Overslaan naar inhoud

We voldoen aan GDPR

We voldoen volledig aan de vereisten voor al onze diensten.
Systemen en beleid
Deze Beleid beschrijft waarom we persoonlijke gegevens verwerken en hoe we deze beschermen.
Subverwerkers
itslearning maakt gebruik van externe leveranciers om te helpen bij het leveren van diensten.
Veiligheidsmaatregelen
We hebben zowel organisatorische als technische beveiligingsmaatregelen geïmplementeerd.
Gegevensaanvraag
We voldoen aan de internationale regelgeving met betrekking tot de rechten van personen op privacy.

Informatie aan onze klanten over GDPR

De EU General Data Protection Regulation (GDPR), in 2016 goedgekeurd door het Europees Parlement, is de belangrijkste verandering binnen de regelgeving voor gegevensbescherming in 20 jaar. Het vervangt de Richtlijn Gegevensbescherming 95/46/EG en lokale wet- en regelgeving in de EU/EER. De nieuwe verordening is bedoeld om de rechten van het individu op privacy te versterken en de wetten voor gegevensbescherming privacy in heel Europa te harmoniseren.

itslearning zet zich al sinds de oprichting in 1999 in voor gegevens privacy en verwelkomt de nieuwe verordening. We zullen ons steentje blijven bijdragen om ervoor te zorgen dat al onze klanten GDPR-compliant zijn. Er is een groot, onaangeboord potentieel in het gebruik van technologie en clouddiensten om onderwijspraktijken en leerresultaten te verbeteren. Een van de sleutels tot het ontsluiten van dit potentieel is het vertrouwen winnen van leerkrachten, leerlingen en ouders. In die zin is de toegenomen aandacht voor gegevensbescherming en privacy als gevolg van GDPR gunstig voor alle partijen.

 

itslearning GDPR-verplichting

We voldoen volledig aan de vereisten voor al onze diensten, waaronder itslearning, Fronter en SkoleIntra om GDPR-klaar te zijn. We zijn al lange tijd bezig met GDPR om de nieuwe regelgeving te analyseren en de nodige veranderingen aan te brengen in onze diensten, procedures en organisatie. In de afgelopen maanden hebben we alle documentatie, contractaanvullingen en procedures beschikbaar gesteld die nodig zijn om aan te tonen dat je voldoet aan de GDPR-regelgeving.

Het is belangrijk om te zeggen dat voor de clouddiensten die we aan onze klanten en hun eindgebruikers leveren, itslearning is wat zowel de bestaande als de nieuwe EU-verordening definieert als een verwerker. Als verwerker beslissen we niet over het doel of de rechtmatigheid van de verwerking, we verwerken alleen gegevens namens onze klanten. De GDPR-regelgeving stelt strengere eisen aan alle verwerkers van gegevens.

Onze toewijding aan GDPR vereist dat we werken aan:

  • Zorg voor organisatorische en technische beveiliging voor alle diensten.
  • Helpen je met de documentatie die nodig is om compliance aan te tonen en je gebruikers te informeren.
  • U voorzien van nieuwe contractaanvullingen die voldoen aan de GDPR-vereisten voor gegevensverwerkingsovereenkomsten (DPA)
  • u de nodige ondersteuning bieden wanneer uw gebruikers hun rechten als betrokkene uitvoeren. U kunt meer informatie vinden op de GDPR Data Request pagina op onze Support site.

itslearning heeft een functionaris voor gegevensbescherming (Data Protection Officer, DPO) zoals gedefinieerd onder GDPR. Naast het toezicht op onze eigen naleving en het geven van advies en training aan onze eigen Medewerker, is onze DPO beschikbaar voor onze klanten en hun DPO's om problemen met gegevens privacy te bespreken.

