I. OVEREENKOMST TUSSEN DE SCHOOL EN KPITO

Deze overeenkomst geldt tussen “De School” (de onderwijsinstelling die de bestelling doet, vertegenwoordigd door de medewerker die de bestelling doet, ook “Wederpartij”) en “Kpito” (The Anders & Winst Company BV, vertegenwoordigd door haar directeur Michael Blok).

De overeenkomst bestaat uit 3 onderdelen:

  1. De gegevens zoals ingevuld/bevestigd op de website van Kpito en bevestigd door Kpito
  2. De overeenkomst tussen Kpito en de school, waaronder de Algemene Voorwaarden
  3. De bewerkersovereenkomst (voortkomend uit het Privacyconvenant Onderwijs).

Deze overeenkomst treedt in werking zodra de School de bestelling bevestigt op de website van Kpito en akkoord gaat met de voorwaarden van Kpito zoals beschreven in documenten die hierboven opgesomd zijn.

Nadat de school de bestelling bevestigd heeft ontvang je een e-mail (de “Bevestigingsmail”) waarin wij de gegevens en inhoud van de bestelling samenvatten.

 

II. OVEREENKOMST MET DE SCHOOL EN VOORWAARDEN VAN KPITO

 

Artikel 1. Toegang tot Kpito en termijnen

  1. Gedurende de looptijd van deze overeenkomst krijgt een in de bestelling vermeld aantal leerlingen met een logincode toegang tot de nieuwste versie van Kpito, een web-app die ook opgaven omvat. Per klas leerlingen staat ook een lerarenaccount ter beschikking.
  2. Als Kpito gegevens nodig heeft van de Wederpartij om de overeenkomst te kunnen uitvoeren vangt de uitvoeringstermijn pas aan nadat de Wederpartij deze aan Kpito ter beschikking heeft gesteld.
  3. Deze overeenkomst geldt voor onbepaalde tijd. Zowel de school als Kpito kunnen de overeenkomst jaarlijks opzeggen. De opzegging moet per brief of per e-mail voor 1 juli voorafgaand aan het nieuwe schooljaar door Kpito te zijn ontvangen.
  4. Bij beëindiging van de overeenkomst wordt de school gevraagd of zij de gegevens van de leerlingen retour wilt ontvangen. Indien de school niet binnen 12 maanden reageert worden de persoonsgegevens, zonder verdere waarschuwing, uit de systemen van Kpito verwijderd.

Artikel 2. Ontbinding en tussentijdse beëindiging van de overeenkomst

  1. Kpito mag de overeenkomst ontbinden als uitvoeren ervan onmogelijk is: bij overmacht of als instandhouding van de overeenkomst in redelijkheid niet van Kpito kan worden gevraagd. Kpito is in zulke gevallen niet schadeplichtig.
  2. In geval van liquidatie, surséance van betaling of faillissement van de Wederpartij is Kpito bevoegd om de overeenkomst terstond en met directe ingang te beëindigen.
  3. AIs voor de levering van zaken of diensten een termijn overeengekomen dan is dit geen fatale termijn: bij overschrijding van een overeengekomen termijn moet de Wederpartij Kpito schriftelijk in gebreke stellen. Kpito krijgt dan een redelijke termijn om alsnog te leveren.

Artikel 3. Prijzen, betaling en verrekening

  1. De School betaalt een vergoeding conform de prijslijst op de website van Kpito (http://www.kpito.nl) en zoals samengevat in de bestelling en Bevestigingsmail. Kpito zal eventuele prijswijzigingen die het komend schooljaar omvatten uiterlijk op 1 mei voorafgaand aan het begin van een schooljaar op de website publiceren. De school kan altijd voor 1 juli de overeenkomst voor het komende schooljaar opzeggen.
  2. De aantallen tablets en aanverwante producten kunnen (tegen betaling) gedurende de looptijd stijgen. Daarvoor is een nieuwe bestelling nodig.
  3. Betalingen moeten binnen 30 dagen na factuurdatum op de rekening bijgeschreven zijn. Betalingen worden eerst in mindering gebracht op eventuele inningskosten, dan op rente en daarna op de hoofdsom.
  4. De school en Kpito kunnen wederzijdse betalingen niet tegen elkaar verrekenen.
  5. Indien de Wederpartij zijn verplichtingen niet nakomt is zij aansprakelijk voor de kosten om alsnog de verplichting te doen nakomen. Zulke kosten worden berekend op basis van de berekeningsmethode van Rapport Voorwerk II.

