🔒
AVG/GDPR Privacyverklaring & Verwerkersovereenkomst — Versie 2.0
Van kracht bij aanvaarding van het abonnement · Juf Zisa's Spelgenerator PRO · zebrapost@jufzisa.be
1. Inleiding en toepassingsgebied
Deze privacyverklaring en verwerkersovereenkomst beschrijft hoe Juf Zisa's Spelgenerator omgaat met persoonsgegevens, conform de Algemene Verordening Gegevensbescherming (AVG, Verordening (EU) 2016/679) en de Belgische uitvoeringswet van 30 juli 2018.
De Spelgenerator is een webtool aangeboden via individueel abonnement aan leerkrachten, waarmee zij werkbladen en spelletjes kunnen aanmaken rond taal en rekenen, en leerlinggerelateerde gegevens kunnen bijhouden via de Klasmanagement-functionaliteiten.
Door het aangaan van een abonnement aanvaardt de leerkracht dit document integraal, inclusief de verwerkersovereenkomst opgenomen in sectie 6.
2. Identiteit van de aanbieder
| Naam | Isabel Rockelé, handelend onder de naam Juf Zisa |
| Website | www.jufzisa.be |
| E-mail | zebrapost@jufzisa.be |
| Rechtsvorm | Eenmanszaak / zelfstandige activiteit |
3. Rollen per verwerkingsactiviteit (art. 4(7) en 4(8) AVG)
De AVG-rollen van Isabel Rockelé (Juf Zisa) verschillen per verwerkingsactiviteit:
| Verwerkingsactiviteit |
Rol Juf Zisa |
Verwerkingsverantwoordelijke |
| Accountbeheer (registratie, login, abonnement) |
Verwerkingsverantwoordelijke |
Isabel Rockelé (Juf Zisa) — art. 4(7) AVG |
| Technische dienstverlening Firebase (auth, opslag) |
Verwerker |
Leerkracht is verwerkingsverantwoordelijke; Isabel Rockelé is verwerker |
| Klasbeheerdata ingevoerd door leerkracht |
Verwerker |
Leerkracht is verwerkingsverantwoordelijke; Isabel Rockelé is verwerker |
| Leerlinggerelateerde gegevens (namen, voortgang, opmerkingen) |
Verwerker |
Leerkracht is verwerkingsverantwoordelijke; Isabel Rockelé is verwerker |
| Technische logs (IP, tijdstempel via Firebase) |
Verwerker |
Google LLC is subverwerker; Isabel Rockelé is verwerker; leerkracht is verwerkingsverantwoordelijke |
📋 Als leerkracht ben jij verwerkingsverantwoordelijke voor alle gegevens die jij invoert. Juf Zisa levert uitsluitend de technische infrastructuur en handelt als verwerker (art. 4(8) AVG). De volledige verwerkersovereenkomst staat in sectie 6.
4. Rechtsgronden voor de verwerking (art. 6 AVG)
| Accountgegevens (registratie) | Art. 6(1)(b) AVG — uitvoering van de abonnementsovereenkomst |
| Klasbeheer- en leerlingdata | Art. 6(1)(b) AVG — uitvoering overeenkomst (leerkracht als verwerkingsverantwoordelijke bepaalt de rechtsgrond voor zijn/haar verwerking) |
| Technische logs | Art. 6(1)(c) AVG — wettelijke verplichting (beveiligingslogging); verwerking door Google LLC conform Firebase-voorwaarden |
ℹ️ De rechtsgrond "gerechtvaardigd belang" (art. 6(1)(f) AVG) wordt in dit document bewust niet toegepast. Een dergelijke grondslag vereist een gedocumenteerde belangenafweging (Legitimate Interest Assessment — LIA), die in de huidige fase niet is opgesteld.
5. Technische infrastructuur en gegevensbeveiliging
5.1 GitHub Pages — Statische webhosting
| Platform | GitHub Pages (Microsoft/GitHub Inc.) |
| Functie | Hosting van de statische frontend (HTML, CSS, JavaScript) |
| Persoonsgegevens | Geen — uitsluitend publieke code-artefacten |
| Encryptie | HTTPS/TLS verplicht voor alle verbindingen |
| Privacy Policy | GitHub Privacy Statement |
5.2 Firebase (Google Cloud) — Backend en dataopslag
| Platform | Google Firebase (Google LLC, onderdeel van Alphabet Inc.) |
| Functie | Authenticatie (login), realtime dataopslag, beveiligingsregels |
| Diensten | Firebase Authentication + Cloud Firestore (NoSQL-database) |
| Datalocatie | EU-regio Belgium (europe-west1) |
| Encryptie transit | TLS 1.2/1.3 voor alle client-server communicatie |
| Encryptie opslag | AES-256 via Google Cloud encryptie-at-rest |
| Certificeringen | ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 |
| Gegevensisolatie | Per gebruiker via Firebase UID en Security Rules — andere gebruikers hebben geen toegang tot jouw data |
| DPA met Google | Google Cloud Data Processing Addendum (art. 28 AVG) |
| Privacy Policy | Firebase Privacy |
5.3 Internationale doorgifte (art. 44–49 AVG — Schrems II)
Google LLC is een Amerikaanse onderneming. De verwerking via Firebase kan een doorgifte naar de VS inhouden. De rechtmatigheid is gebaseerd op:
- Het EU-US Data Privacy Framework (DPF), vastgesteld bij Adequaatheidsbesluit van de Europese Commissie van 10 juli 2023 (C(2023) 4745). Google LLC is gecertificeerd onder het DPF.
