Privacybeleid

Henry Handsome, ontwikkelaar van Examinering Keuzedelen, gevestigd aan Hendrik Figeeweg 1, 2031 BJ Haarlem, is verantwoordelijk voor de verwerking van persoonsgegevens zoals weergegeven in deze privacyverklaring.

Contactgegevens:
www.henryhandsome.nl
Hendrik Figeeweg 1, 2031 BJ Haarlem
023 583 0148

Roel Stevens is de Functionaris Gegevensbescherming van Henry Handsome en is te bereiken via roel@henryhandsome.nl

Persoonsgegevens die wij verwerken

Voor de tool Examinering Keuzedelen is de onderwijsinstelling die de tool gebruikt zelf eigenaar van de persoonsgegevens in het systeem. Henry Handsome levert de tool, de onderwijsinstelling voegt daar studenten en medewerkers aan toe.

Hieronder vindt u een overzicht van de persoonsgegevens die in de tool beschikbaar zijn:

  • Studentnummer
  • Voornaam
  • Achternaam
  • Email adres
  • Resultaten van gemaakte examens

Wij verwerken deze persoonsgegevens voor de volgende doelen:

  • Het verstreken van toegang voor de student, docent, medewerkers tot Examinering Keuzedelen
  • Het afnemen van de examens
  • Verwerking van de resultaten in een rapport

Hoe lang we persoonsgegevens bewaren

Opgave van de (wettelijke) bewaartermijnen van Persoonsgegevens (of toetsingscriteria om dit vast te stellen) die van toepassing zijn op de Verwerking van Persoonsgegevens door de Verwerker.

De specifieke bewaartermijnen worden vastgesteld door de Onderwijsinstelling als Verwerkingsverantwoordelijke, eventueel op basis van een voorstel van de Verwerker.

De gegevens worden door Examinering Keuzeonderdelen verwijderd zes jaar na de eerste activiteit van een student.

Delen van persoonsgegevens met derden

Henry Handsome verstrekt uitsluitend aan derden en alleen als dit nodig is voor de uitvoering van onze overeenkomst met u of om te voldoen aan een wettelijke verplichting.

Cookies, of vergelijkbare technieken, die wij gebruiken

Henry Handsome gebruikt voor Examinering Keuzedelen geen cookies of vergelijkbare technieken.

Gegevens inzien, aanpassen of verwijderen

Gebruikers hebben recht om persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaast hebben zij het recht om eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens door Henry Handsome en het recht op gegevensoverdraagbaarheid. Dat betekent dat u bij ons (direct of via de onderwijsinstelling) een verzoek kunt indienen om de persoonsgegevens in een computerbestand naar u of een ander, door u genoemde organisatie, te sturen.

U kunt een verzoek tot inzage, correctie, verwijdering, gegevensoverdraging van uw persoonsgegevens of verzoek tot intrekking van uw toestemming of bezwaar op de verwerking van uw persoonsgegevens sturen naar roel@henryhandsome.nl.

Om er zeker van te zijn dat het verzoek tot inzage door u is gedaan, vragen wij u een kopie van uw identiteitsbewijs met het verzoek mee te sturen. Maak in deze kopie uw pasfoto, MRZ (machine readable zone, de strook met nummers onderaan het paspoort), paspoortnummer en Burgerservicenummer (BSN) zwart. Dit ter bescherming van uw privacy. We reageren zo snel mogelijk, maar binnen vier weken, op uw verzoek.

Henry Handsome wil u er tevens op wijzen dat u de mogelijkheid heeft om een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens. Dat kan via de volgende link: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons

Hoe wij persoonsgegevens beveiligen

Henry Handsome neemt de bescherming van uw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan contact op met onze klantenservice of via roel@henryhandsome.nl

Henry Handsome/ Examinering Keuzedelen is daarnaast ook aangesloten bij www.privacyconvenant.nl

Compliance, Beveiliging & Certificeringen

Door gebruik te maken van onze beveiligde infrastructuur, breiden jullie in feite die van de school uit. Jullie moeten er dus 100% zeker van kunnen zijn dat hij voldoet aan de normen die jullie stellen of dienen te houden.

Daarom schakelen wij en onze partners onafhankelijke externe auditors in om te verifiëren dat onze systemen en processen aan de meest recente industrienormen voldoen. Alle relevante certificaten en informatie van de Assurancerapporten worden hieronder beschreven.

