Parro verwerkt persoonsgegevens uitsluitend in opdracht van scholen. Dit betekent dat niet Parro, maar de school bepaalt welk soort gegevens er verwerkt wordt, voor welk doel dat gebeurt en of er bepaalde gegevens verstrekt mogen worden aan derden.

Het Parroteam staat achter de volgende principes

  • Parro is een veilige omgeving om persoonlijke informatie te delen. Gegevens worden beveiligd verstuurd en opgeslagen.
  • Je persoonlijke informatie wordt alleen gevraagd en opgeslagen als dit een duidelijk doel heeft voor het functioneren van Parro.
  • Persoonlijke informatie of in Parro geplaatste content zal nooit worden gedeeld met derden, tenzij wij hierdoor verplicht worden op grond van de in Nederland geldende wetgeving.
  • In Parro geplaatste content is volledig eigendom van de auteur.

Beveiliging van gegevens

 

De beveiliging van de gegevens bestaat uit een aantal onderdelen: (1) de combinatie inlogcode en wachtwoord, (2) de beveiliging van de verbinding en (3) de systemen waarop de applicatie en de database draaien.

 

Beperkte toegang

Als een gebruiker in Parro een leerkracht-account aanmaakt, dan gebeurt dit middels de koppeling met ParnasSys. Als een school begint met het gebruik van ParnasSys wordt er een account door ParnasSys aangemaakt. De gegevens hiervan worden verstrekt aan de contactpersoon van de school.

De school is vervolgens zelf verantwoordelijk voor het uitgeven van ParnasSys-accounts aan nieuwe medewerkers en het deactiveren van accounts van medewerkers die vertrekken bij de school. Het is voor de school zelf ook verstandig om hiervoor een procedure in te regelen. Het is mogelijk om vanuit ParnasSys de koppeling met Parro uit te zetten. Zo kan bijvoorbeeld bij het verliezen van de telefoon de toegang uitgezet worden.

Enkel op uitnodiging van een gebruiker met een leerkracht-account, kan er door een ouder een ouder-account worden aangemaakt. Deze uitnodiging is beperkt geldig. Mocht een uitnodiging in de verkeerde handen vallen, kan de leerkracht deze persoon deactiveren. Bij het aanmaken van het account geldt het hierna genoemde wachtwoordbeleid.


Wachtwoordbeleid

Het systeem heeft een wachtwoordbeleid dat voorkomt dat te simpele wachtwoorden worden gekozen. Daarnaast is het belangrijk dat gebruikers op een juiste manier omgaan met de wachtwoorden. Dus regelmatig het wachtwoord veranderen, het niet opschrijven of op post-its op de monitor plakken, niet delen met anderen.


Beveiliging van de verbinding

Voor de verbinding maken we gebruik van een beveiligde verbinding middels een SSL-certificaat. Dit is dezelfde beveiliging die banken toepassen bij telebankieren. Door middel van dit certificaat kan de gebruiker zien dat hij daadwerkelijk met de server van Parro communiceert.


Versleutelde gegevensstroom

Tevens worden de gegevens van dit certificaat gebruikt om de gegevensstroom tussen de browser van de gebruiker en de Parro applicatie te versleutelen. Parro gebruikt hiervoor een certificaat met een lange sleutel (256 bit), waardoor browsers aangeven dat er een sterke encryptie gebruikt wordt.


Beveiligde locatie

De Parro-applicatie wordt gehost op een server bij een professionele hostingpartij in Nederland. Deze hostingpartij heeft diverse maatregelen en barrières ingeregeld om te voorkomen dat onbevoegden (fysieke) toegang hebben tot de server van Parro.

Enkele van deze maatregelen zijn:

  • bezoekers moeten zich vooraf melden en moeten zich legitimeren voordat ze het pand kunnen betreden,
  • de Parro servers bevinden zich in een extra beveiligde zone in het datacentrum,
  • toegang tot de individuele server is ook niet mogelijk zonder de juiste sleutel,
  • er zijn diverse controle- en alarmsystemen aanwezig om dit in de gaten te houden.