Artikel 4. Huur van hardware

  1. Indien de school tablets of andere hardware huurt stort de School een borgsom (zie prijslijst) als zekerheid voor het goed behandelen van de hardware. De school behoudt een vordering tot het betaalde bedrag aan borg op Kpito. Bij beëindiging, opzegging of ontbinding van deze overeenkomst wordt het in totaal door de school gestorte bedrag binnen 30 dagen terugbetaald, maar alleen indien en nadat de school de hardware in werkzame toestand heeft teruggeleverd aan Kpito.
  2. Kpito garandeert dat de school tijdens de huurperiode de beschikking heeft over werkende tablets en bijbehorende hardware. Tablets die niet of niet naar behoren werken zullen door Kpito zo snel mogelijk, en zeker binnen 14 dagen (eventuele schoolvakanties niet meegerekend) worden vervangen. De school draagt hiervan niet de kosten, tenzij de schade het gevolg is van ernstig onvoorzichtig gebruik (voorbeelden: val nadat het hoesje verwijderd is of het plaatsen van tablets naast een open waterhouder) of door gebruik waar de tablet/hardware niet voor bedoeld is.

Artikel 5. Koop van hardware

  1. De School koopt van Kpito het aantal tablets/hardware zoals vermeld in de Bevestigingsmail.
  2. De koopsom van de tablets/hardware staat vermeld in de Bevestigingsmail. De eigendomsoverdracht vindt plaats door middel van en op het moment van feitelijke levering door Kpito aan de school.
  3. Verkochte tablets/hardware hebben een garantie van 2 jaar. Gedurende die periode worden tablets/hardware die door interne oorzaken niet of niet naar behoren werken door Kpito zo snel mogelijk (zeker binnen 10 schooldagen) vervangen, danwel zal dan de reparatie zijn begonnen.
  4. De garantie geldt niet als een gebrek is ontstaan door onverantwoord gebruik en/of door gebruik op een manier waarvoor de hardware niet bedoeld is.

Artikel 6. Intellectueel eigendom en aansprakelijkheid

  1. Kpito belooft dat haar content geen inbreuk maakt op de auteursrechten van derden. De school is niet aansprakelijk voor eventuele schade als gevolg van mogelijke inbreuken op het auteursrecht van derden. Een school is wel verantwoordelijk voor de content die zij zelf in het Kpito-systeem plaatst, en kan dan ook door derden (inclusief andere scholen) aansprakelijk worden gesteld voor auteursrechteninbreuk.
  2. De school zal geen inbreuk maken op de (auteurs-)rechten van Kpito, bijvoorbeeld door de software aan te passen of de logincodes te (laten) gebruiken buiten de bedoeling van deze overeenkomt.
  3. Kpito is niet aansprakelijk voor schade aan zaken en/of personen jegens de Wederpartij of jegens werknemers of leerlingen van de Wederpartij, tenzij sprake is van opzet of grove schuld aan de zijde van Kpito. Kpito is in geen geval aansprakelijk voor gevolgschade.
  4. De aansprakelijkheid van Kpito is in alle gevallen beperkt tot het bedrag dat de Wederpartij in de maand waarin de schade is ontstaan aan Kpito was verschuldigd of (als Kpito voor de betreffende schade is verzekerd) tot het bedrag dat de verzekeraar in een voorkomend geval uitkeert.

Artikel 7. Technische voorwaarden en storingen

  1. Om Kpito goed te laten werken gelden technische voorwaarden. Deze zijn beschreven in Appendix A van deze overeenkomst.
  2. Kpito doet alles wat in haar mogelijkheden ligt om Kpito goed te laten functioneren. Kpito zal zo snel mogelijk op storingen reageren. De School zal eventuele storingen snel melden.
  3. Een storing geeft geen recht op korting/opschorting, tenzij de oorzaak van de storing onder verantwoordelijkheid van Kpito valt en Kpito niet binnen een redelijk tijdsbestek na de melding van de storing actie heeft ondernomen om de storing te verhelpen.

Artikel 8. Andere bepalingen

  1. Kpito is niet aansprakelijk voor schade aan personen of aan zaken die direct of indirect ontstaat ten gevolge van het gebruik of installatie van door haar geleverde producten of diensten, tenzij sprake is van opzet of grove schuld.
  2. Deze overeenkomst omvat alle afspraken tussen Kpito en de School. Aanvullingen of wijzigingen kunnen uitsluitend schriftelijk worden gemaakt.
  3. Eventuele inkoop- of andere voorwaarden van de Wederpartij worden uitdrukkelijk van de hand gewezen.
  4. Kpito heeft het recht werkzaamheden te laten verrichten door andere bedrijven.

 

Appendix A: Technische voorwaarden Kpito

Als de School voldoet aan de onderstaande technische voorwaarden kan Kpito de verantwoordelijkheid nemen voor het goed functioneren van Kpito:

  • Op de tablets/computers is de nieuwste versie van Chrome beschikbaar, die alle cookies toestaat
  • Per klas is een minimale downloadsnelheid van 5 Mb beschikbaar
  • De afstand tussen de tablet en het access point is maximaal 15 meter
  • Er zijn voldoende IP-adressen
  • URLs die eindigen op (.)Kpito.net zijn toegankelijk
  • De tablets worden opgeladen op een vochtvrije plek onder de 35 graden C via een stopcontact met randaarde
  • Als de School gebruik maakt van de door Kpito geleverde Wi-Fi faciliteit geldt het volgende:
    • Het door Kpito geleverde access point moet door de School ingepast worden op het netwerk en zonder barrières toegang hebben tot Internet.
    • Alleen het access point dat in/bij de klas staat is op de tablet ingesteld
    • Als de School proxy- en andere bijzondere netwerkinstellingen heeft moet de school deze op de tablets kunnen instellen.

