Privacybeleid

Tandem-IT kan persoonsgegevens verwerken zoals naam, studentnummer, studentmailadres, gebruikersnaam, projectnaam, rol of rechten binnen de omgeving, IP-adres, loggegevens van toegang en gebruik, ticket- en incidentinformatie en communicatiegegevens die nodig zijn voor support of beheer. Bij VM-aanvragen kunnen daarnaast aanvullende gegevens worden verwerkt, zoals het thuis-IP-adres wanneer dat tijdelijk nodig is totdat een nieuwe VPN-oplossing is ingericht. Dat volgt ook uit het aanvraagproces en de dienstinrichting.

Tandem-IT verwerkt in beginsel geen bijzondere persoonsgegevens, tenzij dit onbedoeld door een gebruiker zelf wordt aangeleverd in bijvoorbeeld ticketinhoud, bestandsopslag of e-mailcommunicatie. In zulke gevallen verwacht Tandem-IT dat gebruikers terughoudend omgaan met gevoelige informatie en alleen gegevens delen die echt nodig zijn.

Tandem-IT verwerkt persoonsgegevens voor het aanmaken en beheren van accounts, het toekennen van rechten, het leveren van VM- en infrastructuurdiensten, het afhandelen van aanvragen en incidenten, het bewaken van beschikbaarheid en beveiliging, het uitvoeren van logging en monitoring, het communiceren over onderhoud en verstoringen en het waarborgen van continuïteit binnen de onderwijsomgeving. Deze doelen sluiten aan op de operationele afspraken uit de SLA en TOS.

Onder de AVG moeten persoonsgegevens voor een duidelijk doel worden verwerkt en niet verder worden gebruikt op een manier die daar niet mee verenigbaar is. Ook mogen alleen gegevens worden verwerkt die noodzakelijk zijn voor dat doel.

Tandem-IT verwerkt persoonsgegevens alleen wanneer daar een geldige grondslag voor bestaat. Afhankelijk van de situatie gebeurt verwerking omdat deze noodzakelijk is voor het uitvoeren van een taak in de onderwijs- en beheercontext, omdat verwerking noodzakelijk is voor het leveren van de gevraagde dienst, of omdat er een gerechtvaardigd belang bestaat bij het veilig en beheersbaar laten functioneren van de infrastructuur. De AVG vereist dat voor iedere verwerking een geldige grondslag bestaat.

Voor zover toestemming wordt gebruikt, geldt dat Tandem-IT die alleen inzet wanneer toestemming in die situatie ook echt vrij gegeven kan worden. De Autoriteit Persoonsgegevens benadrukt dat toestemming niet zomaar de standaardgrondslag mag zijn wanneer een andere grondslag beter past.

Tandem-IT verwerkt loggegevens en technische gebruiksgegevens om de omgeving veilig, beschikbaar en beheersbaar te houden. Hieronder vallen bijvoorbeeld inlogmomenten, IP-adressen, foutmeldingen, systeemstatus, autorisatiegebeurtenissen en incidentinformatie.

Deze gegevens worden gebruikt voor beheer, capaciteitscontrole, foutopsporing, beveiligingsonderzoek, misbruikdetectie en reconstructie van incidenten. Dat past ook bij de monitoring- en incidentafspraken uit de SLA en bij de toezichtsbepalingen uit de TOS.

De AVG verlangt dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen.

Tandem-IT deelt persoonsgegevens alleen wanneer dat noodzakelijk is voor de uitvoering van de dienstverlening, het beheer van de omgeving, de ondersteuning van gebruikers, de afhandeling van incidenten of het voldoen aan wettelijke of organisatorische verplichtingen. Gegevens kunnen binnen de onderwijsorganisatie worden gedeeld met bevoegde beheerders, docenten of verantwoordelijke functionarissen wanneer dat noodzakelijk is voor continuïteit, veiligheid of escalatie. Persoonsgegevens worden niet verkocht.

Wanneer Tandem-IT gebruikmaakt van systemen of platforms van derden, gebeurt dat alleen voor zover dit past binnen de dienstlevering en de geldende afspraken binnen de onderwijsomgeving. Als zulke derde partijen namens de verwerkingsverantwoordelijke persoonsgegevens verwerken, moeten daarvoor passende afspraken gelden onder de AVG.

Tandem-IT bewaart persoonsgegevens niet langer dan nodig is voor het doel waarvoor zij zijn verzameld. Accountgegevens, aanvraaggegevens, supportinformatie, loggegevens en incidentregistraties worden bewaard zolang dat nodig is voor dienstverlening, beveiliging, beheer, evaluatie of overdraagbaarheid binnen de onderwijscontext. Daarna worden gegevens verwijderd, geanonimiseerd of opgeschoond, tenzij een langere bewaartermijn noodzakelijk is op grond van wetgeving, beveiligingsonderzoek of aantoonbare beheerbehoefte.

