Privacyverklaring Konnect

Dit is de privacyverklaring en het cookiebeleid van Kinderopvang Konnect B.V., gevestigd en kantoorhoudende te (8263CE) Kampen aan de Zambonistraat 3-4, hierna te noemen “Konnect”.

Konnect biedt een communicatieplatform aan organisaties in de kinderopvang, zorg en het onderwijs om informatie te delen met hun klanten. Deze organisaties zijn in het kader van de gegevensverwerking Verantwoordelijke. Konnect is in opdracht van deze organisaties Verwerker van persoonsgegevens. Gebruikers van de dienst zijn medewerkers van de organisatie en de ouders die klant zijn bij de organisatie. Binnen deze privacyverklaring worden de volgende termen gehanteerd voor de verschillende betrokkenen:

Konnect: De leverancier van de communicatiedienst en in dit kader verwerker van gegevens in opdracht van Verantwoordelijke.

Verantwoordelijke: de organisatie die de dienst afneemt van Konnect en verantwoordelijk voor de verwerking van persoonsgegevens. De verantwoordelijke biedt deze dienst aan haar Gebruikers aan.

Gebruiker: de medewerker van Verantwoordelijke en klanten (ouders) van Verantwoordelijke. De gebruiker wordt in deze privacyverklaring ook rechtstreeks aangesproken (je/jij/jouw).

Konnect hecht veel waarde aan het beschermen van persoonsgegevens en de privacy van onze klanten en gebruikers. Wij houden ons aan de regels die de Algemene Verordening Gegevensbescherming (AVG) en overige privacy wet- en regelgeving stellen.

In  deze  privacyverklaring  lees  je  alles  over  de  manier waarop jouw persoonsgegevens worden verzameld en we daarmee omgaan. Zo wordt uitgelegd welke persoonsgegevens vastgelegd worden en  voor welk doel de gegevens gebruikt worden. Daarnaast vind je hier ook al jouw  rechten  met  betrekking  tot  jouw  gegevens  en hoe je gebruik kunt maken van die rechten.

Verwerkte persoonsgegevens

Konnect verwerkt persoonsgegevens in opdracht van de Verantwoordelijke. Konnect verwerkt enkel informatie om onze diensten en producten te kunnen leveren, klantenservice te bieden, de gebruiksvriendelijkheid van onze diensten te verbeteren of uitbreidingen op onze diensten te kunnen ontwikkelen.

Bij de verwerking van gegevens maakt Konnect onderscheidt tussen gegevens van onze klanten (de Verantwoordelijke), haar gebruikers en de betrokkenen (ouders/verzorgers, kinderen en medewerkers).

Van onze klant: Bedrijfsgegevens (bedrijfsnaam, vestigingsplaats, adres KvK-nummer, BTW-nummer), contactpersonen (naam, functie, e-mailadres, (zakelijk) telefoonnummer), abonnementsgegevens en betalingsafspraken, bank- en facturatiegegevens (zoals IBAN, tenaamstelling, BIC-code), gastouders inclusief contactgegevens.

Van gebruikers van onze dienst: Voornamen en achternaam, e-mailadres, gebruikersrollen, gebruikte mobiele devices, audit-informatie (zoals geslaagde en mislukte inlogpogingen, datum/tijd van mutaties, gebruikte device, IP adres).

Daarnaast maken we onderscheid tussen een drietal betrokkenen waarvan er persoonsgegevens binnen Konnect verwerkt worden. Dit zijn kinderen, ouders/verzorgers en medewerkers van Verantwoordelijke. Hieronder is aangegeven welke gegevens van de betrokkenen verwerkt worden.

Kinderen: Voornamen, roepnaam, achternaam, Geboortedatum, geslacht, BSN (wordt niet getoond of opgeslagen in Konnect, deze wordt uitsluitend bij wijzigen verzonden naar administratief pakket van de Verantwoordelijke), Ouders/verzorgers (zie ouders/verzorgers), School, Noodnummers, Kindnotities (zoals: dieet, allergie, leerontwikkeling, medisch, overige, kindkenmerken, mentoren, deelname rijksvaccinatieprogramma, zorgverzekeraar), Toestemmingen, Planningsinformatie en mutaties daarop, Aanwezigheidsinformatie, Foto’s, video’s, Dagverslagen (inclusief dagritme), Ontwikkelingsgegevens (Observaties, Observatieformulieren, overdracht), Deelname aan activiteiten, Tegoeden.