ISO/IEC 27001 certificering

Onze hostingpartner beschikt over een ISO/IEC 27001 certificering. Wikipedia zegt hierover het volgende:
“ISO 27001 is een ISO standaard voor informatiebeveiliging. […]
De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de organisatie.” 
Zie voor meer informatie Wikipedia over ISO 27001


 

Beveiliging software/applicatie

 

De fysieke beveiliging van de locatie en de beveiliging van de verbinding zijn dus op orde. Als echter de software op de server waar Parro draait beveiligingslekken bevat, dan is dat de zwakste schakel. Personen die toegang proberen te krijgen, zullen zich daar dan op richten. Om dit ook te voorkomen, zijn een aantal maatregelen genomen.

 

Scheiding applicatie en database

Onder andere voor de veiligheid is de applicatie gescheiden van de database. De database draait op een aparte server. De databaseserver is vervolgens niet bereikbaar via het internet. Ook de applicatieserver is grotendeels afgeschermd van het internet middels een firewall.

De webapplicatie is voor iedereen aanspreekbaar, maar de beheer-ingangen zijn alleen vanaf Topicus te bereiken. 


Wettelijke eisen

Ook vanuit de overheid worden er eisen gesteld aan het systeem met betrekking tot de beveiliging van de persoonsgegevens. Dit behelst onder andere het vastleggen en opvolgen van afspraken middels een bewerkersovereenkomst. Hierin staat ook welke gegevens verzameld worden en voor welk doel deze gegevens gebruikt worden. Ook afspraken met betrekking tot beveiliging zijn hierin opgenomen.


Controle beveiliging

De doorontwikkeling en het onderhoud en beheer van de Parro applicatie is in handen van Topicus B.V. Topicus heeft jarenlange ervaring met het bouwen en onderhouden van veilige webapplicaties. Niet alleen worden applicaties voor het onderwijs ontwikkeld, maar ook applicaties voor de zorgsector en de financiële sector. De kennis en ervaring met betrekking tot beveiligingsproblematiek wordt regelmatig gedeeld, zodat ook op de nieuwste ontwikkelingen ingesprongen kan worden.

Op het gebied van privacy en beveiliging wordt ons bedrijf daarnaast geadviseerd door Deloitte.


Security-scans

Toch is het lastig voor een organisatie om zelf te controleren / vast te stellen dat het helemaal goed zit met de beveiliging. Daarom worden er regelmatig security-scans (ook wel penetratie-testen) uitgevoerd door externe partijen, om er voor te zorgen dat we niets missen.


Gebruiksgegevens

Google Analytics-cookies: Op onze website worden alleen cookies gebruikt om bezoek op onze website te analyseren, zodat wij inzicht krijgen in het gedrag van bezoekers op onze website. Hiervoor hebben we met Google een bewerkersovereenkomst gesloten. De informatie welke wij verzamelen wordt geanonimiseerd, door IP-adressen van bezoekers te maskeren. Verder hebben we 'gegevens delen' uitgezet en maken we geen gebruik van andere Google-diensten in combinatie met de Google Analytics-cookies.

Crashgegevens: Om de performance van Parro te monitoren en fouten op te sporen in onze iOS en Android apps verzamelen wij technische informatie over je tablet / mobiele telefoon en in sommige gevallen je gebruikersidentificatie.


Nog meer vragen?

 

  • Als je als ouder/verzorger je persoonlijke gegevens wil inzien of corrigeren, kan je je het beste richten tot de school(organisatie) van je kind.
  • Als je algemene vragen over je privacy hebt, kan je je richten tot Autoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl)
  • Als je vragen hebt over de toegang en beveiliging van je persoonlijke gegevens in Parro kan je een e-mail sturen naar info@parro.com.