Verwerkersovereenkomst

Laatst bijgewerkt: 9 mei 2026

📄 Voor scholen: Deze pagina geeft een samenvatting van de verwerkersovereenkomst (DPA) tussen de school en ICT in het NT2. Voor het ondertekenen van de daadwerkelijke overeenkomst, neem contact op via larissa@ictinhetnt2.nl.

Wat is een verwerkersovereenkomst?

Wanneer een school persoonsgegevens van leerlingen laat verwerken door een externe partij (zoals Stappie ICT), eist de Algemene Verordening Gegevensbescherming (AVG, art. 28) dat hierover schriftelijke afspraken worden gemaakt in een verwerkersovereenkomst (Data Processing Agreement, DPA).

De school is dan de verwerkingsverantwoordelijke: zij bepaalt waarom en hoe gegevens worden verwerkt. Stappie ICT is de verwerker: wij verwerken gegevens uitsluitend in opdracht van de school.

Wat staat er in onze DPA?

📋 Welke gegevens we verwerken

Van docenten: e-mailadres, naam, schoolnaam, wachtwoord-hash, IP-adres bij login
Van leerlingen: voornaam + eerste letter achternaam, pincode-hash, voortgangsgegevens
Wat we niet vragen: e-mailadressen van leerlingen, telefoonnummers, BSN's, foto's

🎯 Doelen van verwerking

Authenticatie van docenten en leerlingen
Voortgangsregistratie en gamification (XP, badges, streaks)
Klassenbeheer door docenten
Beveiliging en fraudepreventie

⏰ Bewaartermijnen

Login-pogingen: 7 dagen
Actieve klassen: zolang de overeenkomst loopt
Gearchiveerde klassen: 1 jaar, daarna verwijderbaar op verzoek
Docentaccounts: tot intrekking

🔐 Beveiligingsmaatregelen

HTTPS/TLS 1.3 voor alle verbindingen
Bcrypt-hashing van wachtwoorden en pincodes
Row-Level Security in de database
Rate limiting + Cloudflare bot-bescherming op login
HSTS, CSP, X-Frame-Options security headers
Dagelijkse automatische backups
Audit-log van alle login-pogingen

🌍 Subverwerkers

Wij maken gebruik van twee subverwerkers, beide AVG-compliant:

Supabase (Frankfurt, EU) — database en authenticatie
Vercel (EU edge) — hosting van de webapp

Bij wijziging van subverwerkers informeren wij de school ten minste 30 dagen vooraf. Beide partijen hebben hun eigen verwerkersovereenkomst met ons.

⚡ Datalek-procedure

Bij een datalek melden wij dit binnen 48 uur aan de school, met:

Beschrijving van de aard van de inbreuk
Waarschijnlijke gevolgen
Getroffen of voorgestelde maatregelen
Contactgegevens voor nadere informatie

De school is verantwoordelijk voor melding aan de Autoriteit Persoonsgegevens (AP) en betrokkenen, conform AVG art. 33 en 34.

🚪 Bij beëindiging

Bij einde van de overeenkomst worden alle persoonsgegevens, naar keuze van de school:

Geretourneerd in een gangbaar elektronisch formaat (CSV/JSON), en/of
Permanent verwijderd, inclusief alle kopieën

Wij bevestigen schriftelijk binnen 30 dagen dat aan deze verplichting is voldaan.

DPA aanvragen

Voor scholen die Stappie ICT willen gaan gebruiken: stuur een mail naar larissa@ictinhetnt2.nl en je ontvangt het volledige DPA-document (Word) ter ondertekening. Het document is opgesteld conform Nederlandse onderwijscontext (AVG, Autoriteit Persoonsgegevens, Nederlands recht).

Vragen?

Voor vragen over de verwerking van persoonsgegevens of over deze DPA, neem contact op met larissa@ictinhetnt2.nl.