De AVG schrijft voor dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is en dat organisaties transparant moeten zijn over bewaartermijnen of de criteria daarvoor.

Gebruikers hebben onder de AVG rechten met betrekking tot hun persoonsgegevens. Zij kunnen vragen om inzage in hun gegevens, correctie van onjuiste gegevens, verwijdering van gegevens wanneer daar een geldige reden voor is, beperking van de verwerking in bepaalde situaties, overdraagbaarheid waar dat van toepassing is en bezwaar tegen een verwerking in specifieke gevallen. Daarnaast hebben betrokkenen recht op duidelijke informatie over hoe hun persoonsgegevens worden verwerkt. Deze rechten volgen rechtstreeks uit de AVG.

Niet elk recht geldt in elke situatie onbeperkt. Wanneer Tandem-IT een verzoek ontvangt, wordt beoordeeld in hoeverre het verzoek binnen de onderwijs- en beheercontext kan worden uitgevoerd en of er wettelijke of organisatorische redenen zijn om daarvan af te wijken.

Tandem-IT may process personal data such as name, student number, student email address, username, project name, role or permissions within the environment, IP address, access and usage logs, ticket and incident information, and communication data needed for support or management. For VM requests, additional data may also be processed, such as the home IP address when temporarily needed until a new VPN solution has been set up. This also follows from the request process and service setup.

Tandem-IT does not generally process special categories of personal data, unless this is unintentionally provided by a user, for example in ticket content, file storage, or email communication. In such cases, Tandem-IT expects users to be cautious with sensitive information and to share only data that is truly necessary.

Tandem-IT processes personal data to create and manage accounts, assign permissions, provide VM and infrastructure services, handle requests and incidents, monitor availability and security, perform logging and monitoring, communicate about maintenance and disruptions, and ensure continuity within the educational environment. These purposes align with the operational agreements in the SLA and TOS.

Under the GDPR, personal data must be processed for a clear purpose and must not be used further in a way that is incompatible with that purpose. Only data necessary for that purpose may be processed.

Tandem-IT processes personal data only when there is a valid legal basis. Depending on the situation, processing takes place because it is necessary to perform a task in the educational and management context, because processing is necessary to provide the requested service, or because there is a legitimate interest in keeping the infrastructure secure and manageable. The GDPR requires a valid legal basis for every processing activity.

Where consent is used, Tandem-IT only uses it when consent can genuinely be freely given in that situation. The Dutch Data Protection Authority emphasizes that consent should not automatically be used as the default legal basis when another legal basis is more appropriate.

Tandem-IT processes logs and technical usage data to keep the environment secure, available, and manageable. This includes, for example, login moments, IP addresses, error messages, system status, authorization events, and incident information.

This data is used for management, capacity control, troubleshooting, security investigation, abuse detection, and incident reconstruction. This also fits the monitoring and incident agreements in the SLA and the supervision provisions in the TOS.

The GDPR requires organizations to take appropriate technical and organizational measures to protect personal data.

Tandem-IT shares personal data only when necessary for service delivery, management of the environment, user support, incident handling, or compliance with legal or organizational obligations. Data may be shared within the educational organization with authorized administrators, teachers, or responsible officials when necessary for continuity, security, or escalation. Personal data is not sold.

When Tandem-IT uses third-party systems or platforms, this only happens insofar as it fits within service delivery and the applicable agreements within the educational environment. If such third parties process personal data on behalf of the controller, appropriate agreements must apply under the GDPR.

Tandem-IT does not retain personal data longer than necessary for the purpose for which it was collected. Account data, request data, support information, log data, and incident records are retained as long as necessary for service delivery, security, management, evaluation, or transferability within the educational context. After that, data is deleted, anonymized, or cleaned up, unless a longer retention period is necessary under legislation, security investigation, or demonstrable management needs.

The GDPR requires that personal data is not retained longer than necessary and that organizations are transparent about retention periods or the criteria used for them.

Users have rights under the GDPR regarding their personal data. They can request access to their data, correction of inaccurate data, deletion of data when there is a valid reason, restriction of processing in certain situations, portability where applicable, and objection to processing in specific cases. Data subjects also have the right to clear information about how their personal data is processed. These rights follow directly from the GDPR.

Not every right applies without limitation in every situation. When Tandem-IT receives a request, it assesses to what extent the request can be carried out within the educational and management context and whether there are legal or organizational reasons to deviate from it.