Scholen maken veel gebruik van digitale systemen, waarin onder andere informatie over leerlingen en medewerkers wordt vastgelegd. Het schoolbestuur zorgt voor een veilige opslag van deze gegevens, en dat deze niet worden misbruikt of gehackt. Maar hoe weet u of uw leverancier dit verantwoord doet?

Privacyconvenant en model verwerkersovereenkomst

De nieuwe privacywetgeving AVG verplicht u om afspraken met leveranciers over beveiliging en privacy vast te leggen in een zogenaamde verwerkersovereenkomst. Hierin staan afspraken met leveranciers - ook wel verwerkers genoemd - over het zorgvuldig omgaan met persoonsgegevens op eenzelfde manier. Het gebruik hiervan is verplicht. Deze afspraken zijn juridisch uitvoerig getoetst, aanpassingen aan de tekst zijn daarom niet nodig.

De PO-Raad, VO-raad en de MBO Raad helpen scholen de juiste afspraken te maken. Met brancheorganisaties van leveranciers van digitale leermiddelen, school- en leerlingadministratiesystemen en andere digitale diensten zijn afspraken gemaakt. Deze zijn vastgelegd in het privacyconvenant.

Het is erg belangrijk om goede privacyafspraken te maken met uw leveranciers, onder andere over het verwerken van leerlinggegevens. © Reyer Boxem / Kennisnet

Leveranciers die gebruik willen maken van het convenant kunnen zich aanmelden als deelnemer. Ze tekenen een verklaring en zijn dan verplicht het convenant na te komen én de model verwerkersovereenkomst te gebruiken die bij het convenant hoort.

De initiatiefnemers van het convenant hebben uitgangspunten geformuleerd voor de vervanging van bewerkerscontracten . Hierin is ook het gebruik van de model verwerkersovereenkomst opgenomen. Bekijk de uitgangspunten.   

Hoe regelt u deze afspraken met uw leverancier?

Stap 1: is uw leverancier aangesloten bij het convenant?

Dit kunt u navragen bij uw leverancier. Is uw leverancier aangesloten, dan kunt u erop vertrouwen dat hij zorgvuldig met persoonsgegevens omgaat. Op privacyconvenant.nl kunt u zien of uw leverancier is aangesloten. Is uw leverancier (nog) niet aangesloten? Nodig hem uit om dit te doen.

Stap 2: vraag de verwerkerovereenkomst op bij uw leverancier

Volgens de AVG moet het schoolbestuur zorgen voor een verwerkersovereenkomst. Vraag een ingevuld exemplaar op bij uw leverancier. Scholen moeten volgens afspraak binnen 4 weken na aanvraag een verwerkersovereenkomst krijgen van hun leverancier.

Is uw leverancier niet aangesloten bij het privacyconvenant? Vraag dan om vrijwillig de model verwerkersovereenkomst te gebruiken. Zo maakt u eenvoudig de juiste privacy-afspraken.

Een leeg model verwerkerovereenkomst (ook in het Engels beschikbaar) vindt u op privacyconvenant.nl

Stap 3: controleer de verwerkersovereenkomst

Na ontvangst controleert u het volgende:

Als de leverancier hiervan afwijkt, dan moet dat worden uitgelegd in een aparte bijlage. Zonder uitleg gaat u niet akkoord.

  1. Bijlage 1: de privacybijsluiter. Hier wordt beschreven hoe het product van de leverancier werkt, welke persoonsgegevens worden gebruikt voor welke doelen en of uw leverancier gebruik maakt van andere leveranciers.
  2. De beveiligingsbijlage beschrijft hoe de beveiliging is geregeld. Hier kan gebruik worden gemaakt van het Certificeringsschema voor informatiebeveiliging. Schoolbesturen hoeven in dat geval niet zelf te bedenken wat de juiste beveiliging is voor de producten die zij gebruiken.

Stap 4: akkoord gaan en terugsturen van de verwerkersovereenkomst

Klopt de verwerkersovereenkomst? Dan kan deze getekend worden door het schoolbestuur of college van bestuur (bevoegd gezag). Het bevoegd gezag is eindverantwoordelijk voor de privacy van leerlingen en medewerkers.

Schoolbesturen mogen een afspraak maken dat iemand op school verwerkersovereenkomsten mag ondertekenen, maar een leverancier mag daar niet van uit gaan. Uitgangspunt is dat de bestuurder tekent. Let op: een leverancier die ict-coördinatoren vraagt om akkoord te gaan met de nieuwe verwerkersovereenkomst, handelt in strijd met het privacyconvenant.

Ondertekening van de overeenkomst kan op papier, bijvoorbeeld op een apart 'tekenblad', maar mag ook digitaal. Dit gebeurt via een digitale ondertekenservice waarin een digitaal 'vinkje' voor akkoord wordt gezet, of door middel van een digitale handtekening. In de praktijk komt het ook voor dat gebruik wordt gemaakt van het digitale dashboard van de leverancier waarin de schoolbestuurder akkoord geeft.

Het is niet toegestaan om in de licentie of algemene voorwaarden op te nemen dat het schoolbestuur akkoord gaat met de verwerkersovereenkomst. De verwerkersovereenkomst uitsluitend op de website zetten is ook niet genoeg. Er is namelijk een zogenoemd 'aanbod en aanvaarding' nodig. Het schoolbestuur en de leverancier moet kunnen aantonen dat ze akkoord gaan met de verwerkersovereenkomst.

Nadat u de gecontroleerde verwerkersovereenkomst hebt opgestuurd naar uw leverancier, wordt deze binnen twee weken getekend. U ontvangt een kopie van uw leverancier. De verwerkersovereenkomst is nu geregeld.

Samenwerken betekent samen slim

Veel scholen gebruiken systemen van een aantal leveranciers, bijvoorbeeld het student- of leerlingadministratiesysteem. Om te voorkomen dat schoolbesturen de verwerkersovereenkomsten van deze leveranciers zelf moeten beoordelen, zijn er in het primair onderwijs, voortgezet onderwijs en in het mbo werkgroepen IBP ingericht. Deze werkgroepen toetsen de verwerkersovereenkomsten van de grootste en meest gebruikte leveranciers. Dit maakt het nóg makkelijker om snel de juiste privacyafspraken te maken.

Meer weten?

In het praktisch stappenplan 'Aanpak IBP' van Kennisnet en de sectorraden, vindt u meer informatie over het regelen van informatiebeveiliging en privacy (IBP).

Deel Privacyafspraken maken met leveranciers: zo doet u dat

Delen
  • LinkedIn
  • Twitter
  • Facebook
  • E-mail
  • Terug