Ga naar inhoud
Corrigo logo
Inloggen
← Terug naar juridisch overzicht

Verwerkersovereenkomst

Versie 1.0 – maart 2026 · Conform artikel 28 AVG

Verwerkingsverantwoordelijke: de onderwijsinstelling die gebruikmaakt van Corrigo voor het nakijken van toetsen (hierna: "School").

Verwerker: Corrigo B.V., gevestigd in Nederland. E-mail: contact@corrigo.nl (hierna: "Verwerker").

2.1 De School maakt gebruik van Corrigo, een AI-gestuurde nakijkhulp, voor het verwerken van toetsscans en het genereren van beoordelingen. In het kader van deze dienstverlening verwerkt Corrigo persoonsgegevens van leerlingen in opdracht van de School.

2.2 Deze verwerkersovereenkomst regelt de rechten en verplichtingen van partijen met betrekking tot de verwerking van persoonsgegevens conform artikel 28 AVG.

3.1 Betrokkenen: leerlingen van de School wier toetsen via Corrigo worden verwerkt. Dit betreft veelal minderjarigen.

3.2 Categorieën persoonsgegevens: namen van leerlingen, leerlingnummers, handschrift/toetsscans (afbeeldingen), toetsresultaten (punten per vraag, totaalscores, feedback).

3.3 Er worden geen bijzondere persoonsgegevens verwerkt in de zin van artikel 9 AVG. Handschriftherkenning wordt uitsluitend gebruikt voor het lezen van geschreven tekst, niet voor biometrische identificatie.

De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van: het herkennen van leerlingnamen op toetsscans, het lezen van handgeschreven antwoorden via AI, het vergelijken van antwoorden met het correctiemodel van de docent, het genereren van beoordelingsvoorstellen (punten en feedback per vraag), het opslaan en tonen van resultaten aan de betreffende docent.

5.1 De Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting anders vereist.

5.2 De Verwerker waarborgt dat personen die toegang hebben tot de persoonsgegevens zich hebben verbonden aan geheimhouding.

5.3 De Verwerker neemt passende technische en organisatorische maatregelen: versleuteling in rust en transit (AES-256, TLS 1.2+), Row Level Security (RLS) op databaseniveau, server-side autorisatie en authenticatie, gescheiden API-sleutels per dienst, beveiligde opslag van bestanden, beperkte toegang tot productiesystemen.

5.4 De Verwerker schakelt geen sub-verwerkers in zonder voorafgaande schriftelijke toestemming. Een actueel overzicht van sub-verwerkers is beschikbaar op verzoek. Alle sub-verwerkers hebben een verwerkersovereenkomst en passen passende beveiligingsmaatregelen toe.

5.5 Bij wijziging van sub-verwerkers informeert de Verwerker de Verwerkingsverantwoordelijke minimaal 14 dagen vooraf. De Verwerkingsverantwoordelijke kan bezwaar maken binnen deze termijn.

5.6 De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld op de hoogte van een datalek. De melding bevat ten minste: de aard van het datalek, de categorieën betrokkenen en het geschatte aantal, de waarschijnlijke gevolgen, en de genomen en voorgestelde maatregelen.

5.7 De Verwerker verleent bijstand bij het uitvoeren van DPIA en bij voorafgaande raadpleging van de toezichthouder.

5.8 De Verwerker verleent bijstand bij het beantwoorden van verzoeken van betrokkenen (inzage, rectificatie, wissing, etc.) binnen de wettelijke termijnen.

6.1 Persoonsgegevens worden bewaard zolang het project bestaat waartoe zij behoren.

6.2 Bij verwijdering van een project door de docent worden de bijbehorende persoonsgegevens direct en permanent verwijderd.

6.3 Bij beëindiging van de overeenkomst verwijdert de Verwerker alle persoonsgegevens binnen 30 dagen, tenzij een wettelijke bewaarplicht anders vereist.

6.4 Sub-verwerkers bewaren geen persoonsgegevens voor eigen doeleinden. Data wordt niet gebruikt voor het trainen van AI-modellen.

7.1 Bepaalde sub-verwerkers zijn gevestigd buiten de EER. De doorgifte is gebaseerd op Standard Contractual Clauses (SCCs) conform het besluit van de Europese Commissie.

7.2 Bij AI-sub-verwerkers geldt zero data retention en geen training op input.

8.1 De Verwerker stelt alle informatie beschikbaar die nodig is om de naleving van deze overeenkomst aan te tonen.

8.2 De Verwerkingsverantwoordelijke heeft het recht audits en inspecties uit te voeren, mits redelijk en tijdig aangekondigd.

9.1 De aansprakelijkheid van de Verwerker is beperkt conform de algemene voorwaarden van Corrigo.

9.2 Partijen vrijwaren elkaar voor claims van derden die voortvloeien uit een schending van deze overeenkomst door de betreffende partij.

10.1 Deze verwerkersovereenkomst treedt in werking bij aanvang van het gebruik van de Dienst en eindigt bij beëindiging van de hoofdovereenkomst.

10.2 Verplichtingen met betrekking tot geheimhouding en verwijdering van gegevens blijven ook na beëindiging van kracht.

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Den Haag.

Corrigo – E-mail: contact@corrigo.nl – Website: https://corrigo.nl