 

 

III. BEWERKERSOVEREENKOMST

De Bewerkersovereenkomst inclusief bijlagen conform het model van het Privacyconvenant Onderwijs (https://privacyconvenant.nl) is een onderdeel van de overeenkomst tussen Kpito en een School/Onderwijsinstelling.

Partijen:

  1. De school die met Kpito een gebruiksovereenkomst met Kpito heeft gesloten, hierna te noemen “Onderwijsinstelling”,

en

  1. The Anders & Winst Company BV, kantoorhoudende te Amsterdam aan de Lisdoddelaan 143, ten deze rechtsgeldig vertegenwoordigd door haar directie, hierna te noemen “Bewerker” hierna gezamenlijk te noemen: “Partijen”, of afzonderlijk: “Partij”

Overwegen het volgende:

  1. Onderwijsinstelling en Bewerker zijn een overeenkomst aangegaan waarbij Kpito in de school en thuis voor huiswerk gebruikt al worden door leerlingen en leraren (‘de Product- en Dienstenovereenkomst’). Deze Product- en Dienstenovereenkomst leidt ertoe dat Bewerker in opdracht van Onderwijsinstelling Persoonsgegevens verwerkt.
  2. Partijen wensen, mede gelet op het bepaalde in artikel 14 Wet bescherming persoonsgegevens, in deze Bewerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vast te leggen.

Komen het volgende overeen:

Artikel 1: Definities

Definities voor de Bewerkersovereenkomst:

  1. Betrokkene, Bewerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens, en Verantwoordelijke: de begrippen zoals gedefinieerd in artikel 1 van de Wbp;
  2. Bewerkersovereenkomst: deze Bewerkersovereenkomst, inclusief Bijlagen;
  3. Bijlage: een bijlage bij deze Bewerkersovereenkomst, welke daarvan een onlosmakelijk deel uitmaakt;
  4. Convenant: het Convenant Digitale Onderwijsmiddelen en Privacy;
  5. Datalek: een inbreuk op de beveiliging, zoals bedoeld in artikel 13 Wbp, die leidt tot de aanzienlijke kans op ernstig nadelige gevolgen, dan wel ernstig nadelige gevolgen heeft voor de bescherming van persoonsgegevens, zoals bedoeld in artikel 34a, lid 1, Wbp;
  6. Digitaal Onderwijsmiddel: Leermiddelen en Toetsen, en School- en Leerlinginformatiemiddelen;
  7. Leermiddelen en Toetsen: digitaal product en/of digitale dienst bestaande uit leerstof en/of toetsen en de daarmee samenhangende digitale diensten, gericht op onderwijsleersituaties, ten behoeve van het geven van onderwijs door of namens Onderwijsinstellingen;
  8. School- en Leerlinginformatiemiddelen: een digitaal product en/of digitale dienst ten behoeve van het onderwijs(proces), zoals een leerling administratiesysteem, roostersysteem, ouderportaal, leerling- en oudercommunicatiesysteem, een elektronische leeromgeving en een leerling volgsysteem;
  9. Privacybijsluiter: de privacybijsluiter zoals opgenomen in Bijlage 1;
  10. Product- en Dienstenovereenkomst: de overeenkomst tussen Onderwijsinstelling en Bewerker, zoals omschreven in overweging a;
  11. Model Bewerkersovereenkomst: het model voor een bewerkersovereenkomst die als bijlage is bijgevoegd bij het Convenant;
  12. Sub-bewerker: de partij die door Bewerker wordt ingeschakeld als Bewerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze Bewerkersovereenkomst en de Product- en Dienstenovereenkomst;
  13. Wbp: Wet bescherming persoonsgegevens.

Artikel 2: Onderwerp en opdracht Bewerkersovereenkomst

  1. Deze Bewerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Product- en Dienstenovereenkomst.
  2. De Onderwijsinstelling verstrekt aan de Bewerker de opdracht tot Verwerking van Persoonsgegevens ten behoeve van de uitvoering van de Product- en Dienstenovereenkomst.

