Skip navigation MENU

Informatiebeveiligings- en Privacybeleid

SchoolMaster B.V. is zich zeer bewust van haar verantwoordelijkheid en zorgplicht ten aanzien van haar dienstverlening binnen Magister. SchoolMaster B.V. heeft een actueel Informatiebeveiligings- en Privacybeleid en neemt voortdurend passende technische en organisatorische maatregelen. Deze maatregelen zijn gericht op het continu waarborgen van de Betrouwbaarheid, de Integriteit en de Vertrouwelijkheid (BIV) van de informatie binnen Magister. Hieronder lichten wij toe hoe wij hier in praktijk mee omgaan.

SchoolMaster B.V. verwerkt (persoons)gegevens uitsluitend in opdracht van onderwijsinstellingen.

Wetgeving en Het Privacy Convenant

De Wet Bescherming Persoonsgegevens (WBP) en (straks) de AVG kent de rol van Verantwoordelijke (=onderwijsinstelling) en van Bewerker (SchoolMaster B.V. ). SchoolMaster B.V. verwerkt (persoons)gegevens uitsluitend in opdracht van de Verantwoordelijke. Dit is ook zo afgesproken in het Convenant Digitale Onderwijsmiddelen en Privacy, zoals gepubliceerd op www.privacyconvenant.nl. Tegelijk met het Convenant is een model bewerkersovereenkomst gepubliceerd die SchoolMaster  B.V. ook gebruikt in de afspraken met de scholen. SchoolMaster B.V. onderschrijft het Convenant en hanteert de model bewerkersovereenkomst.

Beveiliging van Persoonsgegevens

SchoolMaster B.V. classificeert alle (persoons)gegevens van onderwijsinstellingen als geheim en treft dus  maatregelen om dat niveau te borgen. Deze maatregelen hebben betrekking op de toegang tot Magister, op de verbindingen met Magister, op de organisatie binnen SchoolMaster B.V. en het beheer op de locatie waar de systemen staan.

Toegang tot Magister

Met behulp van een persoonlijke gebruikersnaam en wachtwoord (eventueel met 2FA) krijgt iedere gebruiker toegang tot zijn informatie binnen Magister. Het is belangrijk om deze informatie niet te delen met anderen of te gebruiken voor het inloggen op applicaties van derden. Lees hier de Voorwaarden met betrekking tot gebruik van gebruikersnaam en wachtwoord van Magister. Magister ondersteunt een sterk wachtwoordbeleid naar keuze van de onderwijsinstelling eventueel in combinatie met 2FA (hard of software token). SchoolMaster B.V. faciliteert de scholen in de te maken afspraken tussen school en gebruiker voor het borgen van vertrouwelijkheid.

Beveiligde verbindingen

Alle verbindingen met Magister zijn beveiligd met een SSL certificaat. Let bij het gebruik op het slotje in uw browser. Met Een SSL verbinding worden (persoons)gegevens beveiligd verzonden en ontvangen over internet. 

Borging door ISAE 3402

Het Informatiebeveilings- en Privacybeleid schrijft voor hoe de processen dienen te verlopen. Onderdeel van dit beleid is een borging door een ISAE3402 type 2 certificering. Door een ISAE3402 rapportage hebben onderwijsinstellingen niet alleen inzicht in de betrouwbaarheid en daarmee ook kwaliteit van onze dienstverlening, maar heeft de onderwijsinstelling ook een externe bevestiging dat de interne beheersing bij SchoolMaster B.V. bestaat en effectief heeft gewerkt. De maatregelen binnen ISAE3402 hebben betrekking op medewerkers, procedures en bedrijfsmiddelen (huisvesting en datacenter)

Medewerkers

Alle medewerkers (ook externe inhuur) van SchoolMaster B.V. hebben een geheimhoudingsverklaring ondertekend en hebben een Verklaring Omtrent Gedrag moeten overleggen. Daarnaast wordt elke nieuwe medewerker tijdens de inwerkperiode opgeleid om te handelen naar het actuele Informatiebeveiligings- en Privacybeleid. Toegang tot de dataverwerkende systemen is gelimiteerd tot de medewerkers die uit hoofde van hun functie toegang nodig zijn. Hier geldt een ‘Niet – Tenzij beleid’.

Beveiligd datacenter

Toegang tot het datacenter van Magister is exclusief voor medewerkers van SchoolMaster B.V. met biometrisch controles. Middelen (hardware, bekabeling en lijnverbindingen) zijn exclusief voor gebruik door Magister. Het datacenter is volledig redundant op verschillende geografische locaties uitgerust met voorzieningen als; noodstroom, klimaatcontrole, camerabeveiliging en blusinstallatie.

Wij ontvangen geen bezoekers of leveranciers in het datacenter. 

Logging

Elke poging (geslaagd of niet geslaagd) tot inloggen wordt gelogd. Dit logbestand wordt ten minste 6 maanden en maximaal 1 jaar bewaard voor analyse doeleinden. Dit gaat om inlogpogingen van zowel medewerkers op school als om gebruikers; ouders en leerlingen. Met behulp van deze gegevens kan fraude worden opgespoord en oneigenlijk gebruik worden tegengegaan.

Actieve ondersteuning naar onderwijsinstellingen

SchoolMaster B.V. ondersteunt onderwijsinstellingen vanuit haar bewerkersrol bij het gebruik en de inrichting van Magister. Kennis zoals ‘Best Practices’ wordt gedeeld met onderwijsinstellingen. Ook communiceert SchoolMaster B.V.  regelmatig over de onderwerpen Informatiebeveiliging en Privacy via mailingen en het afgeschermde klantendeel op de website. Ook verstrekt SchoolMaster B.V. tools, zoals de Checklist Magister.

