Beleid Bescherming Persoonsgegevens (BBP)

U bent hier

Gezamenlijk met Niop ICT B.V., medeverantwoordelijk voor de ontwikkeling en het beheer van de online studiefaciliteiten van de Kinderopvang Academie, is dit beleidsdocument opgesteld aan de hand van de Data Pro Code en de Data Pro Statement van Nederland ICT. De betreffende code en statement zijn aangepast naar de gegevensverwerking van deelnemers van de Kinderopvang Academie en organisaties namens wie deelnemers zijn aangemeld.

De 8 principes van de Data Pro Code:

  1. Omschrijving en beoordeling dienstverlening
  2. Beleid en governance
  3. Organisatie en middelen
  4. Limitering gebruik
  5. Beveiliging van persoonsgegevens
  6. Informatieverplichtingen - Kinderopvang Academie
  7. Rechten van data subjects
  8. Verantwoording (accountability)

Definities en afkortingen

  • AO - Arbeidsovereenkomst
  • AV - Algemene Voorwaarden
  • BBP - Beleid Bescherming Persoonsgegevens
  • KA - De Kinderopvang Academie: de gegevensverwerker tevens medeverantwoordelijke
  • OB - Opdrachtbevestiging of verglijkbare contractvorm waarbij deelnemers worden aangemeld

Principe 1 - Omschrijving en beoordeling dienstverlening
De door de Kinderopvang Academie aangeboden diensten of producten zijn door de data processor omschreven en beoordeeld, rekening houdend met de markt waarin hij opereert, het door beoogd gebruik van haar diensten en daarmee de binnen of met zijn dienst of product verwachte aard van de te verwerken data en het aantal te verwerken data subjects.

  1. De diensten zijn omschreven in de Algemene Voorwaarden (AV)
  2. Het aantal te verwerken data (BBP):
    1. voornaam
    2. achternaam
    3. e-mail adres
    4. mobiel telefoonnummer
    5. (online) leeractiviteiten
    6. deelname aan (online) leeractiviteiten voor zichzelf resp. voor deelnemers van de organisatie
    7. interesse in resp. resultaten van (online) leeractiviteiten van zichzelf resp. van deelnemers van de organisatie
  3. De aard van de te verwerken data: de gegevens zijn gerelateerd aan de interesse in, respectievelijk de feitelijke deelname aan (online) opleidingen en cursussen door de deelnemer zelf dan wel door de deelnemers waarvoor de organisatie optreedt als verantwoordelijke (BBP)
  4. De markt waarbinnen wij opereren is de kinderopvangsector in Nederland
  5. Het aantal users is in principe maximaal 100.000 (medewerkers en gastouders in de sector kinderopvang (BBP)
  6. De impact op de dienstverlening van de klant is relevant zoals (leeractiviteiten) tot cruciaal (faciliteiten voor online bestandsbeheer) (BBP)

Principe 2 - Beleid en governance
De data processor heeft een gedocumenteerd beleid voor dataprotectie, waaronder een datalekprocedure.

  1. de visie en missie op gegevensbescherming (dataprotectie) is als volgt omschreven (BBP):
    1. visie: gebruikers van de diensten van de Kinderopvang Academie hebben recht op adequate bescherming van hun gegevens alsmede van gegevens van personen namens wie de organisatie optreedt als verantwoordelijke
    2. missie: de Kinderopvang Academie verplicht zich navenante maatregelen te nemen om genoemde gegevens te beschermen
  2. er is gekozen voor het niveau ‘privacy by design’, d.w.z. alleen die gegevens zijn omschreven in Principe 1, artikel 2 worden verwerkt (BBP)
  3. het beleid heeft betrekking op gegevens van personen die deelnemen, mogelijk zullen deelnemen of hebben deelgenomen aan een of meer van de genoemde leervormen. Deze gegevens bevatten o.a. contactgegevens alsmede de feitelijke deelname aan leervormen, inclusief eventuele (deel)certificaten. Er is geen rekening gehouden met de verwerking van zogenoemde bijzondere persoonsgegevens.
  4. indien de Kinderopvang Academie in haar organisatie een datalek ontdekt, zal zij de betreffende opdrachtgevers hiervan zo snel mogelijk op de hoogte stellen, zodat de opdrachtgever binnen 72 uur nadat hij er kennis van heeft genomen kan voldoen aan zijn wettelijke verplichting het datalek te melden bij de Autoriteit Persoonsgegevens of de betrokken personen. (BBP)
  5. contactpersoon voor dataprotectie is Erik Verlinden (06-51158864). Indien Erik Verlinden niet bereikbaar is kan contact worden opgenomen met Nicole Janssen: (06-57090579). Beiden zijn ook bereikbaar op het e-mail adres info@kinderopvangacademie.nl (BBP)

