Beleid inzake gegevensverwerking

Hallo! Welkom bij StreetSmart! We zijn blij dat u ons platform gebruikt om uw organisatie en haar vrijwilligers/jeugdwerkers in staat te stellen hun activiteiten en de voortgangs/het gedrag van leden efficiënter te documenteren.

Het gebruik van de StreetSmart-webapp en mobiele app leidt tot de verwerking van persoonsgegevens door Mobile School. Daarom hebben we dit gegevensverwerkingsbeleid aangenomen dat we u vriendelijk verzoeken te lezen.

U kunt er zeker van zijn dat we de persoonsgegevens zullen verwerken in het belang van de jeugdwerkers en de jongeren. Door dit beleid te lezen, wordt u goed geïnformeerd over onze wettelijke verantwoordelijkheden met betrekking tot de verwerking van persoonsgegevens en de beveiligingsmaatregelen die we hebben genomen om ervoor te zorgen dat de persoonlijke gegevens op een veilige manier worden verwerkt.

1. INTRODUCTIE

StreetSmart is een oplossing ontwikkeld door Mobile School VZW, een vennootschap opgericht en bestaand naar Belgisch recht, met maatschappelijke zetel te BE-3000 Leuven, Brabançonnestraat 25, met BTW/ondernemingsnummer BE-0478.688.664 (hierna 'Mobile School', 'wij' of 'ons'). Wanneer u (hierna 'u' of de 'Klant') een beroep doet op StreetSmart Platform, dan:
- toegang heeft tot persoonlijke gegevens; en
- zal namens u persoonsgegevens moeten verwerken.

Dit gegevensverwerkingsbeleid (hierna 'Beleid' genoemd) is van toepassing op de verwerking van persoonsgegevens door Mobile School voor de klant en bepaalt:
- hoe Mobile School de Persoonsgegevens zal beheren, beveiligen en verwerken; en
- De verplichting van beide partijen om te voldoen aan de privacywetgeving.

Door een beroep te doen op de diensten van Mobile School, erkent u dat u dit beleid hebt gelezen en aanvaard, en daarmee de manier waarop Mobile School de persoonsgegevens verwerkt.

2. DEFINITIES

In dit beleid hebben de volgende begrippen de betekenis die in dit artikel wordt beschreven (indien met een hoofdletter geschreven):

App

De mobiele app ontwikkeld door Mobile School waarmee informatie van de minor wordt verzameld om inzichten op het platform te creëren en te monitoren.

Verwerkingsverantwoordelijke

De entiteit (in dit geval de klant), die het doel en de middelen voor de verwerking van persoonsgegevens bepaalt;

Betrokkene

De natuurlijke persoon (in dit geval jeugdwerkers en minderjarigen) op wie de persoonsgegevens betrekking hebben;

Datalek

Onbevoegde openbaarmaking, toegang, misbruik, verlies, diefstal of onbedoelde of onwettige vernietiging van persoonsgegevens;

Eindgebruiker

De mensen die door de Klant zijn gemachtigd om het Platform en de App te gebruiken (voornamelijk jeugdwerkers);

Persoonlijke gegevens

Alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (d.w.z. de betrokkene). Een identificeerbare natuurlijke persoon is een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.

Platform

Het platform ontwikkeld door Mobile School. Het platform wordt gebruikt om (onbeperkt): (i) informatie die via de app wordt verzameld te centraliseren en samen te vatten en (ii) inzichten te creëren en te monitoren om de activiteiten van de jeugdwerker met de minderjarige te verbeteren en de verbinding en communicatie met de minderjarige te bevorderen.

