Introductie

Bij TMI nemen wij privacy en gegevensbeveiliging uiterst serieus. Graag geven wij u door middel van dit document inzicht in welke maatregelen en middelen worden ingezet om de privacy en gegevens van onze deelnemers te waarborgen. TMI erkent de toegevoegde gevoeligheid van persoonsgegevens van onze veelal minderjarige deelnemers. Hierom nemen wij extra maatregelen om ervoor te zorgen dat de verzamelde gegevens minimaal blijven, zoveel mogelijk geanonimiseerd worden, en de gegevens die wij bewaren zo optimaal mogelijk beveiligd zijn.

TMI verzamelt verschillende soorten gegevens voor verschillende diensten. Hieronder vindt u een overzicht van de verschillende diensten en welke gegevens worden verzameld, en op welke wijze deze gegevens worden verwerkt.

Verwerkers overeenkomst

Voor het gebruik van digitale leermiddelen worden persoonsgegevens verwerkt. TMI heeft zich aangesloten bij het Convenant Digitale Onderwijsmiddelen en Privacy. In dit convenant is tussen de aanbieders en de onderwijssectorraden afgesproken onder welke voorwaarden persoonsgegevens binnen leermiddelen in het onderwijs worden verwerkt.

In de praktijk heeft het convenant vorm gekregen in een verwerkersovereenkomst met de daarbij behorende bijlagen: De privacybijsluiter en de beveiligingsbijlage. De verwerkersovereenkomst is algemeen en mag volgens het convenant niet gewijzigd worden. De bijlagen zijn specifiek per product. Via onderstaande knop kun je de verwerkersovereenkomst voor onze digitale methode mediawijsheid downloaden.

Download de getekende verwerkersoveenkomst

Verwerkings verantwoordelijke

Namens TMI is Herman Nelissen eindverantwoordelijk voor het naleven van dit beleid. Enige vragen omtrent specifiek dit beleid mogen gestuurd worden naar [email protected]

Wettelijke grondslag

TMI verwerkt persoonsgegevens conform de wettelijke grondslagen van de Algemene Verordening Gegevensbescherming (AVG). Bij verschillende diensten die TMI biedt gelden verschillende wettelijke grondslagen. De meest primaire van de grondslagen is toestemming, en TMI verwerkt daarom dan ook enkel persoonsgegevens die herleidbaar zijn tot personen indien daar expliciet toestemming voor is gegeven, met als uitzondering de gevallen waarin er moet worden voldaan aan een wettelijke verplichting of voor het uitvoeren van een overeenkomst, of daar waar er sprake is van een gerechtvaardigd belang. Het verwerken van persoonsgegevens is benodigd voor verschillende diensten die TMI levert. De meest invasieve van de persoonsgegevens die worden verzameld zijn de beeldmaterialen van de workshops. Deze beeldmaterialen zijn grotendeels van minderjarige scholieren die deze materialen zelf opnemen als onderdeel van de workshop. In dit document wordt stapsgewijs beschreven voor welke verwerkingsdoelen bepaalde persoonsgegevens worden verzameld, en wat er met deze gegevens wordt gedaan om veiligheid en privacy te waarborgen.

Locatie gegevensopslag

De persoonsgegevens die worden opgeslagen worden onder andere lokaal opgeslagen op het kantoor van TMI, gesitueerd aan de Euclideslaan 70, 3584BN te Utrecht, Nederland. Hiermee zijn minimaal alle Nederlandse privacywetten automatisch van toepassing op verzamelde persoonsgegevens. Gebruikersgegevens worden tevens opgeslagen in de Amsterdam (AMS-3) regio van DigitalOcean, een digitale aanbieder van cloud hosting oplossingen, daarnaast in uitzonderlijke gevallen worden persoonsgegevens opgeslagen bij Amazon Cloud Services in Frankfurt, Duitsland (EU-central-1).

Bewaringstermijn

Gegevens die door TMI worden verzamelt worden maximaal zolang bewaard als strikt noodzakelijk is voor de verwerking van deze gegevens, met een maximale bewaartermijn van 6 maanden na ontvangst van de gegevens. Deze termijn is nader gespecificeerd in de afgesloten verwerkersovereenkomst.