Contactgegevens voor onze DPO:
Riikka Turunen
Sanoma Media Finland Oy
+35 89 122 4791
privacy @itslearning.com

 

GDPR-klantvereisten

In het algemeen vereist GDPR dat je:

  • Documenteer en beoordeel alle verwerkingen van persoonsgegevens en de gebruikte systemen. Het doel en de rechtmatigheid van de verwerking moeten worden gedefinieerd en je moet ervoor zorgen dat je geen persoonsgegevens verwerkt die niet nodig zijn voor het gedefinieerde doel.
  • De organisatorische en technische beveiliging van de verwerking garanderen en kunnen aantonen. Evalueer je interne processen voor het bewaren en beveiligen van gegevens en documenteer deze. Ervoor zorgen dat je eigen technologie voldoende technische beveiliging kan bieden en dit documenteren.
  • Als je services van derden, zoals de onze, gebruikt om persoonlijke gegevens te verwerken, moet je ervoor zorgen dat de vereisten voor gegevensverwerking voldoen aan de GDPR.
  • Wanneer je nieuwe technologie aanschaft die waarschijnlijk een hoog risico inhoudt voor persoonlijke gegevens, moet je een risicoanalyse uitvoeren - een Data Protection Impact Beoordeling (DPIA). Als bestaande klant zijn onze diensten geen nieuwe technologie voor je. Toch kan het uitvoeren van een DPIA een goed idee zijn en u helpen bij het documenteren van naleving.
  • Gebruikers (betrokkenen) hebben sterkere rechten onder GDPR. Onze klanten moeten een proces hebben voor het in behandeling nemen van verzoeken van betrokkenen en voor het beoordelen van de geldigheid van de verzoeken.
  • Een bijzonder belangrijk recht van betrokkenen is transparantie en informatie. Zorg ervoor dat de informatie voor je gebruikers over alles wat vereist is onder GDPR gemakkelijk toegankelijk is, inclusief hoe ze hun rechten kunnen uitoefenen. Als je gebruikers jong zijn, moet je ervoor zorgen dat deze informatie ook beschikbaar is voor ouders.
  • Bekijk de itslearning Gegevensverwerkersovereenkomst, die tot doel heeft de rechten en plichten te regelen op grond van de Europese wetgeving inzake gegevensbescherming, met inbegrip van de GDPR-voorschriften, die van toepassing zijn op de Gegevensverwerker in verband met de Standaard Service Abonnementsovereenkomst.

Download de itslearning Gegevensverwerkersovereenkomst.

Voor algemene vragen over itslearning producten en diensten kun je zoals altijd terecht bij onze supportorganisatie. Voor contractuele of commerciële vragen kunt u contact opnemen met uw accountmanager.

Voor specifieke GDPR-gerelateerde vragen van onze klanten kunt u contact opnemen met onze Data Protection Officer via e-mail privacy @itslearning.com of bel +35 89 122 4791. Alle communicatie met onze DPO moet in het Engels zijn.

Moeten we voor GDPR toestemming vragen aan al onze gebruikers (of hun ouders)?

Voor de meeste van onze klanten niet. Onder GDPR is toestemming slechts één van de zes wettelijke redenen om gegevens te verwerken. Onze klanten moeten de rechtsgrond kiezen die het meest overeenkomt met de werkelijke aard van de relatie tussen u en uw gebruikers. Voor de meeste van onze klanten is toestemming niet de meest geschikte rechtsgrond voor de verwerking. Voor veel van onze klanten zou de rechtsgrondslag voor de verwerking verband houden met Taken , uitgevoerd in het algemeen belang of in verband met uw wettelijke verplichtingen.

Mag itslearning persoonlijke gegevens voor eigen doeleinden gebruiken?

Nee. Zowel op dit moment als onder de nieuwe GDPR-regelgeving kunnen we alleen gegevens verwerken in opdracht van onze klanten. De gegevens zijn van jou en alleen een handvol itslearning Medewerker heeft toegang tot persoonlijke gegevens onder strikte vertrouwelijkheid en beveiliging. We kunnen persoonlijke gegevens alleen zelfstandig verwerken als dit van vitaal belang is voor de integriteit of veiligheid van de service, of om de kwaliteit van de geleverde service te analyseren of Beoordelen .

Welke informatie moeten we gebruikers geven over de verwerking van persoonlijke gegevens?