Artikel 3: Rolverdeling

  1. Onderwijsinstelling is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verantwoordelijke. Bewerker is bewerker in de zin van de Wbp. De Onderwijsinstelling heeft en houdt zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens.
  2. Bewerker draagt er zorg voor dat de Onderwijsinstelling voorafgaande aan het sluiten van deze Bewerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) die de Bewerker verleent, en de uit te voeren Verwerkingen. De gegeven informatie moet de Onderwijsinstelling in staat stellen een keuze te maken met betrekking tot de aangeboden diensten als zodanig, en daarnaast een afzonderlijke keuze te maken voor eventueel aangeboden optionele diensten.
  3. De in lid 2 bedoelde diensten, waaronder eventuele optionele diensten, moeten in de Privacybijsluiter bij deze Bewerkersovereenkomst in begrijpelijke taal zijn beschreven, waarna de Onderwijsinstelling geïnformeerd akkoord kan gaan met de afname van deze dienst(en).
  4. De Onderwijsinstelling kan verplicht zijn de Verwerking van de Persoonsgegevens te melden bij de Autoriteit Persoonsgegevens. De Onderwijsinstelling onderzoekt of zij hiervan is vrijgesteld en doet melding bij de Autoriteit Persoonsgegevens indien zij hiertoe verplicht is.
  5. Onderwijsinstelling en Bewerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de relevante privacywet- en regelgeving mogelijk te maken.

Artikel 4: Privacyconvenant

Partijen onderschrijven de bepalingen in het Convenant Digitale Onderwijsmiddelen en Privacy.

Artikel 5: Gebruik Persoonsgegevens

  1. Bewerker verplicht zich om de van Onderwijsinstelling verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is Bewerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door de Onderwijsinstelling (mondeling, schriftelijk dan wel elektronisch) aan Bewerker zijn opgedragen. Deze verplichting geldt zowel gedurende de looptijd van deze overeenkomst als na afloop daarvan.
  2. Een overzicht van de categorieën Persoonsgegevens en gebruik waarvoor de Persoonsgegevens worden verwerkt, is uiteengezet in de Privacybijsluiter bij deze Bewerkersovereenkomst.
  3. De Bewerker dient in de Privacybijsluiter aan te geven of de Privacybijsluiter ziet op een Leermiddel en Toets en/of School- en Leerlinginformatiemiddel. Bewerker specificeert in de Privacybijsluiter voor welke (in het Convenant opgenomen) doeleinden persoonsgegevens worden verwerkt bij het gebruik zijn product en/of dienst, en welke categorieën Persoonsgegevens daarbij worden verwerkt. Indien aangegeven in de toelichting in de Privacybijsluiter, dient de Bewerker tevens aan te geven onder welke van de in het Convenant omschreven doeleinden bij het gebruik van het product en/of de dienst de Verwerking van Persoonsgegevens plaatsvindt.
  4. Bewerker onthoudt zich van verstrekking van Persoonsgegeven aan een Derde, tenzij deze uitwisseling plaatsvindt in opdracht van de Onderwijsinstelling of wanneer dit noodzakelijk is om te voldoen aan een op de Bewerker rustende wettelijke verplichting. In geval van een wettelijke verplichting, verifieert Bewerker voorafgaande de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Bewerker de Onderwijsinstelling – indien wettelijk toegestaan – onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.
  5. In aanvulling op het bepaalde in lid 4, geldt dat indien Bewerker wordt verzocht Persoonsgegevens te verstrekken aan een door Onderwijsinstelling aangewezen en geselecteerde Derde, zijnde een andere onderwijsinstelling, de Bewerker slechts tot die verstrekking zal overgaan nadat deze onderwijsinstelling zijn administratieve onderwijsidentiteit (bijvoorbeeld BRIN of OiN), voor zover hij daarover beschikt, kenbaar heeft gemaakt.
  6. Partijen zullen jaarlijks bij het opstellen van de leermiddelenlijsten voor het eerstvolgende schooljaar, welke leermiddelenlijsten ten behoeve van de uitvoering van de Product- en Dienstenovereenkomst worden opgesteld, de Privacybijsluiter aanvullen en/of wijzigen door het opnemen van de categorieën Persoonsgegevens en het gebruik dat van deze Persoonsgegevens wordt gemaakt, met betrekking tot de (digitale) leermiddelen die op de desbetreffende leermiddelenlijsten worden opgenomen.

Artikel 6: Geheimhouding

  1. Bewerker zorgt er voor dat een ieder, waaronder haar werknemers, vertegenwoordigers en/of Sub-bewerkers, die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Bewerker bewerkstelligt dat voor een ieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.
  2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Onderwijsinstelling uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een Derde noodzakelijk is gezien de aard van de door Bewerker aan Onderwijsinstelling te verlenen diensten, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.

