Privacy

Algemene Verordening Gegevensbescherming

Spectrumvisie verwerkt persoonsgegevens in opdracht van scholen of particulieren met als doel het beter kunnen begeleiden van leerlingen. Spectrumvisie handelt volgens de Wet bescherming persoonsgegevens (WBP) en vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG). Scholen en instellingen die gegevens van leerlingen in onze systemen verwerken, zijn volgens de WBP en AVG verplicht om met ons een bewerkersovereenkomst af te sluiten. Hierin legt de school of instelling vast dat zij zelfstandige zeggenschap houdt over het eigendom, het doel en de middelen van de verwerking. Ook ligt vast dat Spectrumvisie geen gegevens aan derden zal verstrekken (m.u.v. politie en justitie). Omdat wij ook bijzondere persoonsgegevens verwerken, kan  het voor de school noodzakelijk zijn om hiervoor toestemming van de betrokkene (de persoon voor wie het paspoort is aangemaakt) of de ouders/verzorgers te krijgen.

Spectrumvisie draagt zorg voor een adequate beveiliging van de website, alsmede voor een afdoende bescherming van persoonsgegevens tegen verdere verwerking door zoekmachines. Hiervoor zijn maatregelen genomen op technisch- en procesniveau. Spectrumvisie omarmt de principes “Privacy by design” en “Security by design” en laat wekelijks haar publieke systemen scannen op de meest actuele beveiligingsrisico’s.

Voor de allerlaatste ontwikkelingen rondom AVG of voor meer informatie klikt u hier.

Gegevens die wij verwerken

Spectrumvisie verwerkt persoonsgegevens over u doordat u gebruik maakt van onze diensten en/of omdat u deze zelf aan ons verstrekt. Voor het aanmaken van een account in onze applicatie verwerken wij uw (bedrijfs-)naam, klant categorie, adresgegevens, telefoonnummer, email adres, voor- & achternaam en telefoonnummer(s) contactpersoon, IBAN, KVK-nummer, of u een nieuwsbrief wenst te ontvangen en wanneer u akkoord bent gegaan met de algemene voorwaarden. Voor deze gegevens is Spectrumvisie de verantwoordelijke. Binnen een account kunnen er meerdere paspoorten worden beheerd waarin wij roepnaam, achternaam, geboortedatum, opleidingsniveau, naam van de school, klas/beroep, medische diagnose, medicijngebruik en de naam en een telefoonnummer van een ouder of verzorger verwerken. Per paspoort is de verdere inhoud van de gegevens verschillend, afhankelijk van de gekozen opties tijdens het invulproces. Een aantal persoonsgegevens in het paspoort worden aangemerkt als bijzondere persoonsgegevens omdat ze betrekking hebben op de gezondheid of omdat het informatie is over personen die jonger dan 13 jaar zijn. Afhankelijk van de relatie die wij hebben met een klant zijn er twee opties:

 U bent een school of instelling die voor meerdere personen paspoorten wilt invullen, u bent dan de verantwoordelijke. Dan adviseren wij u om een bewerkersovereenkomst met ons af te sluiten en kan het nodig zijn dat de betrokkene vooraf schriftelijke toestemming (grondslag) moet geven om (bijzondere) persoonsgegevens te mogen verwerken.

– U bent een particulier en neemt een product (Autismepaspoort) bij ons af. Volgens de wet (AVG en WBP) worden wij aangemerkt als verantwoordelijke. Hierdoor zijn wij verplicht om aan te kunnen tonen dat de betrokkene toestemming (grondslag) heeft gegeven om (bijzondere) persoonsgegevens door ons te laten verwerken. Hiervoor vragen wij uw expliciete toestemming in het bestelformulier op onze site.

Naast inhoudelijke informatie, houden wij bij wanneer u bij ons op de site inlogt, vanaf welk IP adres, wanneer een nieuw paspoort werd aangemaakt, gewijzigd, wanneer het verloopt of is verlopen, welke resolutie een eventuele pasfoto heeft en welke pagina’s binnen onze applicatie u het meest bezoekt.

Als u er van overtuigd bent dat wij zonder toestemming gegevens over u of uw kinderen hebben verzameld, neemt u dan contact met ons op via mail@spectrumvisie.nl, dan zullen wij deze informatie direct verwijderen.

Waarom hebben we deze gegevens nodig?

Spectrumvisie verwerkt persoonsgegevens voor de volgende doelen:

  • – Het leveren van (online)diensten
  • – Onze klanten te informeren over wijzigingen van onze diensten en producten
  • – Met klanten te kunnen communiceren indien dit nodig is
  • – Het afhandelen van betalingen

Hoe lang bewaren wij uw gegevens?