Het recht op transparantie en informatie voor de gebruikers (of hun ouders) is sterk onder GDPR. Informatie die je gemakkelijk beschikbaar moet maken, kunnen zijn:

  • Identiteit en contactgegevens van de voor de verwerking verantwoordelijke / vertegenwoordiger van de voor de verwerking verantwoordelijke
  • De contactgegevens van de functionaris voor gegevensbescherming
  • Het doel van de verwerking en de rechtsgrondslag voor de verwerking van de gegevens
  • Elk voornemen om persoonlijke gegevens door te geven aan een derde land (buiten de EU/EER) en welke waarborgen er zijn getroffen, en de manier waarop een kopie hiervan kan worden verkregen.
  • De periode gedurende welke de persoonsgegevens worden opgeslagen, of criteria die de periode bepalen.
  • Rechten van de betrokkene (toegang, rectificatie, wissing, enz.)
  • Het recht om een klacht in te dienen bij de toezichthoudende autoriteit
  • Waar de gegevens vandaan komen
  • Elk gebruik van automatische besluitvorming/profilering.
Kunnen onze gebruikers ons nu vragen om hun gegevens te Verwijderen ("AKA recht om vergeten te worden")?

Waarschijnlijk niet. Een Gebruiker kan alleen eisen dat zijn gegevens worden verwijderd als de rechtsgrond voor de verwerking Toestemming is (zie hierboven) of als het oorspronkelijke doel of de oorspronkelijke rechtsgrond niet langer geldig is. Onze klanten moeten over processen beschikken om de verzoeken van betrokkenen om hun gegevens te verwijderen zorgvuldig te verwerken Beoordelen . U kunt contact opnemen met onze functionaris voor gegevensbescherming voor advies in moeilijke gevallen. Als een betrokkene het recht krijgt om te worden verwijderd, is itslearning via onze software of onze ondersteuningsdiensten beschikbaar om te helpen bij de uitvoering van de rechten van de betrokkene.

Kunnen onze gebruikers nu van ons eisen dat we hen een kopie geven van al hun persoonlijke gegevens?

Tot op zekere hoogte, ja. Al uw gebruikers hebben nu sterke rechten op transparantie, informatie en toegang tot gegevens. Elke betrokkene kan zijn rechten uitoefenen door een kopie van al zijn persoonlijke gegevens op te vragen, zolang dit geen nadelige gevolgen heeft voor anderen of als deze gegevens nog niet voor hem/haar beschikbaar zijn. Dit is echter geen absoluut recht; andere wetten kunnen vereisen dat u de betrokkene, of anderen, beschermt tegen toegang tot bepaalde soorten informatie. Je moet deze verzoeken onder GDPR zorgvuldig Beoordelen afzetten tegen rechten en plichten in andere regelgeving. In moeilijke gevallen kunt u contact opnemen met onze functionaris voor gegevensbescherming voor advies. Als een betrokkene het recht op toegang wordt verleend, zal itslearning via onze software of onze ondersteuningsdiensten beschikbaar zijn om te helpen bij de uitvoering van de rechten van de betrokkene.

Kan een Gebruiker rechtstreeks contact opnemen met itslearning (bijv. Leerling, Ouder, Docent) om zijn rechten onder GDPR uit te oefenen?

Onder GDPR zijn de rechten van de betrokkene (Gebruiker) tussen hem en de verwerkingsverantwoordelijke (onze klanten). Alle verzoeken van eindgebruikers aan itslearning aan betrokkenen zullen worden doorgegeven aan de klant. itslearning zal te goeder trouw samenwerken met klanten om ervoor te zorgen dat zij de rechten van de betrokkenen op een snelle manier kunnen uitoefenen.

Verwijderen Wanneer gebruikt itslearning persoonlijke gegevens?

itslearning verwijdert persoonlijke gegevens op instructie van onze klanten of als het contract tussen ons en de klant wordt beëindigd. De procedures voor het verwijderen van klantgegevens bij beëindiging van de service moeten schriftelijk of in een gegevensverwerkersovereenkomst worden vastgelegd.

