Verwerkersovereenkomsten
Bijna iedere school maakt tegenwoordig gebruik van digitale producten of diensten, zoals een leerlingadministratiesysteem of een digitaal leermiddel waar persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More geregistreerd worden. Worden deze systemen bij de softwareleverancier beheerd en gehost? Dan besteed jij als school de verwerking van persoonsgegevens uit aan een derdeEen natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken. More partij. In zo’n geval moet je een verwerkersovereenkomst afsluiten om de privacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. More van medewerkers, leerlingen en hun oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. More te garanderen.
In een verwerkersovereenkomst leg je vast wie waarvoor verantwoordelijk is en welke beveiligingsmaatregelen getroffen moeten worden om de persoonsgegevens goed te beschermen. Je legt ook vast welke persoonsgegevens de leverancier mag verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. More en met welk doel. Een school is en blijft verantwoordelijk voor een zorgvuldige omgang met persoonsgegevens van leerlingen en beslist wat de leverancier wél en niet met de persoonsgegevens mag doen. Neem je meer producten af van één leverancier, dan is het afsluiten van één verwerkersovereenkomst voldoende. Zorg wel per product voor een aparte privacybijsluiterBijlage bij de verwerkersovereenkomst met een leverancier van ict-diensten. In de privacybijsluiter wordt beschreven wat de dienst doet, wie daarvoor verantwoordelijk is, welke persoonsgegevens er betrokken zijn, waar de gegevens worden opgeslagen. More. Die bijsluiter vormt een bijlage bij de verwerkersovereenkomst.
Voor scholen in het po, vo en mbo zijn er standaardafspraken gemaakt met leveranciersAanbieders van ict- of leermiddelen. More van digitale leermiddelen en leerlingadministratiesystemen. Deze afspraken zorgen ervoor dat in het onderwijs door iedereen op dezelfde wijze veilig en verantwoord wordt omgegaan met persoonsgegevens. De afspraken zijn vastgelegd in het privacyconvenant. Bij dit convenant hoort een model verwerkersovereenkomst. Dit model maakt het makkelijker voor een school om de juiste afspraken te maken met haar leveranciers.
Is het wettelijk verplicht?
Je moet er volgens de Algemene Verordening Gegevensverwerking (AVG) voor zorgen dat de verwerking van persoonsgegevens veilig gebeurt en dat de privacy gewaarborgd is. Je bent daarom verplicht om goede afspraken over informatiebeveiliging en privacy met jouw leveranciers vast te leggen in een verwerkersovereenkomst.
Meer informatie vind je in artikel 27-29 van de AVG. Raapleeg het normenkader IBP po vo voor maatregelen die hierbij horen.
Wie doet wat?
Bij het opstellen van verwerkersovereenkomsten zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More neemt initiatief voor het afsluiten van een verwerkersovereenkomst. Het controleert of de verwerkersovereenkomst de juiste afspraken bevat.
- De ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. More, Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. More, administratie, inkoop of juridische afdeling controleert de verwerkersovereenkomsten.
Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.
Aan de slag
Vaak stuurt een leverancier als eerste een verwerkersovereenkomst naar de school. Gebeurt dat niet? Dan lees je hieronder wat je moet doen.
Stap 1 | Checklist digitale onderwijsmiddelen
Maak – voordat je een systeem of softwareapplicatie kiest – gebruik van de checklist digitale onderwijsmiddelen.
Stap 2 | Leverancier aangesloten bij privacyconvenant
Een leverancier gekozen? Op privacyconvenant.nl kun je controleren of de leverancier is aangesloten bij het privacyconvenantHet stelsel van afspraken die scholen en aanbieders van digitale diensten met elkaar maken, waarbij iedereen de afspraken op dezelfde manier uitlegt. More onderwijs. Leveranciers die hierbij zijn aangesloten zijn verplicht zich aan de afspraken uit het convenant te houden en de bijbehorende modelverwerkersovereenkomst te gebruiken.
Stap 3 | Leverancier niet aangesloten bij privacyconvenant
Is een leverancier niet aangesloten? Nodig je leverancier dan uit om zich aan te sluiten bij het convenant. Als de leverancier niet binnen de scope van het privacyconvenant valt, stel de leverancier dan voor om de modelverwerkersovereenkomst van het privacyconvenant te gebruiken.
Stap 4 | Controleer de verwerkersovereenkomst
Kloppen de ingevulde gegevens? Is het model aangepast door de leverancier? Controleer dan of de aanpassing is uitgelegd in een aparte bijlage. Bestudeer de bijlage die beschrijft welke persoonsgegevens worden verwerkt en de bijlage die beveiligingsmaatregelen beschrijft.
