Verwerkersovereenkomsten

bijgewerkt op 21 april 2021

Bijna iedere school maakt tegenwoordig gebruik van digitale producten of diensten, zoals een leerlingadministratiesysteem of een digitaal leermiddel waar persoonsgegevens geregistreerd worden. Worden deze systemen bij de softwareleverancier beheerd en gehost? Dan besteed jij als school de verwerking van persoonsgegevens uit aan een derde partij. In zo’n geval moet je een verwerkersovereenkomst afsluiten om de privacy van medewerkers, leerlingen en hun ouders te garanderen.

In een verwerkersovereenkomst leg je vast wie waarvoor verantwoordelijk is en welke beveiligingsmaatregelen getroffen moeten worden om de persoonsgegevens goed te beschermen. Je legt ook vast welke persoonsgegevens de leverancier mag verwerken en met welk doel. Een school is en blijft verantwoordelijk voor een zorgvuldige omgang met persoonsgegevens van leerlingen en beslist wat de leverancier wél en niet met de persoonsgegevens mag doen. Neem je meer producten af van één leverancier, dan is het afsluiten van één verwerkersovereenkomst voldoende. Zorg wel per product voor een aparte privacybijsluiter. Die bijsluiter vormt een bijlage bij de verwerkersovereenkomst.

Voor scholen in het po, vo en mbo zijn er standaardafspraken gemaakt met leveranciers van digitale leermiddelen en leerlingadministratiesystemen. Deze afspraken zorgen ervoor dat in het onderwijs door iedereen op dezelfde wijze veilig en verantwoord wordt omgegaan met persoonsgegevens. De afspraken zijn vastgelegd in het privacyconvenant. Bij dit convenant hoort een model verwerkersovereenkomst. Dit model maakt het makkelijker voor een school om de juiste afspraken te maken met haar leveranciers.

Is het wettelijk verplicht?

Je moet er volgens de Algemene Verordening Gegevensverwerking (AVG) voor zorgen dat de verwerking van persoonsgegevens veilig gebeurt en dat de privacy gewaarborgd is. Je bent daarom verplicht om goede afspraken over informatiebeveiliging en privacy met jouw leveranciers vast te leggen in een verwerkersovereenkomst.

Meer informatie vind je in artikel 27-29 van de AVG. De bijbehorende maatregelen vind je in de ISO 27002, artikel 15.1. Deze vind je terug in het toetsingskader IBP po vo.

Wie doet wat?

Bij het opstellen van verwerkersovereenkomsten zijn verschillende rollen betrokken met elk hun eigen taken:

  • Het schoolbestuur neemt initiatief voor het afsluiten van een verwerkersovereenkomst. Het controleert of de verwerkersovereenkomst de juiste afspraken bevat.
  • De ict-coördinator, Privacy Officer, administratie, inkoop of juridische afdeling controleert de verwerkersovereenkomsten.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Vaak stuurt een leverancier als eerste een verwerkersovereenkomst naar de school. Gebeurt dat niet? Dan lees je hieronder wat je moet doen.

Stap 1 | Checklist digitale onderwijsmiddelen

Maak – voordat  je een systeem of softwareapplicatie kiest – gebruik van de checklist digitale onderwijsmiddelen.

Stap 2 | Leverancier aangesloten bij privacyconvenant

Een leverancier gekozen? Op privacyconvenant.nl kun je controleren of de leverancier is aangesloten bij het privacyconvenant onderwijs. Leveranciers die hierbij zijn aangesloten zijn verplicht zich aan de afspraken uit het convenant te houden en de bijbehorende modelverwerkersovereenkomst te gebruiken.

Stap 3 | Leverancier niet aangesloten bij privacyconvenant

Is een leverancier niet aangesloten? Nodig je leverancier dan uit om zich aan te sluiten bij het convenant. Als de leverancier niet binnen de scope van het privacyconvenant valt, stel de leverancier dan voor om de modelverwerkersovereenkomst van het privacyconvenant te gebruiken.

Stap 4 | Controleer de verwerkersovereenkomst

Kloppen de ingevulde gegevens? Is het model aangepast door de leverancier? Controleer dan of de aanpassing is uitgelegd in een aparte bijlage. Bestudeer de bijlage die beschrijft welke persoonsgegevens worden verwerkt en de bijlage die beveiligingsmaatregelen beschrijft.

