Privacy t.b.v. Magister gebruik.

Informatiebeveiligings- en Privacybeleid

Iddink Digital B.V. is zich bewust van haar verantwoordelijkheid en zorgplicht ten aanzien van haar dienstverlening met Magister. Iddink Digital B.V. heeft een actueel Informatiebeveiligings- en Privacybeleid en neemt voortdurend passende technische en organisatorische maatregelen. Deze maatregelen zijn gericht op het continu waarborgen van de Beschikbaarheid, de Integriteit en de Vertrouwelijkheid (BIV) van de verwerkte informatie binnen Magister. Hieronder lichten wij toe hoe wij hier in praktijk mee omgaan.

Iddink Digital B.V. verwerkt (persoons)gegevens uitsluitend in opdracht van onderwijsinstellingen.

Identiteit en contactgegevens Verwerkingsverantwoordelijke

In Magister worden persoonsgegevens verwerkt in opdracht van de onderwijsinstelling. De onderwijsinstelling is de verwerkingsverantwoordelijke voor de persoonsgegevens die worden verwerkt in Magister. Als u vragen heeft over of gebruik wilt maken van uw rechten onder de AVG, zoals het recht op inzage, dan kunt u contact opnemen met de Functionaris voor de gegevensbescherming (FG) van de betreffende onderwijsinstelling.

Iddink Digital B.V. is in opdracht van de onderwijsinstelling de verwerker van de (persoons)gegevens en heeft hiervoor een Verwerkersovereenkomst gesloten conform het model van het PrivacyConvenant 3.0. Iddink Digital B.V. heeft ook een Functionaris voor de gegevensbescherming aangesteld.

Doeleinden en rechtsgrond van de verwerking

Onderwijsinstellingen bepalen zelf de doeleinden voor de verwerking en deze doeleinden zijn overeengekomen in het Privacy Convenant met Iddink Digital B.V.. Onderwijsinstellingen verwerken verschillende persoonsgegevens om hun wettelijke taak – het organiseren en het geven van onderwijs – uit te kunnen voeren.

Wetgeving en het Privacy Convenant

De AVG kent de rol van verwerkingsverantwoordelijke (=onderwijsinstelling) en van Verwerker (Iddink Digital B.V.). Iddink Digital B.V. verwerkt (persoons)gegevens uitsluitend in opdracht van de  verwerkingsverantwoordelijke. Dit is ook zo afgesproken in het Convenant Digitale Onderwijsmiddelen en Privacy zoals gepubliceerd op www.privacyconvenant.nl. Tegelijk met het Convenant is een model Verwerkersovereenkomst gepubliceerd die Iddink Digital B.V. gebruikt in de afspraken met de scholen. Iddink Digital B.V. onderschrijft het Convenant en hanteert de model Verwerkersovereenkomst.

Beveiliging van Persoonsgegevens

Iddink Digital B.V. classificeert alle (persoons)gegevens van onderwijsinstellingen als geheim en treft vanuit dat standpunt maatregelen om een hoog beveiligingsniveau te borgen. Deze maatregelen hebben betrekking op de toegang tot Magister, op de verbindingen met Magister, op de organisatie binnen Iddink Digital B.V. en het beheer op de locatie waar de systemen staan.

Toegang tot Magister

Met behulp van een persoonlijke gebruikersnaam en wachtwoord (bij voorkeur met 2FA) krijgt iedere gebruiker toegang tot de informatie binnen Magister waartoe hij of zij is geautoriseerd. Het is belangrijk om deze informatie niet te delen met anderen of te gebruiken voor het inloggen op applicaties van derden.

Lees hier de Voorwaarden met betrekking tot gebruik van gebruikersnaam en wachtwoord van Magister.

Magister ondersteunt een sterk wachtwoordbeleid naar keuze van de onderwijsinstelling in combinatie met 2FA (hard of software token). Iddink Digital B.V. faciliteert de scholen in de te maken afspraken tussen school en gebruiker voor het borgen van vertrouwelijkheid.

Lees hier de Voorwaarden met betrekking tot gebruik van gebruikersnaam en wachtwoord van Magister.

