Veiligheid & privacy

Privacyverklaring e-Loo B.V.

Bij e-Loo vinden wij de bescherming en waarborging van de privacy van onze gebruikers uitermate belangrijk. In deze verklaring willen wij zo transparant mogelijk uitleggen hoe wij omgaan met persoonsgegevens en hoe wij invulling geven aan onze wettelijke en contractuele verplichtingen op het gebied van persoonsgegevens.

  1. Doel en verantwoordelijkheid
  2. Processen en verwerkingen
  3. Technische en organisatorische beveiligingsmaatregelen
  4. Datalekken
  5. Vragen/klachten/wijzigingen

1. Doel en verantwoordelijkheid

e-Loo ontwikkelt software waar organisaties in het basis- en vervolgonderwijs (hierna: “scholen”) gebruik van maken om bepaalde primaire processen te optimaliseren. Bij het gebruikmaken van de software verwerken wij namens de scholen persoonsgegevens. Persoonsgegevens zijn alle gegevens die tot individuele personen zijn te herleiden. De scholen die ons inschakelen bepalen de doelen en de middelen van de verwerking. Zij zijn daarom verantwoordelijk voor de gegevensverwerkingen op grond van de wet (Wet bescherming persoonsgegevens of “Wbp”). Als verantwoordelijke moet de school onder meer waarborgen:

  • dat de gegevensverwerking rechtmatig, zorgvuldig en conform vooraf bepaalde doelen is;
  • dat gegevensverwerking wordt beveiligd door middel van passende technische en organisatorische maatregelen;
  • dat de persoonsgegevens niet langer worden bewaard dan noodzakelijk is;
  • dat informatie wordt verstrekt aan de personen wiens gegevens worden verwerkt (“betrokkenen”) en dat op hun verzoek gegevens worden gecorrigeerd en/of verwijderd.

Scholen kunnen ‘bewerkers’ inschakelen die namens hen de persoonsgegevens verwerken.
e-Loo is zo’n bewerker. Op grond van de Wbp mag e-Loo persoonsgegevens alleen in opdracht en onder verantwoordelijkheid van scholen verwerken.


2. Processen en verwerkingen

Met de onder 1. vermelde processen die door de applicaties worden gefaciliteerd wordt bedoeld:

  • Het observeren van de performance van de individuele docenten (applicatie DOT)
  • Het beoordelen van de individuele docenten (applicatie BOOT)
  • Het verbeteren van het curriculum (applicatie Leerstofplanner)

Een school maakt gebruik van onze applicaties om persoonsgegevens van docenten en – voor wat betreft de applicaties DOT en BOOT – leerlingen te verwerken. Welke van de persoonsgegevens van docenten en leerlingen in de applicaties worden ingevoerd bepaalt de school. Voor meer informatie hierover verwijzen wij u naar de betreffende school. Scholen stellen ons de te verwerken persoonsgegevens hetzij rechtstreeks hetzij via een koppeling naar digitale personeels- of schoolinformatiesystemen ter beschikking.


3. Technische en organisatorische beveiligingsmaatregelen

e-Loo sluit met de scholen een zogenaamde licentie- en/of bewerkersovereenkomst. In deze overeenkomst is vastgelegd dat e-Loo de persoonsgegevens geheim moet houden en technische – en organisatorische beveiligingsmaatregelen moet treffen om deze te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Dat wij persoonsgegevens geheim houden is vanzelfsprekend. Wij hebben deze verplichting vastgelegd in al onze overeenkomsten met onze medewerkers of derden die wij inschakelen bij het verbeteren of beheren van onze applicaties. Ook hebben wij onze processen ingericht om maximale geheimhouding te bereiken.

Voor optimale technische – en organisatorische beveiliging verzenden wij gegevens via een beveiligde verbinding met een SSL-certificaat. Dit is dezelfde beveiliging die banken toepassen bij internetbankieren. Tevens worden de gegevens van dit certificaat gebruikt om de toegang tot de tools te beveiligen door het versleutelen van gebruikersgegevens.

e-Loo heeft de opslag van persoonsgegevens uitbesteed aan een hosting provider. Deze hosting provider is een zogenaamde ‘subbewerker’ volgens de Wbp. Ook deze is verplicht technische en organisatorische beveiligingsmaatregelen te nemen. In het geval van onze hosting provider houdt dit (onder meer) in dat deze de persoonsgegevens opslaat in een beveiligd datacenter in Nederland. De hosting provider heeft een ISO 27001 certificering. ISO 27001 is een internationaal erkende standaard voor informatiebeveiliging.

De gebruikersnaam en het wachtwoord worden automatisch verstrekt, maar deze gegevens kunnen door gebruikers worden aangepast. De mate van veiligheid wordt daarmee ook door de gebruiker zelf bepaald. Feitelijk is dat niet anders dan vroeger, toen ICT-systemen nog op de server van de school stonden.


4. Datalekken

Ondanks het treffen van beveiligingsmaatregelen kan zich toch een datalek voordoen. Dat wil zeggen dat er een incident plaatsvindt waarbij persoonsgegevens verloren zijn gegaan of waardoor er onbevoegden toegang tot de gegevens kunnen hebben gehad. Als dit zich voordoet bij e-Loo of een subbewerker meldt e-Loo dit zo spoedig mogelijk bij de school. De school is als verantwoordelijke verplicht het lek te melden bij de betrokkene en bij de toezichthouder voor privacywetgeving, de Autoriteit Persoonsgegevens. De school is dan ook verplicht om, in samenwerking met e-Loo en eventuele subbewerkers technische en organisatorische maatregelen te treffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen.


5. Vragen/klachten/wijzigingen

Heeft u ondanks het lezen van het voorgaande nog vragen over hoe e-Loo omgaat met persoonsgegevens of een klacht? Stuurt u dan een e-mail aan privacy@eloo.nl. Wij nemen dan zo spoedig mogelijk contact met u op om uw vraag te beantwoorden dan wel u door te verwijzen naar één van de scholen die met onze software werkt. Uw email wordt vertrouwelijk behandeld.

Deze Privacyverklaring kan worden gewijzigd, vanwege wijzigingen in de toepasselijke wet- en regelgeving of om andere redenen. De meest actuele versie van deze Privacyverklaring zal telkens op onze website worden gepubliceerd. Indien u op de hoogte wilt blijven van ons privacybeleid raden wij u aan om onze website van tijd tot tijd te raadplegen.


Zeist, november 2016