AVG / GDPR

Deze pagina geeft een praktische uitleg over hoe Rivi omgaat met privacy en gegevensbescherming in de context van de AVG (GDPR). Deze pagina is bedoeld voor organisaties (zoals muziekscholen) die Rivi inzetten.

1. Rollen: verwerkingsverantwoordelijke en verwerker

In de meeste gevallen geldt:

• Klant/Organisatie (bijv. muziekschool) is verwerkingsverantwoordelijke: zij bepalen het doel en de middelen van de verwerking.
• Rivi is verwerker: wij verwerken persoonsgegevens namens de Klant/Organisatie om de Dienst te leveren.

In sommige situaties kan Rivi zelf verwerkingsverantwoordelijke zijn (bijv. voor gegevens van contactpersonen, facturatie en eigen website-analytics).

2. Welke gegevens verwerken we in de Dienst?

Afhankelijk van de inrichting door de organisatie kan Rivi o.a. verwerken:

• Identificatie- en accountgegevens: naam, e-mailadres, rol (student/docent/coördinator), login-gegevens (bijv. magic link tokens), 2FA/TOTP-instellingen.
• Onderwijs-/lesgegevens: roosters, lesafspraken, aanwezigheid/afmeldingen, opdrachten/huiswerk, voortgangsnotities en feedback.
• Bestanden: lesmateriaal en bijlagen (bijv. PDF/MP3) die gebruikers uploaden.
• Technische gegevens: logbestanden en beveiligingslogs (bijv. voor misbruikdetectie).

3. Doeleinden en grondslagen (organisatie)

De Klant/Organisatie bepaalt de doeleinden en grondslagen voor de verwerking binnen de Dienst. Veelvoorkomende doelen:

• lesorganisatie en planning
• communicatie rondom lessen
• voortgangsregistratie en begeleiding
• beveiliging en toegangsbeheer

De grondslag kan bijvoorbeeld liggen in de uitvoering van een overeenkomst, gerechtvaardigd belang, toestemming of (bij sommige instellingen) een wettelijke taak. Dit verschilt per organisatie.

4. Verwerkersovereenkomst (DPA)

Wanneer Rivi als verwerker optreedt, sluiten we waar vereist een verwerkersovereenkomst met de Klant/Organisatie. Daarin staan o.a. afspraken over:

• verwerkingsdoeleinden en categorieën gegevens
• beveiligingsmaatregelen
• subverwerkers
• meldplicht datalekken
• audit-/informatieverplichtingen
• verwijdering/retourneren van data bij einde overeenkomst

5. Subverwerkers

Rivi kan subverwerkers inzetten voor onderdelen van de Dienst (bijv. hosting, e-mailnotificaties, logging/monitoring). We selecteren leveranciers zorgvuldig en maken waar vereist contractuele afspraken.

Op verzoek kan Rivi een actuele lijst met subverwerkers delen of opnemen in de verwerkersovereenkomst.

6. Beveiligingsmaatregelen

Rivi neemt passende technische en organisatorische maatregelen, waaronder (afhankelijk van de setup):

• versleutelde verbindingen (TLS/HTTPS)
• rolgebaseerde toegang (least privilege)
• logging en monitoring
• beveiligde authenticatie (magic links; optioneel 2FA/TOTP voor beheerdersrollen)
• back-ups en herstelmaatregelen (waar van toepassing)

Organisaties blijven verantwoordelijk voor veilig gebruik (bijv. beheer van accounts/rollen en zorgvuldig delen van toegang).

7. Datalekken en incidenten

• Als Rivi een datalek of beveiligingsincident ontdekt dat impact kan hebben op persoonsgegevens die wij als verwerker verwerken, informeren we de Klant/Organisatie zonder onredelijke vertraging.
• De Klant/Organisatie beoordeelt of melding bij de Autoriteit Persoonsgegevens en/of betrokkenen noodzakelijk is.

8. Bewaartermijnen en verwijdering

• Rivi bewaart gegevens zolang dat nodig is om de Dienst te leveren en volgens afspraken met de Klant/Organisatie.
• Bij beëindiging van de overeenkomst gelden afspraken over export, retentie en verwijdering zoals vastgelegd in de overeenkomst en/of verwerkersovereenkomst.

9. Rechten van betrokkenen

Betrokkenen (studenten, ouders/verzorgers, docenten) hebben rechten onder de AVG, zoals inzage, correctie en verwijdering.

• Omdat de Klant/Organisatie meestal verwerkingsverantwoordelijke is, lopen verzoeken doorgaans via de organisatie.
• Rivi ondersteunt de organisatie waar redelijkerwijs mogelijk bij het afhandelen van verzoeken (conform verwerkersovereenkomst).

10. Data buiten de EER

Als subverwerkers buiten de Europese Economische Ruimte (EER) worden gebruikt, zorgen we voor passende waarborgen (bijv. Standard Contractual Clauses) waar vereist.

11. Vragen en contact

Wil je als organisatie meer informatie of een verwerkersovereenkomst ontvangen?
E-mail: info@rivi-app.nl
Adres: Sint Jansstraat 128, 4714 EK Sprundel

12. Relatie met andere documenten

• Privacyverklaring: beschrijft hoe Rivi persoonsgegevens verwerkt als verwerkingsverantwoordelijke (o.a. website/contact) en geeft algemene uitleg.
• Algemene voorwaarden: afspraken over gebruik van de Dienst.

Deze AVG/GDPR-pagina is bedoeld als praktische toelichting voor organisaties en vormt geen juridisch advies.