Scholen maken veel gebruik van digitale systemen, waarin onder andere informatie over leerlingen en medewerkers wordt vastgelegd. Het schoolbestuur zorgt voor een veilige opslag van deze gegevens, en dat deze niet worden misbruikt of gehackt. Maar hoe weet je of jouw leverancier dit verantwoord doet?

Privacyconvenant en model verwerkersovereenkomst

De nieuwe privacywetgeving AVG verplicht je om afspraken met leveranciers over beveiliging en privacy vast te leggen in een zogenaamde verwerkersovereenkomst. Hierin staan afspraken met leveranciers - ook wel verwerkers genoemd - over het zorgvuldig omgaan met persoonsgegevens op eenzelfde manier. Het gebruik hiervan is verplicht. Deze afspraken zijn juridisch uitvoerig getoetst, aanpassingen aan de tekst zijn daarom niet nodig.

De PO-Raad, VO-raad en de MBO Raad helpen scholen de juiste afspraken te maken. Met brancheorganisaties van leveranciers van digitale leermiddelen, school- en leerlingadministratiesystemen en andere digitale diensten zijn afspraken gemaakt. Deze zijn vastgelegd in het privacyconvenant.

Het is erg belangrijk om goede privacyafspraken te maken met je leveranciers, onder andere over verwerken van leerlinggegevens. © Reyer Boxem / Kennisnet

Leveranciers die gebruik willen maken van het convenant kunnen zich aanmelden als deelnemer. Ze tekenen een verklaring en zijn dan verplicht het convenant na te komen én de model verwerkersovereenkomst te gebruiken die bij het convenant hoort.

De initiatiefnemers van het convenant hebben uitgangspunten geformuleerd voor de vervanging van bewerkerscontracten . Hierin is ook het gebruik van de model verwerkersovereenkomst opgenomen. Bekijk de uitgangspunten.   

Hoe regel je deze afspraken met je leverancier?

Stap 1: is je leverancier aangesloten bij het convenant?

Dit kun je navragen bij je leverancier. Is je leverancier aangesloten, dan kun je erop vertrouwen dat hij zorgvuldig met persoonsgegevens omgaat. Op privacyconvenant.nl kan je zien of jouw leverancier is aangesloten. Is je leverancier (nog) niet aangesloten? Nodig hem uit om dit te doen.

Stap 2: vraag de verwerkerovereenkomst op bij je leverancier

Volgens de AVG moet het schoolbestuur zorgen voor een verwerkersovereenkomst. Vraag een ingevuld exemplaar op bij je leverancier. Scholen moeten volgens afspraak binnen 4 weken na aanvraag een verwerkersovereenkomst krijgen van hun leverancier.

Is je leverancier niet aangesloten bij het privacyconvenant? Vraag dan om vrijwillig de model verwerkersovereenkomst te gebruiken. Zo maak je eenvoudig de juiste privacy-afspraken.

Een leeg model verwerkerovereenkomst vind je op privacyconvenant.nl. Een vertaling in het Engels is in juni beschikbaar.

Stap 3: controleer de verwerkersovereenkomst

Na ontvangst controleer je het volgende:

Als de leverancier hiervan afwijkt, dan moet dat worden uitgelegd in een aparte bijlage. Zonder uitleg ga je niet akkoord.

  1. Bijlage 1: de privacybijsluiter. Hier wordt beschreven hoe het product van de leverancier werkt, welke persoonsgegevens worden gebruikt voor welke doelen en of jouw leverancier gebruik maakt van andere leveranciers.
  2. De beveiligingsbijlage beschrijft hoe de beveiliging is geregeld. Hier kan gebruik worden gemaakt van het Certificeringsschema voor informatiebeveiliging. Schoolbesturen hoeven in dat geval niet zelf te bedenken wat de juiste beveiliging is voor de producten die zij gebruiken.

Stap 4: akkoord gaan en terugsturen van de verwerkersovereenkomst

Klopt de verwerkersovereenkomst? Dan kan deze getekend worden door het schoolbestuur of college van bestuur (bevoegd gezag). Het bevoegd gezag is eindverantwoordelijk voor de privacy van leerlingen en medewerkers.

Schoolbesturen mogen een afspraak maken dat iemand op school verwerkersovereenkomsten mag ondertekenen, maar een leverancier mag daar niet van uit gaan. Uitgangspunt is dat de bestuurder tekent. Let op: een leverancier die ict-coördinatoren vraagt om akkoord te gaan met de nieuwe verwerkersovereenkomst, handelt in strijd met het privacyconvenant.

Ondertekening van de overeenkomst kan op papier, bijvoorbeeld op een apart 'tekenblad', maar mag ook digitaal. Dit gebeurt via een digitale ondertekenservice waarin een digitaal 'vinkje' voor akkoord wordt gezet, of door middel van een digitale handtekening.In de praktijk komt het ook voor dat gebruik wordt gemaakt van het digitale dashboard van de leverancier waarin de schoolbestuurder akkoord geeft.

Het is niet toegestaan om in de licentie of algemene voorwaarden op te nemen dat het schoolbestuur akkoord gaat met de verwerkersovereenkomst. De verwerkerovereenkomst uitsluitend op de website zetten is ook niet genoeg. Er is namelijk een zogenoemd 'aanbod en aanvaarding' nodig. Het schoolbestuur en de leverancier moet kunnen aantonen dat ze akkoord gaan met de verwerkersovereenkomst.

Nadat je de gecontroleerde verwerkersovereenkomst heb opgestuurd naar je leverancier, wordt deze binnen twee weken getekend. Je ontvangt een kopie van je leverancier. De verwerkersovereenkomst is nu geregeld.

Samenwerken betekent samen slim

Veel scholen gebruiken systemen van een aantal leveranciers, bijvoorbeeld het student- of leerlingadministratiesysteem. Om te voorkomen dat schoolbesturen de verwerkersovereenkomsten van deze leveranciers zelf moeten beoordelen, zijn er in het primair onderwijs, voortgezet onderwijs en in het mbo werkgroepen IBP ingericht. Deze werkgroepen toetsen de verwerkersovereenkomsten van de grootste en meest gebruikte leveranciers. Dit maakt het nóg makkelijker om snel de juiste privacyafspraken te maken.

Via de nieuwsbrieven van de PO-Raad VO-raad en saMBO-ICT worden binnenkort de tot nu toe getoetste verwerkersovereenkomst gecommuniceerd.

Meer weten?

In het praktisch stappenplan 'Aanpak IBP' van Kennisnet en de sectorraden, vind je meer informatie over het regelen van informatiebeveiliging en privacy (IBP).

Deel Privacyafspraken maken met leveranciers: zo doe je dat

Delen
  • LinkedIn
  • Twitter
  • Facebook
  • Google+
  • E-mail
  • Terug