Stap 5 | Ondertekening van de overeenkomst

Ben je akkoord? Dan kun je de overeenkomst door het bevoegd gezag laten ondertekenen. Dat kan ook digitaal. Let op: een leverancier mag akkoord gaan met de verwerkersovereenkomst niet opnemen in de algemene voorwaarden of licentie-overeenkomst. Meestal krijg je de overeenkomst in tweevoud: je tekent beide exemplaren en stuurt er één terug.

Let op: neem een verwerkingsovereenkomst nooit ter kennisgeving aan. Controleer altijd of de overeenkomst de juiste afspraken bevat. Van een aantal (grotere) leveranciers hebben de sectorraden de verwerkersovereenkomst gecontroleerd. Neem contact op met de PO-Raad of VO-raad om te achterhalen om welke aanbieders dat gaat.

Tool: Modelovereenkomst

Hou rekening met

Tekenen van een verwerkersovereenkomst

Hoe moet een verwerkersovereenkomst worden ondertekend? En wie mag er tekenen? Alleen de verwerkingsverantwoordelijke (het schoolbestuur) of iemand die daartoe het mandaat heeft gekregen van de verwerkingsverantwoordelijke, mag tekenen. Er kan op verschillende manieren worden getekend:

  • Leverancier en school tekenen met natte inkt en hebben elk een kopie.
  • Leverancier en school tekenen digitaal en hebben elk een kopie.
  • Er zijn ook leveranciers die stellen dat het voldoende is als alleen de gegevens van de school worden ingevuld en er niet getekend wordt. Het is echter zeer aan te raden om altijd allebei te ondertekenen, zodat er later geen discussie ontstaat over de gemaakte afspraken.
SLA en inkoopdocument

Je maakt nooit afspraken maken over privacy en informatiebeveiliging in een SLA of in inkoopvoorwaarden. Gebruik hiervoor altijd een aparte verwerkersovereenkomst.

Nieuwe versie van de modelverwerkersovereenkomst

Wordt de modelovereenkomst van het privacyconvenant aangepast? Je hoeft dan niet de al bestaande overeenkomsten te wijzigen. Ga je een nieuw contract aan met een bestaande leverancier? Sluit dan wel een nieuwe verwerkersovereenkomst af, gebaseerd op het nieuwste model.

Leveranciers buiten Europa

De AVG is van toepassing op organisaties die gevestigd zijn in de Europese Economische Ruimte (EER). Dat zijn alle landen van de Europese Unie en Noorwegen, IJsland, Liechtenstein en Zwitserland. Is jouw leverancier gevestigd in de EER? Dan moet hij zich aan de AVG houden.

Is jouw leverancier niet in de EER is gevestigd? Dan is dat een zogeheten “derde land”. Ook met derde landen moet je zorgen voor een passend beschermingsniveau van de persoonsgegevens die je met deze leverancier wilt uitwisselen. De bescherming moet gelijk zijn aan of beter zijn aan die de AVG voorschrijft.

De Europese Commissie kan voor derde landen beslissen dat de bescherming van persoonsgegevens passend en voldoende is. We noemen dit een adequaatheidsbeslissing. Bekijk de lijst van landen waarvoor een adequaatheidsbeslissing is genomen op de website van de Autoriteit Persoonsgegevens. Is er geen adequaatheidsbeslissing genomen voor het land waar jouw leverancier gevestigd is? Dan heb je als school maar één optie. Je moet in de verwerkersovereenkomst in zo’n geval gebruikmaken van verplicht – door de Europese Commissie – voorgeschreven contractuele bepalingen. De standard contractual clauses (SCC). De Europese Commissie heeft op 4 juni 2021 een nieuwe versie van de SCC vastgesteldHeb je met leveranciers op basis van de oude versie (uit 2001 of 2010) SCC afgesloten? Dan moet je uiterlijk voor 27 december 2022 nieuwe SCC afsluiten. 

Afhankelijk van de mate waarin de persoonsgegevens door de wetgeving in het derde land worden beschermd moeten er nog aanvullende technische maatregelen – zoals encryptie – en contractuele maatregelen worden genomen. Meer informatie hierover vind je op de website van de Autoriteit Persoonsgegevens.

