Over privacy, de AVG-wet en leerplatformen

28

MAART, 2018

Leren is persoonlijk. Ieder mens heeft andere leerdoelen en beweegredenen. Om onze gebruikers goed van dienst te zijn is het belangrijk dat wij de Springest-ervaring verder personaliseren. Wij geloven dat niet iedereen over één kam valt te scheren; een marketing manager wil leren hoe je een draaitabel maakt, de junior accountant wil weten hoe Excel binnenstebuiten werkt – beiden hebben de leerbehoefte om beter te worden met het programma. Die nuances en individuele wensen vereisen data. Data over mensen die willen leren. Data die met toestemming van gebruikers met ons wordt gedeeld. Daarom is de bescherming van die gegevens één van de belangrijkste onderdelen van onze dienstverlening, en een continue investering. Met de nieuwe Europese wetgeving worden deze investeringen nog zichtbaarder.

Daarom zijn wij vanaf het begin zorgvuldig geweest met de gegevens die wij verzamelen en zijn we sinds vorig jaar ISO 27001 gecertificeerd. Natuurlijk hebben we een eigen security officer en privacy protector. Daarnaast streven wij ernaar zoveel mogelijk te automatiseren. Niet alleen omdat het werk scheelt, maar ook omdat software en algoritmes zorgvuldigheid garanderen.

Sinds augustus 2017 zijn we bezig met het verbeteren van onze systemen om te voldoen aan de regels van de  Algemene Verordening Gegevensbescherming (AVG). Internationaal bekend als de GDPR-wet*

Gegevensbescherming voor drie groepen

In een complexe marktplaats omgeving als Springest wordt veel data verzameld. Data van drie groepen: gebruikers, organisaties en aanbieders. Gegevens van aanbieders en gegevens van organisaties worden niet gedeeld en blijven altijd eigendom van de instanties zelf. Gegevens van gebruikers worden ingezet om de Springest-ervaring te personaliseren. Op het moment dat gebruikers een passend leerproduct vinden, vragen ze meer informatie aan bij een aanbieder of schrijven ze zich direct in. In beide gevallen worden – logischerwijs – de gegevens van deze gebruikers met de aanbieder gedeeld. Ook delen gebruikers ervaringen met leerproducten op Springest. Hiervoor kunnen ze optioneel gegevens en een foto achterlaten.

“Daarom is de bescherming van die gegevens één van de belangrijkste onderdelen van onze dienstverlening,
en een continue investering.”

Deze 6 stappen zetten wij om persoonsgegevens te beschermen:
 

1. Recht op vergetelheid
In de eerste week van april brengen we een feature uit waarbij gebruikers met één verzoek al hun data kunnen laten verwijderen uit onze databases. Wanneer een gebruiker dit verzoek indient, krijgen de aanbieders die in contact zijn geweest met die gebruiker een melding. Aanbieders hebben dan tot dertig dagen de tijd om die gegevens nogmaals uit onze database op te vragen. Zij hebben deze gegevens nodig om hun contact met de gebruiker te onderhouden, bijvoorbeeld voor het inplannen van een cursus. Bij hetzelfde verzoek wordt transparant weergegeven – aan de gebruiker – welke aanbieders in het bezit zijn van de gegevens waarvan verzocht is ze te verwijderen. Wanneer een gebruiker een verzoek tot vergetelheid indient en in het verleden een ervaring heeft gedeeld, wordt deze ervaring geanonimiseerd en alle gebruikersdata verwijderd. Natuurlijk kan een gebruiker ook verzoeken de gedeelde ervaring volledig te verwijderen.

2. Back-ups
Zoals iedere digitale service maken wij back-ups van onze data. We hebben de leeftijd van back-ups beperkt tot 5 dagen oud. In het onwaarschijnlijke geval dat twee verschillende servers op twee verschillende locaties problemen vertonen, kunnen we ons platform herstellen door middel van deze back-ups. Als dit gebeurt hebben we een algoritme ontwikkeld dat de back-up controleert op aanwezigheid van data die eerder het verzoek kreeg om verwijderd te worden. Als het algoritme deze data tegenkomt, wordt het automatisch verwijderd. Zo voldoen zelfs onze back-ups aan de wensen van onze gebruikers en de AVG-wet.

