Den Haag, 26 juli 2023
Wij, Duthler Academy, leggen in deze privacyverklaring uit welke persoonsgegevens wij verwerken (bijvoorbeeld opslaan, verzamelen, etc.), voor welke doeleinden, hoe lang we ze bewaren en of we ze eventueel verstrekken aan derden. Wij verzoeken u deze verklaring zorgvuldig te lezen.
Wij verwerken persoonsgegevens in opdracht van onze opdrachtgevers. Dit zijn bedrijven en instellingen. Dit betekent dat de opdrachtgever, de gebruiker van de leeromgeving, bepaalt welke soort gegevens verwerkt worden.
Wij verwerken daarnaast voor onze eigen organisatiedoeleinden persoonsgegevens. Voor deze verwerkingen zijn wij verwerkingsverantwoordelijke. Bij onze verwerkingen houden wij ons aan de eisen die de privacywetgeving stelt. Dit betekent onder andere dat:
- wij duidelijk vermelden voor welke doeleinden wij persoonsgegevens verwerken. Dat doen wij via deze privacyverklaring;
- wij onze verzameling van persoonsgegevens beperken tot alleen die persoonsgegevens die nodig zijn voor legitieme doeleinden;
- wij voor de uitvoering van de overeenkomsten met betrekking tot de leeromgeving in opdracht persoonsgegevens verwerken waarbij onze opdrachtgevers de verwerkingsverantwoordelijken zijn en wij de verwerker;
- wij u eerst vragen om uitdrukkelijke toestemming om uw persoonsgegevens te verwerken in gevallen waarin uw toestemming is vereist;
- wij passende beveiligingsmaatregelen nemen om uw persoonsgegevens te beschermen en dat ook eisen van partijen die in onze opdracht persoonsgegevens verwerken;
- wij uw recht respecteren om uw persoonsgegevens op uw aanvraag ter inzage te bieden, te corrigeren of te verwijderen.
Gebruiken van persoonsgegevens
Wij ontwikkelen en beheren bewustwordings- en trainingsprogramma’s. Deze programma’s faciliteren wij via een bedrijfsspecifieke leeromgeving (tenant) aan onze klanten. Dit doen wij samen met eFaktor, een premium Moodle partner. Klanten kunnen in hun leeromgeving gebruik maken van onze programma’s. Zij kunnen deze leeromgeving ook gebruiken om eigen programma’s te ontwikkelen en toe te passen.
Bij het gebruiken van de leeromgeving verkrijgen wij bepaalde gegevens van u. Dat kunnen persoonsgegevens zijn. Wij bewaren en gebruiken uitsluitend de persoonsgegevens die rechtstreeks door u worden opgegeven, in het kader van de door u gevraagde dienst, of waarvan bij opgave duidelijk is dat ze aan ons worden verstrekt om te verwerken. Wij gebruiken de volgende gegevens voor de in deze privacyverklaring genoemde doelen:
- Voornaam en achternaam;
- NAW-gegevens;
- Telefoonnummer(s);
- Factuuradres;
- E-mailadres(sen);
- Uw (profiel-) foto; en
- IP-adres.
Gegevensverzameling
Als u via onze de website contact met ons opneemt verzamelen wij uw gegevens. Dit geldt voor het invullen van contactformulier, het aanvragen van een factsheet of een paper via onze downloadformulieren, het inschrijven op een nieuwsbrief of een bijeenkomst.
Een bedrijf kan u uitnodigen gebruik te maken van zijn bedrijfsspecifieke leeromgeving om bewustmakings- en kennisprogramma’s te volgen. Wij verzamelen in opdracht van het bedrijf uw gegevens. In opdracht van het bedrijf kunnen wij persoonsgegevens ook betrekken uit openbare registers, publiek toegankelijke bronnen of bedrijfssystemen.
Wij beschrijven hierna voor welke doeleinden Duthler Academy persoonsgegevens verzamelt en op basis van welke grondslag de gegevensverwerking plaatsvindt.