Principe 3 – Organisatie en middelen
De dataverwerking is in kaart gebracht

  1. de gebruikte middelen (BBP) zijn o.a.:
    1. eE-mailfaciliteiten w.o. contactgegevens op computers, laptops en smartphones van medewerkers
    2. dDataopslag- en dataverwerkingsfaciliteiten (servers)
    3. lLeveranciers (BBP): eventuele sub-verwerkers zijn vermeld in de onderhavige opdrachtbevestiging
  2. de verwerkersregisterplicht: de Kinderopvang Academie hanteert een adequate contractadministratie

Principe 4 – limitering gebruik
De Kinderopvang Academie heeft geborgd dat de verkregen persoonsgegevens van zijn opdrachtgever uitsluitend worden verwerkt voor de verlening van zijn diensten aan die opdrachtgever. (BBP)

  1. medewerkers hebben verplichting tot geheimhouding (AO)
  2. de Kinderopvang Academie borgt dat persoonsgegevens van een opdrachtgever na het einde van de overeenkomst met die opdrachtgever of na voltooiing van een opdracht voor die opdrachtgever binnen drie maanden na het einde ervan worden verwijderd op zodanige wijze dat deze niet langer kunnen worden gebruikt en niet langer toegankelijk zijn.
  3. de Kinderopvang Academie staat garant voor passende technische en organisatorische beveiliging, afgestemd op het risico (BBP):
    1. alle domeinnamen zijn uitgerust met een beveiligde internetverbinding (SSL)
    2. servers zijn beveiligd op IP-adres

Principe 5 – beveiliging van persoonsgegevens
De data processor heeft passende technische en organisatorische maatregelen getroffen om een beveiligingsniveau voor persoonsgegevens te waarborgen dat is afgestemd op het risico dat is verbonden aan het door de data processor beoogde gebruik van zijn dienst of product.

  1. er wordt gebruik gemaakt van de volgende standaard resp. erkende beveiligings-maatregelen:
    1. SSL-certificaten voor alle gebruikte domeinen en subdomeinen
    2. versleutelde wachtwoorden, deze zijn hierdoor niet bekend bij de beheerders of medewerkers
    3. toegang tot servers beperkt op basis van IP-adres
    4. wachtwoorden van ten minste 16 tekens
    5. door middel van real-time back-ups wordt geborgd dat bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig hersteld kan worden
  2. lijst met maatregelen
    1. aanschaf beveiliging van laptops en mobiele telefoons, kluis
    2. computerapparatuur op congressen en beurzen zonder gegevensverwerking
  3. pseudonimisering en versleuteling van persoonsgegevens
    1. essentieel voor haar dienstverlening is dat de Kinderopvang Academie de deelnemers kent; er wordt dan ook geen gebruik gemaakt van pseudonimisering
    2. de mogelijkheid is ontwikkeld om toegang tot externe verwerkers (andere opleiders) door middel van pseudoniem e-mail adressen te laten verlopen
    3. versleuteling van persoonsgegevens: anders dan de wachtwoorden zijn de persoonsgegevens zelf niet versleuteld en beschikbaar voor intern gebruik
  4. permanente check van beschikbaarheid, integriteit en vertrouwelijkheid van de systemen
    1. er wordt gebruik gemaakt van een adequate back-up systematiek; deze wordt regelmatig getest
    2. wij ontvangen meldingen over benodigde dan wel automatisch geïnstalleerde updates van code, modules en beveiligingscertificaten
  5. tijdig herstel van beschikbaarheid en toegang tot gegevens (backups); er wordt gebruik gemaakt van een adequate externe back-up systematiek (tweede server)

Beoordeling van passend beveiligingsniveau
Bij de beoordeling van een passend beveiligingsniveau voor zijn dienst of product houdt de Kinderopvang Academie rekening met:

1.    de stand van de techniek;
2.    de uitvoeringskosten;
3.    de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van individuele data subjects.
4.    de markt waarin hij opereert;
5.    het aantal data-elementen en de verwachte aard van de te verwerken data (wel/niet bijzondere persoonsgegevens?);
6.    het verwachte aantal van te verwerken data subjects (meer dan 100.000 betrokkenen?);
7.    het beoogde gebruik van zijn dienstverlening door een opdrachtgever (is de dienstverlening wel/niet cruciaal in de bedrijfsvoering van een opdrachtgever?).

