Privacy beleid van Plantyn nv

Plantyn nv verwerkt persoonsgegevens vertrouwelijk en met grote zorgvuldigheid. Dagelijks werken en leren veel gebruikers met de leermiddelen, schooladministratiesystemen, technologie en diensten van Plantyn nv. Met name binnen de digitale versies van onze leermiddelen en schooladministratiesystemen worden daarbij persoonsgegevens verwerkt. Door persoonsgegevens te verwerken kan lesmateriaal persoonlijker en beter worden afgestemd op de behoeften van gebruikers. Het verwerken van persoonsgegevens brengt de verantwoordelijkheid met zich mee om dat zorgvuldig en veilig te doen. Het recht op privacy is immers een grondrecht. Daarom doen wij er alles aan om persoonsgegevens vertrouwelijk en met zorg te verwerken.

Plantyn nv volgt de brancheafspraken van Onderwijsverstrekkers, VCLB, VVSG, GEWU en Softwareontwikkelaars. Hierin is vastgelegd dat Plantyn nv een ‘verwerker’ is, die uitvoering geeft aan de opdracht van een onderwijsinstelling. Daardoor hebben en houden onderwijsinstellingen als verwerkingsverantwoordelijke zeggenschap over de gegevens die binnen onze leeroplossingen / schooladministratiesystemen worden verwerkt. Leerresultaten worden hierdoor uitsluitend voor onderwijsdoeleinden verwerkt.

Plantyn nv neemt privacy zeer serieus en bewaakt voortdurend de door haar getroffen technische en organisatorische beveiligingsmaatregelen. Zo verzekeren wij dat onbevoegden geen toegang tot persoonsgegevens verkrijgen.

Informatie op deze website

Onder ‘Plantyn nv als verwerker’, tref je informatie over persoonsgegevens die wij in opdracht van een verwerkingsverantwoordelijke verwerken, zoals leerresultaten. Onder ‘Plantyn nv als verantwoordelijke’ tref je informatie over persoonsgegevens waarvoor Plantyn nv zelf verwerkingsverantwoordelijke is, zoals wanneer je als particulier rechtstreeks een bestelling plaatst in onze webshop. Onder het tabblad ‘Beveiliging’ wordt een omschrijving gegeven welke technische en organisatorische beveiligingsmaatregelen Plantyn nv treft om persoonsgegevens te beveiligen.

De informatie over privacy op deze website wordt regelmatig bijgewerkt. Wanneer inhoudelijke wijzigingen plaatsvinden, informeren wij onze gebruikers via deze website en waar noodzakelijk via nieuwsbrieven en andere kanalen.

Op deze pagina’s tref je altijd de actuele informatie.

Data Protection Officer

Plantyn nv is een volledige dochteronderneming van Infinitas Learning. Infinitas Learning heeft een Code of Conduct, waarin het belang van privacy nadrukkelijk wordt onderschreven. Op het niveau van Infinitas Learning heeft Plantyn nv een Data Protection Officer aangesteld. Voor alle correspondentie betreffende privacy gerelateerde aangelegenheden kun je met hem contact opnemen via privacy@infinitaslearning.com.

Per post:

Infinitas Learning Holding B.V.
t.a.v. de Data Protection Officer
Papendorpseweg 97 – Secoya Building B
3528 BJ Utrecht
Nederland

Deze privacyverklaring is bijgewerkt op 1 april 2018.

Bij het gebruik van digitale leermiddelen en schooladministratiesystemen worden over het algemeen persoonsgegevens verwerkt. Daardoor kan bijvoorbeeld een leraar de leerresultaten van zijn klas zien. Het verwerken van persoonsgegevens brengt de verantwoordelijkheid met zich mee om dat zorgvuldig en veilig te doen. Plantyn nv respecteert nadrukkelijk de persoonlijke levenssfeer van de gebruikers van haar producten.

Plantyn nv volgt de brancheafspraken van Onderwijsverstrekkers, VCLB, VVSG, GEWU en Softwareontwikkelaars. Uit deze afspraken volgt dat een onderwijsinstelling in juridische zin de ‘verwerkingsverantwoordelijke’ is voor de verwerking van persoonsgegevens binnen leermiddelen, schooladministratiesystemen en toetsen. Plantyn nv is een ‘verwerker’, die uitvoering geeft aan de opdracht van deze verwerkingsverantwoordelijken.