Privacywetgeving

(i) de Belgische privacywet van 30 juli 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, (ii) de Algemene Verordening Gegevensbescherming 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, (iii) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002, betreffende de verwerking van persoonsgegevens en de bescherming van de privacy in de elektronische communicatiesector („e-privacy”) richtlijn') en/of (iv) de (toekomstige) Belgische wetgeving met betrekking tot de implementatie van de Europese privacywetgeving;

Processen/verwerking

Elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonlijke gegevens of verzamelingen van persoonlijke gegevens, al dan niet op geautomatiseerde wijze, met inbegrip van, maar niet beperkt tot: verzameling, opname, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, afstemming of combinatie, beperking, verwijdering of vernietiging van persoonlijke gegevens;

Processor

De entiteit (in dit geval Mobile School) die persoonsgegevens verwerkt namens de klant als verwerkingsverantwoordelijke;

Diensten

Alle diensten die Mobile School aan de Klant levert en die de Verwerking van Persoonsgegevens impliceren, met inbegrip van maar niet beperkt tot: het verlenen van een recht op toegang tot het Platform, een licentie voor de App en alle ondersteuning die daarmee verband houdt.

Subverwerker

Elke verwerker die door Mobile School wordt ingeschakeld.

Het beleid bevat de volgende bijlagen:

Bijlage I

Overzicht van (i) de persoonsgegevens, welke partijen verwachten het onderwerp van de verwerking te zijn, (ii) de categorieën van betrokkenen, welke partijen verwachten het onderwerp van de verwerking te zijn, (iii) het gebruik (dwz de manier (en) van de persoonsgegevens, het doel en de middelen van een dergelijke verwerking en (iv) de termijn (en) gedurende welke (verschillende soorten) persoonsgegevens worden opgeslagen;

Bijlage II

Overzicht en beschrijving van de beveiligingsmaatregelen die Mobile School heeft genomen om de Persoonsgegevens te beschermen die worden verwerkt tijdens de uitvoering van de Diensten.

Bijlage III

Overzicht van de subverwerkers waarop Mobile School vertrouwt voor de verwerking van persoonsgegevens.

3. GEBRUIK VAN DE DIENSTEN

3.1 De partijen komen overeen dat:
- In overeenstemming met de Privacywetgeving wordt de Klant beschouwd als de 'Verwerkingsverantwoordelijke' en Mobile School als de 'Verwerker'.
- Mobile School treedt op als facilitator van de Diensten. Daarom is de Klant verantwoordelijk voor hoe en in welke mate hij hiervan gebruik maakt;
- De klant is verantwoordelijk voor alle handelingen en nalatigheden van de eindgebruikers (d.w.z. in het geval dat de eindgebruiker (niet) voldoende maatregelen neemt om zijn account op de app/het platform te beschermen). De klant zal de eindgebruikers informeren over de toepasselijke privacywetgeving, dit beleid en/of alle andere relevante wetgeving en ervoor zorgen dat de eindgebruiker handelt in overeenstemming met deze wetgeving;
- Mobile School staat de Klant toe om aanpassingen en/of wijzigingen aan te brengen in de Persoonsgegevens en zal deze Persoonsgegevens nooit zelf raadplegen of aanpassen, tenzij de Klant Mobile School hierom verzoekt;
- De Klant is verantwoordelijk voor het materiaal en/of de gegevens die door de Betrokkene worden verstrekt. De Klant is als Verwerkingsverantwoordelijke dus verantwoordelijk voor de naleving van de Privacywetgeving en/of andere voorschriften met betrekking tot voornoemd materiaal en/of gegevens;
- De Klant zal zich houden aan alle wet- en regelgeving (zoals maar niet beperkt met betrekking tot de bewaartermijn of de rechten van de Betrokkene (zie artikel 10)) die hem worden opgelegd door gebruik te maken van de Diensten.

3.2 De Klant zal, in het belang van de minderjarigen waarmee hij samenwerkt, elk misbruik van de Diensten, het Platform en/of de App vermijden. In geval van misbruik door de Klant of de Eindgebruikers gaat de Klant ermee akkoord dat Mobile School in dit verband nooit aansprakelijk kan worden gesteld, noch voor eventuele schade die zou ontstaan.