Een instructie voor Verwijderen een Gebruiker in onze diensten kan handmatig worden uitgevoerd in het platform door een vertegenwoordiger van de klant, automatisch worden uitgevoerd via een integratie met een Leerling administratief systeem (of vergelijkbaar) of op verzoek aan onze ondersteuningsorganisatie.

Wanneer gebruikers in onze systemen worden verwijderd, zijn er beveiligingen om fouten te voorkomen die leiden tot een onvervangbaar verlies van gegevens. In veel gevallen moeten klanten de verwijdering van klantgegevens, waaronder persoonlijke gegevens, handmatig bevestigen.

Moet itslearning gebruikers op de hoogte stellen als ze zijn getroffen door een datalek?

Afhankelijk van de aard van het datalek, zijn onze klanten mogelijk verplicht om zowel de getroffen gebruikers als de toezichthoudende autoriteiten onmiddellijk op de hoogte te stellen. itslearning is verplicht om zijn klanten onverwijld op de hoogte te stellen wanneer zij zich bewust worden van een datalek, en om hen te helpen bij het nakomen van hun verplichtingen om gebruikers op de hoogte te stellen.

Moet ik een functionaris voor gegevensbescherming aanstellen?

In veel gevallen, ja. U bent verplicht een DPO aan te stellen als u:
a) Een openbare/overheidsinstelling bent
b) Bepaalde soorten gevoelige gegevens op grote schaal verwerkt
c) De verwerking grootschalige monitoring of bewaking inhoudt.

Notitie . Het is de organisatie, niet het systeem, die een DPO nodig heeft. In veel gevallen heeft uw organisatie al een DPO. De DPO kan een gecontracteerde rol zijn. Veel overheidsinstellingen bieden DPO-diensten aan andere instellingen.

 
Kan ik van een aanbieder van clouddiensten, zoals itslearning, eisen dat hij persoonlijke gegevens alleen in mijn land host?

Een van de belangrijkste doelstellingen van de nieuwe GDPR is het vrije verkeer van persoonlijke gegevens binnen de Europese Economische Gebied (EER), onder één gemeenschappelijke regelgeving. In de meeste gevallen zou het beperken van verkopers bij het verwerken van gegevens binnen de EER niet zijn toegestaan onder GDPR.

Verwerkt itslearning gegevens buiten de EER? Is het toegestaan om gegevens buiten de EER te verwerken?

GDPR verbiedt niet dat persoonlijke gegevens buiten de EER worden verwerkt, maar voorziet wel in sterke waarborgen om ervoor te zorgen dat elke verwerking van gegevens buiten de EER volgens de principes van GDPR gebeurt. Daarnaast moeten verwerkingsverantwoordelijken of verwerkers die gegevens buiten de EER verwerken gedetailleerde informatie verstrekken over de aard van de verwerking en in sommige gevallen klanten of gebruikers de mogelijkheid bieden om object te raadplegen over de verwerking.

Voor de meeste van onze Europese klanten verwerkt itslearning alle persoonlijke gegevens binnen de EER. Er zijn enkele uitzonderingen in gevallen waarin itslearning optionele integratie met niet in de EER gevestigde tools of services van derden faciliteert. In deze gevallen moeten zowel itslearning als onze klanten zich houden aan de vereisten van GDPR.

Ik heb gehoord dat itslearning niet veilig genoeg is onder GDPR! Is dit waar?

GDPR stelt geen gedetailleerde eisen aan wat een "veilige" cloudgebaseerde service is. Het is de gezamenlijke verantwoordelijkheid van onze klanten (de verwerkingsverantwoordelijken) en itslearning (de verwerker) om te zorgen voor passende organisatorische en technische beveiliging van de verwerkte persoonsgegevens en om dit te kunnen aantonen. De belangrijkste verandering ten opzichte van de huidige regelgeving in GDPR is een versterking van de aansprakelijkheid voor organisaties die geen passende beveiliging bieden.
Al twee decennia lang beschermt itslearning met succes de verwerking van persoonsgegevens van miljoenen gebruikers. In het verleden behaalde resultaten zeggen echter niet altijd iets over de toekomst. Daarom investeren we voortdurend in organisatorische beveiliging, netwerk- en infrastructuurbeveiliging en applicatiebeveiliging om ervoor te zorgen dat we meer kunnen bieden dan de juiste beveiliging voor onze eindgebruikers. We staan ook regelmatig derde partijen toe om onze beveiliging te controleren en we verwelkomen onze klanten om hun eigen controles uit te voeren.