Artikel 7: Beveiliging en controle

  1. Bewerker zal, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen.
  2. De maatregelen zoals genoemd in artikel 7.1 omvatten in ieder geval:
    1. maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de Bewerkersovereenkomst worden verwerkt;
    2. maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;
    3. maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Onderwijsinstelling;
    4. Een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.
  3. Bewerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
  4. In Bijlage 2 worden de afspraken tussen Partijen vastgelegd over de technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud en de frequentie van de rapportages die Bewerker aan de Onderwijsinstelling oplevert over de beveiligingsmaatregelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de Onderwijsinstelling moet treffen.
  5. De Bewerker stelt de Onderwijsinstelling in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Bewerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 8 genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door de Bewerker kan dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.
  6. In aanvulling op artikel 7, lid 4 heeft de Onderwijsinstelling te allen tijde het recht om, in overleg met de Bewerker en met inachtneming van een redelijke termijn, op eigen kosten, de door Bewerker genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke Register EDP auditor. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door Bewerker in te schakelen gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) afgeeft. De Onderwijsinstelling wordt geïnformeerd over de uitkomsten van de audit.

Artikel 8: Datalekken

  1. Bewerker heeft een passend beleid voor de omgang met Datalekken.
  2. Indien Onderwijsinstelling dan wel Bewerker een Datalek vaststelt, dan zal deze de andere Partij onverwijld informeren. Bewerker verstrekt ingeval van een Datalek alle relevante informatie aan Verantwoordelijke met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de Bewerker treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen. Aanvullend informeren Partijen elkaar onverwijld indien blijkt dat de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van Betrokken zoals bedoeld in artikel 34a, lid 2, Wbp.
  3. Bewerker stelt bij een Datalek de Verantwoordelijke in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. Bewerker dient hierbij aansluiting te zoeken bij de bestaande processen die Verantwoordelijke daartoe heeft ingericht. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de Wbp of andere regelgeving betreffende de Verwerking van de Persoonsgegevens, te voorkomen of te beperken.
  4. In geval van een Datalek voldoet de Onderwijsinstelling aan eventuele wettelijke meldingsplichten. Partijen kunnen in onderling overleg bepalen of, en zo ja hoe, Bewerker een melding aan de Autoriteit Persoonsgegevens kan verrichten. Op verzoek van de Onderwijsinstelling kan Bewerker Onderwijsinstelling hierbij bijstaan en adviseren. De Onderwijsinstelling zal de Betrokkenen, indien wettelijk vereist, informeren over een dergelijke inbreuk. Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.
  5. Over incidenten met betrekking tot de beveiliging, anders dan een Datalek, die vallen buiten het bereik van artikel 1 sub e, informeert de Bewerker de Onderwijsinstelling conform de afspraken zoals neergelegd in Bijlage 2.

Artikel 9: Procedure rechten betrokkenen

  1. Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Bewerker onverwijld doorgestuurd naar de Onderwijsinstelling, die verantwoordelijk is voor de afhandeling van het verzoek.
  2. Bewerker verleent Onderwijsinstelling – voor zover redelijkerwijs mogelijk – volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wbp, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens. Partijen zullen te goeder trouw overleggen over de redelijke verdeling van de eventuele kosten die hiermee gemoeid zijn.

Artikel 10: Verwerking buiten de Europese Economische Ruimte

Partijen zien er op toe dat voor zover Persoonsgegevens buiten de Europese Economische Ruimte (verder: EER) worden Verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Onderwijsinstellingen rusten. Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de landen waar de gegevens worden verwerkt.

Artikel 11: Inschakeling Sub-bewerker

  1. Bewerker kan een Sub-bewerker inschakelen, van wie de identiteit en vestigingsgegevens zullen worden opgenomen in de Privacybijsluiter.
  2. Bewerker verplicht iedere Sub-bewerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Bewerkersovereenkomst.
  3. Bewerker verplicht iedere Sub-bewerker contractueel om Persoonsgegevens niet verder te verwerken anders dan in het kader van deze Bewerkersovereenkomst is overeengekomen.

Artikel 12: Bewaartermijnen en vernietiging Persoonsgegevens

  1. Onderwijsinstelling zal Bewerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Bewerker. Bewerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.
  2. Onderwijsinstelling verplicht Bewerker om de in opdracht van Onderwijsinstelling Verwerkte Persoonsgegevens bij de beëindiging van de Bewerkersovereenkomst te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van de Onderwijsinstelling. De Onderwijsinstelling kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.
  3. Bewerker zal Onderwijsinstelling (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte persoonsgegevens heeft plaatsgevonden.
  4. Bewerker zal alle Sub-bewerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Bewerkersovereenkomst en zal waarborgen dat alle Sub-bewerkers de Persoonsgegevens (laten) vernietigen.

