Privacy & Beveiliging

Health Development Institute

MQST B.V. met handelsnaam Health Development Institute hierna te noemen HDI, is de bedenker, ontwikkelaar en eigenaar van de MQ-scan en de Leefstijl-quiz (“de Producten”). HDI zet zich bedrijfsmatig in om de gezondheid van kinderen te verbeteren. Dit aan de hand van twee belangrijke doelstellingen: (1) meer en beter bewegen, en (2) het bevorderen van een gezonde leefstijl. Daarnaast vindt HDI het van groot belang om inzichten hierover te delen met beleidsmakers van overheden en andere belangenorganisaties zodat gerichte interventies kunnen worden bedacht en uitgevoerd.

De MQ-scan is ontwikkeld met als doel inzicht te geven in de motorische vaardigheden van basisschoolkinderen. De MQ-scan meet de motorische ontwikkeling van een kind aan de hand van een wetenschappelijk onderbouwde beweegbaan. MQ staat voor motorische quotiënt en geeft inzicht in de motorische vaardigheden van basisschoolkinderen. 

De Leefstijl-quiz bestaat uit een vragenlijst van een tiental vragen die die tijdens de gymles wordt afgenomen. De vragen worden op een actieve manier afgenomen en gaan dan bijvoorbeeld over zwemles en zwemdiploma’s, over buitenspelen en sporten maar ook over voeding en slaap. Op die manier wordt bijvoorbeeld inzicht verkregen in hoeveel kinderen een zwemdiploma hebben of hoeveel kinderen er nog dagelijks buitenspelen. 

HDI verkoopt de Producten aan scholen, gemeenten en sportorganisaties om deze in staat te stellen deze af te nemen bij kinderen om zodoende de motorische ontwikkeling en leefstijl van de kinderen in kaart te brengen en deze bijvoorbeeld tijdens de gymlessen gericht te kunnen verbeteren

Met het gebruik van de Producten worden persoonsgegevens van kinderen en gebruikers verwerkt. HDI vindt de privacy van de kinderen en gebruikers heel belangrijk, en heeft daarom de nodige maatregelen genomen om ervoor te zorgen dat de eisen die onder andere de Algemene Wet Gegevensbescherming (AVG) stelt door alle partijen worden nageleefd. 

Hieronder wordt uitgelegd welke persoonsgegevens worden verwerkt, voor welk doel dat gebeurt, welke partijen betrokken zijn, en welke maatregelen zijn genomen om ervoor te zorgen dat dit veilig gebeurt. 

Rolverdeling

Bij het gebruik van de Producten is een aantal partijen betrokken. Onderstaand een overzicht van de betrokken partijen, de taken die deze uitvoeren en de manier waarop die partijen te maken hebben met persoonsgegevens. 

HDI is de ontwikkelaar van de Producten en heeft als doel deze zo breed mogelijk uit te rollen. Daarvoor worden deze aangeboden en verkocht aan klanten. Dat kunnen scholen zijn, maar ook samenwerkingsverbanden van scholen, lokale- of regionale sportbedrijven en gemeenten. Met het gebruik van de Producten verwerkt HDI persoonsgegevens. Dat gebeurt op verschillende manieren. 

Ten eerste verzamelen we de contactgegevens en bankgegevens van klanten om daarmee de overeenkomst die we met hen hebben gesloten goed te kunnen uitvoeren. Daarnaast verzamelen we gegevens van de personen die als gebruiker namens de klant met het systeem werken. Het gaat dan om de naam, het emailadres en inloggegevens. Op die manier kunnen we de juiste accounts aanmaken en eventuele inlogproblemen oplossen. Tenslotte worden persoonsgegevens van leerlingen verwerkt die deelnemen aan de test of vragenlijst (zie onderstaand uitgebreid). 

In de relatie met klanten die de test afnemen, heeft HDI de rol van ‘verwerker’, de klant is ‘verantwoordelijke’ in de zin van de AVG. Tussen HDI en de klanten wordt altijd een verwerkersovereenkomst (model Privacy Convenant) gesloten om ervoor te zorgen dat de afspraken over de gegevensverwerking duidelijk zijn. Ook met de partijen die de Producten door-ontwikkelen, ons ondersteunen op ICT-gebied en die de data hosten en die de data beheren, en die worden gezien als zogenaamde sub-verwerker, heeft HDI dergelijke verwerkersovereenkomsten afgesloten.