Inschrijving voor trainingsprogramma’s en opleidingen
Wij verwerken persoonsgegevens voor administratieve doeleinden als u via de website contact met ons opneemt. De grondslag voor de verwerking van uw persoonsgegevens is de uitvoering van een overeenkomst of een gerechtvaardigd belang.
Wij verwerken persoonsgegevens om uitvoering te geven aan de overeenkomst die u of het bedrijf met ons aangaat. De grondslag voor de verwerking van uw persoonsgegevens is het uitvoering geven van een overeenkomst.
De persoonsgegevens gebruiken wij voor het berekenen en vastleggen van financiële gegevens ten behoeve van de facturering, voor het behandelen van geschillen en het uitvoeren van accountantscontroles. Wij verwerken uw persoonsgegevens op grond van een wettelijke verplichting.
Toevoegen deelnemer aan uw leeromgeving
Een bedrijf, de opleidingsmanager kennismanagement, managet de toegang van deelnemers tot de leeromgeving. Een potentiële deelnemer kan ook de opleidingsmanager om toegang vragen. Wij verwerken in opdracht van het bedrijf persoonsgegevens en de grondslag hiervoor is een overeenkomst of een gerechtvaardigd belang.
De persoonsgegevens gebruiken wij voor het berekenen en vastleggen van financiële gegevens ten behoeve van de facturering van door u of het bedrijf afgenomen programma’s en opleidingen, het behandelen van geschillen en het uitvoeren van accountantscontroles. Wij verwerken deze persoonsgegevens op grond van een wettelijke verplichting.
Als u wordt toegevoegd als deelnemer aan een leeromgeving dan leggen wij de volgende gegevens vast:
- Naam;
- E-mailadres;
- Afdeling (optioneel); en
- Gebruikersnaam.
Wij bewaren uw persoonsgegevens om de leeromgeving van uw organisatie te onderhouden en/of zolang wij hiertoe wettelijk verplicht is. Wij bewaren uw gegevens niet langer dan noodzakelijk.
Persoonsgegevens die worden verwerkt als u wordt toegevoegd aan en leeromgeving, worden bewaard gedurende de periode dat u deelnemer bent aan de leeromgeving. Deze persoonsgegevens worden vernietigd twee jaar na uw laatste activiteit in de leeromgeving, bijvoorbeeld het inloggen in de leeromgeving.
Studieresultaten, vragen & antwoorden
Het bedrijf, de opleidingsmanager, kan de programma’s voorzien van open en gesloten vragen en deze voorleggen aan interne en externe medewerkers. Op basis van de antwoorden schat de kennismanager in wat het kennisniveau van de cursisten is. Door het inschakelen van deze functionaliteit geeft het bedrijf Duthler Academy opdracht de volgende persoonsgegevens verwerken:
- Studieresultaten; en
- Certificaten of diploma´s.
Wij bewaren uw persoonsgegevens gedurende de looptijd van de overeenkomst en/of zolang wij hiertoe wettelijk verplicht is. Wij bewaren uw gegevens niet langer dan noodzakelijk.
Als u een diploma of certificaat ontvangt voor het met goed gevolg afronden van een programma of opleiding, bewaren wij uw diploma of certificaat met de onderliggen gegevens 15 jaar.
Abonnementen
Wanneer u de leeromgeving wilt afnemen betaalt u een gebruikerslicentie (abonnement). Voor dit doel vragen wij aan u de voor de betaling en uitvoering van de overeenkomst benodigde gegevens. Deze worden niet voor andere doeleinden gebruikt.
Nieuwsbrief en formulieren
Wij bieden, via onze website én de leeromgeving, de mogelijkheid om vragen te stellen door middel van een contactformulier, waarbij u gevraagd wordt uw naam, mailadres, onderwerp en bericht in te vullen. U kiest zelf welke gegevens u daarbij verstrekt. De gegevens die u ons toestuurt, worden bewaard zo lang als naar de aard van het formulier of de inhoud van uw e-mail nodig is voor de volledige beantwoording en afhandeling daarvan.