In de verwerkersovereenkomsten van Plantyn nv is vastgelegd welke opdracht de verwerkingsverantwoordelijke aan Plantyn nv geeft tot het verwerken van persoonsgegevens.

  1. De Verwerkersovereenkomst is van toepassing op de relatie tussen Plantyn nv. Hierin geeft een onderwijsinstelling de opdracht aan Plantyn nv om gegevens te verwerken. In deze Verwerkersovereenkomsten wordt een beschrijving gegeven van onze dienstverlening, producteigenschappen, welke categorieën persoonsgegevens worden verwerkt en onder welke doeleinden deze verwerkingen vallen. U kunt hier onze invulbare versie van de Verwerkersovereenkomst downloaden, de ontbrekende gegevens in de betreffende velden invullen en de overeenkomst ondertekenen. U beschikt daarmee over een door beide partijen ondertekende Verwerkersovereenkomst. Plantyn ontvangt de door u ondertekende overeenkomst graag digitaal via het mailadres privacy@infinitaslearning.com.
     
  2. In onze product-specifieke Privacy Bijsluiters wordt een beschrijving gegeven van onze dienstverlening, producteigenschappen, welke categorieën persoonsgegevens worden verwerkt en onder welke doeleinden deze verwerkingen vallen.
  3. In onze product-specifieke Privacy Bijsluiters wordt een beschrijving gegeven van onze dienstverlening, producteigenschappen, welke categorieën persoonsgegevens worden verwerkt en onder welke doeleinden deze verwerkingen vallen.  U kunt deze ook hier downloaden.

De licentievoorwaarden die op het gebruik van onze producten en diensten van toepassing zijn, zijn te vinden op de pagina ‘Voorwaarden’.

Binnen onze digitale leermiddelen/ schooladministratiesystemen worden geen persoonsgegevens verwerkt voor reclamedoeleinden of het doen van ongevraagde aanbiedingen. We plaatsen binnen onze digitale leermiddelen / schooladministratiesystemen uitsluitend functionele of (privacyvriendelijk ingestelde) analytische cookies.

Voor de verwerking van persoonsgegevens binnen leermiddelen, schooladministratiesystemen en toetsen treedt Plantyn nv doorgaans op als ‘verwerker’, die uitvoering geeft aan de opdracht van deze verwerkingsverantwoordelijken. Voor andere specifieke verwerkingen bepaalt Plantyn nv het doel van en de middelen voor de verwerking van persoonsgegevens. Dit geldt bijvoorbeeld wanneer je een presentexemplaar of andere publicatie bestelt via onze webshop, of wanneer je als particulier rechtstreeks gebruikmaakt (zonder tussenkomst van een onderwijsinstelling of zorgorganisatie) van onze (online) diensten. Op dergelijke verwerkingen is onderstaande privacyverklaring van toepassing.

Deze verklaring geldt nadrukkelijk niet voor de verwerking van persoonsgegevens binnen leermiddelen, schooladministratiesystemen en toetsen in opdracht van onderwijsinstellingen en zorgorganisaties.

Onze identiteit en contactgegevens

Plantyn nv
0887 899 693
Posthofbrug 6-8, bus 3
2600 Antwerpen (Berchem)
0800/99084

Je kunt ook schriftelijk contact met ons opnemen via helpdesk@plantyn.com.

Contactgegevens van de functionaris voor gegevensbescherming

Op het niveau van de moederonderneming van Plantyn nv (Infinitas Learning) heeft Plantyn nv een Data Protection Officer aangesteld. Voor alle correspondentie betreffende privacy gerelateerde aangelegenheden kun je met hem contact opnemen via privacy@infinitaslearning.com.

De verwerkingsdoeleinden en rechtsgrond van verwerkingen

Wanneer Plantyn nv jouw persoonsgegevens verwerkt, komt dit doordat je deze aan ons verstrekt in bijvoorbeeld registratieformulieren (bijvoorbeeld bij het registreren als docent), wanneer je meedoet aan acties, wanneer je contact opneemt met onze helpdesk of wanneer je als eindgebruiker producten of diensten van Plantyn nv bestelt. In deze gevallen worden je persoonsgegevens verwerkt voor de volgende doeleinden. In onze processen wordt door ons aangegeven welke gegevens een noodzakelijke voorwaarde zijn om een overeenkomst te sluiten.