- Standard Contractual Clauses (SCC) conform Uitvoeringsbesluit (EU) 2021/914, opgenomen in het Google Cloud Data Processing Addendum.
- Aanvullende technische maatregelen: encryptie-at-rest (AES-256), encryptie in transit (TLS 1.3), toegangsbeperking via IAM en Security Rules.
⚠️ Schrems II-context: het Hof van Justitie van de EU heeft in arrest C-311/18 (16 juli 2020) het Privacy Shield ongeldig verklaard. Het huidige DPF is het opvolgingsinstrument. Isabel Rockelé monitort de ontwikkelingen en past dit document aan indien de rechtsbasis wijzigt.
5.4 Technische en organisatorische beveiligingsmaatregelen (art. 32 AVG)
- Alle communicatie verloopt via HTTPS met TLS 1.2 of hoger.
- Opgeslagen data in Cloud Firestore is versleuteld met AES-256 (encryptie-at-rest).
- Authenticatietokens worden niet opgeslagen in frontend-code.
- Firebase Security Rules garanderen dat elke gebruiker uitsluitend toegang heeft tot eigen data via de unieke Firebase User ID (UID). Geen enkele andere gebruiker kan jouw data raadplegen, wijzigen of verwijderen.
- Isabel Rockelé heeft geen routinematige toegang tot individuele gebruikersdata; toegang is enkel mogelijk voor technisch onderhoud.
- Dataminimalisatie (art. 25 AVG): enkel functioneel noodzakelijke gegevens worden opgeslagen.
- Geen koppeling met advertentienetwerken of externe analysediensten die persoonsgegevens verwerken.
6. Verwerkersovereenkomst (art. 28 AVG)
Deze sectie vormt de verwerkersovereenkomst (Data Processing Agreement — DPA) tussen Isabel Rockelé (hierna "Verwerker") en de abonnerende leerkracht (hierna "Verwerkingsverantwoordelijke"), aanvaard bij het aangaan van het abonnement.
1
Onderwerp en duurDe Verwerker verleent technische diensten via de Spelgenerator. De overeenkomst loopt voor de duur van het abonnement en eindigt automatisch bij beëindiging ervan.
2
Aard en doel van de verwerkingDe Verwerker verwerkt persoonsgegevens uitsluitend voor het verlenen van de overeengekomen diensten. Verwerking voor andere doeleinden is niet toegestaan zonder uitdrukkelijke schriftelijke toestemming van de Verwerkingsverantwoordelijke.
3
Categorieën van betrokkenen en gegevensBetrokkenen: leerlingen van de Verwerkingsverantwoordelijke. Gegevens: door de leerkracht ingevoerde namen, klas- en taakinformatie, taakstatussen en leerkrachtopmerkingen. Uitdrukkelijk uitgesloten: bijzondere categorieën van persoonsgegevens (art. 9 AVG) zoals gezondheidsgegevens, leerproblemen of gedragsdata. De Verwerkingsverantwoordelijke garandeert geen bijzondere categorieën in te voeren en is hiervoor volledig verantwoordelijk. De Verwerkingsverantwoordelijke is tevens verantwoordelijk voor de veilige bewaring van afgedrukte documenten (bv. PDF-rapporten).
4
Instructies van de VerwerkingsverantwoordelijkeDe Verwerker handelt uitsluitend op gedocumenteerde instructie van de Verwerkingsverantwoordelijke. Het gebruik van de Spelgenerator-functionaliteiten geldt als instructie.
5
VertrouwelijkheidDe Verwerker garandeert dat personen die gemachtigd zijn de persoonsgegevens te verwerken, zich ertoe verbonden hebben de vertrouwelijkheid in acht te nemen.
6
Beveiliging (art. 32 AVG)De Verwerker treft passende technische en organisatorische maatregelen zoals beschreven in sectie 5.4 van dit document.
7
SubverwerkersAlgemene schriftelijke toestemming voor de volgende subverwerkers: (1) Google LLC / Firebase — authenticatie en dataopslag, conform Google Cloud DPA; (2) GitHub Inc. — statische hosting zonder persoonsgegevens. De Verwerker stelt de Verwerkingsverantwoordelijke in kennis van wijzigingen betreffende subverwerkers via zebrapost@jufzisa.be, met een kennisgevingstermijn van 30 dagen.