Alle belangrijke aspecten zijn gedekt

Certificeringen en Assurancerapporten garanderen dat logische beveiliging, fysieke beveiliging, levering van diensten, klantenservice, incidentmanagement, verandermanagement en operationele continuïteit voldoen aan de laatste normen.

Wereldwijd erkend

Onze certificaten en Assurancerapporten (ISO 27001, PCI DSS, SOC 1 Type II, HIPAA en NEN 7510) en onze externe audit partners worden overal ter wereld erkend.

Gemoedsrust

Waar ter wereld jullie je bevinden, jullie kunnen als school er zeker van zijn dat wij en onze partners doeltreffende operationele controles hebben ingesteld en voldoen aan strenge auditnormen voor databescherming en -beschikbaarheid.

Jullie willen aan jullie management, aandeelhouders en andere belanghebbenden kunnen bewijzen dat de compliance in orde is, om zorgen over kwesties als cyberveiligheid en de continuïteit van de onderneming te verzekeren. Wij en onze partners hebben nauw samengewerkt met EY, EY CertifyPoint en ComSec Consulting, met als resultaat ISO 27001-, PCI DSS-, SOC 1-, HIPAA- en NEN 7510-assurancerapporten en -certificaten die jullie garanderen dat onze infrastructuur, gegevensverwerking en beveiliging voldoen aan de laatste normen.

Hier vinden jullie de certificaten en Assurancerapporten die wij en onze partners hebben behaald:

ISO 27001

ISO (International Organization for Standardization) 27001:2013 is de internationale veiligheidsnorm die gebruikt wordt om de bescherming van gevoelige data te toetsen.

PCI DSS

De PCI DSS (Payment Card Industry Data Security Standard)-zorgt ervoor dat gevoelige informatie op een veilige manier kan worden verwerkt en is bedoeld om organisaties te helpen bij de proactieve bescherming van de accountgegevens van hun klanten. Ons certificeringsproces werd uitgevoerd door Comsec Consulting.

De volgende datacenters zijn PCI DSS gecertificeerd:

  • AMS-01
  • AMS-10
  • FRA-10
  • WDC-01
  • SIN-11
  • HKG-10

SOC 1

SOC (Service Organization Controls)-rapporten omvatten een analyse van een door ons opgestelde beschrijving van de systemen die wij en onze partners aansturen voor onze klanten en die relevant zijn voor hun interne-controleprocessen. Dit auditproces werd uitgevoerd door EY. Er zijn twee soorten rapporten: type I en type II, waarbij type II een uitgebreide managementverklaring en oordeel van een auditor toevoegt over de werking van de controles.

NEN 7510

NEN 7510 is de norm die is opgesteld door het Nederlands Normalisatie-instituut voor informatiebeveiliging in de gezondheidssector. We hebben een externe verklaring van EY ontvangen waaruit blijkt dat we voldoen aan de vereisten van de NEN 7510-norm als het gaat om logische en fysieke beveiliging, operationele veerkracht, incidentbeheer, service deployment en change management.

HIPAA

De Health Insurance Portability and Accountability Act (Amerikaanse Federale wet op de bescherming van zorgverzekeringsgegevens, HIPAA) specificeert verplichte beveiligingsmaatregelen voor gezondheidsinformatie die online wordt verwerkt of opgeslagen. Hoewel er geen specifiek HIPAA-certificaat is voor dienstverleners heeft EY een externe verklaring opgesteld waaruit blijkt dat ons platform voldoet aan de HIPAA-vereisten voor logische en fysieke beveiliging, operationele veerkracht, incidentbeheer, service deployment en change management. Dit geeft onze klanten de mogelijkheid om ons platform te gebruiken als onderdeel van hun algehele naleving van de HIPAA.

CISPE

Als onderdeel van onze sterke toewijding aan GDPR-conformiteit hebben we onze producten geregistreerd bij de Cloud Infrastructure Service Providers in Europe (CISPE). CISPE heeft een gedragscode opgesteld voor IaaS-providers (Infrastructure-as-a-Service) om de naleving van GDPR te begeleiden en te verifiëren.

EU US Privacy Shield

Het Amerikaanse Department of Commerce International Trade Administration (ITA) heeft bevestigd dat alle nodige Privacy Shield principes naar behoren zijn nageleefd. Deze certificering toont aan dat we adequate technische en organisatorische maatregelen hebben getroffen voor het niveau van privacybescherming zoals vereist volgens de GDPR-wetgeving. Bovendien dragen onze GDPR-ready algemene voorwaarden en privacyverklaring bij tot de EU-VS Privacy Shield-beginselencertificering.