Persoonsgegevens worden voor de volgende doeleinden verwerkt:

  1. het bieden van toegang tot, het leveren van en in gebruik kunnen nemen van onze producten en diensten (verwerking noodzakelijk voor de uitvoering van een overeenkomst);
  2. extra uitleg voor het werken met onze producten en diensten (verwerking noodzakelijk voor de uitvoering van een overeenkomst)
  3. de opslag en de beoordeling van gegevens om diensten aan te kunnen bieden die zijn afgestemd op je voorkeuren (verwerking noodzakelijk voor de uitvoering van een overeenkomst);
  4. het kunnen voeren van onze financiële administratie (verwerking noodzakelijk voor de uitvoering van een overeenkomst);
  5. de beveiliging, controle en preventie van misbruik en het voorkomen van inconsistentie en onbetrouwbaarheid van data, zoals bij de uitvoering van accountantscontroles (noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke);
  6. de continuïteit en goede werking van producten en diensten, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning (verwerking noodzakelijk voor de uitvoering van een overeenkomst);
  7. het verbeteren van onze dienstverlening (noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, waarbij gegevens worden geaggregeerd en nooit tot op persoonsniveau te herleiden zijn);
  8. het kunnen informeren over relevante producten en diensten van Plantyn nv (hiervoor geldt dat wij toestemming aan je vragen en je te allen tijde je toestemming kunt intrekken);
  9. om te voldoen aan wettelijke verplichtingen die voor Plantyn nv gelden. 

 

Het bestaan van geautomatiseerde besluitvorming, cookies en doorgifte van persoonsgegevens

Binnen onze digitale leermiddelen en schooladministratiesystemen vindt nooit een verwerking van persoonsgegevens plaats voor reclamedoeleinden of het doen van ongevraagde aanbiedingen.

Op de bedrijfswebsite en webshop van Plantyn nv kunnen technieken gebruikt worden voor retargeting, met als doel om bezoekers, die al geïnteresseerd waren in de producten en/of diensten, Plantyn nv-advertenties op partnerwebsites te tonen. Voor zover (re)targeting plaatsvindt, gebeurt dit op basis van je uitdrukkelijke toestemming in een cookie-bar voor het plaatsen van niet-functionele cookies. Dergelijke cookies worden via de website van Plantyn nv geplaatst door derden. Deze partners verzamelen persoonsgegevens over je bezoeken aan onze bedrijfswebsite en nieuwsbrieven en je interactie in verband met bijvoorbeeld advertenties. In onze cookie-balk tref je meer informatie over welke informatie op welke website wordt geplaatst. Binnen onze digitale leermiddelen en schooladministratiesystemen plaatsen wij uitsluitend functionele of (privacyvriendelijk ingestelde) analytische cookies.

Bewaartermijn

Wanneer verwerking noodzakelijk is voor de uitvoering van een overeenkomst, worden je persoonsgegevens gedurende een periode tot maximaal twee jaar na beëindiging van de overeenkomst door ons verwerkt. Wanneer sprake is van wettelijke bewaartermijnen, bijvoorbeeld in het kader van de administratieve bewaarplicht voor ondernemingen, kunnen langere termijnen van toepassing zijn.

Inzage

Als betrokkene heb je het recht om ons te verzoeken om inzage, rectificatie of het wissen van je persoonsgegevens, een beperking van de verwerking , heb je het recht om tegen een verwerking bezwaar te maken en heb je het recht op gegevensoverdraagbaarheid binnen de kaders van de van toepassing zijnde wet- en regelgeving. Neem voor de uitoefening van deze rechten contact op met de functionaris voor gegevensbescherming.

Klachten

Plantyn nv wil je graag helpen om een geschikte oplossing te vinden voor klachten of zorgen over je privacy. Je hebt echter altijd het recht om bij de Privacycommissie een klacht in te dienen.

Beveiliging van persoonsgegevens

Plantyn nv treft zowel als ‘verwerkingsverantwoordelijke’ als ‘verwerker’ passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Hieronder lees je welke beveiligingsmaatregelen door Plantyn nv zijn genomen.

Maatregelen die waarborgen dat enkel bevoegd personeel toegang heeft tot persoonsgegevens

Plantyn nv hanteert een autorisatiebeleid om te bepalen wie toegang moet hebben tot welke gegevens. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.