Rechten van klant

De klant of enig persoon waarvan TMI de persoonsgegevens van bezit, heeft minimaal de rechten zoals voorgeschreven in de Algemene Verordening Persoonsgegevens. Deze wet schrijft voor dat u, als klant de volgende rechten heeft:

Je mag ten alle tijden:

  • Uw gegevens inzien
  • Uw gegevens laten corrigeren
  • Uw gegevens laten verwijderen
Tevens mag u uw reeds gegeven toestemming voor het verwerken van (bepaalde) persoonsgegevens intrekken. Dit geldt ook voor ouders of voogden die reeds gegeven toestemming voor het verwerken van de persoonsgegevens van hun kinderen willen intrekken. Een verzoek tot inzage, correctie, verwijdering of het intrekken van uw toestemming tot verwerking mag u sturen naar [email protected] Om er zeker van te zijn dat het verzoek tot inzage door u is gedaan, vragen wij een kopie van een geldig identiteitsbewijs mee te sturen. Maakt u de volgende onderdelen van het identiteitsbewijs alstublieft onleesbaar: de pasfoto, MRZ (machine readable zone, de strook met nummers onderaan het paspoort), paspoortnummer en burgerservicenummer (BSN). Dit ter bescherming van uw privacy. Zodra het verzoek in behandeling is genomen krijgt u een bevestiging. Zodra uw identiteit is bevestigd wordt de kopie van uw identiteitsbewijs veilig verwijderd van onze systemen.

Klachtenprocedure

Voor het verwerken van algemene klachten is er een klachtenprocedure opgesteld. Deze procedure is nader toegelicht op de volgende pagina: klachtenprocedure.

Verplichting verstrekking persoonsgegevens

Deelnemers aan de diensten van TMI zijn op geen enkele manier verplicht om persoonsgegevens te verstrekken.

Geautomatiseerde besluitvorming

TMI maakt geen gebruik van geautomatiseerde besluitvorming.

Gegevens van derden

TMI verkoopt uw gegevens niet aan derden en zal deze uitsluitend verstrekken indien dit nodig is voor de uitvoering van onze overeenkomst met u, of om te voldoen aan een wettelijke verplichting. Met bedrijven die uw gegevens verwerken in onze opdracht, sluiten wij een bewerkersovereenkomst om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van uw gegevens. TMI blijft verantwoordelijk voor enigerlei verwerkingen.

TMI biedt de mogelijkheid aan om accounts te laten registreren en authenticeren door middel van de OAuth2 standaard via Kennisnet, Google en Microsoft. Deze dienst is volledig optioneel. U dient om gebruik te maken van deze dienst reeds te beschikken over een account bij deze leveranciers. Wanneer hier door u voor wordt gekozen dan wordt via deze aanbieders het e-mailadres en de naam van de gebruiker verstrekt ter validatie van uw identiteit en hiermee een account aangemaakt, danwel aangemeld.

Technische specificaties gegevensbeveiliging

Daar waar digitale middelen worden opgeslagen worden deze beveiligd conform de volgende specificaties:

Lange termijn

Gegevens die voor een langere termijn worden opgeslagen worden opgeslagen op meerdere locaties. Deze gegevens worden opgeslagen op versleutelde harde schijven of cloud-storage oplossingen met minimaal de AES 256-bit standaard. De gegevens op langere termijn opslag kunnen enkel door geautoriseerde personen worden ontsleuteld door middel van een gebruikersnaam/wachtwoord combinatie en een twee-factor code.

Korte termijn

Gegevens die op een kortere termijn worden opgeslagen (bijvoorbeeld op devices in bruikleen bij workshops) worden zo spoedig mogelijk naar langere termijn opslag omgezet. De devices zijn zelf versleuteld conform minimaal AES 128-bit standaard. Gegevens op de kortere termijn opslag kunnen worden ontsleuteld door personen die beschikken over de toegangscode tot de tablets, of beschikken over een gebruikersnaam/wachtwoord combinatie voor laptops.

Gegevensoverdracht

Gegevensoverdracht van korte-termijn naar lange-termijn gegevensopslag vindt plaats door middel van versleutelde (HTTPS) verbindingen via het internet die gebruik maken van moderne ciphers, of via versleutelde harde schijven of USB-apparaten die zijn versleuteld met minimaal de AES 256-bit standaard. Gegevensoverdracht tussen apparaten van TMI kan ook via WeTransfer geschieden. Deze derde partij heeft een eigen beveiligings en privacy beleid, deze is hier te vinden.

Beveiligingstechnieken

TMI maakt gebruikt van verschillende beveiligingstechnieken om ervoor te zorgen dat gegevens veilig blijven voor, tijdens en na opslag. Hieronder verstaan onder andere:
  • Het gebruik van periodieke veiligheidsscans van virusscanners, kwetsbaarheidsscanners en predictieve software die veiligheidsrisico’s identificeerd;
  • Het periodiek updaten van software zodat geïdentificeerde veiligheidslekken gedicht worden;
  • Het gebruik van versleuteling;
  • Het gebruik van twee-staps authenticatie methoden om toegang tot gevoelige onderdelen of informatie te limiteren;
  • Het gebruik van firewalls om ongeautoriseerde toegang van buiten het TMI netwerk te blokkeren;
  • Ons e-mailverkeer wordt door middel van DKIM, SPF en DMARC gevalideerd op identiteit en integriteit; Verwerkingsdoelen