Stap 5 | Ondertekening van de overeenkomst
Ben je akkoord? Dan kun je de overeenkomst door het bevoegd gezag laten ondertekenen. Dat kan ook digitaal. Let op: een leverancier mag akkoord gaan met de verwerkersovereenkomst niet opnemen in de algemene voorwaarden of licentie-overeenkomst. Meestal krijg je de overeenkomst in tweevoud: je tekent beide exemplaren en stuurt er één terug.
Let op: Neem een verwerkingsovereenkomst nooit ter kennisgeving aan. Controleer altijd of de overeenkomst de juiste afspraken bevat. Van een aantal (grotere) leveranciers hebben de sectorraden de verwerkersovereenkomst gecontroleerd. Neem contact op met de PO-Raad of VO-raad om te achterhalen om welke aanbieders dat gaat.
Hou rekening met
Tekenen van een verwerkersovereenkomst
Hoe moet een verwerkersovereenkomst worden ondertekend? En wie mag er tekenen? Alleen de verwerkingsverantwoordelijkeDegene die het doel en de middelen bepaalt bij het verwerken van persoonsgegevens, zoals een schoolbestuur. More (het schoolbestuur) of iemand die daartoe het mandaat heeft gekregen van de verwerkingsverantwoordelijke, mag tekenen. Er kan op verschillende manieren worden getekend:
- Leverancier en school tekenen met natte inkt en hebben elk een kopie.
- Leverancier en school tekenen digitaal en hebben elk een kopie.
- Er zijn ook leveranciers die stellen dat het voldoende is als alleen de gegevens van de school worden ingevuld en er niet getekend wordt. Het is echter zeer aan te raden om altijd allebei te ondertekenen, zodat er later geen discussie ontstaat over de gemaakte afspraken.
Nieuwe versie van de modelverwerkersovereenkomst
Wordt de modelovereenkomst van het privacyconvenant aangepast? Je hoeft dan niet de al bestaande overeenkomsten te wijzigen. Ga je een nieuw contract aan met een bestaande leverancier? Sluit dan wel een nieuwe verwerkersovereenkomst af, gebaseerd op het nieuwste model.
Leveranciers buiten Europa
De AVG is van toepassing op organisaties die gevestigd zijn in de Europese Economische Ruimte (EER). Dat zijn alle landen van de Europese Unie en Noorwegen, IJsland, Liechtenstein en Zwitserland. Is jouw leverancier gevestigd in de EER? Dan moet hij zich aan de AVG houden.
Is jouw leverancier niet in de EER is gevestigd? Dan is dat een zogeheten “derde land”. Ook met derde landenAlle landen buiten de Europese Economische Ruimte: alle EU-landen en Noorwegen, Liechtenstein, IJsland. Derde landen houden zich niet aan de EU-regelgeving als het gaat om privacy. More moet je zorgen voor een passend beschermingsniveau van de persoonsgegevens die je met deze leverancier wilt uitwisselen. De bescherming moet gelijk zijn aan of beter zijn aan die de AVG voorschrijft.
De Europese Commissie kan voor derde landen beslissen dat de bescherming van persoonsgegevens passend en voldoende is. We noemen dit een adequaatheidsbeslissing. Bekijk de lijst van landen waarvoor een adequaatheidsbeslissing is genomen op de website van de Autoriteit Persoonsgegevens. Is er geen adequaatheidsbeslissing genomen voor het land waar jouw leverancier gevestigd is? Dan heb je als school maar één optie. Je moet in de verwerkersovereenkomst in zo’n geval gebruikmaken van verplicht – door de Europese Commissie – voorgeschreven contractuele bepalingen. De standard contractual clauses (SCC). De Europese Commissie heeft op 4 juni 2021 een nieuwe versie van de SCC vastgesteld. Heb je met leveranciers op basis van de oude versie (uit 2001 of 2010) SCC afgesloten? Dan moet je uiterlijk voor 27 december 2022 nieuwe SCC afsluiten.
Afhankelijk van de mate waarin de persoonsgegevens door de wetgeving in het derde land worden beschermd moeten er nog aanvullende technische maatregelen – zoals encryptieEncryptie is het versleutelen van persoonsgegevens. Door de versleuteling kan een derde partij de gegevens niet inzien. Alleen de juiste zender en ontvanger beschikken over de sleutel. More – en contractuele maatregelen worden genomen. Meer informatie hierover vind je op de website van de Autoriteit Persoonsgegevens.
Wil je persoonsgegevens uitwisselen met een andere verwerkingsverantwoordelijke in een derde land? Bijvoorbeeld een schoolbestuur buiten de EER? Maak daarvoor gebruik van dezelfde standard contractual clauses (SCC).