4. BEZWAAR MAKEN

4.1 De Klant erkent dat Mobile School als gevolg van het gebruik van de Diensten de Persoonsgegevens zal verwerken.

4.2 Mobile School zal de Persoonsgegevens altijd op een behoorlijke en zorgvuldige manier verwerken en in overeenstemming met de Privacywetgeving en andere toepasselijke regels met betrekking tot de verwerking van persoonsgegevens. Meer specifiek neemt Mobile School alle nodige veiligheidsmaatregelen (zie bijlage II) en stelt al haar knowhow ter beschikking om de Diensten uit te voeren in overeenstemming met de regels van art.

4.3 We verzekeren dat we de persoonlijke gegevens alleen op uw verzoek en in overeenstemming met uw instructies zullen verwerken, tenzij een wettelijke verplichting anders bepaalt.

4.4 U behoudt de volledige controle over het volgende: (i) hoe persoonlijke gegevens moeten worden verwerkt door Mobile School, (ii) de soorten persoonsgegevens die worden verwerkt, (iii), het doel van de verwerking en (iv) het feit of een dergelijke verwerking evenredig is.

4.5 Omdat u voornamelijk persoonlijke gegevens van minderjarigen verzamelt, verzoekt Mobile School u ervoor te zorgen dat het verzamelen van die persoonlijke gegevens rechtmatig is. Daarom is het belangrijk dat u de betrokkene op de hoogte stelt van uw eigen privacybeleid/privacybeginselen in een taal die voor iedereen gemakkelijk te begrijpen is (ook voor minderjarigen).

5. BEVEILIGING VAN DE VERWERKING

5.1 Aangezien de belangen van minderjarigen worden geschaad, neemt Mobile School de beveiliging van de verwerkingsactiviteiten zeer serieus. Rekening houdend met de stand van de techniek implementeert Mobile School passende technische en organisatorische maatregelen voor de bescherming van (i) de persoonsgegevens — waaronder bescherming tegen onzorgvuldig, ongepast, ongeoorloofd of onwettig gebruik en/of verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging — (ii) de vertrouwelijkheid en integriteit van persoonsgegevens, zoals uiteengezet in bijlage II.

6. SUBVERWERKERS

6.1 De Klant gaat ermee akkoord dat Mobile School externe subverwerkers kan inschakelen in verband met de uitvoering van de Diensten. In dat geval zorgt Mobile School ervoor dat de subverwerkers ten minste gebonden zijn aan dezelfde verplichtingen waaraan Mobile School op grond van dit beleid is gebonden.

6.2 De huidige subverwerker (s) waarop we een beroep doen voor de uitvoering van de diensten zijn opgesomd in bijlage III, waarin de identiteit van die subverwerkers en hun land van locatie zijn opgenomen. We zullen de lijst bijwerken wanneer een subverwerker verandert (bijvoorbeeld een nieuwe subverwerker werd toegevoegd, een subverwerker werd vervangen, enz.) en zullen u op de hoogte stellen wanneer er (belangrijke) wijzigingen worden aangebracht. Als u uw recht om bezwaar te maken wilt uitoefenen, dient u ons hiervan uiterlijk binnen dertig (30) dagen na de update van de lijst schriftelijk op de hoogte te stellen.

6.3 Als het bezwaar gegrond is, zal Mobile School redelijke inspanningen leveren om (i) een wijziging in de Diensten beschikbaar te stellen of (ii) een commercieel redelijke wijziging aan te bevelen in uw gebruik van de Diensten om de Verwerking van Persoonsgegevens door de nieuwe Subverwerker te vermijden zonder u onredelijk te belasten. Als we echter niet in staat zijn om een dergelijke wijziging beschikbaar te maken binnen een redelijke termijn (die niet langer mag zijn dan dertig (30) dagen na uw bezwaar, kunt u de Services beëindigen als:
- U kunt de Services niet gebruiken zonder een beroep te doen op de nieuwe subverwerker waar bezwaar tegen is gemaakt;
- Een dergelijke beëindiging betreft alleen de Diensten die niet door Mobile School kunnen worden geleverd zonder een beroep te doen op de nieuwe Subverwerker waarover bezwaar wordt gemaakt;
- U stelt ons binnen een redelijke termijn op de hoogte van uw wens om de Diensten aan Mobile School te beëindigen.

