1. Partijen
- Verwerkingsverantwoordelijke ("de School"): de onderwijsinstelling die Overhoor gebruikt en bepaalt welke leerlinggegevens worden verwerkt.
- Verwerker: Overhoor, KvK [KvK-nummer in te vullen], gevestigd te [adres in te vullen], [plaats in te vullen] — aanbieder van het platform Overhoor.
Deze verwerkersovereenkomst hoort bij en is onlosmakelijk verbonden met de overeenkomst over het gebruik van Overhoor (de "Hoofdovereenkomst").
2. Onderwerp & doel
De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de School, voor het leveren van het oefenplatform: het beheren van leerlingaccounts, het aanbieden van oefenmateriaal en het bijhouden van voortgang en resultaten. De Verwerker gebruikt de gegevens niet voor eigen doeleinden.
3. Instructies van de school
De Verwerker verwerkt de persoonsgegevens alleen op basis van schriftelijke instructies van de School, tenzij een wettelijke verplichting anders bepaalt. Vindt de Verwerker dat een instructie in strijd is met de AVG, dan meldt hij dit direct.
4. Categorieën gegevens & betrokkenen
| Betrokkenen | Categorieën gegevens |
|---|---|
| Leerlingen | Naam, gebruikersnaam, e-mailadres, klas/groep, leerresultaten en voortgang. |
| Leerkrachten & beheerders | Naam, e-mailadres, rol en inloggegevens. |
Er worden geen bijzondere categorieën persoonsgegevens verwerkt, tenzij de School dat expliciet en schriftelijk overeenkomt.
5. Geheimhouding
De Verwerker zorgt dat personen die toegang hebben tot de persoonsgegevens, gebonden zijn aan geheimhouding en de gegevens alleen verwerken voor zover nodig voor hun taak.
6. Beveiligingsmaatregelen
De Verwerker treft passende technische en organisatorische maatregelen, waaronder:
- Versleutelde verbindingen (HTTPS/TLS);
- Wachtwoorden opgeslagen met sterke hashing (bcrypt);
- Beschikbare tweestapsverificatie (2FA);
- Toegangsbeperking op basis van rol (RBAC) en het need-to-know-principe;
- Logging, rate limiting en monitoring tegen misbruik;
- Regelmatige back-ups.
7. Subverwerkers
De Verwerker mag subverwerkers inschakelen voor hosting, e-mailverzending, betalingen en beveiliging. Met elke subverwerker sluit de Verwerker een overeenkomst met minstens dezelfde verplichtingen als in deze overeenkomst. De School wordt geïnformeerd over wijzigingen in subverwerkers en kan daartegen gemotiveerd bezwaar maken.
8. Doorgifte buiten de EER
Persoonsgegevens worden in beginsel binnen de Europese Economische Ruimte (EER) verwerkt. Vindt doorgifte naar een land daarbuiten plaats, dan gebeurt dat alleen met passende waarborgen, zoals de modelcontractbepalingen van de Europese Commissie.
9. Rechten van betrokkenen
De Verwerker helpt de School, voor zover mogelijk, om verzoeken van betrokkenen (inzage, correctie, verwijdering, beperking, dataportabiliteit) af te handelen. Verzoeken die rechtstreeks bij de Verwerker binnenkomen, worden doorgestuurd naar de School.
10. Datalekken
Bij een (vermoedelijk) datalek informeert de Verwerker de School zonder onredelijke vertraging, in beginsel binnen 48 uur na ontdekking, met de beschikbare informatie zodat de School kan voldoen aan haar meldplicht bij de toezichthouder en betrokkenen.
11. Audits
De School mag de naleving van deze overeenkomst (laten) controleren, bijvoorbeeld via een rapportage of een audit door een onafhankelijke deskundige, met inachtneming van een redelijke aankondigingstermijn en de bedrijfsvoering van de Verwerker.
12. Einde & teruggave
Na afloop van de Hoofdovereenkomst verwijdert de Verwerker de persoonsgegevens of geeft deze op verzoek terug aan de School, tenzij een wettelijke bewaarplicht anders bepaalt.
13. Duur & ondertekening
Deze verwerkersovereenkomst geldt zolang de Verwerker persoonsgegevens voor de School verwerkt. Een door beide partijen ondertekend exemplaar is op aanvraag beschikbaar via info@tiemoz2h.nl.