Naast het contactformulier gebruiken wij ook downloadformulieren. Hierbij vult u uw naam en mailadres in. Vervolgens ontvangt u automatisch per mail de paper. Uw gegevens worden opgeslagen in ons CRM-systeem en worden alleen gebruikt om contact met u op te nemen. Uw gegevens worden niet doorverkocht of uitgewisseld met derden.
Het is mogelijk via onze nieuwsbrief op de hoogte gehouden te worden over nieuws, blogs en evenementen. Iedere nieuwsbrief bevat een link waarmee u zich kunt afmelden. Via onze website of via een speciale link kunt u zelf abonneren op de nieuwsbrief. Wij voegen zelf geen abonnees toe. Wij gebruiken Brevo (vooraf Sendinblue) als mailmanagementsysteem.
Via sociaal media, LinkedIn en Twitter, kunnen wij u, naast de informatie op onze website, op de hoogte brengen van onze (nieuwe) producten en diensten.
Inschrijven voor een bijeenkomst van Duthler Academy
Wij verwerken de persoonsgegevens van een inschrijven bijeenkomst voor eigen commerciële communicatiedoeleinden en de logistiek van de bijeenkomst. De grondslag voor de verwerking van de persoonsgegevens is een gerechtvaardigd belang. Het betreffen de volgende gegevens:
- Uw naam;
- Uw bedrijfsnaam (optioneel);
- Uw e-mailadres;
- Uw telefoonnummer; en
- Gewenste datum.
Advertenties
Wij maken gebruik van advertenties via Google Ads. Hierbij worden advertenties weergegeven in de Google zoekresultaten. Wij maken geen gebruik van gepersonaliseerde advertenties op websites van derden. Ook doen wij niet aan ‘re-targeting’.
Verstrekking aan derden
Wij kunnen uw gegevens doorgeven aan onze partners als dit noodzakelijk is in het kader van de uitvoering van de overeenkomst die u met ons sluit of indien dit wettelijk verplicht is. In geval van een vermoeden van fraude of misbruik van onze site kunnen wij persoonsgegevens aan de bevoegde autoriteiten overhandigen.
Op onze sites wordt gebruik gemaakt van cookies. Ook via derden die door ons zijn ingeschakeld worden cookies geplaatst. Het staat u vrij om cookies uit te schakelen met uw browser. Houd er wel rekening mee dat het mogelijk is dat onze website dan niet meer optimaal werkt. Met derden die cookies plaatsen hebben wij afspraken gemaakt over het gebruik van de cookies en applicaties. Toch hebben wij geen volledige controle op wat de aanbieders van deze applicaties zelf met de cookies doen wanneer zij deze uitlezen.
Wij en onze partner eFaktor verstrekken uw persoonsgegevens niet aan een andere derde partij. Uitsluitend als wij hiertoe zijn verplicht, worden persoonsgegevens verstrekt aan toezichthouders, fiscale autoriteiten en opsporingsinstanties.
Wij geven geen persoonsgegevens door aan bedrijven of instellingen buiten de Europese Economische Ruimte (EER). Ook als wij (sub)verwerkers inschakelen, zullen uw persoonsgegevens niet buiten de EER worden verwerkt.
Beheers- en beveiligingsmaatregelen
De bedrijfsleiding gebruikt de bedrijfsspecifieke leeromgeving om bijvoorbeeld veranderingsprocessen te ondersteunen. Daarom mogen zij, de bedrijfsleiding, verwacht dat beheersmaatregelen zijn toegepast die gericht zijn op het effectief beschermen van persoonsgegevens en op informatieveiligheid.
Wij hebben in samenwerking met onze partner eFaktor een reeks van beveiligings- en beheersmaatregelen getroffen op het gebied van privacy en informatieveiligheid.
Beveiligingsmaatregelen
Wij nemen beveiligingsmaatregelen om misbruik van en ongeautoriseerde toegang tot persoonsgegevens te beperken. In het bijzonder nemen wij de volgende maatregelen:
- Wij maken – wanneer u persoonsgegevens invoert – gebruik van beveiligde verbindingen (Secure Sockets Layer of SSL) waarmee alle informatie tussen uw browser en onze website wordt afgeschermd;
- De leeromgeving wordt gehost op een private cloud server bij de professionele hostingpartij Xel te Utrecht. Deze hostingpartij heeft diverse maatregelen en barrières ingeregeld om te voorkomen dat onbevoegden (fysieke) toegang hebben tot onze server. Xel beschikt over ISO 27001 certificering.