6.4 Mobile School neemt de verantwoordelijkheid voor de handelingen en nalatigheden van haar subverwerkers in dezelfde mate als wanneer zij de Diensten zelf zou uitvoeren, rechtstreeks volgens de voorwaarden van dit Beleid.

7. OVERDRACHT VAN PERSOONSGEGEVENS NAAR DERDE LANDEN

7.1 Mobile School verzekert de Klant dat een overdracht van persoonsgegevens naar een derde land of internationale organisatie altijd onderworpen is aan (i) een adequaatheidsbesluit van de Commissie of (ii) de volgende waarborgen:
- Het sluiten van een overeenkomst voor gegevensoverdracht met de ontvanger uit een derde land, die de standaardcontractbepalingen bevat, zoals bedoeld in het „Besluit van de Europese Commissie van 5 februari 2010 (Besluit 2010/87/EG)”. Voordat de overdracht plaatsvindt, moet de ontvanger van de persoonsgegevens/verwerker van Mobile School in het derde land Mobile School garanderen dat in dit derde land een adequaat niveau van naleving van de privacy wordt gewaarborgd; en/of;
- Bindende bedrijfsregels. Zoals het geval is voor standaardcontractclausules, moet de ontvanger van persoonsgegevens/verwerker van Mobile School in het derde land Mobile School garanderen dat een adequaat niveau van naleving van de privacy wordt gegarandeerd in het derde land; en/of;
- Certificeringsmechanismen.

8. VERTROUWELIJKHEID

8.1 Mobile School zal de persoonlijke gegevens vertrouwelijk houden en dus geen persoonlijke gegevens openbaar maken of overdragen aan derden, zonder uw toestemming, tenzij een dergelijke openbaarmaking en/of overdracht wettelijk of door een rechterlijke of andere overheidsbeslissing (van welke aard dan ook) vereist is. In dat geval zal Mobile School u, voorafgaand aan elke openbaarmaking en/of aankondiging, volledig transparant informeren over de omvang en de wijze daarvan.

8.2 We zorgen ervoor dat ons personeel dat betrokken is bij de uitvoering van de Diensten, op de hoogte is van de vertrouwelijke aard van de Persoonsgegevens, goed op de hoogte is van hun verantwoordelijkheden en gebonden is aan schriftelijke vertrouwelijkheidsovereenkomsten. We zorgen ervoor dat dergelijke vertrouwelijkheidsverplichtingen ook na beëindiging van de arbeidsovereenkomst blijven bestaan.

8.3 We zorgen ervoor dat de toegang van ons personeel tot de persoonlijke gegevens beperkt is tot dergelijk personeel dat de diensten uitvoert in overeenstemming met het beleid.

9. MELDING

9.1 We zullen ons uiterste best doen om u zo snel als redelijkerwijs mogelijk te informeren wanneer we:
- Een verzoek om informatie, een dagvaarding of een verzoek tot inzage of audit ontvangen van een bevoegde overheidsinstantie met betrekking tot de verwerking van persoonsgegevens;
- de intentie hebben om persoonsgegevens bekend te maken aan een bevoegde overheidsinstantie;
- Vaststellen of redelijkerwijs vermoeden dat er een datalek heeft plaatsgevonden met betrekking tot de persoonsgegevens.

9.2 In geval van een datalek:
- U onverwijld op de hoogte brengen nadat u kennis heeft genomen van dit datalek. Indien u dat wenst, zullen wij u — voor zover mogelijk — bijstaan met betrekking tot uw meldingsplicht op grond van de Privacywetgeving;
- Neem — zo snel als redelijkerwijs mogelijk — passende herstelmaatregelen te nemen om een einde te maken aan het datalek en om toekomstige datalekken te voorkomen en/of te beperken.

10. RECHTEN VAN BETROKKENEN

10.1 Mobile School zal u onmiddellijk op de hoogte stellen als we een verzoek ontvangen van een betrokkene die een beroep doet op zijn privacyrechten op grond van de privacywetgeving. Mobile School zal niet reageren op een dergelijk verzoek van de betrokkene zonder uw voorafgaande schriftelijke toestemming.

