Acco hecht zeer veel belang aan privacy en data beveiliging. Wij zijn dan ook in regel met GDPR, een Europese regelgeving die de bescherming van persoonsgegevens regelt en van kracht is sinds mei 2018 en die zeker relevant is bij de koppeling van Sofia met een Learning Management System of LMS.
Met docenten en onderwijsinstellingen die dat vragen, maken wij graag een zogenaamde GDPR verwerkersovereenkomst op. Heel wat onderwijsinstellingen hebben daar afspraken rond gemaakt met docenten en stellen sjablonen ter beschikking. Vraag best na bij uw instelling of dit voor u als docent van toepassing is.
Standaard wordt voor Acco / Sofia volgende informatie toegevoegd aan de verwerkersovereenkomst:
- Hosting
De hosting van de applicatie wordt uitgevoerd bij het bedrijf Combell in Belgische datacenters, waarbij de gegevens de EER niet verlaten. Combell heeft ISO 27001 en ISO 9001 certificaten. Een extra monitoring wordt voorzien door de Verwerker (Intracto, de technische partner Intracto van Acco) in het kader van een goede werking en toegangsbescherming van gebruikte webservers. Met Combell zijn ook de nodige SLA en Data Processing Agreements afgesloten. Deze servers zitten in een private cloud omgeving, waarbij beheerderstoegang is afgeschermd met IP-restrictie.
- Operationeel
De Verwerker verzekert dat de ontwikkelings- en testomgevingen gescheiden worden van de productieomgeving en heeft een gecontroleerd proces om informatie tussen de omgevingen uit te wisselen. Er wordt in principe geen gebruik gemaakt van productiegegevens om de systemen en software te testen in de ontwikkelings- en testomgevingenDe Verwerker zorgt er voor dat de veiligheidsvereisten worden nageleefd bij de ontwikkeling en het onderhoud van software en het systeem.
De Verwerker zorgt voor een gedocumenteerde procedure rond incident management.
- Rollen
De Verwerker beschikt over een proces voor het beheer van toegangsaanvragen tot de gegevens. De toegang voor medewerkers van de Verwerker is beperkt tot de informatie die noodzakelijk is voor hen.
Deze toegangen worden bovendien up-to-date gehouden (en meer bepaald snel geschrapt in geval van functiewijziging of vertrek). De administratorrechten op de systemen worden strikt beperkt tot de hoogstnoodzakelijke personen en worden slechts gebruikt in de mate waarin deze toegangen vereist zijn (need-to-know basis).
Naast de administratorrechten zijn er nog de rechten voor auteurs, docenten en studenten, die ervoor zorgen dat zijn enkel de voor hen noodzakelijke data te zien krijgen.
Wat betreft de toegang door gebruikers van externe pakketten wordt ervoor gezorgd dat de LTI integratie alle rollen buiten die van de identificeerbare studenten blokkeert.
Verwerker voorziet daarbij een veilige OAuth connectie om toegang te autoriseren.
- Paswoorden
De Verwerker heeft een beleid inzake paswoorden dat voldoet aan de huidige sectoraanbevelingen inzake logische veiligheid.
De paswoorden op de applicatie worden geëncrypteerd.
Met vragen rond GDPR, privacy en data beveiliging mag u ons altijd contacteren via infosofia@acco.be
0 Opmerkingen