Veiligheid & privacy

Privacyverklaring e-Loo B.V.

Bij e-Loo vinden wij de bescherming en waarborging van de privacy van onze gebruikers uitermate belangrijk. In deze verklaring willen wij zo transparant mogelijk uitleggen hoe wij omgaan met persoonsgegevens en hoe wij invulling geven aan onze wettelijke en contractuele verplichtingen op het gebied van persoonsgegevens.

  1. Doel en verantwoordelijkheid
  2. Processen en verwerkingen
  3. Technische en organisatorische beveiligingsmaatregelen
  4. Datalekken
  5. Vragen/klachten/wijzigingen

1. Doel en verantwoordelijkheid

e-Loo ontwikkelt SaaS-diensten waar onderwijsorganisaties (hierna: “scholen”) gebruik van maken om bepaalde (primaire) processen te optimaliseren. Bij het gebruikmaken van de Saas-dienst verwerken wij namens de scholen persoonsgegevens. Persoonsgegevens zijn alle gegevens die tot individuele personen zijn te herleiden. De scholen die ons inschakelen bepalen de doelen en de middelen van de verwerking. Zij zijn daarom verantwoordelijk voor de gegevensverwerkingen op grond van de wet (AVG: Algemene verordening gegevensbescherming). Als verantwoordelijke moet de school onder meer waarborgen:

  • dat de gegevensverwerking rechtmatig, zorgvuldig en conform vooraf bepaalde doelen is;
  • dat gegevensverwerking wordt beveiligd door middel van passende technische en organisatorische maatregelen;
  • dat de persoonsgegevens niet langer worden bewaard dan noodzakelijk is;
  • dat informatie wordt verstrekt aan de personen wiens gegevens worden verwerkt (“betrokkenen”) en dat op hun verzoek gegevens worden gecorrigeerd en/of verwijderd.

Scholen kunnen ‘bewerkers’ inschakelen die namens hen de persoonsgegevens verwerken.
e-Loo is zo’n bewerker. Op grond van de AVG mag e-Loo persoonsgegevens alleen in opdracht en onder verantwoordelijkheid van scholen verwerken.


2. Processen en verwerkingen

Met de onder 1. vermelde processen die door de applicaties worden gefaciliteerd wordt bedoeld:

  • Het observeren van de performance van individuele docenten (applicatie DOT)
  • Het feedback vragen door de individuele gebruiker (applicatie BOOT)

Een school maakt gebruik van onze applicaties om persoonsgegevens van medewerkers van scholen te verwerken. Welke van de persoonsgegevens van medewerkers in de applicaties worden ingevoerd bepaalt de school. Voor meer informatie hierover verwijzen wij u naar de betreffende school. Scholen stellen ons de te verwerken persoonsgegevens hetzij rechtstreeks hetzij via een koppeling naar digitale personeels- of schoolinformatiesystemen ter beschikking.


3. Technische en organisatorische beveiligingsmaatregelen

e-Loo sluit met de scholen een zogenaamde licentie- en vewerkersovereenkomst. In deze overeenkomst is vastgelegd dat e-Loo de persoonsgegevens geheim moet houden en technische – en organisatorische beveiligingsmaatregelen moet treffen om deze te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Dat wij persoonsgegevens geheim houden is vanzelfsprekend. Wij hebben deze verplichting vastgelegd in al onze overeenkomsten met onze medewerkers of derden die wij inschakelen bij het verbeteren of beheren van onze applicaties. Ook hebben wij onze processen ingericht om maximale geheimhouding te bereiken.

Voor optimale technische – en organisatorische beveiliging verzenden wij gegevens via een beveiligde verbinding met een SSL-certificaat. Dit is dezelfde beveiliging die banken toepassen bij internetbankieren. Tevens worden de gegevens van dit certificaat gebruikt om de toegang tot de tools te beveiligen door het versleutelen van gebruikersgegevens.

e-Loo heeft de opslag van persoonsgegevens uitbesteed aan een hosting provider. Deze hosting provider is een zogenaamde ‘subvewerker’ volgens de AVG. Ook deze is verplicht technische en organisatorische beveiligingsmaatregelen te nemen. In het geval van onze hosting provider houdt dit (onder meer) in dat deze de persoonsgegevens opslaat in een beveiligd datacenter in Nederland. De hosting provider heeft een ISO 27001 certificering. ISO 27001 is een internationaal erkende standaard voor informatiebeveiliging.

Het wachtwoord om in te loggen op onze applicaties wordt door de gebruikers zelf aangemaakt. De mate van veiligheid wordt daarmee ook door de gebruiker zelf bepaald. Feitelijk is dat niet anders dan vroeger, toen ICT-systemen nog op de server van de school stonden.


4. Datalekken

Ondanks het treffen van beveiligingsmaatregelen kan zich toch een datalek voordoen. Dat wil zeggen dat er een incident plaatsvindt waarbij persoonsgegevens verloren zijn gegaan of waardoor er onbevoegden toegang tot de gegevens kunnen hebben gehad. Als dit zich voordoet bij e-Loo of een subvewerker meldt e-Loo dit zo spoedig mogelijk bij de school. De school is als verantwoordelijke verplicht het lek te melden bij de betrokkene en bij de toezichthouder voor privacywetgeving, de Autoriteit Persoonsgegevens. De school is dan ook verplicht om, in samenwerking met e-Loo en eventuele subvewerkers technische en organisatorische maatregelen te treffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen.


5. Vragen/klachten/wijzigingen

Heeft u ondanks het lezen van het voorgaande nog vragen over hoe e-Loo omgaat met persoonsgegevens of een klacht? Stuurt u dan een e-mail aan info@eloo.nl. Wij nemen dan zo spoedig mogelijk contact met u op om uw vraag te beantwoorden dan wel u door te verwijzen naar één van de scholen die met onze software werkt. Uw e-mail wordt vertrouwelijk behandeld.

Deze Privacyverklaring kan worden gewijzigd, vanwege wijzigingen in de toepasselijke wet- en regelgeving of om andere redenen. De meest actuele versie van deze Privacyverklaring zal telkens op onze website worden gepubliceerd. Indien u op de hoogte wilt blijven van ons privacybeleid raden wij u aan om onze website van tijd tot tijd te raadplegen.


Zeist, november 2016