Toegang Handelingen
Medewerkers van de klantenservice en consultants verkrijgen op verzoek van een school toegang tot licentie informatie. Zij kunnen onder meer zien voor welke leerlingen een digitaal leermiddel is geactiveerd. De klantenservice zal enkel op vraag van én met uitdrukkelijke toestemming van de leerkracht zicht hebben in de gegevens van de school/ leerkracht/ leerling, dit enkel ter ondersteuning van de eindgebruiker.

Administratieve handelingen in het kader van de werking van leermiddelen, schooladminstratiesystemen, bestellingen en licenties.

Ondersteuning van de eindgebruiker.

Analisten / deskundigen op het gebied van ontwikkeling van lesmateriaal hebben toegang tot geanonimiseerde sets van resultaten van gebruik van leermiddelen/ schooladministratiesystemen. Analyse van het lesmateriaal, gericht op verbetering van het materiaal, ontwikkeling en optimalisatie van adaptief lesmateriaal, opsporing en verbetering van de kwaliteit van het materiaal.
IT-databasebeheerders hebben toegang tot de databases. De handelingen van IT-databasebeheerders zijn gericht op continuïteit en beheer van ICT- systemen.

 

Maatregelen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking

Organisatie van informatiebeveiliging en communicatieprocessen

  • Plantyn nv heeft een privacy- en beveiligingsbeleid vastgesteld waarin de verschillende rollen worden omschreven. Belangrijk zijn onderstaande rollen.
  • Plantyn nv heeft een functionaris voor de gegevensbescherming, die hoofdzakelijk verantwoordelijk is voor het informeren en adviseren van Plantyn nv over haar verplichtingen uit hoofde van de AVG en houdt toezicht op naleving. De verantwoordelijkheden van deze functionaris (DPO) staan beschreven in het hiervoor bestemde beleid van Infinitas.
  • De Corporate Security Officer (CSO) is verantwoordelijk voor het beveiligingsbeleid van Infinitas.
  • Infinitas heeft per dochteronderneming en per rechtsgebied een lokale privacycontactpersoon ("Privacy Contact") benoemd, die de taak heeft van directies van dochterondernemingen in samenwerking met de DPO het privacybeleid en de procedures van de entiteit uit te voeren en te ontwikkelen.
  • Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
  • Plantyn nv heeft een proces ingericht voor omgang met (en communicatie over) informatiebeveiligingsincidenten (datalek procedure).

Medewerkers

  • Met alle medewerkers zijn in hun arbeidsvoorwaarden geheimhoudingsverklaringen overeengekomen.
  • Plantyn nv stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.
  • Medewerkers hebben op grond van een autorisatiesystematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.

Fysieke beveiliging en continuïteit van de middelen

  • Persoonsgegevens worden uitsluitend verwerkt in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf. Er is een toegangsprotocol opgesteld. Toegang wordt bovendien geregistreerd.
  • Persoonsgegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren.
  • Er worden periodiek back-ups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze back-ups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving.
  • De locaties waar gegevens worden verwerkt zijn beveiligd door middel van sloten, alarmsystemen en worden periodiek getest, onderhouden en periodiek beoordeeld op veiligheidsrisico’s. Plantyn nv beschikt over bedrijfscontinuïteitsplannen waarin uitwijklocaties zijn opgenomen.

Netwerk-, server- en applicatiebeveiliging en onderhoud

  • De netwerkomgeving waarbinnen gegevens worden verwerkt is strikt beveiligd. Daarbij worden verkeersstromen gescheiden en zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
  • De omgeving waarbinnen persoonsgegevens worden verwerkt wordt gemonitord.
  • De digitale leermiddelen/ schooladministratiesystemen waarbinnen persoonsgegevens worden verwerkt komen tot stand op basis van systeemplanning, beveiligingscontrole en acceptatie (DTAP). Wijzigingen in applicaties worden getest op kwetsbaarheden voordat deze in productie worden genomen.
  • Op systemen worden periodiek de laatste (beveiligings)patches geïnstalleerd op basis van patchmanagement.
  • Gegevens die binnen applicaties worden verwerkt zijn geclassificeerd op risico’s.
  • Penetratietests en vulnerability assessments worden periodiek uitgevoerd. • Niet (meer) gebruikte informatie wordt verwijderd.
  • Op wachtwoorden zijn cryptografische maatregelen toegepast om deze gegevens veilig op te slaan.
  • Er wordt voor inlogprocessen gebruikgemaakt van versleutelde verbindingen.
  • De uitwisseling van persoonsgegevens aan derden in opdracht van de onderwijsinstelling vindt versleuteld plaats.