Responsible Disclosure

In het responsible disclosure beleid worden gebruikers die een kwetsbaarheid ontdekken verzocht om deze op verantwoorde wijze te melden, zodat SchoolMaster B.V. er zo snel mogelijk mee aan de slag kan gaan. Zodoende wordt er een bijdrage geleverd aan de online veiligheid van Magister en het beheersen van de kwetsbaarheid van ICT-systemen.

Europese Economische Ruimte

SchoolMaster B.V. verwerkt de gegevens uitsluitend binnen de grenzen van de Europese Economische Ruimte. Voor deze landen geldt de Europese privacy richtlijn en biedt zekerheid over een passend beschermingsniveau van uw gegevens.

Cookiebeleid Magistersuite

Magister Webversie maakt gebruik van 4 cookies om het gebruik van de Magisterapplicaties mogelijk te maken.

Session ID Cookie

Het Session ID cookie identificeert de actieve sessie op de server met betreffende device. Elke request naar de server wordt op basis van dit cookie bekeken wie de gebruiker is (authenticatie) en, afhankelijk van het antwoord, wat de gebruiker mag doen (autorisatie). Een session ID cookie is geen tracking cookie, bevat geen persoonsgegevens of leidt niet tot een uniek identificeerbare persoon.

Device Cookie

Het device cookie identificeert een succesvolle login in een account per gebruiker, per apparaat en per browser. Op basis van dit cookie is het niet mogelijk om een account bewust te blokkeren vanaf een ander device (cyberpesten). Het device cookie bevat geen persoonsgegevens en wordt niet gebruikt voor verdere communicatie in het internet verkeer.

Google Analytics

De Magistersuite (M6) voor maakt gebruik van Google Analytics om technisch inzicht te krijgen in het gebruik van de applicatie. Deze informatie wordt gebruikt om de capaciteitstoewijzing te schalen op de overeengekomen servicelevels (capaciteitsbeheer) en een prettige gebruikerservaring mogelijk te maken. Er wordt Magisterdata noch Gebruikersdata gedeeld met Google Analytics. De toepassing van de Google Analytics in de Magistersuite conformeert zich aan de handleiding van de autoriteit persoonsgegevens voor het privacy vriendelijk instellen van Google Analytics.

App Center van Microsoft

De M6 LO App maakt gebruik van het App center van Microsoft om mogelijke applicatieve fouten te identificeren. Het App center van Microsoft verzamelt geen Magisterdata, slechts enkel het gebruik van de App, volledig losgekoppeld van persoon en onderwijsinstelling.

Gegevensverwerking in relatie tot de leeftijdsgrens van de leerling

De school verwerkt persoonsgegevens op basis van de grondslag; Uitvoering van een wettelijke taak. In principe geldt dat voor de gehele verwerking van gegevens binnen het leerlingadministratiesysteem Magister. In het kort komt het erop neer dat Magister het mogelijk maakt om bepaalde gegevens uit te wisselen binnen het leerlingadministratiesysteem. De school stemt conform hun beleid af én bepaalt daarmee welke gegevens met de ouders en/of leerlingen wordt gedeeld. Hierin is Magister faciliterend aan de wensen van de schooldirectie.

1. Een school rapporteert aan de ouders/voogd over de onderwijsvorderingen van de minderjarige (<18 jaar). Dat betreft de uitvoering van haar wettelijke taak op basis van de Wet op het Voortgezet Onderwijs. Vanaf de leeftijd van 18 jaar (en handelingsbekwaam) vervalt deze rapportageplicht aan de ouders en zal de school rapporteren aan de leerling zelf over zijn/haar vorderingen. Magister biedt de meerderjarige leerling de mogelijkheid om toestemming te verlenen dat zijn/haar ouders ook (nog) na zijn/haar 18e levensjaar geïnformeerd blijven. Als de leerling niets doet, wordt er niet meer gerapporteerd aan de ouders (privacy by default).

2a. Onder de WBP en AVG (van kracht per 25 mei 2018) kan de leerling vanaf zijn 16e levensjaar het inzagerecht, recht op correctie en recht op verwijdering van zijn (persoons)gegevens zelf uitoefenen. Dat laatste geldt echter alleen als het informatie betreft dat verwerkt is op basis van de grondslag Toestemming door betrokkene. Informatie dat verwerkt is op basis van de grondslag Uitvoering van een wettelijke taak kent een wettelijke bewaar- en vernietigingstermijn. Het verzoek tot inzage, correctie en verwijdering wordt gehonoreerd door de betreffende school. Magister faciliteert deze verwerking op verzoek van de school.

2b. Ouders hebben wel het recht om de vorderingen van de leerling gerapporteerd te krijgen van het bevoegd gezag op basis van de Wet op het Voortgezet Onderwijs. Het is een afweging van de school om te bepalen wat ze rapporteren. Het bereiken van het 16e levensjaar van de leerling, ontslaat de school echter niet van haar verplichting te rapporteren.

3. Los van de rapportageplicht en inzagerecht geldt dat er toestemming verleend moet worden voor verwerking van (beeld)materiaal zoals foto’s / video’s die niet gerelateerd zijn aan de uitvoering van de onderwijstaken. Het betreft hier foto’s of video’s van bijvoorbeeld een excursie of open dag ter publicatie in de schoolgids, digitale nieuwsbrief, website van de school en sociale media. Tot de leeftijd van 16 jaar zullen de ouders toestemming verlenen (of weer intrekken). Vanaf 16 jarige leeftijd kan een leerling hier zelfstandig over beslissen. Deze gegevensverwerking valt echter buiten de verantwoordelijkheid van Magister.