Beveiliging bij iTutor
Scholen, universiteiten en L&D-teams vertrouwen iTutor met leerdata van studenten en medewerkers. Hieronder leest u hoe wij die data beschermen — geschreven voor inkoopteams, IT-beheerders en ouders die concrete antwoorden zoeken, geen marketingtaal.
Gegevensversleuteling
Al het verkeer tussen uw browser, de iTutor-applicatie en onze backend wordt tijdens overdracht versleuteld met TLS 1.3. Gegevens in rust — waaronder geüploade studiematerialen, accountprofielen en voortgangsgegevens — worden op de opslaglaag versleuteld met industriestandaard symmetrische versleuteling.
Authenticatiegegevens worden nooit in leesbare tekst opgeslagen; wachtwoorden worden gehasht met een modern, geheugenintensief algoritme met gebruikersspecifieke salts.
Toegangscontrole
De toegang tot de applicatie wordt geregeld door rolgebaseerde toegangscontrole. Op individuele accounts kan alleen de eigenaar zijn of haar eigen gegevens inzien. Op institutionele accounts definiëren beheerders de rollen van docenten en studenten, en de zichtbaarheid is beperkt tot de toegewezen klas, cursus of cohort. Gegevenstoegang tussen tenants wordt voorkomen op queryniveau — geen enkel querypad kan gegevens retourneren van een tenant waartoe de aanvrager niet behoort.
De toegang van iTutor-medewerkers tot productiegegevens is beperkt, wordt geregistreerd en wordt alleen verleend wanneer dit noodzakelijk is om een ondersteuningsticket te onderzoeken of een incident te diagnosticeren. Acties van medewerkers op gebruikersgegevens zijn auditeerbaar.
Authenticatieopties
Individuele accounts maken gebruik van authenticatie via e-mail en wachtwoord, met optionele aanmelding via Google of Apple ID. Institutionele accounts kunnen Single Sign-On (SAML 2.0, OIDC of LTI 1.3) vereisen, zodat de instelling de bron van waarheid voor identiteit blijft. Tweefactorauthenticatie is beschikbaar voor alle accountniveaus.
Back-ups en herstel
Productiedatabases worden dagelijks geback-upt met point-in-time recovery voor een vastgesteld bewaarvenster. Back-ups worden in rust versleuteld en opgeslagen in een afzonderlijke geografische locatie ten opzichte van het primaire systeem. Herstelprocedures worden op regelmatige basis getest.
Monitoring en incidentrespons
Applicatie- en infrastructuurlogs worden geaggregeerd voor beveiligingsmonitoring. Wij beschikken over een intern incidentresponsproces dat detectie, beheersing, verwijdering, herstel en post-incidentevaluatie omvat. Materiële incidenten die klantgegevens betreffen, worden zonder onnodige vertraging gecommuniceerd aan de getroffen klanten, conform de regelgevende vereisten.
Penetratietesten
iTutor ondergaat jaarlijks penetratietesten door een derde partij, gericht op de webapplicatie, het API-oppervlak en het authenticatiesysteem. Bevindingen worden gevolgd tot remediëring. Samenvattende rapporten zijn op verzoek beschikbaar voor institutionele klanten onder geheimhoudingsverklaring.
Naleving
iTutor is gebouwd volgens privacy-by-design-principes die zijn afgestemd op de EU Algemene Verordening Gegevensbescherming (GDPR). Voor institutionele klanten bieden wij Verwerkersovereenkomsten aan die de verhouding tussen verwerkingsverantwoordelijke en verwerker vastleggen, subverwerkerlijsten, opties voor gegevensresidentie waar van toepassing, en workflows voor verzoeken van betrokkenen.
Voor schoolimplementaties volgen wij de privacyverwachtingen van de onderwijssector: dataminimalisatie, geen gedragsmatige advertentieprofilering van studenten, en strikte beperking van analyses tot het onderwijsdoel.
Melden van kwetsbaarheden
Als u een beveiligingsprobleem in iTutor heeft ontdekt, horen wij dat graag. Stuur ons een e-mail op het onderstaande adres met reproductiestappen, de impact en eventueel proof-of-concept-materiaal. Wij verbinden ons ertoe uw melding binnen 5 werkdagen te bevestigen, binnen 14 dagen een statusupdate te geven en de timing van verantwoorde openbaarmaking met u af te stemmen.