De Kinderopvang Academie hanteert een information security management systeem, beveiligingsnorm of -standaard, waarbij is voorzien in een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de getroffen beveiligingsmaatregelen voor persoonsgegevens door de Kinderopvang Academie (plan, do, check, act)

  1. het door de Kinderopvang Academie gekozen information security management systeem is vastgelegd in Principe 5 van dit beleid.
  2. de Kinderopvang Academie kan zich aansluiten bij of conformeren aan één of meer in de branche erkende beveiligingsnormen.

Principe 6 – informatieverplichtingen
De Kinderopvang Academie informeert haar  opdrachtgevers over de door haar getroffen beveiligingsmaatregelen

  1. in dit beleid wordt expliciet melding gemaakt van de getroffen beveiligings-maatregelen (principe 5). De actuele versie van dit beleid is o.a. te vinden op de website van de Kinderopvang Academie (https://kinderopvangacademie.nl/bbp).
  2. in de verwerkersovereenkomst
  3. indien de Kinderopvang Academie in haar organisatie een datalek ontdekt, treedt het datalekprotocol in werking. De actuele versie van dit protocol is te vinden op de website van de Kinderopvang Academie (https://kinderop

vangacademie.nl/datalekprotocol).

Principe 7 – rechten van data subjects
De Kinderopvang Academie informeert zijn opdrachtgever of hij processen en procedures heeft ingericht waarmee de opdrachtgever, die controller is, gehoor kan geven aan de rechten van data subjects.

  1. de Kinderopvang Academie ondersteunt opdrachtgevers binnen een redelijke termijn bij inzage-, correctie- en verwijderverzoeken alsmede bij verzoeken om zogenoemde ‘dataportabiliteit’, waarbij ons wordt gevraagd gegevens over te dragen. De Kinderopvang Academie behoudt zich hierbij het recht voor om kosten in rekening te brengen.
  2. na beëindiging van de overeenkomst met een opdrachtgever verwijdert de Kinderopvang Academie de persoonsgegevens die zij voor opdrachtgever verwerkt in principe binnen 3 maanden, op zodanige wijze dat deze niet langer kunnen worden gebruikt resp. niet langer toegankelijk zijn, behoudens die gegevens die zij in het kader van haar administratieve verplichtingen respectievelijk in het kader van haar dienstverlening ook na beëindiging van de overeenkomst moet bewaren.
  3. op verzoek van een opdrachtgever retourneert de Kinderopvang Academie na beëindiging van de overeenkomst met opdrachtgever alle persoonsgegevens die zij voor opdrachtgever verwerkt binnen 3 maanden op de volgende manier. De Kinderopvang Academie behoudt zich hierbij het recht voor om kosten in rekening te brengen.

Principe 8 - Verantwoording
De Kinderopvang Academie toetst en evalueert regelmatig zijn dataprotectiebeleid en genomen beveiligingsmaatregelen en past deze waar nodig aan.

  1. de Kinderopvang Academie kan zich onafhankelijk laten toetsen. 
  2. de Kinderopvang Academie informeert zijn opdrachtgever periodiek over de door hem uitgevoerde (interne) controles, zoals door:
    1. wel of niet verkregen hercertificering, bijvoorbeeld door een verwijzing naar het openbaar toegankelijke register;
    2. informatie over periodieke externe controles zoals audits of beschikbaar stellen van een Third Party Memorandum (TPM’s);
    3. informatie, of relevante onderdelen, uit een assurance rapport met conclusies over de bevindingen van de auditor;
    4. eigen controles of eigen mededelingen door de Kinderopvang Academie.
  3. de Kinderopvang Academie zal de aanbevolen verbetermaatregelen na een controle doorvoeren voor zover redelijkerwijze van hem mag worden verwacht

Contactgegevens Kinderopvang Academie
Contactpersoon inzake AVG: Erik Verlinden
E-mail: info@kinderopvangacademie.nl
Telefoon: (030) 233 1330

Indien u het op prijs stelt informeren wij u over nieuwe versies van dit beleid. Stuur hiertoe een e-mail naar het hierboven genoemde e-mail adres.

Zeist, mei 2018