Naast de bovengenoemde verwerking van persoonsgegevens in de rol van verwerker, verwerkt HDI de leerlinggegevens ook voor haar eigen doeleinden (dus als verantwoordelijke). Hierbij wordt gebruik gemaakt van anonieme data die niet tot de persoon herleidbaar is. Dit doen we voor drie doelen. Ten eerste worden de scores van de leerlingen verwerkt in de referentiedata op basis waarvan de gemiddelden berekend worden. Op die manier houden we deze up to date. Daarnaast gebruiken we deze data om het effect van de test en/of vragenlijst te monitoren om deze op die manier te kunnen aanpassen en verbeteren. Tenslotte gebruiken we de data om tot geaggregeerde overzichten te komen van gemiddelde scores over het motorisch niveau en/of de leefstijl van kinderen op school-, buurt- of lokaal niveau. Deze overzichten kunnen vervolgens voor bijvoorbeeld gemeenten aanleiding zijn om beleid te maken of interventies te doen. 

Klanten van HDI zijn de partijen die de Producten afnemen en gebruiken. Zoals gezegd kunnen dat scholen zijn, gemeenten, maar ook lokale- of regionale sportbedrijven. De klanten zorgen dus voor het daadwerkelijk afnemen van de test en voeren ook het beweegprogramma uit. Om inzicht te krijgen in het motorisch ontwikkelniveau en de leefstijl van de kinderen, en om het effect van het programma te kunnen monitoren heeft de verantwoordelijke partij (veelal de school) inzicht in de individuele scores van de kinderen die deelnemen. Ze vullen de persoonsgegevens van de kinderen in, en verwerken ook de scores. De klant heeft de rol van verantwoordelijke, en zoals boven genoemd wordt tussen de klant en HDI altijd een verwerkersovereenkomst gesloten.

Persoonsgegevens van Leerlingen worden door deelname aan de MQ Scan verwerkt. Dat gebeurt op basis van een legitieme wettelijke grondslag. We maken heel duidelijk welke gegevens verzameld worden, voor welk doel dat gebeurt, en hoe lang de gegevens worden bewaard. De leerlingen/ouders van de leerlingen die deelnemen kunnen altijd van hun rechten gebruik maken om de gegevens in te zien, te rectificeren en/of deze te verwijderen (zie uitgebreid hierna). 

Gebruik van persoonsgegevens

Bij het gebruik van de Producten vult degene die daar door de klant is aangesteld (bijvoorbeeld een gymdocent) de persoonsgegevens in van de deelnemende kinderen. Hierbij wordt gebruik gemaakt van de gegevens die door de deelnemende scholen worden aangeleverd.  Het doel hiervan is om de score van het individuele kind terug te kunnen koppelen, zodat inzichtelijk is hoe hij/zij zich verhoudt tot andere kinderen en het programma daarop kan worden afgestemd. Daarnaast zullen de resultaten zonder dat deze op het individuele kind terug te herleiden zijn, gebruikt worden voor data-analyses. Zo wordt bijvoorbeeld inzicht verkregen over hoe een bepaalde groep kinderen zich op motorisch gebied of qua leefstijl verhoudt tot een andere groep. Het uiteindelijke overkoepelende doel is om de motorische vaardigheden en de leefstijl van alle kinderen in beeld te brengen en te monitoren zodat dit door de professionals gericht kan worden verbeterd.

Registreren

Om de Producten te kunnen gebruiken zal degene die daar door de klant voor is aangesteld zich eerst moeten registreren. Het gekozen wachtwoord en de naam van die persoon worden bewaard, zodat het systeem hem/haar herkent en toegang wordt verkregen tot de gegevens. Natuurlijk worden de gebruikersnaam, wachtwoord en daaraan gekoppelde gegevens niet aan derden verstrekt, tenzij dat noodzakelijk is in het kader van de levering van de dienst of als dit wettelijk verplicht is. In geval van een vermoeden van fraude of misbruik van de Producten kunnen wij persoonsgegevens aan de bevoegde autoriteiten overhandigen.

Welke gegevens worden gevraagd?
Met het gebruik van de Producten worden de volgende gegevens verwerkt: 

  1. NAW-gegevens en inloggegevens van de uitvoerder (namens klant);
  2. Contactgegevens contactpersoon school (naam, e-mail en telefoonnummer);
  3. Voor- en achternaam leerling;
  4. Geslacht leerling;
  5. Geboortedatum leerling;
  6. Klas leerling;
  7. Postcode leerling; 
  8. Uit een test voortvloeiende gegevens (scores MQ Scan/antwoorden Leefstijl-vragen).

