Ga naar inhoud

Beveiligingsfactsheet

Versie 1.0 — 10 juli 2026 · Onderwijsbouwen (KvK 93598874), handelend onder de naam Corrigo, Rotterdam

Dit overzicht beantwoordt op één pagina de zes beveiligingsvragen die scholen aan hun leveranciers (horen te) stellen. Het is bedoeld voor ICT-coördinatoren, privacycoördinatoren en besturen die Corrigo beoordelen, bijvoorbeeld in het kader van het Normenkader IBP of een leveranciersbeoordeling. Alle punten hieronder zijn vastgelegd in onze verwerkersovereenkomst en privacyverklaring; dit document vat samen, het vervangt niets. U kunt deze pagina printen of als PDF opslaan voor uw dossier.

1Versleuteling

  • Alle opgeslagen gegevens zijn versleuteld in rust met AES-256.
  • Alle verbindingen zijn versleuteld met TLS 1.2 of hoger; onversleutelde verbindingen worden geweigerd.
  • Wachtwoorden worden gehasht opgeslagen (bcrypt) en zijn ook voor Corrigo zelf niet inzichtelijk.

2Toegangsbeheer

  • Gegevensscheiding wordt afgedwongen op rijniveau in de database: elke docent heeft uitsluitend toegang tot de eigen gegevens. Deze afscherming zit in de databank zelf, niet alleen in de schermen van de applicatie.
  • Autorisatie en authenticatie worden server-side afgedwongen, met gescheiden toegangssleutels per dienst.
  • Toegang tot productiesystemen is beperkt tot een minimum, met gescheiden beheerdersreferenties.
  • Tweefactorauthenticatie (TOTP) is beschikbaar voor docentaccounts.
  • Scholen kunnen inloggen via de eigen schoolomgeving (Entree Federatie), zodat het accountbeheer bij de school ligt.

3Logging en monitoring

  • Systeemgebeurtenissen en fouten worden gelogd en centraal verzameld.
  • Geautomatiseerde controles bewaken dagelijks de gezondheid van het platform en alarmeren bij afwijkingen.
  • Loggegevens worden maximaal 12 maanden bewaard en bevatten zo min mogelijk persoonsgegevens (dataminimalisatie).

4Back-ups en continuïteit

  • Van alle gegevens worden automatisch beveiligde back-ups gemaakt.
  • Verwijderde gegevens verdwijnen ook uit back-ups, uiterlijk binnen 30 dagen.
  • Docenten kunnen resultaten en werk zelf exporteren; de school blijft eigenaar van haar gegevens.
  • Bij beëindiging van de overeenkomst worden alle persoonsgegevens binnen 30 dagen verwijderd, tenzij een wettelijke bewaarplicht anders vereist.

5Incidenten en datalekken

  • Bij een datalek wordt de school onverwijld geïnformeerd.
  • De melding bevat ten minste: de aard van het incident, de categorieën betrokkenen en het geschatte aantal, de waarschijnlijke gevolgen en de genomen en voorgestelde maatregelen — zodat de school haar eigen meldplicht richting de Autoriteit Persoonsgegevens en betrokkenen kan nakomen.
  • Corrigo verleent bijstand bij DPIA's en bij verzoeken van betrokkenen (inzage, rectificatie, wissing).

6Contact en verantwoordelijkheid

  • Aanspreekpunt voor beveiligings- en privacyvragen: contact@corrigo.nl. Reactie binnen 2 werkdagen; beveiligingsvragen worden inhoudelijk beantwoord door de makers zelf.
  • Verwerkersovereenkomst, register van verwerkingsactiviteiten en DPIA zijn beschikbaar op verzoek.
  • Corrigo is deelnemer aan het Convenant Digitale Onderwijsmiddelen en Privacy 4.0.

7AI en verwerkingslocatie

  • De AI-beoordeling van leerlingwerk wordt verwerkt binnen de EU-regio van Amazon Web Services (AWS Bedrock); die gegevens blijven daarmee binnen de EU.
  • Aanvullende AI-diensten (waaronder het omzetten van scans naar tekst) kunnen buiten de EER plaatsvinden via de zakelijke diensten van OpenAI en Anthropic, met Standard Contractual Clauses (SCC's) als passende waarborg.
  • Geen van de AI-aanbieders gebruikt de via Corrigo verwerkte gegevens voor het trainen van AI-modellen; dit is contractueel vastgelegd.
  • De AI doet een beoordelingsvoorstel; de docent houdt altijd de eindverantwoordelijkheid.

8Wat wij niet claimen

Corrigo heeft op dit moment geen ISO 27001- of vergelijkbare certificering en presenteert zich ook niet als zodanig. Wij vinden dat certificeringstaal alleen gebruikt mag worden door wie de certificering daadwerkelijk heeft. Alle claims in dit document zijn concreet en controleerbaar via de openbare documenten op corrigo.nl/juridisch, en de school kan de naleving ervan toetsen op grond van het auditrecht in de verwerkersovereenkomst.

Versie 1.0 — 10 juli 2026. Bij substantiële wijzigingen wordt dit document geactualiseerd; de meest recente versie staat altijd op deze pagina.