Leveranciers in de VS
Laat je persoonsgegevens verwerken door een leverancier uit de Verenigde Staten? Dan moet je zorgen dat de persoonsgegevens net zo goed beschermd zijn als in de Europese Economische Ruimte (EER). In juli 2020 is het Privacy Shield door het Hof van Justitie van de Europese Unie (EU) ongeldig verklaard. Totdat er door de Europese Commissie nieuwe afspraken zijn gemaakt met de VS over de bescherming van Europese persoonsgegevens, moet er daarom een andere basis worden gebruikt om gegevens door te geven naar de VS. Voor het onderwijs zijn dat de – door de Europese Commissie – voorgeschreven standaard contractuele bepalingen: standard contractual clauses (SCC). De Europese Commissie heeft op 4 juni 2021 een nieuwe versie van de SCC vastgesteld. Heb je met leveranciers op basis van de oude versie (uit 2001 of 2010) SCC afgesloten? Dan moet je uiterlijk voor 27 december 2022 nieuwe SCC afsluiten.
Daarnaast moeten er aanvullende technische maatregelen – zoals encryptie – en contractuele maatregelen worden getroffen om een passend beschermingsniveau te bereiken. Meer informatie hierover vind je op de website van de Autoriteit Persoonsgegevens.
Overleg daarom eerst met je Amerikaanse leverancier of er mogelijkheden zijn om de persoonsgegevens binnen de EER te verwerken of zoek een leverancier die gegevens wel binnen de EER verwerkt. Gebruik de standaard contractuele bepalingen met aanvullende maatregelen alleen als er geen alternatief is.
Leveranciers in het Verenigd Koninkrijk
Sinds het Verenigd Koninkrijk de EU heeft verlaten, is AVG daar niet meer van toepassing is. Dit heeft gevolgen voor de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk.
Samenwerkingsverband passend onderwijs
Samenwerkingsverbanden voor passend onderwijs en scholen zijn allebei verwerkingsverantwoordelijke voor de persoonsgegevens die ze verwerken in het kader van hun wettelijke taak. Bij het onderling uitwisselen van persoonsgegevens voor bijvoorbeeld een toelaatbaarheidsverklaring is daarom geen verwerkersovereenkomst nodig. Maak wel afspraken over hoe je de persoonsgegevens op een veilige manier uitwisselt. Maak je als school gebruik van software van het samenwerkingsverbandDe organisatie die in het kader van het passend onderwijs gaat over de toewijzing van extra hulp en ondersteuning voor leerlingen. Alle scholen in de regio van het samenwerkingsverband zijn hierbij aangesloten. More voor alle leerlingen op jouw school en niet alleen de leerlingen waar je ondersteuning voor het hebt aangevraagd bij het samenwerkingsverband? Dan valt het buiten de wettelijk taak. Denk bijvoorbeeld aan software voor het bijhouden van een dossier of ontwikkelingsperspectief (OPP) voor álle leerlingen van jouw school. Of software om centraal alle inschrijvingen op nieuwe scholen in de regio te regelen. Het samenwerkingsverband is voor dat deel dan leverancier van de software en daarmee een verwerkerDegene of de organisatie die handelt in opdracht van de verwerkingsverantwoordelijke, zoals de leverancier van het leerlingadministratiesysteem. Deze mag alleen verwerkingen doen waarvoor hij uitdrukkelijk opdracht krijgt. More voor de school. En dan is er wél een verwerkersovereenkomst nodig om aan de regels van de AVG te voldoen.
Overeenkomst voor data-uitwisseling en gezamenlijk verwerkingsverantwoordelijken
Niet in alle gevallen is een partij met wie persoonsgegevens worden uitgewisseld een verwerker in de zin van de AVG. Soms zijn zowel de onderwijsinstelling als de andere partij zelfstandig verwerkingsverantwoordelijke, soms zijn ze gezamenlijke verwerkingsverantwoordelijken.
In die gevallen moet er geen verwerkersovereenkomst worden afgesloten, maar een ander soort overeenkomst. Als beide partijen gezamenlijk verwerkingsverantwoordelijken zijn, dan verplicht de AVG ze om een overeenkomst gezamenlijk verwerkingsverantwoordelijken af te sluiten. Is zowel de school als de andere organisatie zelf verantwoordelijk voor de verwerking van de persoonsgegevens, dan kan een data-uitwisselingsovereenkomst worden afgesloten. Een data-uitwisselingsovereenkomst is niet verplicht, maar kan wel helpen om goede afspraken te maken over veilige uitwisseling en gebruik van de persoonsgegevens.
Het is niet altijd eenvoudig om vast te stellen welke rollen partijen in een concrete situatie hebben en welke soort afspraken daarbij horen. Ter ondersteuning van scholen heeft Kennisnet daarom een beslisboom opgesteld. De beslisboom helpt scholen om te bepalen welke soort afspraken moeten worden gemaakt bij het leveren of uitwisselen van persoonsgegevens aan een andere organisatie.