Beveiligde verbindingen

Alle verbindingen met Magister zijn beveiligd met een SSL-certificaat. Dit kunt u zien aan het slotje in uw browser. Met een SSL-verbinding worden (persoons)gegevens beveiligd verzonden en ontvangen over internet.

Magister applicatie en gebruik Adobe lettertypes

Magister gebruikt Adobe Fonts voor lettertypes binnen de applicaties. Adobe slaat geen persoonsgegevens op en maakt geen gebruik van cookies. Voor het kunnen laden van de lettertypen wordt het IP-adres gebruikt, maar dit IP-adres wordt vervolgens niet opgeslagen. Meer informatie over het gebruik van Adobe Fonts is te vinden op: https://www.adobe.com/nl/privacy/policies/adobe-fonts.html

Borging door ISAE 3402

Het Informatiebeveilings- en Privacybeleid schrijft voor hoe de processen moeten verlopen om te voldoen aan de hoogste eisen van informatiebeveiliging. Onderdeel van dit beleid is een borging door een ISAE3402 type 2 certificering. Door een ISAE3402 assurancerapportage hebben onderwijsinstellingen niet alleen inzicht in de betrouwbaarheid en de kwaliteit van onze dienstverlening, maar ook een externe bevestiging dat de interne beheersing bij Iddink Digital B.V. bestaat en effectief heeft gewerkt. De maatregelen binnen ISAE3402 hebben betrekking op medewerkers, procedures en bedrijfsmiddelen (huisvesting en datacenter).

Medewerkers

Alle medewerkers (ook externe inhuur) van Iddink Digital B.V. ondertekenen een geheimhoudingsverklaring en hebben een Verklaring Omtrent Gedrag overlegd. Daarnaast is elke nieuwe medewerker tijdens de inwerkperiode opgeleid om te handelen naar het actuele Informatiebeveiligings- en Privacybeleid. Toegang tot de dataverwerkende systemen is gelimiteerd tot de medewerkers die uit hoofde van hun functie, toegang nodig hebben. Hierbij hanteren wij een ‘Niet, tenzij beleid’.

Beveiligd datacenter

Alleen medewerkers van Iddink Digital B.V., hebben met biometrisch controles toegang tot de datacenters van Magister. Middelen (hardware, bekabeling en lijnverbindingen) zijn exclusief voor gebruik door Magister. Het datacenter is volledig redundant op verschillende geografische locaties uitgerust met voorzieningen als noodstroom, klimaatcontrole, camerabeveiliging en blusinstallatie.

Wij ontvangen bezoekers en leveranciers in het datacenter. De formeel geldende aanmeldprocedure bij DataCenter Friesland wordt hierbij ook gevolgd.

Actieve ondersteuning naar onderwijsinstellingen

Iddink Digital B.V. ondersteunt onderwijsinstellingen vanuit haar Verwerkersrol bij het gebruik en de inrichting van Magister. Kennis zoals ‘Best Practices’ wordt gedeeld met onderwijsinstellingen. Ook communiceert Iddink Digital B.V. via de communicatiekanalen van Magister regelmatig over de onderwerpen Informatiebeveiliging en Privacy via mailingen en het afgeschermde klantendeel op de website.

Responsible Disclosure

In het responsible disclosure beleid worden gebruikers die een kwetsbaarheid ontdekken verzocht om deze op verantwoorde wijze te melden, zodat Iddink Digital B.V. er zo snel mogelijk mee aan de slag kan gaan. Op die manier wordt er een bijdrage geleverd aan de continue online veiligheid van Magister en het beheersen van de kwetsbaarheid van ICT-systemen. Iddink Digital B.V. verwerkt de gegevens uitsluitend binnen de grenzen van de Europese Economische Ruimte. Voor deze landen geldt de Europese privacy richtlijn en biedt zekerheid over een passend beschermingsniveau van uw gegevens.

Cookiebeleid Magistersuite

Magister Web maakt gebruik van twee cookies om het gebruik van de Magisterapplicaties mogelijk te maken.