 

Omschrijving van de maatregelen om zwakke plekken te identificeren

De systemen van Plantyn nv worden periodiek gecontroleerd op veiligheid. Daarnaast voorziet het beveiligingsbeleid van Plantyn nv in interne processen om kwetsbaarheden te identificeren, waaronder een responsible disclosure-beleid (zie hieronder).

Melding van een inbreuk in verband met persoonsgegevens

Plantyn nv monitort 24/7 haar dienstverlening en heeft maatregelen getroffen om ongeoorloofde of onrechtmatige toegang tot gegevens te voorkomen en te identificeren. Signalen die duiden op een inbreuk in verband met persoonsgegevens worden beoordeeld door de Corporate Security Officer en functionaris voor gegevensbescherming van Plantyn nv, die analyseert of sprake kan zijn van een inbreuk in verband met persoonsgegevens, het type inbreuk en of dit een inbreuk betreft die valt onder haar rol als verwerker of haar rol als verwerkingsverantwoordelijke.

Wanneer zich een inbreuk in verband met persoonsgegevens voordoet ten aanzien van persoonsgegevens die Plantyn nv verwerkt als verwerker, wordt de verwerkingsverantwoordelijke door of namens Plantyn nv binnen 24 uur na vaststelling dat sprake is van een inbreuk per e-mail geïnformeerd. Afhankelijk van de situatie, kan ook informatie worden gedeeld via onze website en officiële sociale media kanalen en/of officiële distributeurs en/of handelsagenten.

Plantyn nv deelt de volgende informatie aan verwerkingsverantwoordelijken wanneer zich een inbreuk in verband met persoonsgegevens voordoet:

  • De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens).
  • De oorzaak van het beveiligingsincident.
  • De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen.
  • Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin zij gevolgen kunnen ondervinden.
  • De omvang van de groep betrokkenen.
  • De aard van de persoonsgegevens die door het incident worden getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).

Indien een concrete situatie zich daartoe leent, dan kan Plantyn nv een (eerste) melding van een inbreuk in verband met persoonsgegevens doen bij de autoriteit. De verwerkingsverantwoordelijke wordt hierover geïnformeerd en blijft ook in dit geval eindverantwoordelijk voor de melding.

Wanneer zich een inbreuk in verband met persoonsgegevens voordoet ten aanzien van persoonsgegevens die Plantyn nv verwerkt als verwerkingsverantwoordelijke:

Wanneer een inbreuk in verband met persoonsgegevens die Plantyn nv verwerkt als verwerkingsverantwoordelijke heeft plaatsgevonden, meldt Plantyn nv deze uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt Plantyn nv de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.

Responsible disclosure

Een zwakke plek in onze systemen kun je melden via securityofficer@infinitaslearning.com. Meld de kwetsbaarheid voordat je dit aan de buitenwereld kenbaar maakt. Zo kunnen wij eerst maatregelen treffen. Dit heet responsible disclosure.

Als je een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kunnen wij het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende.
  • Laat je contactgegevens (e-mailadres of telefoonnummer) achter zodat wij contact met je kunnen opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.
  • Als je een kwetsbaarheid ontdekt, maak hier dan geen misbruik van door bijvoorbeeld malware te plaatsen, gegevens in een systeem te kopiëren, wijzigen of verwijderen, veranderingen aan te brengen in het systeem, herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen, gebruik te maken van ‘bruteforcing’, denial-of-service of social engineering.

Voldoet je melding aan deze voorwaarden? Dan verbinden wij geen juridische consequenties aan je melding.

Wat doen wij met jouw responsible disclosure melding?

Heb je een melding gedaan van een zwakke plek in een ICT-systeem? Dan reageren we binnen 3 werkdagen op je melding. We houden je als melder op de hoogte van de voortgang van het oplossen van het probleem en lossen het beveiligingsprobleem zo snel mogelijk op. We zullen samen met jou bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost. We bieden je verder een beloning als dank voor de hulp en behandelen je melding vertrouwelijk. We delen je gegevens niet zonder jouw toestemming behalve als dit wettelijk verplicht is. Als je dat wilt, kunnen we je naam vermelden als de ontdekker van de gemelde kwetsbaarheid.