10.2 Als een Betrokkene verzoekt om zijn/haar rechten uit te oefenen, moet u de Betrokkene bijstaan bij zijn verzoek. Alleen als u niet de mogelijkheid hebt om de persoonlijke gegevens te corrigeren, aan te passen, te blokkeren of te verwijderen (zoals vereist door de privacywetgeving), zullen wij u helpen (zolang dit commercieel redelijk is).

11. AANSPRAKELIJKHEID

11.1 Partijen zijn elk afzonderlijk aansprakelijk jegens bevoegde toezichthoudende autoriteiten en/of Betrokkenen voor claims en/of boetes die het gevolg zijn van hun eigen inbreuk op of niet-naleving van (i) de bepalingen van dit gegevensverwerkingsbeleid, en (ii) de Privacywetgeving of andere toepasselijke regels met betrekking tot persoonsgegevens. Mobile School en de Klant vrijwaren elkaar in dit verband.

11.2 De aansprakelijkheid van Mobile School voor een inbreuk op dit gegevensverwerkingsbeleid is beperkt, zoals beschreven in de toepasselijke contractuele documentatie (d.w.z. de Servicevoorwaarden).

12. TERUGGAVE EN VERWIJDERING VAN PERSOONLIJKE GEGEVENS

12.1 Na beëindiging van de Diensten worden de accounts van de Klant gedeactiveerd en zijn de Persoonsgegevens niet langer beschikbaar voor de Klant.

12.2 Mobile School bewaart de Persoonsgegevens echter gedurende de rest van het kalenderjaar om ervoor te zorgen dat aan de exportverzoeken of het reactiveringsverzoek van de Klant kan worden voldaan. Mobile School zal nooit toegang krijgen tot de inactieve persoonlijke gegevens. Zodra het kalenderjaar is afgelopen, anonimiseert Mobile School de Persoonsgegevens, die vervolgens uitsluitend worden gebruikt voor statistische doeleinden.

12.3 In het geval dat het profiel van een betrokkene uit de oplossing wordt verwijderd, worden alle persoonlijke gegevens die daarop betrekking hebben ook onmiddellijk geanonimiseerd.

13. CONTROLE

13.1 Mobile School is bereid om u alle informatie te verstrekken die nodig is om te verifiëren of we voldoen aan de bepalingen van dit beleid.

13.2 In dit verband zal Mobile School u in staat stellen inspecties uit te voeren — zoals maar niet beperkt tot een audit — en daarbij de nodige assistentie te verlenen.

14. TERMIJN

14.1 Dit gegevensverwerkingsbeleid geldt zolang de Services niet zijn beëindigd.

Bijlagen:

- Bijlage I — Overzicht van persoonsgegevens
- Bijlage II — Beschrijving van veiligheidsmaatregelen
- Bijlage III — Lijst van subverwerkers

Bijlage I — Overzicht van persoonsgegevens

I. Overzicht van de persoonsgegevens die partijen verwachten te verwerken:

Generaal

✓ Voor- en achternaam
✓ Bijnaam
✓ E-mailadres
✓ Foto
✓ IP-adres van het apparaat

✓ Alle andere persoonlijke gegevens die vrijwillig door de betrokkene aan de klant worden verstrekt
✓ Telefoonnummer
✓ Adres
✓ Geslacht
✓ Geboortedatum

Van de minderjarigen in het bijzonder:

✓ Nationaliteit
✓ Taal
✓ Vitale status (levend/overleden)
✓ Juridische status (burger/immigrant/asielzoeker/vluchteling)
✓ Thuisstatus (daklozen/sloppenwijk/opvangcentrum/vluchtelingenkamp/onderweg)
✓ Verblijfsvergunning (ja/nee/onbekend)
✓ Identiteitskaart (ja/nee/onbekend)
✓ Paspoort (ja/nee/onbekend)
✓ Tijdelijke verblijfsvergunning (ja/nee/onbekend)
✓ Geboorteakte (ja/nee/onbekend)
✓ Vaardigheden
✓ Contactpersonen (leraar/partner/ouder/broer of zus, enz.)
✓ Evaluaties