Session ID Cookie

Het ‘Session ID’ cookie identificeert de actieve sessie op de server met betreffende device. Elke ‘request’ naar de server wordt op basis van dit cookie bekeken wie de gebruiker is (authenticatie) en, afhankelijk van het antwoord, wat de gebruiker mag doen (autorisatie). Een ‘session ID’ cookie is geen tracking cookie, bevat geen persoonsgegevens of leidt niet tot een uniek identificeerbare persoon.

Device Cookie

Het ‘Device’ cookie identificeert een succesvolle login in een account per gebruiker, per apparaat en per browser. Op basis van dit cookie is het niet mogelijk om een account bewust te blokkeren vanaf een ander device (cyberpesten). Het ‘Device’ cookie bevat geen persoonsgegevens en wordt niet gebruikt voor verdere communicatie in het internetverkeer.

Logging en Analytics

Logging

Elke poging (geslaagd of niet geslaagd) tot inloggen wordt gelogd. Dit logbestand wordt ten minste 6 maanden en maximaal 1 jaar bewaard voor analysedoeleinden. Dit gaat om inlogpogingen van zowel medewerkers op scholen, als om ouders en leerlingen van die scholen. Met behulp van deze gegevens kan fraude worden opgespoord en oneigenlijk gebruik worden tegengegaan.

Analytics

De Magister apps voor Docenten en Leerlingen/Ouders maken gebruik van Piwik PRO om technisch inzicht te krijgen in het gebruik van de applicatie. We gebruiken deze statistieken om te begrijpen hoe bezoekers de applicaties gebruiken. Deze informatie helpt om de gebruikerservaring te verbeteren. Er worden aanvullende maatregelen genomen om de verwerkingen voor dit doel te psuedonimiseren en te minimaliseren middels onder andere door IP-maskering. Deze verwerking kent een bewaartermijn van 25 maanden.

De Magister apps voor Docenten en Leerlingen/Ouders maken gebruik van Microsoft App Center om mogelijke technische applicatiefouten te identificeren. Microsoft App Center verzamelt geen Magister-data, slechts enkel het gebruik van de app en is volledig losgekoppeld van persoon en onderwijsinstelling.

Microsoft App Center

De Magister apps voor Docenten en Leerlingen/Ouders maken gebruik van Microsoft App Center om:

  1. Mogelijke technische applicatiefouten te identificeren.
  2. Het functionele gebruik van de apps te analyseren ten behoeve van productverbetering.

Microsoft App Center verzamelt geen Magister-data, slechts enkel het gebruik van de app en is volledig losgekoppeld van persoon en onderwijsinstelling.

Gegevensverwerking in relatie tot de leeftijdsgrens van de leerling

Op grond van artikel 23b van de Wet op het voortgezet onderwijs is de school verplicht om de vorderingen van de leerlingen aan hun ouders, voogden of verzorgers te rapporteren, totdat deze leerling meerderjarig en handelingsbekwaam is. Zodra de leerling 18 jaar oud is (en hij/zij handelingsbekwaam is), vervalt deze verplichting en is het aan de leerling zelf of er door de school nog aan zijn ouders gerapporteerd dient te worden. Deze functionaliteit is beschikbaar binnen Magister.

De leeftijdsgrens van 16 jaar vinden we terug in het eerste lid van artikel 8 van de Algemene Verordening Gegevensbescherming (AVG). Deze leeftijdsgrens ziet op het verlenen van toestemming voor de verwerking van persoonsgegevens. Zolang een leerling nog geen 16 jaar oud is, dient de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt deze toestemming te verlenen.

Belangrijk hierbij is de kanttekening dat persoonsgegevens binnen Magister worden verwerkt op grond van een wettelijke taak. Voor deze verwerking is niet daarnaast ook nog toestemming nodig. Een voorbeeld van een verwerking van persoonsgegevens waarvoor toestemming van de ouder of het kind (indien 16+ jaar) vereist is, is bij het publiceren van foto’s van een excursie op de school-website.

Publicatiedatum oktober 2023

 

Neem contact op met uw Magister accountmanager of maak direct een afspraak.
We komen graag langs om te bekijken wat we voor uw school kunnen betekenen.