Wij schakelen derde partijen in voor bepaalde werkzaamheden. Voor zover deze derden bij het uitvoeren van de betreffende diensten toegang hebben tot persoonsgegevens, hebben wij de vereiste contractuele en organisatorische maatregelen getroffen om te verzekeren dat uw persoonsgegevens uitsluitend voor bovenstaande doeleinden worden verwerkt.
De persoonsgegevens worden strikt vertrouwelijk behandeld. Wij hebben passende technische en organisatorische beveiligingsmaatregelen getroffen tegen verlies of onrechtmatige verwerking van deze gegevens. Wij gebruiken hiertoe meerdere beveiligingstechnieken waaronder encryptie, trust listing, firewalls en tweefactor authenticatie.
Beheersmaatregelen
- Wij maken gebruik van Moodle Workplace waarin een reeks van beheersmaatregelen zijn opgenomen; Moodle workplace heeft een tenantstructuur waarbij gegevens van bedrijven gescheiden zijn. Binnen een bedrijfsspecifieke leeromgeving zijn de persoonsgegevens van medewerkers gescheiden, Moodle heeft de Europese Algemene verordening gegevensbescherming (AVG) toegepast in Moodle Workplace. Hierbij zijn de uitgangspunten van Privacy by Design en Default toegepast en Moodle Workplace zet het individu centraal met een eigen leeromgeving en faciliteert een aantal essentiële privacy-rollen zoals de Functionaris voor Gegevensbescherming en de Compliance officer.
- Wij hebben de hosting van Moodle Workplace uitbesteed aan eFaktor, een Moodle Premium Partner. Medewerkers van eFaktor volgen succesvol Moodle trainingen, doen dagelijks ervaring op en hebben toegang tot technische kennis.
- Wij hebben overeenkomsten gesloten met eFaktor die ziet op de kwaliteit van de dienstverlening en een verwerkersovereenkomst. eFaktor verantwoordt zich voor de effectieve werking van de getroffen beheersmaatregelen gericht op het beschermen van persoonsgegevens met behulp van ISO certificaten.
- Wij hebben een master tenant van de bedrijfsspecifieke leeromgeving uitgewerkt waarin aanvullende beheersmaatregelen zijn opgenomen voor het effectief beschermen van persoonsgegevens.
- Wij beoordelen in samenwerking met eFaktor welke aanvullende Apps veilig in de bedrijfsspecifieke leeromgeving gebruikt kunnen worden.
- Wij voeren onze privacy boekhouding in SBC Managementsysteem en maken voor de verantwoordingsplicht gebruik van MYOBI.
- Wij beheren een uitgebreid programma beschermen persoonsgegevens
- Wij bieden gebruikers van bedrijfsspecifieke leeromgevingen het programma beschermen persoonsgegevens aan met als doel bewustwording en trainingen te organiseren;
- Medewerkers beheren in de leeromgeving hun eigen persoonsgegevens. Het betreffen onder andere gegevens over het ontwikkelen van kennis. De categorieën van gegevens in de bedrijfsspecifieke leeromgeving kunnen wij kwalificeren als gevoelige en ook als bijzondere gegevens.
Het treffen van passende beheersmaatregelen is een dynamisch proces dat afhankelijk is van een dreigingsbeeld en het beschikbaar komen van effectievere beheersmaatregelen. Wij blijven periodiek de bescherming van persoonsgegevens en informatieveiligheid toetsen en legt periodiek verantwoording af aan het maatschappelijk verkeer.
Hoe verantwoorden wij ons?
eFaktor is een verwerker in de zin van de AVG en hebben met ons een verwerkersovereenkomst gesloten. eFaktor verantwoordt zich tegenover ons over de effectiviteit van de getroffen beheersmaatregelen. Wij leveren aan een drijven een bedrijfsspecifieke leeromgeving en verwerkt gegevens voor het bedrijf. Het bedrijf is een verwerkingsverantwoordelijke en wij een verwerker.