8
Bijstand aan de VerwerkingsverantwoordelijkeDe Verwerker biedt bijstand bij het nakomen van verplichtingen inzake rechten van betrokkenen (art. 15–22 AVG), beveiliging (art. 32), datalekken (art. 33–34) en DPIA's (art. 35–36). Verzoeken worden behandeld binnen 30 dagen via zebrapost@jufzisa.be.
9
Verwijdering of teruggave bij beëindigingNa beëindiging van het abonnement worden persoonsgegevens verwijderd uit Firestore, tenzij de Verwerkingsverantwoordelijke uitdrukkelijk om teruggave verzoekt (binnen 30 dagen na beëindiging). Gegevens van inactieve accounts (geen login gedurende 24 maanden) worden verwijderd na voorafgaande kennisgeving per e-mail met een termijn van 60 dagen.
10
Audit en aantoonbaarheidDe Verwerker stelt alle informatie ter beschikking die nodig is om de naleving van art. 28 AVG aan te tonen. Auditopdrachten worden minimaal 30 dagen op voorhand schriftelijk aangekondigd.
7. Categorieën van gegevens en bewaartermijnen
| Categorie | Inhoud & bewaartermijn |
|---|
| Accountgegevens | E-mailadres, versleuteld wachtwoord (Firebase Auth) — bewaring: zolang account actief; bij opzegging onmiddellijk |
| Klasbeheerdata | Klas- en taakinformatie ingevoerd door leerkracht — bewaring: tot verwijdering door gebruiker; max. 24 maanden inactiviteit |
| Leerlinggerelateerde gegevens | Namen, taakstatussen, leerkrachtopmerkingen (enkel gewone persoonsgegevens) — leerkracht is verwerkingsverantwoordelijke |
| Technische logs | IP-adres, tijdstempel (Firebase/Google) — bewaring: max. 90 dagen (Google-beleid) |
| Consent-registratie | UID, e-mail, tijdstempel akkoord, versienummer — bewaring: zolang account actief (AVG-bewijs art. 7) |
🚫 Bijzondere categorieën (art. 9 AVG): de Spelgenerator is niet ontworpen voor de verwerking van gezondheidsgegevens, gegevens over leerproblemen, gedragsdata of andere bijzondere categorieën. De leerkracht als verwerkingsverantwoordelijke is verantwoordelijk voor het niet invoeren van dergelijke gegevens.
8. Rechten van betrokkenen (art. 15–22 AVG)
Leerkrachten kunnen de volgende rechten uitoefenen via zebrapost@jufzisa.be. Verzoeken worden behandeld binnen 30 dagen (art. 12(3) AVG).
- Recht op inzage (art. 15): opvragen welke gegevens worden verwerkt.
- Recht op rectificatie (art. 16): onjuiste gegevens laten corrigeren.
- Recht op vergetelheid (art. 17): verwijdering van persoonsgegevens.
- Recht op beperking van de verwerking (art. 18).
- Recht op gegevensoverdraagbaarheid (art. 20): export van ingevoerde data in machineleesbaar formaat.
- Recht van bezwaar (art. 21).
Klachten kunnen worden ingediend bij de Gegevensbeschermingsautoriteit (GBA), Drukpersstraat 35, 1000 Brussel — www.gegevensbeschermingsautoriteit.be — contact@apd-gba.be.
9. Procedure bij datalekken (art. 33–34 AVG)
- Als Verwerker: de abonnerende leerkracht wordt zonder onredelijke vertraging en uiterlijk binnen 48 uur na kennisneming geïnformeerd, zodat de leerkracht de wettelijke meldtermijn van 72 uur aan de GBA kan naleven.
- Als Verwerkingsverantwoordelijke (accountgegevens): de GBA wordt binnen 72 uur ingelicht conform art. 33 AVG.
- Alle datalekken worden intern geregistreerd conform art. 33(5) AVG.
10. Wijzigingen aan dit document
Dit document kan worden aangepast in functie van wettelijke vereisten of technische wijzigingen. Bij versiewijziging ontvangen alle abonnees een kennisgeving per e-mail en dienen zij het nieuwe document te aanvaarden via de pop-up in de applicatie.
| Versie | Wijzigingen |
|---|
| v1.0 | Eerste versie — basisverklaring |
| v2.0 | Verwerkersovereenkomst toegevoegd (art. 28); roltabel per verwerking; Schrems II-paragraaf; bewaartermijnen geconcretiseerd; rechtsgrond 6(1)(f) geschrapt; bijzondere categorieën-disclaimer toegevoegd; PDF-export en leerkrachtopmerkingen opgenomen |