3. Encryptie van gegevens
Data wordt op twee punten bij Springest verwerkt: bij HTTPS en in opslag. HTTPS wil zeggen: alle data die vanuit de voorkant wordt ingevuld, in de versleutelde omgeving. In opslag wil zeggen: alle reeds ingevoerde data, opgeslagen in een database. In ons geval bevinden deze databases zich bij Amazon als onderdeel van Amazon Web Services (AWS). Lees hier meer over Amazons veiligheidsbeleid. Deze servers staan op twee verschillende locaties in Duitsland. Ondanks dat dit geen eis is van de AVG-wet, blijven onze gegevens dus binnen de EU.

4. Verwerkingsovereenkomst
Om aanbieder te worden op het Springest platform, moet de self service overeenkomst worden ondertekend. Een belangrijk onderdeel van deze overeenkomst is onze data verwerkingsovereenkomst. Hierin staan duidelijke afspraken over de beveiliging van gegevens, zoals:

  • Een aanbieder mag gebruikersgegevens niet naar derden verstrekken.

     

  • De aanbieder is zelf verantwoordelijk voor het geheimhouden van de gegevens. Natuurlijk helpt de versleutelde admin-omgeving hierbij.

     

  • De aanbieder is verplicht relevante en ware informatie te verstrekken op het aanbiedersprofiel. Hierbij hoort ook verplichte transparantie in prijzen, zoals bijkomende kosten of BTW.

     

  • We helpen aanbieders met rollenbeheer om zo de toegang tot gegevens te beperken.

     

  • Aanbieders dienen zich volledig houden aan de Wet Bescherming Persoonsgegevens. Binnenkort verandert dit naar de AVG-wet.
  1. Penetratietests

Daarnaast voeren onafhankelijke derde partijen regelmatig pen-testen uit namens klanten. In deze tests proberen ze in feite Springest te ‘hacken’. Deze tests kunnen worden aangevraagd door bijvoorbeeld grote zakelijke klanten voor wie wij een eigen leerplatform opzetten.

We hebben al deze tests doorstaan.

  1. Geen gegevens meer via e-mail

Vanaf 8 maart dit jaar heeft Springest de manier waarop het gegevens met aanbieders deelt veranderd. Op het moment dat een informatie- of inschrijvingsaanvraag plaatsvindt, worden gegevens niet meer via e-mail verstrekt. Aanbieders worden doorgestuurd naar de Springest Admin – een beveiligde omgeving waar alle gegevens altijd up-to-date zijn. Je leest hier meer over in deze blogpost.

Bij het opzetten van een leerplatform zijn immers personeelsbestanden nodig om gebruikersaccounts aan te maken. Het is niet veilig om dit soort gevoelige informatie te delen via e-mail. Daarom worden bestanden die organisaties delen met Springest verzonden via de Springest Admin – een versleutelde omgeving. Na vier dagen worden de bestanden automatisch verwijderd.

Door veiligheid als prioriteit te stellen helpen we aanbieders op het Springest platform, maar ook organisaties met hun eigen Springest Go platform, te voldoen aan de AVG-wet.

Veiligheid als prioriteit

Als dataverwerker voor aanbieders zien wij de veiligheid van ons platform en het beschermen van gebruikersgegevens als kernonderdeel van onze dienstverlening. Gegevens die wij delen met aanbieders dienen alleen gebruikt te worden voor het doeleinde dat de gebruiker zelf specificeert. Dit kan een inschrijving of een informatieaanvraag zijn.

Door veiligheid als prioriteit te stellen helpen we aanbieders op het Springest platform, maar ook organisaties met hun eigen Springest Go platform, te voldoen aan de AVG-wet.

Stuur een e-mail naar privacy@springest.com voor vragen over dit artikel, de AVG-wet of de methodes die Springest inzet om data te beschermen.

*GDPR is de Engelse benaming voor de AVG-wet, en staat voor General Data Protection Regulation.

Share This