Privacyverklaring e-Loo B.V.

Bij eLoo vinden wij de bescherming en waarborging van de privacy van onze gebruikers uitermate belangrijk. In deze verklaring willen wij zo transparant mogelijk uitleggen hoe wij omgaan met persoonsgegevens en hoe wij invulling geven aan onze wettelijke en contractuele verplichtingen op het gebied van persoonsgegevens.

  1. Doel en verantwoordelijkheid
  2. Processen en verwerkingen
  3. Technische en organisatorische beveiligingsmaatregelen
  4. Datalekken
  5. Vragen/klachten/wijzigingen

1. Doel en verantwoordelijkheid

eLoo ontwikkelt een SaaS-dienst (het eLoo-platform) waar onderwijsorganisaties (hierna: ‘scholen’) gebruik van maken om specifieke processen te optimaliseren. Bij het gebruikmaken van het eLoo-platform verwerken wij namens de scholen ook persoonsgegevens. Persoonsgegevens zijn alle gegevens die tot individuele personen zijn te herleiden. De scholen die ons inschakelen bepalen de doelen en de middelen van de verwerking. Scholen zijn daarom verantwoordelijk voor de gegevensverwerkingen op grond van de wet (AVG: Algemene Verordening Gegevensbescherming). Als verantwoordelijke moet de school onder meer waarborgen:

  • dat de gegevensverwerking rechtmatig, zorgvuldig en conform vooraf bepaalde doelen is;
  • dat gegevensverwerking wordt beveiligd door middel van passende technische en organisatorische maatregelen;
  • dat de persoonsgegevens niet langer worden bewaard dan noodzakelijk is;
  • dat informatie wordt verstrekt aan de personen wiens gegevens worden verwerkt (‘betrokkenen’) en dat op hun verzoek gegevens worden gecorrigeerd en/of verwijderd.

Scholen kunnen ‘verwerkers’ inschakelen die namens hen de persoonsgegevens verwerken. eLoo is zo’n verwerker. Op grond van de AVG mag eLoo persoonsgegevens alleen in opdracht en onder verantwoordelijkheid van scholen verwerken. Scholen en verwerkers leggen deze afspraken vast in een Verwerkersovereenkomst.

Om de privacy in het onderwijs zo goed mogelijk te waarborgen is eLoo ‘medestander’ van het ‘Convenant digitale onderwijsmiddelen en privacy‘, zij vertalen de AVG naar de onderwijspraktijk.


2. Processen en verwerkingen

Met de onder 1. vermelde processen die door het eLoo-platform worden gefaciliteerd:

  • Het observeren van de performance van individuele docenten (Module Observeren)
  • Het feedback vragen door de individuele gebruiker (Module Ontwikkelen)
  • Het uitzetten van enquêtes voor leerlingen, ouders en medewerkers (Module Onderzoeken)
  • Het analyseren van de verzamelde data in de bovenstaande modules (Module Ontdekken)

Een school maakt gebruik van een of meerdere modules van het eLoo-platform en verwerkt daarmee persoonsgegevens van medewerkers, leerlingen en ouders van de scholen. Welke persoonsgegevens van medewerkers, leerlingen en ouders in het eLoo-platform worden verwerkt bepaalt de school. Voor meer informatie hierover verwijzen wij u naar de betreffende school. Scholen stellen ons de te verwerken persoonsgegevens hetzij rechtstreeks hetzij via een koppeling naar digitale personeels- of schoolinformatiesystemen ter beschikking.


3. Technische en organisatorische beveiligingsmaatregelen

eLoo sluit met de scholen een zogenaamde licentie- en vewerkersovereenkomst. In deze overeenkomst is vastgelegd dat eLoo de persoonsgegevens geheim moet houden en technische- en organisatorische beveiligingsmaatregelen moet treffen om deze te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Dat wij persoonsgegevens geheim houden is vanzelfsprekend. Wij hebben deze verplichting vastgelegd in al onze overeenkomsten met onze medewerkers of derden die wij inschakelen bij het verbeteren of beheren van het eLoo-platform. Ook hebben wij onze processen ingericht om maximale geheimhouding te bereiken.

Voor optimale technische- en organisatorische beveiliging verzenden wij gegevens via een beveiligde verbinding met een SSL-certificaat. Dit is dezelfde beveiliging die banken toepassen bij internetbankieren. Tevens worden de gegevens van dit certificaat gebruikt om de toegang tot de modules te beveiligen door het versleutelen van gebruikersgegevens.

eLoo heeft de opslag van persoonsgegevens uitbesteed aan een hosting provider. Deze hosting provider is een zogenaamde ‘subvewerker’ volgens de AVG. Ook deze is verplicht technische en organisatorische beveiligingsmaatregelen te nemen. In het geval van onze hosting provider houdt dit (onder meer) in dat deze de persoonsgegevens opslaat in een beveiligd datacenter in Nederland. De hosting provider heeft een ISO 27001 certificering. ISO 27001 is een internationaal erkende standaard voor informatiebeveiliging.

Het wachtwoord om in te loggen op onze modules wordt door de gebruikers zelf aangemaakt. De mate van veiligheid wordt daarmee ook door de gebruiker zelf bepaald. Feitelijk is dat niet anders dan vroeger, toen ICT-systemen nog op de server van de school stonden.


4. Datalekken

Ondanks het treffen van beveiligingsmaatregelen kan zich toch een datalek voordoen. Dat wil zeggen dat er een incident plaatsvindt waarbij persoonsgegevens verloren zijn gegaan of waardoor er onbevoegden toegang tot de gegevens kunnen hebben gehad. Als dit zich voordoet bij eLoo of een subvewerker meldt eLoo dit zo spoedig mogelijk bij de school. De school is als verantwoordelijke verplicht het lek te melden bij de betrokkene en bij de toezichthouder voor privacywetgeving, de Autoriteit Persoonsgegevens. De school is dan ook verplicht om, in samenwerking met eLoo en eventuele subvewerkers technische en organisatorische maatregelen te treffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen.


5. Vragen/klachten/wijzigingen

Heeft u ondanks het lezen van het voorgaande nog vragen over hoe eLoo omgaat met persoonsgegevens of een klacht? Stuurt u dan een e-mail aan info@eloo.nl. Wij nemen dan zo spoedig mogelijk contact met u op om uw vraag te beantwoorden dan wel u door te verwijzen naar één van de scholen die met onze software werkt. Uw e-mail wordt vertrouwelijk behandeld.

Deze Privacyverklaring kan worden gewijzigd, vanwege wijzigingen in de toepasselijke wet- en regelgeving of om andere redenen. De meest actuele versie van deze Privacyverklaring zal telkens op onze website worden gepubliceerd. Indien u op de hoogte wilt blijven van ons privacybeleid raden wij u aan om onze website van tijd tot tijd te raadplegen.


Zeist, februari 2023