De Instelling en Questr, hierna gezamenlijk "Partijen", overwegende dat Questr als verwerker persoonsgegevens verwerkt in opdracht van de Instelling, komen het volgende overeen.
Deze verwerkersovereenkomst (hierna: de "VWO") regelt de verwerking van persoonsgegevens door Questr in het kader van de aan de Instelling geleverde dienst: het Questr-leerplatform voor focussessies, klasbeloningen en mentor-dashboards.
De VWO treedt in werking op de datum van ondertekening en eindigt automatisch bij het einde van de onderliggende licentieovereenkomst.
Questr verwerkt persoonsgegevens uitsluitend ten behoeve van het leveren van de functionaliteit van het platform: registreren van focussessies, tonen van voortgang, berekenen van punten en streaks, mogelijk maken van klas- en mentor-overzichten, en beheer van accounts en klassen.
Questr verwerkt persoonsgegevens niet voor andere doeleinden zoals profilering, gedragsadvertenties, verkoop aan derden of training van commerciële AI-modellen.
| Categorie betrokkene | Verwerkte persoonsgegevens |
|---|---|
| Leerlingen | Voornaam of schuilnaam, klas, gebruikersnaam, gehashed wachtwoord, focussessies (tijd, duur, vak, punten), flashcards/quizzen, ingeplande toetsen en cijfers, leeslijst, streak-informatie, vriendenlijst, gekoppelde klas. Optioneel (door leerling zelf in te vullen, leeg laten mag): geboortejaar en geslacht — uitsluitend voor anonieme cohort-analyses en passende inhoud-suggesties. |
| Mentoren | Naam, zakelijk e-mailadres, gehashed wachtwoord, rol en gekoppelde klas(sen). |
| Schoolbeheerders | Naam, zakelijk e-mailadres, telefoonnummer, gehashed wachtwoord, factuur- en licentiegegevens. |
| Alle gebruikers | IP-adres (tijdelijk, voor beveiliging), sessie-cookies, browser-informatie in serverlogs. |
Questr verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Instelling, zoals vastgelegd in deze VWO en de onderliggende dienstverlening. De Instelling bepaalt welke categorieën betrokkenen worden toegevoegd en welke functionaliteit wordt gebruikt.
Questr stelt de Instelling onverwijld op de hoogte indien een instructie naar haar mening inbreuk maakt op de AVG of andere privacy-wetgeving.
Questr verplicht haar medewerkers en ingeschakelde hulppersonen tot geheimhouding van de persoonsgegevens. Deze geheimhoudingsplicht geldt onverminderd na beëindiging van de VWO.
Questr treft passende technische en organisatorische maatregelen conform artikel 32 AVG om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder in elk geval:
Questr maakt gebruik van de volgende subverwerkers. De Instelling geeft hierbij algemene toestemming voor inschakeling van deze partijen; Questr stelt de Instelling in kennis van voorgenomen wijzigingen en biedt de mogelijkheid tot bezwaar.
| Subverwerker | Functie | Locatie |
|---|---|---|
| Mollie B.V. | Betaalverwerking (iDEAL, SEPA, kaart) voor schoollicenties en abonnementen | Nederland |
| Hostingpartner | Serverhosting en dagelijkse back-ups | Europese Unie |
| E-mailprovider | Verzenden van transactionele e-mails (uitnodigingen, wachtwoordreset, facturen) | Europese Unie |
Questr sluit met elke subverwerker een verwerkersovereenkomst die ten minste gelijkwaardige verplichtingen bevat als deze VWO.
Questr draagt persoonsgegevens niet over naar landen buiten de Europese Economische Ruimte (EER), tenzij er sprake is van passende waarborgen zoals een adequaatheidsbesluit van de Europese Commissie of standaard contractuele bepalingen (SCC's).
Bij een inbreuk in verband met persoonsgegevens (datalek) informeert Questr de Instelling zonder onredelijke vertraging, en in elk geval binnen 48 uur na ontdekking. De melding bevat ten minste:
De Instelling is verantwoordelijk voor eventuele melding aan de Autoriteit Persoonsgegevens en/of betrokkenen.
Questr biedt de Instelling voor zover redelijkerwijs mogelijk medewerking bij het voldoen aan verzoeken van betrokkenen op grond van hoofdstuk III AVG (inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar). Verzoeken die rechtstreeks bij Questr binnenkomen worden doorgestuurd naar de Instelling.
Questr stelt de Instelling op verzoek alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen uit deze VWO aan te tonen. De Instelling mag maximaal één keer per jaar een audit (laten) uitvoeren, mits tijdig aangekondigd en uitgevoerd door een onafhankelijke partij met geheimhoudingsplicht. De kosten van een audit komen voor rekening van de Instelling, tenzij de audit significante tekortkomingen aantoont.
Questr verwerkt persoonsgegevens niet langer dan nodig voor de uitvoering van de dienst. Concrete termijnen:
Bij beëindiging van de licentieovereenkomst verwijdert of anonimiseert Questr de persoonsgegevens binnen 30 dagen, tenzij de Instelling uitdrukkelijk verzoekt om een export of wettelijke bewaarplichten anders voorschrijven.
De aansprakelijkheid van Partijen volgt uit de onderliggende licentie- overeenkomst. Voor zover dwingendrechtelijke bepalingen uit de AVG van toepassing zijn, prevaleren deze.
Op deze VWO is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement van de statutaire vestigingsplaats van Questr, tenzij Partijen schriftelijk anders overeenkomen.
Wijzigingen in deze VWO zijn alleen geldig indien schriftelijk overeengekomen en door beide Partijen ondertekend.