Privacyverklaring

Corrigo ("wij", "ons", "onze") is een AI-gestuurde nakijkhulp voor docenten in het Nederlandse voortgezet onderwijs. Corrigo wordt aangeboden door Corrigo B.V., gevestigd in Nederland. Wij hechten groot belang aan de bescherming van persoonsgegevens en verwerken persoonsgegevens uitsluitend in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR), de Uitvoeringswet AVG (UAVG), en overige toepasselijke wet- en regelgeving. Deze privacyverklaring is van toepassing op alle verwerkingen van persoonsgegevens die plaatsvinden via het platform corrigo.nl en alle bijbehorende diensten.

Corrigo B.V., E-mail: contact@corrigo.nl, Website: https://www.corrigo.nl. Voor vragen over deze privacyverklaring of over de verwerking van uw persoonsgegevens kunt u contact opnemen via bovenstaand e-mailadres.

3.1 Docenten (gebruikers)

Docenten die een account aanmaken en het platform gebruiken voor het nakijken van toetsen.

3.2 Leerlingen (indirect betrokkenen)

Leerlingen wier toetsen, namen, leerlingnummers en handschriften via het platform worden verwerkt. Leerlingen zijn veelal minderjarigen. Corrigo verwerkt deze gegevens uitsluitend in opdracht van en onder verantwoordelijkheid van de docent en/of de onderwijsinstelling.

4.1 Gegevens van docenten

• E-mailadres — accountregistratie, authenticatie, communicatie (grondslag: uitvoering overeenkomst)
• Naam — weergave in platform (uitvoering overeenkomst)
• Schoolnaam — contextinformatie (uitvoering overeenkomst)
• Wachtwoord gehasht — authenticatie (uitvoering overeenkomst)
• IP-adres en sessiegegevens — beveiliging (gerechtvaardigd belang)

4.2 Gegevens van leerlingen

• Naam — koppeling toetsresultaten (gerechtvaardigd belang onderwijsinstelling)
• Leerlingnummer — identificatie (gerechtvaardigd belang)
• Handschrift/scans — AI-beoordeling (gerechtvaardigd belang)
• Toetsresultaten — inzicht leerprestaties (gerechtvaardigd belang)

4.3 Bijzondere persoonsgegevens

Corrigo verwerkt geen bijzondere persoonsgegevens in de zin van artikel 9 AVG. Handschrift kan in sommige gevallen als biometrisch gegeven worden beschouwd; wij gebruiken handschriftherkenning echter uitsluitend voor het lezen van geschreven tekst en niet voor de identificatie van personen.

1. Levering van de dienst
2. Accountbeheer
3. Klassenbeheer
4. Communicatie
5. Beveiliging
6. Verbetering van de dienst (anonieme gebruikspatronen)

Artikel 6 lid 1 sub b (uitvoering overeenkomst) voor docentgegevens. Artikel 6 lid 1 sub f (gerechtvaardigd belang) voor leerlinggegevens.

6.1 Verwerking van gegevens van minderjarigen

Verwerking op basis van gerechtvaardigd belang, niet op basis van toestemming. Verantwoordelijkheid informeren leerlingen/ouders rust bij de onderwijsinstelling.

Corrigo maakt gebruik van sub-verwerkers voor database, AI-verwerking en hosting. Alle sub-verwerkers hebben een verwerkersovereenkomst. Bij doorgifte buiten de EER zijn Standard Contractual Clauses van toepassing. Een actueel overzicht van sub-verwerkers is beschikbaar op verzoek via contact@corrigo.nl. Geen van de sub-verwerkers gebruikt via Corrigo verwerkte gegevens voor het trainen van AI-modellen.

8.1 Technisch

HTTPS/TLS, versleuteling in rust, toegangscontrole op rijniveau per gebruiker, gehashte wachtwoorden volgens industriestandaard, server-side autorisatie, gescheiden toegangssleutels per dienst, storagebeveiliging.

8.2 Organisatorisch

Beperkte toegang, geen logging persoonsgegevens, contractuele binding sub-verwerkers.

Docentaccount: zolang actief, na verwijdering binnen 30 dagen. Projecten en toetsen: zolang ze bestaan; bij verwijdering gaan ze naar de prullenbak en worden na 14 dagen automatisch en definitief verwijderd — inclusief de bijbehorende gegevens en geüploade bestanden. Binnen die 14 dagen kun je een verwijderd item zelf terugzetten of direct definitief verwijderen. Klassengegevens: zolang klas bestaat, bij verwijdering direct. Sub-verwerkers: niet opgeslagen voor training, verwijderd conform retentiebeleid (doorgaans 30 dagen).

10.1 Docenten

Inzage, rectificatie, wissing, beperking, dataportabiliteit, bezwaar.

10.2 Leerlingen en ouders/verzorgers

Zelfde rechten, verzoeken via docent, school of rechtstreeks contact@corrigo.nl. Reactietermijn 30 dagen, verlengbaar met 60.

11.1 Corrigo als verwerker (art. 28 AVG), school is verwerkingsverantwoordelijke. Standaard verwerkersovereenkomst beschikbaar op verzoek.

11.2 Sub-verwerkers: overeenkomsten afgesloten met alle genoemde partijen.

Melding aan AP binnen 72 uur (art. 33), aan betrokkenen bij hoog risico (art. 34), aan onderwijsinstelling onverwijld.

Uitgevoerd conform art. 35 AVG. Risico doorgifte buiten EER: mitigatie via SCCs en geen training. Risico ongeautoriseerde toegang: mitigatie via toegangscontrole op rijniveau en server-side checks. Risico dataverlies: mitigatie via Database-backups en versleuteling.

Strikt noodzakelijke cookies (authenticatie, beveiliging, cookie-voorkeur) worden altijd geplaatst. Analytische cookies (Google Analytics) en advertentiecookies (Meta Pixel) worden uitsluitend geplaatst met jouw toestemming via de cookiebanner; standaard staan ze uit (Google Consent Mode v2). Zie het cookiebeleid voor details en het beheren van je keuze.

Geen geautomatiseerde besluitvorming in de zin van art. 22 AVG. AI doet voorstel, docent beslist. Elk antwoord aanpasbaar. Geen rechtsgevolgen zonder menselijke tussenkomst.

Privacyverklaring kan wijzigen. Bij substantiële wijzigingen informeren via platform of e-mail. Actuele versie op corrigo.nl/privacy.

Contact: contact@corrigo.nl. Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl, Postbus 93374, 2509 AJ Den Haag, 070-8888500.

Corrigo, E-mail: contact@corrigo.nl, Website: https://www.corrigo.nl.

Deze privacyverklaring is opgesteld met de grootst mogelijke zorgvuldigheid. Corrigo is geen juridisch adviesbureau; onderwijsinstellingen worden geadviseerd deze verklaring te laten toetsen door hun eigen juridisch adviseur of functionaris gegevensbescherming (FG/DPO).