Ouders/verzorgers: Voornaam, achternaam, Debiteurnummer, BSN (wordt niet getoond of opgeslagen in Konnect, deze wordt uitsluitend bij wijzigen verzonden naar administratief pakket van de Verantwoordelijke), Emailadres, Foto’s, Adresgegevens, telefoonnummers, Audit informatie (zoals geslaagde en mislukte inlogpogingen, datum/tijd van mutaties, gebruikte device, IP adres), Systeemvoorkeuren (Voorkeurstaal, notificatie instellingen), Verzonden notificaties en mailberichten, Communicatie informatie (nieuwsbrieven / berichten), Facturen, jaaropgaves en documenten (waaronder contracten), Deelname aan activiteiten.

Medewerker: Voornamen, achternaam, e-mailadres, Functie en voorsteltekst, Gekoppelde locaties/groepen.

Bij veel van onze klanten is Konnect gekoppeld aan het administratieve pakket waarin de kindplanning bijgehouden wordt. Voor veel gegevens (zoals NAW, emailadres, debiteurnummer, telefoonnummers, school en planningsinformatie) is de bron van de verkregen gegevens het administratieve pakket van onze klant. Daarnaast worden de gegevens door medewerkers van onze klant en de ouders/verzorgers toegevoegd.

Konnect verzamelt en verwerkt deze gegevens op basis van de overeenkomst die wij hebben met de Verantwoordelijke. Daarnaast is voor het verwerken van specifieke kindgegevens (foto’s, video’s en dagverslagen) uitdrukkelijke toestemming nodig van de ouder/verzorger. De ouder/verzorger kan deze toestemming net zo makkelijk intrekken als dat deze gegeven wordt, via “Mijn toestemmingen” in het webportaal of door dit door te geven bij de medewerkers van Verantwoordelijke. Het intrekken van de toestemming gebeurt niet met terugwerkende kracht. Het intrekken van de toestemming heeft dus geen gevolgen voor eerder verzamelde gegevens gedurende de tijd dat er wel een toestemming was.

Doel van de gegevensverwerking

Konnect verwerkt in opdracht van Verantwoordelijke alleen persoonsgegevens in het kader van de volgende doeleinden:

Om gebruik van de Dienst mogelijk te maken: Konnect verwerkt persoonsgegevens van de organisatie en haar gebruikers, te weten: personen die onder haar gezag staan zoals personeel en/of ingehuurde externe werkkrachten en ouders, zodat deze gebruikers kunnen inloggen op de dienst en derhalve met de dienst kunnen werken.

Om de communicatiefuncties en administratieve functies aan te bieden aan gebruikers: Konnect verwerkt persoonsgegevens van betrokkenen en de organisatie en haar medewerkers om de communicatiefuncties en administratieve functies te gebruiken die beschikbaar zijn binnen de dienst.

Om ondersteuning te leveren aan gebruikers van de Dienst: Konnect verwerkt persoonsgegevens van betrokkenen en de organisatie en haar medewerkers, om ondersteuning te kunnen leveren bij vragen of problemen.

Om Konnect diensten te onderhouden en doorontwikkeling aan Konnect te kunnen doen: Daarnaast wordt Konnect door ons steeds verder ontwikkeld en onderhouden. Tijdens dit werk kunnen we in aanraking komen met de Persoonsgegevens.

Om continuïteit en beschikbaarheid van de dienst en daarbinnen verwerkte persoonsgegevens te waarborgen: Konnect verwerkt persoonsgegevens van betrokkenen en de organisatie en haar medewerkers, om de continuïteit en beschikbaarheid van de diensteverlening te kunnen waarborgen.

Er worden geen persoonsgegevens geanalyseerd op basis waarvan (geautomatiseerd) beslissingen worden gemaakt. Zoals benoemd in de GDPR/AVG vindt er derhalve geen ‘profiling’ plaats binnen de systemen van Konnect.

Duur van de verwerking van de gegevens

Konnect hanteert de volgende bewaartermijnen voor de verwerkte persoonsgegevens:

  • Klanten: Tot 8 jaar na afloop van de overeenkomst (bewaartermijn boekhouding)
  • Gebruikers:  Tot 1 jaar na afloop van de overeenkomst
  • Kinderen: Tot 1 jaar na afloop van de overeenkomst
  • Ouders/verzorgers: Tot 1 jaar na afloop van de overeenkomst
  • Medewerkers: Tot 1 jaar na afloop van de overeenkomst

Daarnaast gelden voor de volgende categorieën van gegevens afwijkende bewaartermijnen:

  • Planningsinformatie: Maximaal 1 jaar na afloop van de overeenkomst
  • Aanwezigheidsinformatie: Maximaal 3 jaar
  • Audit log informatie: Tot 1 jaar na vastleggen
  • Verzonden notificaties en mailberichten: Tot 1 jaar na versturen

Ontvangers van verzamelde persoonsgegevens

Konnect heeft geautomatiseerde koppelingen met verschillende pakketten. Afhankelijk van de pakketten waarmee de Verantwoordelijke werkt, worden er persoonsgegevens uitgewisseld met deze pakketten. De pakketten waarmee Konnect koppelt waarmee persoonsgegevens uitgewisseld worden, zijn onder te verdelen in de volgende categorieën:

  • Kindplanning
  • Medewerkerplanning
  • Business Intelligence

Konnect levert alleen persoonsgegevens door aan deze pakketten in opdracht van Verantwoordelijke en in het kader van de processen van Verantwoordelijke.

