Skip navigation MENU

Informatiebeveiligings- en Privacybeleid

SchoolMaster B.V. is zich bewust van haar verantwoordelijkheid en zorgplicht ten aanzien van haar dienstverlening met Magister. SchoolMaster B.V. heeft een actueel Informatiebeveiligings- en Privacybeleid en neemt voortdurend passende technische en organisatorische maatregelen. Deze maatregelen zijn gericht op het continu waarborgen van de Beschikbaarheid, de Integriteit en de Vertrouwelijkheid (BIV) van de verwerkte informatie binnen Magister. Hieronder lichten wij toe hoe wij hier in praktijk mee omgaan.

SchoolMaster B.V. verwerkt (persoons)gegevens uitsluitend in opdracht van onderwijsinstellingen.

Identiteit en contactgegevens Verwerkingsverantwoordelijke

In Magister worden persoonsgegevens verwerkt in opdracht van de onderwijsinstelling. De onderwijsinstelling is de verwerkingsverantwoordelijke voor de persoonsgegevens die worden verwerkt in Magister. Als u vragen heeft over of gebruik wilt maken van uw rechten onder de AVG, zoals het recht op inzage, dan kunt u contact opnemen met de Functionaris voor de gegevensbescherming (FG) van de betreffende onderwijsinstelling.

SchoolMaster B.V. is in opdracht van de onderwijsinstelling de verwerker van de (persoons)gegevens en heeft hiervoor een Verwerkersovereenkomst gesloten conform het model van het PrivacyConvenant 3.0. SchoolMaster B.V. heeft ook een Functionaris voor de gegevensbescherming aangesteld.

Doeleinden en rechtsgrond van de verwerking

Onderwijsinstellingen bepalen zelf de doeleinden voor de verwerking en deze doeleinden zijn overeengekomen in het Privacy Convenant met SchoolMaster B.V.. Onderwijsinstellingen verwerken verschillende persoonsgegevens om hun wettelijke taak – het organiseren en het geven van onderwijs – uit te kunnen voeren.

Wetgeving en Het Privacy Convenant

De AVG kent de rol van verwerkingsverantwoordelijke (=onderwijsinstelling) en van Verwerker (SchoolMaster B.V.). SchoolMaster B.V. verwerkt (persoons)gegevens uitsluitend in opdracht van de  Verantwoordelijke. Dit is ook zo afgesproken in het Convenant Digitale Onderwijsmiddelen en Privacy zoals gepubliceerd op www.privacyconvenant.nl. Tegelijk met het Convenant is een model Verwerkersovereenkomst gepubliceerd die SchoolMaster B.V. gebruikt in de afspraken met de scholen. SchoolMaster B.V. onderschrijft het Convenant en hanteert de model Verwerkersovereenkomst.

Beveiliging van Persoonsgegevens

SchoolMaster B.V. classificeert alle (persoons)gegevens van onderwijsinstellingen als geheim en treft vanuit dat standpunt maatregelen om een hoog beveiligingsniveau te borgen. Deze maatregelen hebben betrekking op de toegang tot Magister, op de verbindingen met Magister, op de organisatie binnen SchoolMaster B.V. en het beheer op de locatie waar de systemen staan.

Toegang tot Magister

Met behulp van een persoonlijke gebruikersnaam en wachtwoord (eventueel met 2FA) krijgt iedere gebruiker toegang tot de informatie binnen Magister waartoe hij of zij is geautoriseerd. Het is belangrijk om deze informatie niet te delen met anderen of te gebruiken voor het inloggen op applicaties van derden. Lees hier de Voorwaarden met betrekking tot gebruik van gebruikersnaam en wachtwoord van Magister.

Magister ondersteunt een sterk wachtwoordbeleid naar keuze van de onderwijsinstelling in combinatie met 2FA (hard of software token). SchoolMaster B.V. faciliteert de scholen in de te maken afspraken tussen school en gebruiker voor het borgen van vertrouwelijkheid.

Lees hier de ‘Voorwaarden met betrekking tot gebruik van gebruikersnaam en wachtwoord van Magister’.

Beveiligde verbindingen

Alle verbindingen met Magister zijn beveiligd met een SSL  certificaat. Dit kunt u zien aan het slotje in uw browser. Met een SSL verbinding worden (persoons)gegevens beveiligd verzonden en ontvangen over internet. 

Borging door ISAE 3402

Het Informatiebeveilings- en Privacybeleid schrijft voor hoe de processen moeten verlopen om te voldoen aan de hoogste eisen van informatiebeveiliging. Onderdeel van dit beleid is een borging door een ISAE3402 type 2 certificering. Door een ISAE3402 assurancerapportage hebben onderwijsinstellingen niet alleen inzicht in de betrouwbaarheid en de kwaliteit van onze dienstverlening, maar ook een externe bevestiging dat de interne beheersing bij SchoolMaster B.V. bestaat en effectief heeft gewerkt. De maatregelen binnen ISAE3402 hebben betrekking op medewerkers, procedures en bedrijfsmiddelen (huisvesting en datacenter).

Medewerkers

Alle medewerkers (ook externe inhuur) van SchoolMaster B.V. ondertekenen een geheimhoudingsverklaring en hebben een Verklaring Omtrent Gedrag overlegd. Daarnaast is elke nieuwe medewerker tijdens de inwerkperiode opgeleid om te handelen naar het actuele Informatiebeveiligings- en Privacybeleid. Toegang tot de dataverwerkende systemen is gelimiteerd tot de medewerkers die uit hoofde van hun functie, toegang nodig hebben. Hierbij hanteren wij een ‘Niet, tenzij beleid’.