Bij het sluiten van een licentieovereenkomst sluiten partijen een verwerkersovereenkomst en wij leggen aan het maatschappelijk verkeer, in het bijzonder bedrijven en individuen die gebruik maken van bedrijfsspecifiek leeromgevingen, verantwoording af over de effectiviteit van getroffen beheersmaatregelen die persoonsgegevens beschermen. Het bedrijf dat gebruik maakt van de bedrijfsspecifieke leeromgeving gebruikt onze verantwoording om zelf te voldoen aan de wettelijke verantwoordingsplicht van artikel 5.2 AVG. Er is sprake van een aansprakelijkheidsketen die wij wenst te faciliteren.
Het bedrijf
Het bedrijf dat een bedrijfsspecifieke leeromgeving gebruikt voor het organiseren van haar kennismanagement wenst te voldoen aan de wettelijke verantwoordingsplicht. Het bedrijf neemt een bedrijfsspecifieke leeromgeving van ons af, spreekt een verwerkersovereenkomst af en richt de organisatie van kennismanagement in door de afdelingsstructuur op te nemen in de leeromgeving en medewerkers te koppelen aan rollen. Onze verantwoording over de effectiviteit van de getroffen beheersmaatregelen gericht op beschermen persoonsgegevens en de bevindingen van compliance met wettelijke verplichtingen vormt de basis voor het bedrijf om te voldoen aan de eigen verantwoordingsplicht.
Door gebruik te maken van het programma bescherming persoonsgegevens, het SBC Managementsysteem (privacyboekhouding) en MYOBI (verantwoordingsmethodologie) kan het bedrijf op een kosten efficiënte manier aan wettelijke verplichtingen voldoen.
Wij, Duthler Academy
Wij verzorgen voor bedrijven de logistiek van de bedrijfsspecifieke leeromgeving, treft passende beheersmaatregelen gericht op het beschermen van persoonsgegevens en bedrijfsgeheimen en legt periodiek verantwoording af aan het maatschappelijk verkeer, in het bijzonder aan gebruikers van de bedrijfsspecifieke leeromgeving.
Aanvullend:
- onderhouden wij een trainingsprogramma ‘beschermen persoonsgegevens’ dat gebruikers van bedrijfsspecifieke leeromgevingen kunnen gebruiken.
- kunnen bedrijven en personen terecht bij onze servicedesk en kennisbank voor vragen. Voor het organiseren van het uitoefenen van rechten van betrokkenen maken wij gebruik van het SBC Managementsysteem.
- helpen wij desgewenst met de implementatie en het beheer van de bedrijfsspecifieke leeromgeving (installeren van eigen (sub)domein, thema eigen huisstijl), trainingen, het aanmelden van medewerkers, rapportages, de integratie met externe systemen en het organiseren van het beschermen van persoonsgegevens en informatieveiligheid.
- helpen wij bedrijven met het creëren en beheren van eigen leeromgevingen voor doelgroepen, leerpaden en compliance programma’s met her-certificering,.
- hebben wij een FG en een compliance functionaris aangesteld die benaderbaar is voor bedrijven en individuen die gebruik maken van bedrijfsspecifieke leeromgeving.
- verantwoorden wij ons periodiek met behulp van MYOBI.
Onze partner, eFaktor
- eFaktor is een verwerker van gegevens uit bedrijfsspecifieke leeromgevingen op basis van Moodle Workplace en heeft daarom een verwerkersovereenkomst met ons gesloten.
- eFaktor verzorgt een dedicated Moodle cloud omgeving. De omgeving is altijd up-to-date, schaalbaar, beveiligd en functioneert in overeenstemming met wettelijke verplichtingen zoals de AVG. eFaktor laat haar hostingactiviteiten ISO-certificeren.
- eFaktor is een Moodle Premium Partner en beschikt over ISO certificering van de hosting van de bedrijfsspecifieke leeromgeving.