Spectrumvisie zal uw persoonsgegevens niet langer bewaren dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld. Indien een product (Autismepaspoort) langer dan 2 jaar is verlopen verwijderen wij de volgende persoonsgegevens: roepnaam, achternaam, een eventuele foto, geboortedatum, opleidingsniveau, naam van de school, klas/beroep, medische diagnose, medicijngebruik en de naam en een telefoonnummer van een ouder of verzorger automatisch uit onze systemen.

Het recht op inzien, aanpassen, vergetelheid of het intrekken van toestemming voor verweking

U hebt bij ons altijd het recht om uw persoonsgegevens in te zien, te corrigeren of te verwijderen. Dit kunt u gedeeltelijk zelf doen via de persoonlijke instellingen van uw account of door het openen van een paspoort. Lukt dit niet of heeft u andere vragen/opmerkingen over de gegevensverwerking, stuur dan uw verzoek naar mail@spectrumvisie.nl. Om uw identiteit te kunnen verifiëren, vragen wij u een kopie van een geldig identiteitsbewijs mee te sturen. U kunt in deze kopie het burger servicenummer (BSN), de MRZ (Machine Readable Zone), het paspoortnummer en uw pasfoto zwart maken. Spectrumvisie zal zo snel mogelijk, maar in ieder geval binnen vier weken, op uw verzoek reageren.

Toegang tot gegevens

Iedere klant krijgt een gebruikersnaam en een éénmalig wachtwoord (OTP) toegewezen. Dit wachtwoord dient bij de eerste keer aanmelden door de klant te worden aangepast. Hierbij wordt de klant erop gewezen dat het van belang is om een sterk wachtwoord te kiezen (met cijfers, hoofdletters en kleine letters). De verantwoordelijkheid voor het kiezen van een sterk wachtwoord ligt bij de klant zelf. De minimale lengte van een wachtwoord is 8 tekens, de maximale lengte is 30 tekens. Het wachtwoord wordt nergens opgeslagen en kan achteraf ook niet worden achterhaald. Bij verlies van het wachtwoord kan er alleen een nieuw wachtwoord worden aangevraagd waarvoor kennis moet zijn van de adresgegevens die bij ons zijn geregistreerd. Het wachtwoord voor onze gastentoegang kan ook worden aangepast en bestaat uit een combinatie van hoofdletters, kleine letters, cijfers en vreemde tekens. Dit wachtwoord wordt wel opgeslagen omdat u dit aan een derde persoon moet kunnen verstrekken. Om de gegevens extra te beschermen, bieden wij klanten de mogelijkheid de gastentoegang per paspoort uit te schakelen. Wij adviseren klanten gastentoegang altijd uit te schakelen als deze optie niet wordt gebruikt. Bedenk ook aan wie u het wachtwoord in het verleden heeft verstrekt en genereer bij iedere nieuwe ‘gast’ ook een nieuw wachtwoord.

Transport van gegevens

Iedereen die gebruik maakt van het online deel van de website wordt gedwongen om minimaal gebruik te maken van het TLS 1.2 encryptie protocol. Daarbij wordt het gebruik van zwakke of helemaal geen versleuteling door specifieke serverinstellingen afgedwongen. Het Autismepaspoort maakt gebruik van een sleutellengte van minimaal 2048 bits en SHA256 als hash-algoritme voor de digitale handtekening. Indien u twijfelt aan de handtekening, dan kunt u deze ter controle bij ons opvragen. De gegevens die u via de site stuurt en ontvangt worden versleuteld met het TLS protocol. Door gebruik te maken van TLS certificaten, weten onze klanten zeker dat zij met onze systemen communiceren en wordt de versleuteling van gegevens afgedwongen.

Om uw gegevens bij het transport zo goed mogelijk te kunnen beveiligen, kan het voorkomen dat u een foutmelding ontvangt wanneer u onze site bezoekt met een verouderde webbrowser. Wij adviseren u om uw browser en/of operating systeem te updaten zodat ook uw gegevens ook goed worden beschermd.

beveiliging

Opslag van gegevens

Klanteninformatie en informatie over leerlingen zijn apart opgeslagen in het systeem en zijn daarom niet automatisch aan elkaar te koppelen. De data in de database is niet versleuteld, maar de gehele database is dat wel. Hiervoor wordt een sterk wachtwoord gebruikt met een minimale lengte van 20 tekens waaronder kleine letters, hoofdletters, cijfers en leestekens. Het wachtwoord van een klant wordt nergens opgeslagen en is ook nergens bekend. Bij het aanmaken of wijzigen van het wachtwoord wordt er een hash van het wachtwoord plus een eigen ‘salt’ (willekeurige data) gegenereerd volgens het SHA256 algoritme. Alleen deze hash wordt opgeslagen in de database en is niet te herleiden naar het oorspronkelijke wachtwoord. Bij het aanmelden op onze site wordt de hash uit de database met de hash van het ingevoerde wachtwoord vergeleken. Spectrumvisie heeft gekozen voor eigen servers en virtualisatie voor haar informatiesystemen. Hiermee beperkt Spectrumvisie het risico om slachtoffer te worden van onveilige applicaties van anderen die gebruik maken van dezelfde server. Tevens kunnen wij de capaciteit en performance van onze diensten snel aanpassen aan de behoeften en zo min mogelijk downtime realiseren.