Artikel 13: Tegenstrijdigheid en wijziging Bewerkersovereenkomst

  1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Bewerkersovereenkomst en de bepalingen van de Product- en Dienstenovereenkomst, dan zullen de bepalingen van deze Bewerkersovereenkomst leidend zijn.
  2. Indien Partijen van de artikelen in de Model Bewerkersovereenkomst door omstandigheden moeten afwijken, of deze willen aanvullen, dan zullen deze wijzigingen en/of aanvullingen door Partijen worden beschreven en gemotiveerd in een overzicht dat als Bijlage 3 aan deze Bewerkersovereenkomst zal worden gehecht. Het bepaalde in dit lid geldt niet voor aanvullingen en/of wijzigingen van de Bijlagen 1 en 2.
  3. Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens de Onderwijsinstelling de keuze hiertoe aanvaardt, de Onderwijsinstelling in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens, de doeleinden waaronder de Persoonsgegevens worden Verwerkt en het inschakelen van een (andere) Sub-bewerker. De wijzigingen zullen in Bijlage 1 worden opgenomen.
  4. Wijzigingen in de artikelen van de Bewerkersovereenkomst kunnen uitsluitend in gezamenlijkheid worden overeengekomen.
  5. In het geval enige bepaling van deze Bewerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Bewerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.

Artikel 14: Duur en beëindiging

  1. De looptijd van deze Bewerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingen daarvan.
  2. Deze Bewerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Product- en Dienstenovereenkomst. De beëindiging van deze Bewerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Bewerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
BIJLAGE III.1: PRIVACYBIJSLUITER KPITO

Scholen maken in toenemende mate gebruik van digitale toepassingen binnen het onderwijs. Bij het gebruik en levering van deze producten en diensten zijn gegevens nodig die te herleiden zijn tot personen (zoals leerlingen). Scholen moeten met Bewerkers afspraken maken over het gebruik van die Persoonsgegevens.

Deze Privacybijsluiter geeft scholen informatie over de dienstverlening die bewerker verleent en welke persoonsgegevens de Bewerker daarbij verwerkt. Alles bij elkaar eigenlijk over de vraag “wie, wat, waar, waarom en hoe” wordt omgegaan met de privacy van de betrokken personen wiens gegevens worden uitgewisseld.

Het gebruik van deze Privacybijsluiter helpt Onderwijsinstellingen om beter te begrijpen wat de werking van het product en/of dienst is en welke gegevens daarvoor worden uitgewisseld.

In het kader van de herkenbaarheid is het wenselijk dat Bewerkers zo veel mogelijk op uniforme wijze gebruik maken van de Privacybijsluiter. Afwijkingen van dit model zijn weliswaar mogelijk, maar dienen bij voorkeur beperkt te blijven. Indien de ruimte in deze bijlage onvoldoende is om de benodigde informatie te beschrijven, is het mogelijk de informatie op te nemen in separate Bijlage(n), welke als volgt genummerd worden: “Bijlage 1A”, “Bijlage 1B”, etc.. Deze Bijlagen worden aan de Bewerkersovereenkomst gehecht.

A. Algemene informatie

Naam product en/of dienst : Kpito

Naam Bewerker en vestigingsgegevens : The Anders & Winst Company BV

Beknopte uitleg en werking product en dienst : Digitaal werkboek

Link naar leverancier en/of productpagina : www.kpito.it

Doelgroep (zoals PO/VO, onderbouw/bovenbouw) : PO

Gebruikers : leerlingen/docenten

B. De specifieke diensten

Omschrijving van de specifiek verleende diensten en bijbehorende Verwerkingen

  1. Verwerkingen die een onlosmakelijk onderdeel vormen van de aangeboden dienst.
    1. Het vastleggen van antwoorden op opgaven van leerlingen
    2. Op basis van antwoorden van leerlingen de leerprestaties vaststellen en deze terugkoppelen aan de leerling, bijvoorbeeld in de vorm van de aanwijzing welke leerdoelen nu aandacht behoeven.
    3. Via het Dashboard de leraar inzicht geven in de antwoorden en leerresultaten van de leerlingen. Dit Dashboard dient ook om instellingen te wijzigen aangaande o.a. het geslacht van de leerling, het kunnen doen van speelse leeropdrachten, het indelen van kinderen in groepjes en om werk klaar te zetten voor de leerlingen. Ook kunnen overzichten worden aangeboden aan leraren van het relatieve niveau van de leerlingen in de klas tov. het nationale gemiddelde, of over de eventuele verbetering of verslechtering van leerprestaties in de afgelopen minuten/uren/dagen/weken.
    4. Het maken van een back-up: de gegevens die door Kpito worden verwerkt voor de Onderwijsinstelling worden via een back-up veiliggesteld.
  2. Omschrijving van de optionele Verwerkingen die de bewerker aanbiedt (toelichting: Het gaat hier om aanvullende diensten en bijhorende Verwerkingen die geen onlosmakelijk onderdeel vormen van de aangeboden dienst. Dit zijn bijvoorbeeld optionele diensten voor de Onderwijsinstelling die behulpzaam kunnen zijn voor de Onderwijsinstelling t.b.v. het primaire (leer)proces en administratieve werkzaamheden. De Onderwijsinstelling dient een keuze te maken (opdracht te geven) voor het afnemen van deze diensten. Dat kan door de keuze schriftelijk aan te geven in deze bijlage (bijvoorbeeld door het aanvinken van een tick-box). Instemming kan ook plaatsvinden doordat de Onderwijsinstelling in de praktijk de dienst activeert, bijvoorbeeld door een product of dienst aan of uit zetten. De Onderwijsinstelling die op deze wijze de keuze maakt, dient dit op basis van eerder verstrekte informatie (zoals bijvoorbeeld opgenomen in deze Bijsluiter) te kunnen doen.
    1. Het beschikbaar stellen, op voorafgaand verzoek van de Onderwijsinstelling, van (persoons-)gegevens aan onderzoeksinstellingen. 
Het kan zijn dat een Onderwijsinstelling aan onderzoeksinstellingen een dataset met resultaten ter beschikking stelt. Wanneer het gaat om een enkele, kleine dataset dan zal de Onderwijsinstelling dat zelf kunnen doen. Wanneer het gaat om substantiële bestanden dan kan de Onderwijsinstelling gebruik maken van deze dienst van Kpito. Met deze dienst is het mogelijk om op een meer kostenefficiënte manier bestanden gereed te maken voor overdracht namens de Onderwijsinstelling aan onderzoeksinstellingen.
C. Doeleinden voor het verwerken van gegevens