Zoals de meeste softwarebedrijven gaat itslearning niet in detail in op de getroffen beveiligingsmaatregelen. Maar er zijn wel beveiligingen en processen die bescherming bieden tegen bekende bedreigingen, waaronder:

  • Applicatiebeveiliging, zoals het gebruik van versleuteling van al het verkeer, sterk gehashte wachtwoorden, beveiligt tegen kwetsbaarheden zoals Cross site scripting, SQL-injecties, phishing en andere.
  • Netwerkbeveiliging, firewalls en systemen om verdachte Gedrag te detecteren of om kwaadwillige pogingen te stoppen om toegang te krijgen of de veerkracht van de service te compromitteren (bijv. DDOS-aanvallen).
  • Organisatorische beveiliging, zoals toegangsbeleid, auditlogs en vertrouwelijkheidsovereenkomsten.
  • Fysieke beveiliging om ongeoorloofde toegang tot de infrastructuur voor de verwerking van persoonsgegevens te voorkomen.
  • Procedurele beveiliging - IT-beheerprocessen om het risico op menselijke fouten te minimaliseren, of testregimes om zwakke plekken in software op te sporen voordat nieuwe functies worden vrijgegeven voor onze cloudservices, of beleidsregels om ervoor te zorgen dat gegevens alleen in opdracht van onze klanten worden verwerkt.
Waar haalt itslearning persoonlijke gegevens over gebruikers vandaan?

itslearning verkrijgt niet zelfstandig Gebruiker gegevens van onze diensten. Gebruiker gegevens kunnen handmatig worden ingediend bij het platform door vertegenwoordigers van klanten, via een integratie met een systeem van een derde partij of in sommige gevallen door de gebruikers zelf.

Persoonsgegevens in itslearning zijn meestal afkomstig van "Leerling Informatie systemen" onder het beheer van onze klanten. We importeren alleen gegevens uit systemen van derden op instructie van onze klanten.

Stuurt itslearning gegevens naar derden?

itslearning verstuurt niet zelfstandig gegevens naar derden zonder instructies van onze klanten of een wettelijke verplichting om dit te doen. Een instructie van een klant kan komen in de vorm van een overeenkomst om te integreren met een tool of service van een derde partij, of dat vertegenwoordigers van de klant zelf een integratie opzetten met een tool of service van een derde partij. itslearning neemt maatregelen om te voorkomen dat klanten gegevens naar derde partijen sturen zonder zich te houden aan de regelgeving voor gegevensbescherming. Het is echter belangrijk dat onze klanten voorzorgsmaatregelen treffen om te voorkomen dat gegevens worden overgedragen aan derden zonder zich te houden aan hun wettelijke verplichtingen.

Heeft GDPR gevolgen voor Amerikaanse klanten of Amerikaanse eindgebruikers?

Niet wettelijk. De EU heeft duidelijk geen wetgevende macht op Amerikaans grondgebied. GDPR biedt geen rechten of vrijheden aan betrokkenen in de VS. En GDPR legt geen verplichtingen op aan Amerikaanse klanten die geen gegevens verwerken van EU/EEA-datasubjecten. De rechten en plichten van Amerikaanse betrokkenen en organisaties worden gewaarborgd door staats- of federale regelgeving, of door contractuele of vrijwillige afspraken.

Maar itslearning biedt voor het grootste deel dezelfde services en hetzelfde beveiligingsniveau aan onze Amerikaanse klanten als aan onze Europese klanten. Amerikaanse klanten zullen profiteren van itslearning's benadering van en cultuur voor het beveiligen van persoonlijke gegevens onder GDPR. De fundamentele principes van de Europese bescherming van persoonsgegevens maken deel uit van de structuur en de contractuele verbintenis die we onze Amerikaanse klanten bieden.