Rapporten
✓ Locatie van deelname
✓ Bijgewoonde activiteiten
✓ Overzicht van activiteiten (beweging en sport/kunst en ambacht/cultuur en religie/muziek)
✓ Stemming (gemiddelde positiviteit en activiteit en geregistreerde stemmingen (negatief-actief/positief-actief/negatief-inactief/positief-inactief)
✓ Gemiddeld zelfvertrouwen en leerstatus
✓ Notities (inclusief details, adres, stemming, datum, onderwerp, levensgebeurtenis en zichtbaarheid)
✓ Sociale kaart
✓ Doelen (begonnen en beëindigde doelen (gerealiseerd/mislukt/geannuleerd/gestart), doeltypen, evaluatiestatussen van doelen)

Van de jeugdwerkers in het bijzonder:

✓ Functietitel

Opmerking:
• Deze persoonlijke gegevens worden niet beschouwd als speciale categorieën van persoonlijke gegevens in overeenstemming met de privacywetgeving, noch als persoonlijke gegevens met betrekking tot strafrechtelijke veroordelingen en misdrijven.
• De lijst bevat de standaard persoonsgegevens die via de diensten worden verwerkt. U kunt de persoonlijke gegevens die worden verzameld echter naar eigen inzicht wijzigen (bijvoorbeeld de hoeveelheid verwerkte persoonlijke gegevens verminderen of uitbreiden). Mobile School kan niet verantwoordelijk worden gehouden voor dergelijke wijzigingen die door de Klant worden aangebracht (bijvoorbeeld door speciale categorieën persoonsgegevens toe te voegen).

II. De categorieën van betrokkenen van wie de persoonsgegevens zullen worden verwerkt:

o Minderjarigen
o Contactpersonen van de minderjarigen (leraar, partner, ouder, broer of zus, enz.)
o Jeugdwerkers

III. Het gebruik (= manier (en) van de persoonsgegevens en de doeleinden en middelen van verwerking:

Gebruik van persoonlijke gegevens:
o Verzamelen
o Winkel
o Structureren en analyseren
o Ophalen
o Raadpleeg
o Uitlijnen, combineren en creëren
o Overdracht
o Bijwerken
o Wis en vernietig

Verwerkingsmethoden:
o Platform
Geen app

Doel van de verwerking:
o Hosting
o Ondersteuning

IV. De termijn (en) gedurende welke de (verschillende soorten) persoonsgegevens worden opgeslagen:

Mobile School bewaart de persoonsgegevens zolang de diensten niet formeel zijn beëindigd. Na beëindiging van de Diensten worden de accounts van de Klant gedeactiveerd en zijn de Persoonsgegevens niet langer beschikbaar voor de Klant. Mobile School bewaart de persoonlijke gegevens echter gedurende de rest van het kalenderjaar om ervoor te zorgen dat aan de exportverzoeken of het reactiveringsverzoek van de klant kan worden voldaan. Mobile School zal nooit toegang krijgen tot de inactieve persoonlijke gegevens. Zodra het kalenderjaar is afgelopen, anonimiseert Mobile School de Persoonsgegevens, die vervolgens uitsluitend worden gebruikt voor statistische doeleinden. In het geval dat het profiel van een betrokkene uit de oplossing wordt verwijderd, worden alle persoonlijke gegevens die daarop betrekking hebben ook onmiddellijk geanonimiseerd.