Verstrekking aan derden

De persoonsgegevens van de deelnemende kinderen worden alleen gedeeld met de betreffende school, en worden uitdrukkelijk niet aan derden verstrekt.

De contactgegevens van de contactpersonen van de scholen worden alleen gedeeld binnen HDI en de door de klant aangestelde uitvoerder van de test. 

De NAW-gegevens en inloggegevens van de uitvoerder worden alleen gedeeld binnen HDI.

Beveiliging

Wij hebben de nodige beveiligingsmaatregelen genomen om misbruik van de Producten, en dus ook de toegang tot persoonsgegevens te beperken. Het gaat onder andere om de volgende maatregelen:

  1. Toegang tot persoonsgegevens alleen met een unieke gebruikersnaam en wachtwoord;
  2. Toegang tot persoonsgegevens met 2 Factor Authenticatie; 
  3. Wachtwoorden worden encrypted opgeslagen;
  4. Secured communicatie met server (HTTPS/SSL);
  5. Data staat opgeslagen op servers die in Nederland staan, en via een ISO27001 gecertificeerde host; 
  6. De toegang tot de servers waar de gegevens zijn opgeslagen, is beperkt tot geautoriseerde personen;
  7. Alle wijzigingen in de software zullen verlopen via de OTP-ontwikkelmethode;

Een gedetailleerde opsomming van de beveiligingsmaatregelen is opgenomen in de diverse verwerkersovereenkomsten. 

Statistieken

Zoals hiervoor beschreven heeft HDI toegang tot geanonimiseerde statistieken van de resultaten van de test en het gebruik van de website en app. Deze gebruikt HDI voor het evalueren en verbeteren van de Producten, en om partijen op geaggregeerd niveau inzichten te verschaffen over de motorische ontwikkeling of leefstijl van leerlingen. De wettelijke grondslag op basis waarvan we dit doen is ‘gerechtvaardigd belang’. 

Beschermen en bewaren van gegevens

HDI doet er alles aan om persoonsgegevens passend te beveiligen tegen verlies en onrechtmatig gebruik(datalek). Zoals al vermeld heeft HDI met de partners die (een deel van) de uitvoering voor hun rekening nemen een zogenaamde verwerkersovereenkomst gesloten. Daarin staat onder andere dat zij de persoonsgegevens eveneens passend beveiligen en de voorschriften van de AVG in acht nemen.

Als ondanks de genoemde maatregelen sprake is van een datalek, dan handelen we dat natuurlijk volgens de regels af. Als je zelf het idee hebt dat er sprake is van een datalek, of als je vermoedt dat dit zo is, dan vragen we je dit zo snel mogelijk te melden bij de school/klant of via info@hd-institute.nl.

Websites van derden

Deze verklaring is niet van toepassing op websites of apps van derden die door middel van links aan de Producten verbonden zijn. Wij kunnen namelijk niet garanderen dat deze derden op een betrouwbare of veilige manier met uw persoonsgegevens omgaan.

Inzage, wijziging en verwijdering van jouw persoonsgegevens

De AVG benoemt een aantal rechten die de personen waarvan persoonsgegevens worden verwerkt hebben:  

  • Inzage:
  • Corrigeren:
  • Verwijderen:
  • je hebt het recht je persoonsgegevens in te zien. 
  • als blijkt dat jouw persoonsgegevens niet kloppen, kan jij ons vragen jouw gegevens te wijzigen. 
  • je kunt ons ook verzoeken persoonsgegevens te verwijderen en het gebruik ervan te stoppen. 

Als je een vraag, of een verzoek hebt over de verwerking van jouw persoonsgegevens, dan kan je dat doen door een email te sturen naar: info@hd-institute.nl.

Als je niet tevreden bent over de manier waarop wij jouw persoonsgegevens verwerken, dan kan je ook een klacht indienen bij de Autoriteit Persoonsgegevens via:  https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap 

Wijzigingen in deze privacyverklaring

Wij behouden ons het recht voor om wijzigingen aan te brengen in deze verklaring wanneer de website of de Producten worden gewijzigd/vernieuwd. U ziet dit aan de datum die onderaan dit document is vermeld.

Vragen?

Als u vragen heeft over deze voorwaarden of over het privacy beleid, dan kunt u altijd contact met ons opnemen via info@hd-institute.nl.

Haarlem, 25 maart 2023