- Wij en eFaktor begrijpen dat het voldoen aan de verantwoordingsplicht van de AVG een continu proces is. De doelen, de aanpak, de implementaties, het beheer en de verantwoording bespreken wij met gebruikers van de bedrijfsspecifieke leeromgevingen in de Functionality Board.
Bewaartermijnen
De hierboven beschreven persoonsgegevens worden bewaard voor zo lang als nodig om uw websites actief te laten zijn. Daarna bewaren wij gegevens nog maximaal een jaar voor de beschreven statistische doeleinden. De gegevens worden vervolgens gewist, tenzij er een wettelijke plicht is die langer bewaren vereist (zoals de fiscale bewaarplicht van zeven jaar voor betaalgegevens).
Websites van derden
Deze privacyverklaring is niet van toepassing op websites van derden die door middel van links met onze website zijn verbonden. Wij kunnen niet garanderen dat deze derden op een betrouwbare of veilige manier met uw persoonsgegevens omgaan. Wij raden u aan de privacyverklaring van deze websites te lezen alvorens van deze websites gebruik te maken.
Geheimhouding
Onze medewerkers en zij die toegang hebben tot persoonsgegevens, hebben een geheimhoudingsverklaring ondertekend. Zij betrachten geheimhouding voor zover zij door wet- of regelgeving verplicht worden mededelingen te doen.
Wijzigingen
Wij behouden ons het recht voor om wijzigingen aan te brengen in deze privacyverklaring. Het verdient aanbeveling om deze privacyverklaring geregeld te raadplegen, zodat u van deze wijzigingen op de hoogte bent.
Inzage en wijzigingen van uw (persoons)gegevens
U heeft als bezoeker van de website, als gebruiker of student van een leeromgeving rechten die u kunt inroepen:
- Recht op inzage van uw persoonsgegevens;
- Recht op rectificatie en aanvulling;
- Recht op vergetelheid (verwijderen van persoonsgegevens);
- Recht van gegevensoverdraagbaarheid (dataportabiliteit);
- Recht op beperking van de verwerking (dataminimalisatie); en
- Recht om bezwaar te maken tegen de gegevensverwerking.
Als u één of meer van bovengenoemde rechten wilt uitoefenen, kunt u schriftelijk of per e-mail een verzoek indienen. Wij reageren binnen één maand op uw verzoek. U heeft daarnaast het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Beleid accounts gebruikers
Opdrachtgever is zelf verantwoordelijk voor het beheer van (nieuwe) accounts aan gebruikers, de toewijzing van rollen en rechten en het beheer van de content. Ook is Opdrachtgever verantwoordelijk voor de inzage en wijzigen van uw gegevens. Het is voor de opdrachtgever zelf ook verstandig om hiervoor procedures in te regelen.
Toegang medewerkers Duthler Academy
Onze medewerkers hebben toegang tot de dienstverlening met een zogenaamd administrator-account om support en functioneel beheer uit te voeren. In de overeenkomst tussen Opdrachtgever en Duthler Academy is dit ook vastgelegd.
Open Source applicaties
Wij maken voor onze dienstverlening waar mogelijk gebruik van open source applicaties. Elke applicatie wordt onder een specifieke licentie uitgebracht (zoals GPL v3). Wij zijn niet verantwoordelijkheid voor de beveiliging van de open source applicaties.
Autoriteit Persoonsgegevens, de toezichthouder
Natuurlijk helpen wij u graag verder als u klachten heeft over de verwerking van uw persoonsgegevens. Op grond van de privacywetgeving heeft u ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens tegen deze verwerkingen van persoonsgegevens. U kunt hiervoor contact opnemen met de Autoriteit Persoonsgegevens.
Tot slot
Mocht u na het lezen van deze privacyverklaring vragen hebben over de bescherming van uw persoonsgegevens of wilt u gebruik maken van uw rechten, neem dan schriftelijk of per e-mail contact op met:
Duthler Academy (onderdeel van Duthler Associates B.V.)
T.a.v. Functionaris voor Gegevensbescherming
Frankenslag 137
2582 HH ’s-Gravenhage
functionarisgegevensbescherming@duthler.nl