Bijlage II — Beschrijving van beveiligingsmaatregelen

I. Beschrijving van de technische en organisatorische beveiligingsmaatregelen die Mobile School heeft genomen.

Mobile School garandeert en verbindt zich ertoe om met betrekking tot alle persoonsgegevens die zij namens de Klant verwerkt, te allen tijde passende en voldoende technische en organisatorische beveiligingsmaatregelen in stand te houden en te handhaven om dergelijke persoonsgegevens of informatie te beschermen tegen onbedoelde of onwettige vernietiging of onopzettelijk verlies, schade, wijziging, ongeoorloofde openbaarmaking of toegang, in het bijzonder wanneer de verwerking de overdracht van gegevens via een netwerk omvat, en tegen alle andere onwettige vormen van verwerking. Dergelijke maatregelen omvatten, maar zijn niet beperkt tot:
• Gegevens 'in rust' worden versleuteld met behulp van het AES-256-algoritme;
• Gegevens die onderweg zijn, worden tijdens de overdracht versleuteld met behulp van het TLS 1.3-protocol;
• Inloggegevens van eindgebruikers worden opgeslagen in een aparte MySQL 8.0-database. Wachtwoorden van eindgebruikers worden gehasht met het PBKDF2-algoritme;
• Gegevens die op het platform worden verzameld en opgeslagen, worden opgeslagen in een aparte MySQL 8.0-database;
• Dagelijkse back-ups van de gegevens worden gedurende 7 dagen opgeslagen in een privénetwerk van AWS en worden versleuteld met behulp van de bovengenoemde mechanismen;
• Betrokkenen die van het Platform worden verwijderd, hun persoonlijke gegevens worden gewist — alleen evaluaties worden bewaard voor statistische doeleinden zonder enige mogelijkheid om de betrokkene te identificeren;
• Alle media (foto's, mogelijke video's, enz.) worden opgeslagen op 'AWS S3' en dus niet openbaar beschikbaar — deze bestanden zijn alleen toegankelijk via AWS Cloudfront CDN, waarbij gebruik wordt gemaakt van URL's die na 5 minuten verlopen.
• Als de mobiele app zonder internetverbinding wordt gebruikt, wordt gedeeltelijke informatie van de betrokkene op de mobiele telefoon zelf opgeslagen. Deze gegevens zijn versleuteld en zijn alleen toegankelijk wanneer de klant van de app (de betrokkene) een pincode invoert die tijdens de installatiefase van de app is geconfigureerd. Zodra de mobiele app verbinding maakt met het internet of door de klant van de app wordt verwijderd, worden ook de versleutelde gegevens verwijderd;
• Databases in de AWS-cloud draaien in een privénetwerk, toegang wordt alleen geaccepteerd via het backend-systeem dat in hetzelfde privénetwerk draait. Deze toegangen worden beveiligd door inloggegevens te gebruiken waarvoor het systeem minimale bevoegdheden heeft om zakelijke functies te vervullen;
• Schemawijzigingen in de databases worden niet handmatig maar automatisch uitgevoerd door het backend-systeem, waarbij SQL-scripts door ontwikkelaars worden geïmplementeerd en getest in QA- en testomgevingen voordat ze in productie worden genomen;
• Het backend-systeem draait in een privénetwerk, waarvan elk exemplaar in een geïsoleerde Docker-container draait. Deze extra isolatie voorkomt dat mogelijke aanvallers die mogelijk toegang hebben gekregen tot het privénetwerk, toegang krijgen tot het runtime-geheugen of de configuratie van het backend-systeem of deze wijzigen;
• Alle communicatie die via de AWS API's van het internet komt, verloopt via het HTTPS-protocol;
• Autorisatie- en authenticatiemechanismen worden geïmplementeerd met behulp van het OpenID Connect-protocol en Keycloack. Dit protocol en de open source-applicatie worden op grote schaal toegepast en volwassen, waardoor de algehele systeembeveiliging wordt versterkt;
• Ontwikkelaars die toegang hebben tot de AWS-cloud om de infrastructuur te monitoren of te upgraden, hebben hun eigen inloggegevens en authenticatie gebeurt via een 2-factor-methode. Gedurende 90 dagen wordt een audit uitgevoerd, waarbij de toegang en acties van ontwikkelaars in de AWS-cloud worden bijgehouden.

Bijlage III — Lijst van subverwerkers

I. Subverwerkers waarbij Mobile School een beroep doet op de uitvoering van de Diensten:

Naam: Amazon Web Services EMEA (SARL)
Soort verwerking: Hosting van de cloud
Land: Duitsland

Naam: Halcyon
Soort verwerking: Ontwikkeling
Land: Roemenië