Beveiligd datacenter

Alleen medewerkers van SchoolMaster B.V. , hebben met biometrisch controles toegang tot het datacenter van Magister. Middelen (hardware, bekabeling en lijnverbindingen) zijn exclusief voor gebruik door Magister. Het datacenter is volledig redundant op verschillende geografische locaties uitgerust met voorzieningen als; noodstroom, klimaatcontrole, camerabeveiliging en blusinstallatie.

Wij ontvangen geen bezoekers of leveranciers in het datacenter. 

Logging

Elke poging (geslaagd of niet geslaagd) tot inloggen wordt gelogd. Dit logbestand wordt ten minste 6 maanden en maximaal 1 jaar bewaard voor analysedoeleinden. Dit gaat om inlogpogingen van zowel medewerkers op scholen, als om ouders en leerlingen van die scholen. Met behulp van deze gegevens kan fraude worden opgespoord en oneigenlijk gebruik worden tegengegaan.

Actieve ondersteuning naar onderwijsinstellingen

SchoolMaster B.V. ondersteunt onderwijsinstellingen vanuit haar Verwerkersrol bij het gebruik en de inrichting van Magister. Kennis zoals ‘Best Practices’ wordt gedeeld met onderwijsinstellingen. Ook communiceert SchoolMaster B.V. via de communicatiekanalen van Magister regelmatig over de onderwerpen Informatiebeveiliging en Privacy via mailingen en het afgeschermde klantendeel op de website. Ook verstrekt SchoolMaster B.V. tools, zoals de Checklist Magister.

Responsible Disclosure

In het responsible disclosure beleid worden gebruikers die een kwetsbaarheid ontdekken verzocht om deze op verantwoorde wijze te melden, zodat SchoolMaster B.V. er zo snel mogelijk mee aan de slag kan gaan. Op die manier wordt er een bijdrage geleverd aan de continue online veiligheid van Magister en het beheersen van de kwetsbaarheid van ICT-systemen. SchoolMaster B.V. verwerkt de gegevens uitsluitend binnen de grenzen van de Europese Economische Ruimte. Voor deze landen geldt de Europese privacy richtlijn en biedt zekerheid over een passend beschermingsniveau van uw gegevens.

Cookiebeleid Magistersuite

Magister Web maakt gebruik van 4 cookies om het gebruik van de Magisterapplicaties mogelijk te maken.

Session ID Cookie

Het ‘Session ID’ cookie identificeert de actieve sessie op de server met betreffende device. Elke ‘request’ naar de server wordt op basis van dit cookie bekeken wie de gebruiker is (authenticatie) en, afhankelijk van het antwoord, wat de gebruiker mag doen (autorisatie). Een ‘session ID’ cookie is geen tracking cookie, bevat geen persoonsgegevens of leidt niet tot een uniek identificeerbare persoon.

Device Cookie

Het ‘Device’ cookie identificeert een succesvolle login in een account per gebruiker, per apparaat en per browser. Op basis van dit cookie is het niet mogelijk om een account bewust te blokkeren vanaf een ander device (cyberpesten). Het ‘Device’ cookie bevat geen persoonsgegevens en wordt niet gebruikt voor verdere communicatie in het internet verkeer.

Google Analytics

De Magistersuite (M6) maakt gebruik van Google Analytics om technisch inzicht te krijgen in het gebruik van de applicatie. Deze informatie wordt gebruikt om de capaciteitstoewijzing te schalen op de overeengekomen servicelevels (capaciteitsbeheer) en een prettige gebruikerservaring mogelijk te maken. Er worden geen Magisterdata noch Gebruikersdata gedeeld met Google Analytics. De toepassing van de Google Analytics in de Magistersuite conformeert zich aan de handleiding van de autoriteit persoonsgegevens voor het privacy vriendelijk instellen van Google Analytics.

App Center van Microsoft

De Magister App voor leerling en Ouders maakt gebruik van het App center van Microsoft om mogelijke applicatieve fouten te identificeren. Het App center van Microsoft verzamelt geen Magisterdata, slechts enkel het gebruik van de App en is volledig losgekoppeld van persoon en onderwijsinstelling.

Gegevensverwerking in relatie tot de leeftijdsgrens van de leerling

Op grond van artikel 23b van de Wet op het voortgezet onderwijs is de school verplicht om de vorderingen van de leerlingen aan hun ouders, voogden of verzorgers te rapporteren, totdat deze leerling meerderjarig en handelingsbekwaam is. Zodra de leerling 18 jaar oud is (en hij/zij handelingsbekwaam is), vervalt deze verplichting en is het aan de leerling zelf of er door de school nog aan zijn ouders gerapporteerd dient te worden. Deze functionaliteit is beschikbaar binnen Magister.

De leeftijdsgrens van 16 jaar vinden we terug in het eerste lid van artikel 8 van de Algemene Verordening Gegevensbescherming (AVG). Deze leeftijdsgrens ziet op het verlenen van toestemming voor de verwerking van persoonsgegevens. Zolang een leerling nog geen 16 jaar oud is, dient de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt deze toestemming te verlenen. Zie voor meer informatie het artikel van Kennisnet

Belangrijk hierbij is de kanttekening dat persoonsgegevens binnen Magister worden verwerkt op grond van een wettelijke taak. Voor deze verwerking is niet daarnaast ook nog toestemming nodig. Een voorbeeld van een verwerking van persoonsgegevens waarvoor toestemming van de ouder of het kind (indien 16+ jaar) vereist is, is bij het publiceren van foto’s van een excursie op de school-website.

Publicatie datum november 2018