opdracht van de  Verantwoordelijke. Dit is ook zo afgesproken in het Convenant Digitale Onderwijsmiddelen en Privacy zoals gepubliceerd op www.privacyconvenant.nl. Tegelijk met het Convenant is een model Verwerkersovereenkomst gepubliceerd dat De Rode Planeet B.V. gebruikt in de afspraken met de scholen. De Rode Planeet B.V. onderschrijft het Convenant.

Beveiliging van Persoonsgegevens

De Rode Planeet B.V. classificeert alle (persoons)gegevens van onderwijsinstellingen als geheim en treft vanuit dat standpunt maatregelen om een hoog beveiligingsniveau te borgen. Deze maatregelen hebben betrekking op de toegang tot Quayn, op de verbindingen met Quayn, op de organisatie binnen De Rode Planeet B.V. en het beheer op de locatie waar de systemen staan.

Toegang tot Quayn

Met behulp van een persoonlijke gebruikersnaam en wachtwoord krijgt iedere gebruiker toegang tot de informatie binnen Quayn waartoe hij of zij is geautoriseerd. Het is belangrijk om deze informatie niet te delen met anderen of te gebruiken voor het inloggen op applicaties van derden. Ook zijn koppelingen met een Single Sign-On omgeving mogelijk.

Wachtwoordbeleid

Het wachtwoordbeleid is de verantwoordelijkheid van de instelling die Quayn afneemt. Ons advies aan gebruikers is om het wachtwoord van Quayn nooit ergens anders ook te gebruiken. Schrijf het wachtwoord nooit ergens op, zeker niet op een post-it bij de computer. Wanneer u een nieuw wachtwoord kiest, zorg er dan voor dat het een sterk wachtwoord is (https://nl.wikipedia.org/wiki/Wachtwoord).

Beveiligde verbindingen

Alle verbindingen met Quayn zijn beveiligd met een SSL certificaat. Dit kunt u zien aan het slotje in uw browser. Met een SSL verbinding worden (persoons)gegevens beveiligd verzonden en ontvangen over internet.

Medewerkers

Alle medewerkers (ook externe inhuur) van De Rode Planeet B.V. ondertekenen een geheimhoudingsverklaring en hebben een Verklaring Omtrent Gedrag overlegd. Daarnaast is elke nieuwe medewerker tijdens de inwerkperiode opgeleid om te handelen naar het actuele Informatiebeveiligings- en Privacybeleid. Toegang tot de dataverwerkende systemen is gelimiteerd tot de medewerkers die uit hoofde van hun functie, toegang nodig hebben. Hierbij hanteren wij een ‘Niet, tenzij’-beleid.

Logging

Quayn heeft een logging op onze servers. De toegang tot deze logging is strikt toebedeeld aan onze technisch beheerders. Met deze logging kunnen we eventuele problemen achterhalen en oplossen.

Responsible Disclosure

In het responsible disclosure beleid worden gebruikers die een kwetsbaarheid ontdekken verzocht om deze op verantwoorde wijze te melden, zodat De Rode Planeet B.V. en Iddink Group er zo snel mogelijk mee aan de slag kan gaan. Op die manier wordt er een bijdrage geleverd aan de continue online veiligheid van Quayn en het beheersen van de kwetsbaarheid van ICT-systemen. Iddink Group verwerkt de gegevens uitsluitend binnen de grenzen van de Europese Economische Ruimte. Voor deze landen geldt de Europese privacy richtlijn en biedt zekerheid over een passend beschermingsniveau van uw gegevens.

Helpdesk toegang

In uitzonderlijke situaties is het nodig dat onze helpdesk 'meekijkt' bij de Quayn-omgeving van de gebruiker, voor de analyse van specifieke problemen. Dit gebeurt uitsluitend met toestemming en medeweten van de instelling. De helpdeskmedewerkers hebben ook een geheimhoudingsverklaring getekend.