Iddink Digital B.V. is zich bewust van haar verantwoordelijkheid en zorgplicht ten aanzien van haar dienstverlening met Magister. Iddink Digital B.V. heeft een actueel Informatiebeveiligings- en Privacybeleid en neemt voortdurend passende technische en organisatorische maatregelen. Deze maatregelen zijn gericht op het continu waarborgen van de Beschikbaarheid, de Integriteit en de Vertrouwelijkheid (BIV) van de verwerkte informatie binnen Magister. Hieronder lichten wij toe hoe wij hier in praktijk mee omgaan.
Iddink Digital B.V. verwerkt (persoons)gegevens uitsluitend in opdracht van onderwijsinstellingen.
In Magister worden persoonsgegevens verwerkt in opdracht van de onderwijsinstelling. De onderwijsinstelling is de verwerkingsverantwoordelijke voor de persoonsgegevens die worden verwerkt in Magister. Als u vragen heeft over of gebruik wilt maken van uw rechten onder de AVG, zoals het recht op inzage, dan kunt u contact opnemen met de Functionaris voor de gegevensbescherming (FG) van de betreffende onderwijsinstelling.
Iddink Digital B.V. is in opdracht van de onderwijsinstelling de verwerker van de (persoons)gegevens en heeft hiervoor een Verwerkersovereenkomst gesloten conform het model van het PrivacyConvenant 3.0. Iddink Digital B.V. heeft ook een Functionaris voor de gegevensbescherming aangesteld.
Onderwijsinstellingen bepalen zelf de doeleinden voor de verwerking en deze doeleinden zijn overeengekomen in het Privacy Convenant met Iddink Digital B.V.. Onderwijsinstellingen verwerken verschillende persoonsgegevens om hun wettelijke taak – het organiseren en het geven van onderwijs – uit te kunnen voeren.
De AVG kent de rol van verwerkingsverantwoordelijke (=onderwijsinstelling) en van Verwerker (Iddink Digital B.V.). Iddink Digital B.V. verwerkt (persoons)gegevens uitsluitend in opdracht van de verwerkingsverantwoordelijke. Dit is ook zo afgesproken in het Convenant Digitale Onderwijsmiddelen en Privacy zoals gepubliceerd op www.privacyconvenant.nl. Tegelijk met het Convenant is een model Verwerkersovereenkomst gepubliceerd die Iddink Digital B.V. gebruikt in de afspraken met de scholen. Iddink Digital B.V. onderschrijft het Convenant en hanteert de model Verwerkersovereenkomst.
Iddink Digital B.V. classificeert alle (persoons)gegevens van onderwijsinstellingen als geheim en treft vanuit dat standpunt maatregelen om een hoog beveiligingsniveau te borgen. Deze maatregelen hebben betrekking op de toegang tot Magister, op de verbindingen met Magister, op de organisatie binnen Iddink Digital B.V. en het beheer op de locatie waar de systemen staan.
Met behulp van een persoonlijke gebruikersnaam en wachtwoord (bij voorkeur met 2FA) krijgt iedere gebruiker toegang tot de informatie binnen Magister waartoe hij of zij is geautoriseerd. Het is belangrijk om deze informatie niet te delen met anderen of te gebruiken voor het inloggen op applicaties van derden.
Lees hier de Voorwaarden met betrekking tot gebruik van gebruikersnaam en wachtwoord van Magister.
Magister ondersteunt een sterk wachtwoordbeleid naar keuze van de onderwijsinstelling in combinatie met 2FA (hard of software token). Iddink Digital B.V. faciliteert de scholen in de te maken afspraken tussen school en gebruiker voor het borgen van vertrouwelijkheid.
Lees hier de Voorwaarden met betrekking tot gebruik van gebruikersnaam en wachtwoord van Magister.
Alle verbindingen met Magister zijn beveiligd met een SSL-certificaat. Dit kunt u zien aan het slotje in uw browser. Met een SSL-verbinding worden (persoons)gegevens beveiligd verzonden en ontvangen over internet.