Wij verstrekken verder geen persoonsgegevens aan andere partijen (derden), tenzij dat noodzakelijk is om aangifte te doen van strafbare feiten.

Locatie van verwerking van persoonsgegevens

De verwerking van persoonsgegevens binnen het eigen communicatieplatform van Konnect vindt volledig plaats binnen Nederland.

Voor het leveren van ondersteuning, wordt gebruik gemaakt van ondersteunende software door onze interne organisatie. Helpdesk-tickets met vragen of meldingen worden verwerkt in de Verenigde Staten binnen systemen die zich hebben gecommitteerd aan de afspraken uit het EU-US Privacy Shield. Binnen het EU-US Privacy Shield zijn heldere afspraken gemaakt om op adequate wijze om te gaan met persoonsgegevens van Europese burgers. Samen met onze klanten streven we ernaar om persoonsgegevens binnen helpdesk-tickets zo veel mogelijk onleesbaar te maken. Dit doen wij bijvoorbeeld door alleen interne identificatienummers te communiceren en namen en foto’s in screenshots onleesbaar te maken. Toch kan het soms voorkomen dat er persoonsgegevens gecommuniceerd worden via Helpdesk-tickets.

Beveiliging van de gegevens

Wij passen in het hele bedrijf technische en organisatorische beveiligingsmaatregelen toe om je persoonsgegevens te beveiligen en je privacy te waarborgen. We doen er alles aan om – gezien de stand der techniek – passende maatregelen te nemen. Periodiek wordt door ons gecontroleerd of onze maatregelen nog adequaat zijn. Dit gebeurt door middel van het uitvoeren van risicoanalyses, interne controles en door onafhankelijke audits. Zo wordt ons technisch platform periodiek door een externe partij via een PEN-test  getoetst op mogelijke kwetsbaarheden. Wij stellen vervolgens alles in het werk om te zorgen dat gevonden kwetsbaarheden verholpen worden.

Onze medewerkers zijn tot geheimhouding verplicht en worden periodiek gescreend op hun gedrag. Je mag van ons verwachten dat wij alles doen, wat in redelijkheid van ons verwacht wordt, om je privacy te waarborgen.

Hieronder vind je een aantal van onze belangrijkste beveiligingsmaatregelen die we genomen hebben:

  • Infrastructurele beveiligingsmaatregelen: Konnect maakt gebruik van firewalls, port-forwarding en beheertoegang via VPN.
  • Beveiligde verbinding via TLS (voorheen SSL): Persoonsgegevens (en alle andere gegevens) worden via een versleutelde verbinding verstuurd.
  • Secure data storage: Foto’s en video’s worden versleuteld opgeslagen, waarbij de versleuteling plaatsvindt met een unieke sleutel per verantwoordelijke;
  • Toegangsbeveiliging en rolgebaseerde autorisatie: Toegang wordt verleend op basis van gebruikersnaam en een sterk wachtwoord (minimaal 10 karakters). Er zijn mechanismen toegepast om (brute force) ongeautoriseerde toegang te voorkomen. Systeemfuncties en gegevens zijn door middel van rolgebaseerde autorisatie toegekend aan gebruikers. De rol van de gebruiker in het systeem bepaalt welke functionaliteit en gegevens beschikbaar zijn.
  • Vastleggen audit trails: Belangrijke gebruikershandelingen, zoals (mislukte) inlogpogingen, uitloggen en verstuurde notificaties worden vastgelegd in een audit trail. Deze is terug te leiden tot de gebruiker en het IP adres. Zo kan misbruik van een individuele gebruiker of misbruik vanaf een specifiek IP adres gedetecteerd worden.
  • Periodieke beveiligingstest (PEN-test): Onze software wordt regelmatig, doch tenminste tweejaarlijks gecontroleerd op beveiligingsproblemen door een externe gerenommeerde beveiligingsexpert
  • Beveiliging onlosmakelijk geïntegreerd binnen de Konnect organisatie: Konnect heeft haar processen, bedrijfsomgeving en interne systemen voorzien van beveiligingsmaatregelen, op basis van een risico gestuurd informatiebeveiligingsproces. Informatiebeveiliging is hierbij als integraal onderdeel van de periodieke evaluatie- en stuurprocessen opgenomen.

