Verwerkersovereenkomsten

Bijna iedere school maakt tegenwoordig gebruik van digitale producten of diensten, zoals een leerlingadministratiesysteem of een digitaal leermiddel waar persoonsgegevens geregistreerd worden. Worden deze systemen bij de softwareleverancier beheerd en gehost? Dan besteed jij als school de verwerking van persoonsgegevens uit aan een derde partij. In zo’n geval moet je een verwerkersovereenkomst afsluiten om de privacy van medewerkers, leerlingen en hun ouders te garanderen.

In een verwerkersovereenkomst leg je vast wie waarvoor verantwoordelijk is en welke beveiligingsmaatregelen getroffen moeten worden om de persoonsgegevens goed te beschermen. Je legt ook vast welke persoonsgegevens de leverancier mag verwerken en met welk doel. Een school is en blijft verantwoordelijk voor een zorgvuldige omgang met persoonsgegevens van leerlingen en beslist wat de leverancier wél en niet met de persoonsgegevens mag doen. Neem je meer producten af van één leverancier, dan is het afsluiten van één verwerkersovereenkomst voldoende. Zorg wel per product voor een aparte privacybijsluiter. Die bijsluiter vormt een bijlage bij de verwerkersovereenkomst.

Voor scholen in het po, vo en mbo zijn er standaardafspraken gemaakt met leveranciers van digitale leermiddelen en leerlingadministratiesystemen. Deze afspraken zorgen ervoor dat in het onderwijs door iedereen op dezelfde wijze veilig en verantwoord wordt omgegaan met persoonsgegevens. De afspraken zijn vastgelegd in het privacyconvenant. Bij dit convenant hoort een model verwerkersovereenkomst. Dit model maakt het makkelijker voor een school om de juiste afspraken te maken met haar leveranciers.

Is het wettelijk verplicht?

Je bent volgens de Algemene Verordening Gegevensverwerking (AVG) verplicht ervoor te zorgen dat de verwerking van persoonsgegevens veilig gebeurt en dat de privacy gewaarborgd is. Zorg daarom voor goede afspraken over informatiebeveiliging en privacy met jouw leveranciers en leg die vast in een verwerkersovereenkomst.

Meer informatie vind je in artikel 27-29 van de AVG. De bijbehorende maatregelen vind je in de ISO 27002, artikel 15.1. Deze vind je terug in het toetsingskader IBP po vo.

Wie doet wat?

In het overzicht hieronder zie je wie wat doet bij het opstellen van verwerkersovereenkomsten.

Verantwoordelijkheid


Schoolbestuur
Initiatief voor het afsluiten van een verwerkersovereenkomst. Controleren of de verwerkersovereenkomst de juiste afspraken bevat.

Uitvoering


Ict-coördinator,
Privacy Officer,
administratie,
inkoop of
juridische afdeling
Controleren van verwerkersovereenkomsten.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Vaak stuurt een leverancier als eerste een verwerkersovereenkomst naar de school. Gebeurt dat niet? Dan lees je hieronder wat je moet doen.

Stap 1 | Checklist digitale onderwijsmiddelen

Maak – voordat  je een systeem of softwareapplicatie kiest – gebruik van de checklist digitale onderwijsmiddelen.

Stap 2 | Leverancier aangesloten bij privacyconvenant

Een leverancier gekozen? Op privacyconvenant.nl kun je controleren of de leverancier is aangesloten bij het privacyconvenant onderwijs. Leveranciers die hierbij zijn aangesloten zijn verplicht zich aan de afspraken uit het convenant te houden en de bijbehorende modelverwerkersovereenkomst te gebruiken.

Stap 3 | Leverancier niet aangesloten bij privacyconvenant

Is een leverancier niet aangesloten? Nodig je leverancier dan uit om zich aan te sluiten bij het convenant. Of vraag om de modelverwerkersovereenkomst van het privacyconvenant gebruiken. Is het niet mogelijk om gebruik te maken van de modelovereenkomst? Dan kun je op de website van de Autoriteit Persoonsgegevens vinden wat er in een verwerkersovereenkomst moet staan.

Stap 4 | Controleer de verwerkersovereenkomst

Kloppen de ingevulde gegevens? Is het model aangepast door de leverancier? Controleer dan of de aanpassing is uitgelegd in een aparte bijlage. Bestudeer de bijlage die beschrijft welke persoonsgegevens worden verwerkt en de bijlage die beveiligingsmaatregelen beschrijft.

Stap 5 | Ondertekening van de overeenkomst

Ben je akkoord? Dan kun je de overeenkomst door het bevoegd gezag laten ondertekenen. Dat kan ook digitaal. Let op: een leverancier mag akkoord gaan met de verwerkersovereenkomst niet opnemen in de algemene voorwaarden of licentie-overeenkomst. Meestal krijg je de overeenkomst in tweevoud: je tekent beide exemplaren en stuurt er één terug.

Let op: neem een verwerkingsovereenkomst nooit ter kennisgeving aan. Controleer altijd of de overeenkomst de juiste afspraken bevat. Van een aantal (grotere) leveranciers hebben de sectorraden de verwerkersovereenkomst gecontroleerd. Neem contact op met de PO-Raad of VO-raad om te achterhalen om welke aanbieders dat gaat.