Magister gebruikt Adobe Fonts voor lettertypes binnen de applicaties. Adobe slaat geen persoonsgegevens op en maakt geen gebruik van cookies. Voor het kunnen laden van de lettertypen wordt het IP-adres gebruikt, maar dit IP-adres wordt vervolgens niet opgeslagen. Meer informatie over het gebruik van Adobe Fonts is te vinden op: https://www.adobe.com/nl/privacy/policies/adobe-fonts.html
De Magistersuite is sinds 6 juli 2021 NEN-EN-ISO/IEC 27001:2017+A11:2020 gecertificeerd en is op 19 juni 2024 opnieuw NEN/EN/ISO/IEC 27001:2022 gecertificeerd. Met deze belangrijke certificering voor het gebruiken en implementeren van een Information Security Management System (ISMS) kan Iddink Digital B.V. haar klanten optimale beveiliging van haar informatie garanderen. Met dit certificaat toont Iddink Digital B.V. aan dat zij voldoet aan de normen van de internationale standaard voor Informatiebeveiliging voor de Magistersuite.
Het opnieuw verkrijgen van deze internationale certificering ( NEN/EN/ISO/IEC 27001:2022-certificaat) geeft klanten de zekerheid dat Iddink Digital B.V. de beveiliging van informatie beheerst en implementeert, en dat het beleid en de processen op dit gebied continu worden verbeterd.
De NEN/EN/ISO/IEC 27001:2022-norm is een internationale standaard die eisen specificeert voor het vaststellen, implementeren, uitvoeren, controleren, en bijhouden van een Information Security Management Systeem (ISMS).
Het Informatiebeveilings- en Privacybeleid schrijft voor hoe de processen moeten verlopen om te voldoen aan de hoogste eisen van informatiebeveiliging. Onderdeel van dit beleid is een borging door een ISAE3402 type 2 certificering. Door een ISAE3402 assurancerapportage hebben onderwijsinstellingen niet alleen inzicht in de betrouwbaarheid en de kwaliteit van onze dienstverlening, maar ook een externe bevestiging dat de interne beheersing bij Iddink Digital B.V. bestaat en effectief heeft gewerkt. De maatregelen binnen ISAE3402 hebben betrekking op medewerkers, procedures en bedrijfsmiddelen (huisvesting en datacenter).
Alle medewerkers (ook externe inhuur) van Iddink Digital B.V. ondertekenen een geheimhoudingsverklaring en hebben een Verklaring Omtrent Gedrag overlegd. Daarnaast is elke nieuwe medewerker tijdens de inwerkperiode opgeleid om te handelen naar het actuele Informatiebeveiligings- en Privacybeleid. Toegang tot de dataverwerkende systemen is gelimiteerd tot de medewerkers die uit hoofde van hun functie, toegang nodig hebben. Hierbij hanteren wij een ‘Niet, tenzij beleid’.
Alleen medewerkers van Iddink Digital B.V., hebben met biometrisch controles toegang tot de datacenters van Magister. Middelen (hardware, bekabeling en lijnverbindingen) zijn exclusief voor gebruik door Magister. Het datacenter is volledig redundant op verschillende geografische locaties uitgerust met voorzieningen als noodstroom, klimaatcontrole, camerabeveiliging en blusinstallatie.
Wij ontvangen bezoekers en leveranciers in het datacenter. De formeel geldende aanmeldprocedure bij DataCenter Friesland wordt hierbij ook gevolgd.
Iddink Digital B.V. ondersteunt onderwijsinstellingen vanuit haar Verwerkersrol bij het gebruik en de inrichting van Magister. Kennis zoals ‘Best Practices’ wordt gedeeld met onderwijsinstellingen. Ook communiceert Iddink Digital B.V. via de communicatiekanalen van Magister regelmatig over de onderwerpen Informatiebeveiliging en Privacy via mailingen en het afgeschermde klantendeel op de website.
In het responsible disclosure beleid worden gebruikers die een kwetsbaarheid ontdekken verzocht om deze op verantwoorde wijze te melden, zodat Iddink Digital B.V. er zo snel mogelijk mee aan de slag kan gaan. Op die manier wordt er een bijdrage geleverd aan de continue online veiligheid van Magister en het beheersen van de kwetsbaarheid van ICT-systemen. Iddink Digital B.V. verwerkt de gegevens uitsluitend binnen de grenzen van de Europese Economische Ruimte. Voor deze landen geldt de Europese privacy richtlijn en biedt zekerheid over een passend beschermingsniveau van uw gegevens.
