Versie 1.0 – 2 december 2020
Goed dat je de privacyverklaring van Hogeschool Rotterdam voor de dienst edubadges bekijkt! We hebben veel aandacht besteed aan de bescherming van jouw persoonsgegevens en in deze privacyverklaring kun je daar over lezen. Als er na het lezen van deze privacyverklaring toch nog vragen, opmerkingen of zorgen zijn, stuur dan gerust een e-mail naar [email protected].
Een edubadge is een digitaal insigne, dat aantoont dat de ontvanger over bepaalde kennis of vaardigheden beschikt. De ontvanger van een edubadge kan deze delen met anderen, bijvoorbeeld op sociale media, via een digitaal cv, met een onderwijsinstelling of een (potentiële) werkgever.
Om edubadges te kunnen maken en toekennen is een technische infrastructuur nodig. SURF heeft deze infrastructuur voor het uitgeven van edubadges ontwikkeld, waarbij de edubadges veilig binnen SURF worden opgeslagen en gevalideerd kunnen worden. Meer informatie over edubadges is te vinden op de website van SURF.
De dienst edubadges is opgedeeld in twee delen:
- Account/backpack (1) -> SURF is verwerkingsverantwoordelijke, zie de privacyverklaring van SURF.
- Aanmaken en in stand houden van account
- Opslaan van edubadges in backpack
- Valideren van edubadges
- Uitgeven van edubadges (2) -> Hogeschool Rotterdam is verwerkingsverantwoordelijke
- Inschrijven voor edubadge
- Genereren van edubadge
- Versturen van edubadge
Voor het gebruikersaccount, de opslag van edubadges en de validatie van edubadges (1) is SURF de verwerkingsverantwoordelijke. Met vragen over deze verwerking kun je terecht bij [email protected].
Voor het uitgeven van edubadges (2) is Hogeschool Rotterdam de verwerkingsverantwoordelijke en is SURF de verwerker. Deze privacyverklaring heeft vooral betrekking op de verwerking door Hogeschool Rotterdam.
Voor het functioneren van het edubadgesplatform is het noodzakelijk om persoonsgegevens te verwerken. Studenten ontvangen edubadges als een erkenning voor het leveren van een prestatie als student aan de Hogeschool Rotterdam, zodat ze kunnen aantonen dat ze hebben voldaan aan de bij deze erkenning behorende beoordelingscriteria.
Voor het uitgeven van edubadges zien we drie verwerkingen:
- Inschrijven voor edubadge
- Genereren van edubadge
- Versturen van edubadge
Betrokkene: Badgeontvanger In de tabel hieronder staan de persoonsgegevens (met doel en grondslag) die verwerkt worden voor het inschrijven voor een edubadge. Deze persoonsgegevens worden verkregen door een koppeling met het eduID-account van de gebruiker.
| Persoonsgegeven | Doel | Grondslag |
|---|---|---|
| eduID | Pseudonieme identifier in edubadge | Uitvoering overeenkomst |
| Voornaam | Identificatie van gebruiker | Uitvoering overeenkomst |
| Achternaam | Identificatie van gebruiker | Uitvoering overeenkomst |
| E-mailadres | Notificeren van gebruiker | Uitvoering overeenkomst |
| Scoped affiliation | Afbakening beschikbare edubadges | Uitvoering overeenkomst |
| Privacyinteractie | Of er akkoord is gegaan met Gebruiksvoorwaarden | Uitvoering overeenkomst |
Betrokkene: Badgeontvanger In de tabel hieronder staan de persoonsgegevens (met doel en grondslag) die verwerkt worden voor het genereren van een edubadge. Deze persoonsgegevens worden verkregen door een koppeling met het eduID-account van de gebruiker.
| Persoonsgegeven | Doel | Grondslag |
|---|---|---|
| eduID | Pseudonieme identifier in edubadge | Uitvoering overeenkomst |
| Voornaam | Identificatie van gebruiker | Uitvoering overeenkomst |
| Achternaam | Identificatie van gebruiker | Uitvoering overeenkomst |
| E-mailadres | Notificeren van gebruiker | Uitvoering overeenkomst |
| Scoped affiliation | Afbakening beschikbare edubadges | Uitvoering overeenkomst |
| Privacyinteractie | Of er akkoord is gegaan met Gebruiksvoorwaarden | Uitvoering overeenkomst |
Betrokkene: Badgeontvanger In de tabel hieronder staan de persoonsgegevens (met doel en grondslag) die verwerkt worden voor het versturen van een edubadge. Deze persoonsgegevens worden verkregen door een koppeling met het eduID-account van de gebruiker.
| Persoonsgegeven | Doel | Grondslag |
|---|---|---|
| eduID | Pseudonieme identifier in edubadge | Uitvoering overeenkomst |
| Voornaam | Identificatie van gebruiker | Uitvoering overeenkomst |
| Achternaam | Identificatie van gebruiker | Uitvoering overeenkomst |
| E-mailadres | Notificeren van gebruiker | Uitvoering overeenkomst |
| Scoped affiliation | Afbakening beschikbare edubadges | Uitvoering overeenkomst |
| Privacyinteractie | Of er akkoord is gegaan met Gebruiksvoorwaarden | Uitvoering overeenkomst |
Een edubadge bevat je eduID. Verder bevat de edubadge informatie zoals het tijdstip van uitgifte, de uitgever (Hogeschool Rotterdam) en informatie over de prestatie, onderwijsmodule en/of leeruitkomst.
Medewerkers van Hogeschool Rotterdam hebben nadat je een edubadge aanvraagt toegang tot voornaam, achternaam en e-mailadres. SURF en diens beheerpartij heeft toegang tot alle persoonsgegevens. De persoonsgegevens worden niet aan andere derde partijen verstrekt.
Onder andere de volgende beveiligingsmaatregelen zijn getroffen om de persoonsgegevens te beschermen:
- Er wordt met edubadges afgeweken van de standaard persoonsgegevens in de Open Badge 2.0-specificatie (voornaam, achternaam, e-mailadres). Enkel het eduID wordt in de edubadges opgeslagen als persoonsgegeven.
- Communicatie tussen systemen is versleuteld conform moderne standaarden en best practices.
- Er heeft een uitgebreide externe security audit (code review en penetration test) voor livegang plaatsgevonden. De dienst edubadges wordt regelmatig geaudit.
- De toegang tot servers is beveiligd conform moderne beveiligingsstandaarden en best practices.
- Alle fysieke en virtuele servers en data bevinden zich in SURFdatacentra in Nederland. De dienst edubadges wordt redundant gehost op SURF-locaties Nikhef en InterXion.
- Alle besturingssystemen en software worden up-to-date gehouden.
- De toegang tot de beheerkant van de dienst edubadges is afgeschermd door middel van VPN en geharde configuratie voor de toegang zelf.
- Er worden dagelijks backups gemaakt van de productieomgeving.
- Servers, besturingssystemen en/of applicaties zijn beschermd door middel van een restrictieve firewall.
- Handelingen in het besturingssysteem en handelingen van medewerkersaccounts worden gelogd.
- De webserver maakt gebruik van een geharde configuratie en security headers conform best practices.
- De rollen voor medewerkersaccounts in edubadges zijn wat betreft toegang beperkt tot relevante persoonsgegevens.
Zie privacy verklaring Hogeschool Rotterdam.
Om deze rechten tot bijvoorbeeld aanvulling en/of wijziging uit te kunnen oefenen, kun je contact opnemen met [email protected].
Er kunnen wijzigingen worden aangebracht in deze privacyverklaring. We raden je daarom aan om deze privacyverklaring geregeld te raadplegen.