Privacy statement Leerpodium

Voor ons bedrijf, Leerpodium, is het belangrijk dat we er zeker van zijn dat we al het mogelijke eraan doen om de privacy van onze gebruikers te waarborgen. Wij willen niet dat (eventueel gevoelige) informatie van onze gebruikers op welke manier dan ook verkeerd wordt gebruikt. Verder willen wij niet dat mensen die gebruik maken van onze digitale netwerken het idee hebben dat ze niet weten wat er met hun content/informatie gebeurt. Mocht je enige twijfel hebben, of reserve, dan vragen we je dit te melden via ons support systeem en direct bij de betrokken onderwijsorganisatie, zodat we terstond passende maatregelen kunnen treffen.

Welke persoonlijke gegevens worden bewaard en waarvoor worden persoonlijke gegevens bewaard?
Leerpodium werkt in opdracht van onderwijsinstellingen. Om een koppeling te maken tussen de leeromgeving van Leerpodium en de onderwijsinstelling worden die gegevens verwerkt die hiervoor technisch noodzakelijk zijn: Dit kan zijn een naam, een leerlingnummer en een klas/cohort. Deze informatie gebruiken wij alleen om ervoor te zorgen dat studenten, aan de onderwijsinstelling aangesloten (en daartoe bevoegd) personeel en derden die hiertoe zijn gemachtigd door de onderwijsinstelling op onze Leerpodium omgevingen kunnen inloggen. Deze gegevens worden met geen enkele andere partij gedeeld. Het doel van de koppeling is dat studenten een online plek hebben om hun studievorderingen inzichtelijk te maken en te bewaren. Docenten en assessoren kunnen hier ook hun feedback geven op het ingeleverd werk.

Ten behoeve van de beveiliging worden IP-adressen gecontroleerd op land van herkomst. IP-adressen die niet tot de door de onderwijsinstelling toegestane landen behoren krijgen geen toegang tot onze sites (geo block). Alleen IP gegevens van mislukte inlogpogingen / pogingen tot ongeautoriseerde toegang worden opgeslagen t.b.v. blokkeren van deze IP adressen (brute force protection, hack pogingen).

Van wie zijn de persoonlijke gegevens?
Alles gegevens zijn en blijven eigendom van onderwijsorganisatie en van de betrokken eindgebruiker (student/docent/medewerker). Deze gegevens kunnen altijd worden opgevraagd door de eigenaar.

Hoe beschermen wij deze gegevens?
Leerpodium doet alles wat mogelijk en nodig is om misbruik van persoonsgegevens tegen te gaan. Wel wordt dit afgezet tegen het risico, het doel en de omvang van de opgeslagen persoonsgegevens. Daarbij speelt de stand van de techniek ook een rol, alsmede het doel en de context van de opgeslagen persoonsgegevens.

Koppelingen met onderwijsinstanties gebeurt dmv bemiddeling met Kennisnet (PO/VO) en Surfconext (HO):

Technische beveiliging:.

    • Onze netwerken staan op virtual private servers van van CloudVPS in datacenters in Amsterdam. Deze subbewerker heeft de hoogst mogelijke beveiligingscertificaten.
    • WordPress is een van de meest gebruikte ‘Content Management Systems’ ter wereld. Het aantal gebruikers en ontwikkelaars staat voor een solide techniek en beveiliging waarbij snel op actuele bedreigingen wordt ingesprongen.
    • WordPress heeft een update gemaakt die voldoet aan de AVG standaard die op al onze netwerken is geïnstalleerd.
    • WordPress plugins waar wij gebruik van maken zijn ook conform AVG standaarden geüpdatet.

Verdere maatregelen:

    • Logische toegangscontrole, gebruik makend van versleutelde wachtwoorden en aanvullende twee-staps-verificatie voor beheerders;
    • Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;
    • Periodiek onderhoud en updates van codes, plugins, servers en OS;
    • Geo-blocking van buitenlandse ip-adressen (in overleg met klant);
    • Blokkering van zoekmachine-robots (indexering);
    • Periodiek onderhouden van locaties waar gegevens worden verwerkt;
    • Live monitoring van inlogpogingen en blokkeren van ip-adressen met ongewenste of verdachte verzoeken
    • Volledige backups van alle opgeslagen code, informatie en bestanden tot 2 maanden terug.
    • Periodieke scans van alle code en plugins op aanpassingen;
    • Periodieke analyses van verdachte login-pogingen en server-requests;
    • Implementatie van een systeem voor informatiebeveiliging (ISMS) op basis van de ISO/IEC 27001 norm

Waar staan de persoonsgegevens opgeslagen?
Alle gegevens die worden verwerkt staan op de servers van VPS Cloudhosting services te Amsterdam. Cloud VPS heeft ISO 27001 en NEN 7510 certificaten, op dit moment het meest actuele als het gaat om security, dus bescherming persoonsgegevens. Administratieve gegevens (importbestanden voor accounts) wordt bewaard in ons intranet op servers van Google in de EU. Toegang tot deze informatie gebeurt via versleutelde wachtwoorden en 2 factor autorisatie. Leerpodium heeft een betaalde GSuite licentie bij Google met bijbehorende verwerkersovereenkomst. Derhalve wordt geen data gebruikt voor analyses en worden alle accounts gevrijwaard van reclames. Lees hier meer. Of hier. Incidenteel worden gegevens lokaal bewaard op PCs van medewerkers ten behoeve van verwerking.

Wie heeft toegang tot de persoonsgegevens?
De onderwijsinstelling maakt de afweging of het materiaal dat door studenten wordt geplaatst voor iedereen binnen de onderwijsinstelling toegankelijk is, of dat het voor beperkte groepen binnen de instelling zichtbaar is. De gebruiker kan er altijd voor kiezen om zijn publicaties privé te houden. Verder hebben de medewerkers van Leerpodium toegang tot de gegevens, voor technisch onderhoud of verlenen van support.

Hoe lang worden de persoonsgegevens bewaard?
De benodigde persoonsgegevens worden bewaard zo lang een student lerende is bij een aangesloten instelling en daarna voor zolang de onderwijsinspectie dat wettelijk heeft bepaald in verband met eventuele controle. Dit is in het VO voor examenwerk een half jaar en in het hoger onderwijs kan de bewaartermijn langer zijn (5 jaar). Dit leggen wij per klant vast in de bijlage van de verwerkersovereenkomst.

Wat doen we in geval van een datalek?
Mocht uit onze administratie, die van een van onze aangesloten onderwijsorganisaties, of vanuit een andere bron blijken dat er sprake is van een zogenaamde datalek, waarbij gegevens van onze eindgebruikers mogelijk in verkeerde handen zijn gevallen, zullen wij terstond hiervan melding doen bij de Autoriteit Persoonsgegevens.

Bezwaar maken?
Als betrokkene kun je opvragen over welke gegevens van jou Leerpodium beschikt via info@leerpodium.nl. Hier kun je ook terecht als je je persoonsgegevens wilt laten verwijderen of veranderen. Let wel; voor het veranderen of verwijderen van de administratieve gegevens moet je bij de aangesloten onderwijsinstelling zijn. Bij eventueel (vermoeden van) misbruik van uw gegevens kunt u een klacht indienen bij de Privacycommissie.

Wil jij de gegevens die we van jou bewaren zelf hebben?
De gegevens die wij van je hebben staan op jouw persoonlijke site. Je kunt deze gegevens altijd inzien, want je bent administrator van je eigen site. Je kunt jouw eigen site makkelijk downloaden via een export knop. Heb je assistentie nodig? Neem dan contact met ons op.