Tool: Modelovereenkomst

Hou rekening met

Tekenen van een verwerkersovereenkomst

Hoe moet een verwerkersovereenkomst worden ondertekend? En wie mag er tekenen? Alleen de verwerkingsverantwoordelijke (de school) of iemand daartoe het mandaat heeft gekregen van de verwerkingsverantwoordelijke mag tekenen. Er kan op vier manieren worden getekend:

  • Leverancier en school tekenen met natte inkt en hebben elk een kopie.
  • Leverancier en school tekenen digitaal en hebben elk een kopie.
  • Er zijn ook leveranciers die stellen dat het voldoende is als alleen de gegevens van de school worden ingevuld en er niet getekend wordt.
SLA en inkoopdocument

Je maakt nooit afspraken maken over privacy en informatiebeveiliging in een SLA of in inkoopvoorwaarden. Gebruik hiervoor altijd een aparte verwerkersovereenkomst.

Nieuwe versie van de modelverwerkersovereenkomst

Wordt de modelovereenkomst van het privacyconvenant aangepast? Je hoeft dan niet de al bestaande overeenkomsten te wijzigen. Ga je een nieuw contract aan met een bestaande leverancier? Sluit dan wel een nieuwe verwerkersovereenkomst af, gebaseerd op het nieuwste model.

Leveranciers buiten Europa

De AVG is van toepassing op organisaties die gevestigd zijn in de Europese Economische Ruimte (EER). Dat zijn alle landen van de Europese Unie en Noorwegen, IJsland, Liechtenstein en Zwitserland. Is jouw leverancier gevestigd in de EER? Dan moet hij zich aan de AVG houden.

Is jouw leverancier niet in de EER is gevestigd? Dan is dat een zogeheten “derde land”. Ook met derde landen moet je zorgen voor een passend beschermingsniveau van de persoonsgegevens die je met deze leverancier wilt uitwisselen. De bescherming moet gelijk zijn aan of beter zijn aan die de AVG voorschrijft.

De Europese Commissie kan voor derde landen beslissen dat de bescherming van persoonsgegevens passend en voldoende is. We noemen dit een adequaatheidsbeslissing. Bekijk de lijst van landen waarvoor een adequaatheidsbeslissing is genomen op de website van de Autoriteit Persoonsgegevens. Is er geen adequaatheidsbeslissing genomen voor het land waar jouw leverancier gevestigd is? Dan heb je als school maar één optie. Je moet in de verwerkersovereenkomst in zo’n geval gebruikmaken van verplicht – door de Europese Commissie – voorgeschreven contractuele bepalingen. De standard contractual clauses. Wil je persoonsgegevens uitwisselen met een andere verwerkingsverantwoordelijke in een derde land? Bijvoorbeeld een schoolbestuur buiten de EER? Gebruik dan een speciaal door de EU opgesteld modelcontract. Het enige alternatief voor de contractuele bepalingen of het modelcontract, is het vragen van toestemming ouders of leerlingen van 16 jaar of ouder voor het uitwisselen van persoonsgegevens met de leverancier in het derde land.

Leveranciers in de VS

De AVG geldt niet voor leveranciers uit de Verenigde Staten. De Europese Commissie heeft met de VS afspraken gemaakt over de bescherming van de Europese persoonsgegevens. Deze afspraken staan in het Privacy Shield. Je mag alleen gebruik maken van een leverancier in de VS als deze is opgenomen op de lijst van het Privacy Shield. Daarnaast moet je in de verwerkersovereenkomst gebruikmaken van verplicht – door de Europese Commissie – voorgeschreven contractuele bepalingen. De standard contractual clauses. Het alternatief is het vragen van toestemming ouders of leerlingen van 16 jaar of ouder voor het uitwisselen van persoonsgegevens met de Verenigde Staten.

Leveranciers in het Verenigd Koninkrijk

Als het Verenigd Koninkrijk de Europese Unie verlaat, is de AVG daar niet meer automatisch van toepassing. Verlaat het Verenigd Koninkrijk de EU mét een deal? Dan worden er ook afspraken gemaakt over hoe de AVG moet worden toegepast. Wordt er géén deal gesloten? Dan moet je in de verwerkersovereenkomst gebruikmaken van verplicht – door de Europese Commissie – voorgeschreven contractuele bepalingen. De standard contractual clausesHet alternatief is het vragen van toestemming ouders of leerlingen van 16 jaar of ouder voor het uitwisselen van persoonsgegevens met de Verenigde Koninkrijk.

Samenwerkingsverband passend onderwijs

Samenwerkingsverbanden voor passend onderwijs en scholen zijn allebei verwerkingsverantwoordelijke voor de persoonsgegevens die ze verwerken in het kader van hun wettelijke taak. Bij het onderling uitwisselen van persoonsgegevens voor bijvoorbeeld een toelaatbaarheidsverklaring is daarom geen verwerkersovereenkomst nodig. Maak wel afspraken over hoe je de persoonsgegevens op een veilige manier uitwisselt. Maak je als school gebruik van software van het samenwerkingsverband voor alle leerlingen op jouw school en niet alleen de leerlingen waar je ondersteuning voor het hebt aangevraagd bij het samenwerkingsverband? Dan valt het buiten de wettelijk taak. Denk bijvoorbeeld aan software voor het bijhouden van een dossier of ontwikkelingsperspectief (OPP) voor álle leerlingen van jouw school. Of software om centraal alle inschrijvingen op nieuwe scholen in de regio te regelen. Het samenwerkingsverband is voor dat deel dan leverancier van de software en daarmee een verwerker voor de school. En dan is er wél een verwerkersovereenkomst nodig om aan de regels van de AVG te voldoen.

Verdieping

Inhoudsopgave