02 / Veiligheid
Onderwijsbouwen werkt binnen de Nederlandse standaarden voor onderwijsdata, met sub-verwerkers die voldoen aan de strenge eisen van het Privacyconvenant Onderwijs.
03 / Onze aansluitingen
Wij zijn Onderwijsbouwen, een Nederlandse onderwijssoftware- studio (zie Over ons). We bouwen niet bovenop ad-hoc afspraken, maar binnen de bestaande raamwerken van het Nederlandse onderwijs. Hieronder staan de vier aansluitingen die bepalen hoe we werken, inclusief wat dat in de praktijk betekent voor scholen die met ons in zee gaan.
De landelijke standaard voor veilige toegang tot leermiddelen via de school-identiteit van leerlingen en docenten. Aansluiting betekent dat scholen onze tools kunnen ontsluiten via hun bestaande identity provider, zonder dat wij wachtwoorden of identiteitsdata opslaan die buiten de school horen.
De inkoop- en samenwerkingscoöperatie van het Nederlandse funderend onderwijs. Via SIVON werken we binnen de raamwerken die scholen zelf hebben afgesproken voor leveranciersbeoordeling, inkoopvoorwaarden en risicobeheer.
De brancheafspraak tussen scholen en leveranciers van digitale onderwijsmiddelen over zorgvuldige omgang met persoonsgegevens. Onze verwerkersovereenkomsten zijn opgezet binnen de modelovereenkomst van het convenant, met de bijbehorende bijlagen voor categorieën persoonsgegevens, bewaartermijnen en sub-verwerkers.
De gezamenlijke Nederlandse standaard voor uitwisseling van onderwijsgegevens tussen scholen en leveranciers. We bouwen onze koppelingen langs deze standaard, zodat scholen niet vastzitten aan een specifieke leverancier en data-uitwisseling consistent blijft over het ecosysteem.
04 / Sub-verwerkers
Hieronder een actueel overzicht van de leveranciers die wij inschakelen voor de uitvoering van onze diensten. Per leverancier vermelden we de functie, vestigingsplaats en relevante certificeringen.
| Leverancier | Functie | Locatie | Grondslag |
|---|---|---|---|
| Supabase | Database en authenticatie | EU (Frankfurt) | EU-AVG, ISO 27001 |
| Vercel | Hosting en levering | EU en VS | Standaard contractuele bepalingen |
| Anthropic | AI-modellen (Claude) | VS | Standaard contractuele bepalingen, geen training op klantdata |
| OpenAI | AI-modellen | VS | Standaard contractuele bepalingen, geen training op klantdata |
| Resend | Transactionele mail | EU | EU-AVG |
| Stripe | Betalingen | EU/VS | PCI-DSS, EU-AVG |
Deze lijst wordt bijgewerkt bij elke wijziging. Het is mogelijk dat een specifiek product (Corrigo, Actuales, Nexus) niet alle bovenstaande sub-verwerkers gebruikt. Zie de productspecifieke verwerkersovereenkomst voor het exacte overzicht per dienst.
05 / Datalocatie en bewaartermijnen
Onze hoofdopslag staat in de EU. Persoonsgegevens van scholen, docenten en leerlingen worden primair opgeslagen in EU-rekencentra, met versleuteling in opslag en tijdens transport. Verwerking buiten de EU vindt alleen plaats voor AI-modelaanroepen waarvoor op dit moment geen volwaardig Europees alternatief beschikbaar is, en altijd onder standaard contractuele bepalingen die training op klantdata uitsluiten.
Bewaartermijnen verschillen per type data: account- en identiteitsgegevens lopen mee met het schooljaar waarin de dienst actief is, transactiedata en logs hebben kortere termijnen, en data die voor analytische doelen wordt bewaard, wordt geanonimiseerd of geaggregeerd. De productspecifieke verwerkersovereenkomst bevat de exacte termijnen per dataset. Voor de website-specifieke privacyverklaring zie Privacyverklaring.
06 / Continuïteit
Backups van klantdata worden dagelijks gemaakt en versleuteld bewaard in EU-rekencentra, met retentie die voldoet aan de eisen van het Privacyconvenant Onderwijs. Hersteltests vinden periodiek plaats. Bij een verstoring van onze dienstverlening hebben scholen toegang tot een exportroute van hun eigen data, zonder lock-in.
In het scenario dat Onderwijsbouwen ophoudt te bestaan, geldt een afgesproken uittredingsprocedure: scholen krijgen een redelijke termijn voor data-export in een open formaat, en waar mogelijk faciliteren we overdracht naar een opvolgende leverancier of een collectieve voorziening via SIVON. Voor security-vragen, incidenten of meldingen is contact@onderwijsbouwen.nl het centrale aanspreekpunt.
07 / Specifieke vragen
Voor productspecifieke verwerkersovereenkomsten, security-rapporten of input op een Data Protection Impact Assessment nemen we graag contact op.