Alle data die wij opslaan, blijft binnen de grenzen van de Europese Unie (EU) waardoor onze klanten er zeker van zijn dat de data volgens de Europese richtlijnen wordt beschermd. Dit geldt ook voor de back-ups van onze servers.

Fysieke beveiliging

Spectrumvisie heeft ervoor gekozen om het technisch beheer van haar informatiesystemen uit te besteden aan een professionele partij. Deze hostingpartij heeft diverse maatregelen en barrières ingeregeld om te voorkomen dat onbevoegden (fysieke) toegang hebben tot de data op de servers van Spectrumvisie. De servers van Spectrumvisie staan in een extra beveiligd deel van het datacenter die alleen toegankelijk is voor geautoriseerd personeel. Bezoekers worden in principe niet toegelaten en dienen zich vooraf te identificeren. Het gebouw is voorzien van verschillende toegangscontrole, alarmsystemen en camerabewaking om fysieke toegang tot de hardware en infrastructuur te beveiligen. Daarnaast is de ICT infrastructuur redundant uitgevoerd over twee locaties (Haarlem en Amsterdam). Beide locaties maken gebruik van TIER-1 netwerkleveranciers (TATA en TeliaSonera) en maken gebruik van één van de grootste internet-knooppunten ter wereld (AMX-IX). Hierdoor kan er een beschikbaarheidgarantie worden afgegeven van 99,95%.

Onze hosting provider beschikt over de volgende certificeringen (van alle certificeringen kan, indien gewenst, een bewijsstuk worden overhandigd):

  • ISO/IEC 270001:2013
  • ISO/IEC 9001:2015
  • NEN 7510:2011
  • ISAE 3402 (type I)
  • ISO 14001

Om onze hosting provider scherp te houden en omdat het lastig om zelf te vast te stellen dat de beveiliging van de software in orde is, wordt er wekelijks een kwetsbaarhedenscan uitgevoerd door een onafhankelijke externe partij. Deze kwetsbaarheden tests worden automatisch uitgevoerd op basis van een steeds geactualiseerde database van bekende kwetsbaarheden. De beheerder van de systemen ontvangt hiervan het rapport en neemt aanvullende beveiligingsmaatregelen om eventuele nieuwe kwetsbaarheden zo snel mogelijk te mitigeren.

Het 24 uur per dag in de lucht houden van ICT voorzieningen kost energie en heeft impact op ons milieu. Daarom is hiervoor specifieke aandacht geweest bij de selectie van onze hosting partner. Al onze ICT systemen zijn sinds november 2017 ondergebracht in datacenters die geheel CO2 neutraal (PUE<1,2) zijn worden gevoed uit 100% natuurlijk bronnen (zon, wind, water, etc). Daarnaast is er in ISO 14001 standaard vastgelegd dat er continue innovatie plaatsvindt op het gebied van energiebesparing.

Cookie beleid

Spectrumvisie maakt op haar websites gebruik van twee soorten cookies:

Functionele cookies: Deze cookies worden alleen gebruikt om sessie informatie in op te slaan (Klantennaam, klantennummer, paspoortnummer en enkele beveiligingsinstellingen). Hiermee wordt voorkomen dat de klant zich steeds opnieuw moet aanmelden en is vereist voor een goede werking van de applicaties. Het blokkeren van deze cookies zal ervoor zorgen dat er geen gebruik gemaakt kan worden van onze applicaties. De informatie wordt bij het afmelden van onze applicatie direct verwijderd uit het geheugen van uw systeem.

Statistieken cookies: Statistieken cookies: Spectrumvisie maakt gebruik van Google Analytics om statistieken te verzamelen over het gebruik van haar applicaties en websites. Hierbij zijn IP adressen geanonimiseerd en worden er geen persoonsgegevens met Google gedeeld. Indien gewenst kunnen deze cookies worden geblokkeerd, zij beïnvloeden de werking van onze applicaties en websites niet. Voor meer informatie over Google Analytics verwijzen u door naar de privacyverklaring van Google

Voor beide soorten cookies is vooraf geen toestemming van de bezoeker nodig. Spectrumvisie benadrukt dat zijn geen persoonsgegevens via cookies verzamelt.