Magister Web maakt gebruik van twee cookies om het gebruik van de Magisterapplicaties mogelijk te maken.
Het ‘Session ID’ cookie identificeert de actieve sessie op de server met betreffende device. Elke ‘request’ naar de server wordt op basis van dit cookie bekeken wie de gebruiker is (authenticatie) en, afhankelijk van het antwoord, wat de gebruiker mag doen (autorisatie). Een ‘session ID’ cookie is geen tracking cookie, bevat geen persoonsgegevens of leidt niet tot een uniek identificeerbare persoon.
Het ‘Device’ cookie identificeert een succesvolle login in een account per gebruiker, per apparaat en per browser. Op basis van dit cookie is het niet mogelijk om een account bewust te blokkeren vanaf een ander device (cyberpesten). Het ‘Device’ cookie bevat geen persoonsgegevens en wordt niet gebruikt voor verdere communicatie in het internetverkeer.
Elke poging (geslaagd of niet geslaagd) tot inloggen wordt gelogd. Dit logbestand wordt ten minste 6 maanden en maximaal 1 jaar bewaard voor analysedoeleinden. Dit gaat om inlogpogingen van zowel medewerkers op scholen, als om ouders en leerlingen van die scholen. Met behulp van deze gegevens kan fraude worden opgespoord en oneigenlijk gebruik worden tegengegaan.
De Magister apps voor Docenten en Leerlingen/Ouders maken gebruik van Piwik PRO om technisch inzicht te krijgen in het gebruik van de applicatie. We gebruiken deze statistieken om te begrijpen hoe bezoekers de applicaties gebruiken. Deze informatie helpt om de gebruikerservaring te verbeteren. Er worden aanvullende maatregelen genomen om de verwerkingen voor dit doel te psuedonimiseren en te minimaliseren middels onder andere door IP-maskering. Deze verwerking kent een bewaartermijn van 25 maanden.
De Magister apps voor Docenten en Leerlingen/Ouders maken gebruik van Microsoft App Center om mogelijke technische applicatiefouten te identificeren. Microsoft App Center verzamelt geen Magister-data, slechts enkel het gebruik van de app en is volledig losgekoppeld van persoon en onderwijsinstelling.
De Magister apps voor Docenten en Leerlingen/Ouders maken gebruik van Microsoft App Center om:
Microsoft App Center verzamelt geen Magister-data, slechts enkel het gebruik van de app en is volledig losgekoppeld van persoon en onderwijsinstelling.
Op grond van artikel 23b van de Wet op het voortgezet onderwijs is de school verplicht om de vorderingen van de leerlingen aan hun ouders, voogden of verzorgers te rapporteren, totdat deze leerling meerderjarig en handelingsbekwaam is. Zodra de leerling 18 jaar oud is (en hij/zij handelingsbekwaam is), vervalt deze verplichting en is het aan de leerling zelf of er door de school nog aan zijn ouders gerapporteerd dient te worden. Deze functionaliteit is beschikbaar binnen Magister.
De leeftijdsgrens van 16 jaar vinden we terug in het eerste lid van artikel 8 van de Algemene Verordening Gegevensbescherming (AVG). Deze leeftijdsgrens ziet op het verlenen van toestemming voor de verwerking van persoonsgegevens. Zolang een leerling nog geen 16 jaar oud is, dient de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt deze toestemming te verlenen.
Belangrijk hierbij is de kanttekening dat persoonsgegevens binnen Magister worden verwerkt op grond van een wettelijke taak. Voor deze verwerking is niet daarnaast ook nog toestemming nodig. Een voorbeeld van een verwerking van persoonsgegevens waarvoor toestemming van de ouder of het kind (indien 16+ jaar) vereist is, is bij het publiceren van foto’s van een excursie op de school-website.
Publicatiedatum oktober 2023