Beveiligingsincident of datalek

Wanneer er sprake is van een beveiligingsincident, denk aan diefstal van een laptop of een hack in onze systemen, reageren wij hier direct op. We onderzoeken of het om een beveiligingslek (zwakke plek in onze beveiliging) of een datalek (verlies of onrechtmatige verwerking van je gegevens) gaat. Wij zullen beveiligings- en datalekken zo snel mogelijk dichten. Bij een datalek informeren wij binnen 24 uur de Verantwoordelijke, zodat zij binnen 72 uur de Autoriteit Persoonsgegevens in kunnen lichten, tenzij het onwaarschijnlijk is dat het datalek een risico oplevert voor je privacy. Wij ondersteunen de Verantwoordelijke bij het melden van het datalek. Gaat het om een datalek met een hoog risico voor je privacy (bijvoorbeeld als er veel of gevoelige gegevens zijn gelekt)? Dan is de Verantwoordelijke verplicht het lek ook aan jou (de betrokkene) te melden. Heb jij een beveiligingsincident of datalek gevonden bij Konnect, stuur dan meteen een mail naar security@konnect.nl of meldt het bij onze Functionaris Gegevensbescherming.

Responsible disclosure

Bij Konnect hechten wij veel waarde aan de veiligheid van onze systemen. Ondanks onze zorg voor de beveiliging van ons platform, kan het voorkomen dat er zich toch een zwakke plek in onze beveiligingsmaatregelen bevindt. In onze Responsible disclosure beschrijven we hoe we omgaan met de afhandeling van gevonden zwakheden in onze beveiliging.

Cookiebeleid

Er wordt gebruik gemaakt van zogenaamde technische cookies (ook wel sessiecookie genoemd). Dit zijn cookies die als enige doel hebben het relateren van een verzoek dat door een gebruiker gestuurd wordt aan de informatie die voor deze gebruiker op de server staat (in de sessie).

Er wordt geen gebruik gemaakt van third-party cookies of tracking cookies (van bijvoorbeeld Facebook of Google).

Jouw rechten

Op basis van de wet kun je bepaalde rechten uitoefenen ten aanzien van je persoonsgegevens. Je hebt recht op inzage en correctie van je persoonsgegevens. Ook heb je, in bepaalde gevallen, het recht om de Verantwoordelijke te verzoeken bepaalde persoonsgegevens (zoals foto’s, video’s en dagverslagen van je kinderen) te laten verwijderen of de verwerking ervan te beperken. Tot slot kun je bezwaar maken tegen de hierboven bedoelde verwerkingen, voor zover dit op jouw specifieke situatie voorziet.

Een verzoek tot inzage, correctie of verwijdering van gegevens kun je richten aan de Verantwoordelijke. Zij zullen je verder helpen bij het afhandelen van je verzoek. Er zal uiterlijk binnen 4 weken op gereageerd worden.

Je hebt ook altijd het recht om een klacht in te dienen in verband met de gegevensverwerking van persoonsgegevens door Konnect. Deze klacht kun je bij Konnect indienen, zodat wij hier op kunnen reageren. Tevens is het mogelijk rechtstreeks bij de Autoriteit Persoonsgegevens je klacht in te dienen. De contactgegevens van de Autoriteit Persoonsgegevens zijn hier te vinden. Het heeft onze voorkeur om eerst op de hoogte gesteld te worden in geval van een klacht, zodat wij kunnen kijken wat we kunnen doen om je klacht te verhelpen.

Functionaris Gegevensbescherming

Voor vragen of klachten over uw gegevens, de gegevensverwerking en de bescherming van uw privacy kun je contact opnemen met onze Functionaris Gegevensbescherming (ook wel Data Protection Officer of DPO genoemd) terecht:

Kinderopvang Konnect B.V.
Peter Baars
Zambonistraat 3-4
8263 CE Kampen
Tel: 038-2600019
Email: security@konnect.nl

Vragen

Mocht je vragen hebben over onze privacyverklaring, dan kun je deze melden via security@konnect.nl of 038-2600019.

Wijzigingen in de privacyverklaring

Wij behouden te allen tijde het recht onze privacyverklaring eenzijdig te wijzigen. Op deze pagina vindt u echter altijd de meest recente versie, waarbij de laatste wijzigingsdatum vermeld wordt. We adviseren je daarom om onze verklaring regelmatig op wijzigingen na te gaan.

Onze privacyverklaring is voor het laatst bijgewerkt op 31 juli 2018.