De Bewerker dient in deze Bijsluiter expliciet aan te geven of deze:

□V I. leverancier is van een digitaal product en/of digitale dienst bestaande uit leerstof en/of toetsen, of

□V II. (tevens) leverancier is van een School- en Leerlinginformatiemiddel.

Ad I. Indien de Bewerker leverancier is van een digitaal product en/of digitale dienst bestaande uit Leermiddelen en Toetsen, dan zijn de mogelijke doelstellingen van deze producten en diensten omschreven in het daarop betrekking hebbende onderdeel van artikel 5 lid 1 van het Convenant Digitale Onderwijsmiddelen en Privacy 2.0. Deze hoeven in deze Bijsluiter verder niet benoemd te worden.

Ad II. (Alleen) indien de bewerker (tevens) leverancier is van een digitaal product en/of digitale dienst bestaande uit een School- en Leerlinginformatiemiddel dan dient in deze Privacy Bijsluiter expliciet te worden aangegeven voor welke doeleinden er Persoonsgegevens worden verwerkt bij het gebruik van het product en/of de dienst. De Bewerker dient hierbij zo veel mogelijk aansluiting te zoeken bij de in artikel 5 lid 2 van het Convenant Digitale Onderwijsmiddelen en Privacy 2.0 opgenomen lijst met doeleinden.

D. Categorieën en soorten persoonsgegevens

Omschrijving en opsomming categorieën Persoonsgegevens die gebruikt worden:

  • Bijnaam leerling 
(dit kan de werkelijke naam zijn, een afkorting of een fantasienaam)
  • Gemaakte opgave, datum en duur
  • Leerprestaties en leerresultaten
  • Berekende gemiddelde scores op opgaven, voortgang en percentielscore in de nationale verdeling
E. Algemene informatie over getroffen beveiligingsmaatregelen

Voor de genomen veiligheidsmaatregelen wordt kortheidshalve verwezen naar Bijlage 2 bij de Bewerkersovereenkomst.

  • Eventuele optionele Persoonsgegevens (die worden niet standaard gevraagd en opgeslagen): Werkelijke naam van de leerling
  • Soorten van gegevens (zoals bijzondere gegevens, of financiële gegevens): Geen
  • Specifieke beveiligingsmaatregelen voor deze dienst/product: Versleuteling van gegevensoverdracht
  • Eventuele certificeringen: Geen
  • Audits/derden-verklaringen: Geen
  • Plaats/Land van opslag en Verwerking van de Persoonsgegevens: Europese Unie (momenteel Nederland).
F. Sub-bewerkers
  • Bewerker maakt voor dienst/product gebruik van de volgende Sub-bewerkers: Oberon, hostingprovider en softwareontwikkelaar.
  • Plaats/Land van opslag en Verwerking van de Persoonsgegevens: EU (momenteel Nederland)
G. Contactgegevens

Voor vragen of opmerkingen over deze Bijsluiter of de werking van dit product of deze dienst kunt u terecht bij: Kpito, Lisdoddelaan 143, 1087KB Amsterdam, e-mail info@kpito.nl.

Deze Privacybijsluiter maakt onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen en Privacy 2.0, een initiatief van de PO-Raad, VO-raad, de verschillende betrokken ketenpartijen (GEU, KBB-e en VDOD) en het ministerie van Onderwijs, Cultuur en Wetenschap. Meer informatie hierover vindt u hier: http://ww.privacyconvenant.nl.

 

BIJLAGE III.2: Technische en organisatorische beveiligingsmaatregelen

De Bewerker is overeenkomstig de Wbp en artikel 7 Bewerkersovereenkomst verplicht technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens.

Omschrijving van de maatregelen zoals bedoeld in artikel 7.2 Bewerkersovereenkomst

I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens. Meer in het bijzonder de uitwerking welke (groepen) medewerkers van de Bewerker toegang hebben tot welke Persoonsgegevens, inclusief een omschrijving van handelingen die deze medewerkers uit mogen voeren met de persoonsgegevens.

  1. (groepen van) medewerkers die toegang hebben tot welke Persoonsgegevens:
    1. Directie, databaseadministrators en medewerkers van de helpdesk van Kpito hebben toegang tot klantgegevens voor de uitvoering van de taken in het kader van afgenomen diensten. Zij hebben ook toegang tot de gebruiksgegevens, antwoorden en prestatiegegevens van de leerlingen.
    2. Trainers en coaches kunnen ook toegang tot dergelijke gegevens krijgen, maar pas na voorafgaande toestemming van de Onderwijsinstelling.
  2. handelingen die deze medewerkers uitvoeren met de Persoonsgegevens:
    1. Directie/databaseadministrators/helpdesk: Het behandelen van vragen, problemen en klachten bij het gebruik van Kpito. Ook het controleren van medewerkers.
    2. Trainers en coaches: Het opstellen van analyses op basis van het gebruik van Kpito op verzoek van de Onderwijsinstelling..

II. Omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, Verwerking, toegang of openbaarmaking.

  • Personen die toegang hebben tot de gegevens hebben een geheimhoudingsovereenkomst getekend.
  • Gegevens worden verwijderd na opdracht van de Onderwijsinstelling.
  • Gegevens worden opgenomen in een back-up routine van de bewerker/sub-bewerker.
  • Gegevens worden verwijderd via de reguliere routine. 
Meer in het bijzonder de uitwerking van de door Bewerker getroffen technische en organisatorische (beveiligings-)maatregelen en de daarbij gehanteerde beveiligingsnorm.
  • Periodiek wordt nagegaan of de toegekende autorisaties nog behoren bij de functionaris.
  • Meer in het bijzonder de uitwerking van de door Bewerker getroffen technische en organisatorische (beveiligings-)maatregelen en de daarbij gehanteerde beveiligingsnorm.
  • Versleuteling van de opgeslagen gegevens
  • Meermaals beveiligde toegang tot de serverruimte
  • SSL-transport van data
  • Pro-actieve implementatie van Europese en nationale regelgeving voor opslag en transport van data

III. Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Onderwijsinstelling.

  • Kpito heeft inspectierecht bij haar sub-bewerkers bedongen en verkregen. Sub-bewerkers moeten alle incidenten vastleggen en aan Kpito op verzoek ter inzage geven. Periodiek is er een complianceonderzoek verricht door een externe deskundige.

Rapportage (artikel 7.4 van de Bewerkersovereenkomst)

  • Bewerker rapporteert periodiek met een frequentie van 1 maal per jaar, uiterlijk op 1 juli, aan Verantwoordelijke over de door Bewerker genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen en eventuele aandachtspunten daarin.
  • Helpdesk/servicedesk beveiligingsincidenten: Kpito, Lisdoddelaan 143 1087 KB, Amsterdam, telefoonnummer 020-4706517., bereikbaar maandag t/m vrijdag van 09.00 tot 17.00 uur. Buiten deze tijden kunt u e-mailen naar helpdesk@kpito.nl.

Informeren over Datalekken en/of incidenten met betrekking tot beveiliging

  • Kpito zal altijd de directie van de Onderwijsinstelling informeren, binnen maximaal 24 uur na constatering van datalekken of een beveiligingsincident.

Afspraken over het informeren in geval van Datalekken en/of incidenten met betrekking tot beveiliging

  • De Onderwijsinstelling kan een datalek, danwel vermoedelijk datalek, ontdekt door haarzelf danwel derden, melden als volgt:
    • Stuur een e-mail naar helpdesk@kpito.nl, gericht aan de Verantwoordelijke Privacy. Deze bevat:
      • Datum en tijdstip constatering
      • Samenvatting incident
      • Kenmerk en aard incident
      • De oorzaak van het incident
      • De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen
      • Betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin
      • De omvang van de groep betrokkenen;
      • Het soort gegevens dat door het incident wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
    • Bewerker kan een melding aan de Autoriteit Persoonsgegevens kan verrichten met alle in bovenstaande melding vermelde gegevens
    • Bij vervolgacties kan contact worden opgenomen met de directie van Kpito/The Anders & Winst Company BV.

Versie 2 van Oktober 2018.

Deze Privacybijsluiter maakt onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen en Privacy 2.0, een initiatief van de PO-Raad, VO-raad, de verschillende betrokken ketenpartijen (GEU, KBB-e en VDOD) en het ministerie van Onderwijs, Cultuur en Wetenschap. Meer informatie hierover vindt u hier: http://ww.privacyconvenant.nl.