Wil je persoonsgegevens uitwisselen met een andere verwerkingsverantwoordelijke in een derde land? Bijvoorbeeld een schoolbestuur buiten de EER? Maak daarvoor gebruik van dezelfde standard contractual clauses (SCC).

Leveranciers in de VS

Laat je persoonsgegevens verwerken door een leverancier uit de Verenigde Staten? Dan moet je zorgen dat de persoonsgegevens net zo goed beschermd zijn als in de Europese Economische Ruimte (EER). In juli 2020 is het Privacy Shield door het Hof van Justitie van de Europese Unie (EU) ongeldig verklaard. Totdat er door de Europese Commissie nieuwe afspraken zijn gemaakt met de VS over de bescherming van Europese persoonsgegevens, moet er daarom een andere basis worden gebruikt om gegevens door te geven naar de VS. Voor het onderwijs zijn dat de – door de Europese Commissie – voorgeschreven standaard contractuele bepalingen: standard contractual clauses (SCC). De Europese Commissie heeft op 4 juni 2021 een nieuwe versie van de SCC vastgesteld. Heb je met leveranciers op basis van de oude versie (uit 2001 of 2010) SCC afgesloten? Dan moet je uiterlijk voor 27 december 2022 nieuwe SCC afsluiten.

Daarnaast moeten er aanvullende technische maatregelen – zoals encryptie – en contractuele maatregelen worden getroffen om een passend beschermingsniveau te bereiken. Meer informatie hierover vind je op de website van de Autoriteit Persoonsgegevens.

Overleg daarom eerst met je Amerikaanse leverancier of er mogelijkheden zijn om de persoonsgegevens binnen de EER te verwerken of zoek een leverancier die gegevens wel binnen de EER verwerkt. Gebruik de standaard contractuele bepalingen met aanvullende maatregelen alleen als er geen alternatief is.

Leveranciers in het Verenigd Koninkrijk

Het Verenigd Koninkrijk heeft de Europese Unie verlaten. De AVG is daar dus niet meer van toepassing is. Dit heeft gevolgen voor de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk. Meer informatie hierover vind je in het artikel ‘Brexit een feit: dit zijn de mogelijke gevolgen voor uw school’.

Samenwerkingsverband passend onderwijs

Samenwerkingsverbanden voor passend onderwijs en scholen zijn allebei verwerkingsverantwoordelijke voor de persoonsgegevens die ze verwerken in het kader van hun wettelijke taak. Bij het onderling uitwisselen van persoonsgegevens voor bijvoorbeeld een toelaatbaarheidsverklaring is daarom geen verwerkersovereenkomst nodig. Maak wel afspraken over hoe je de persoonsgegevens op een veilige manier uitwisselt. Maak je als school gebruik van software van het samenwerkingsverband voor alle leerlingen op jouw school en niet alleen de leerlingen waar je ondersteuning voor het hebt aangevraagd bij het samenwerkingsverband? Dan valt het buiten de wettelijk taak. Denk bijvoorbeeld aan software voor het bijhouden van een dossier of ontwikkelingsperspectief (OPP) voor álle leerlingen van jouw school. Of software om centraal alle inschrijvingen op nieuwe scholen in de regio te regelen. Het samenwerkingsverband is voor dat deel dan leverancier van de software en daarmee een verwerker voor de school. En dan is er wél een verwerkersovereenkomst nodig om aan de regels van de AVG te voldoen.

Overeenkomst voor data-uitwisseling en gezamenlijk verwerkingsverantwoordelijken

Niet in alle gevallen is een partij met wie persoonsgegevens worden uitgewisseld een verwerker in de zin van de AVG. Soms zijn zowel de onderwijsinstelling als de andere partij zelfstandig verwerkingsverantwoordelijke, soms zijn ze gezamenlijke verwerkingsverantwoordelijken.

In die gevallen moet er geen verwerkersovereenkomst worden afgesloten, maar een ander soort overeenkomst. Als beide partijen gezamenlijk verwerkingsverantwoordelijken zijn, dan verplicht de AVG ze om een overeenkomst gezamenlijk verwerkingsverantwoordelijken af te sluiten. Is zowel de school als de andere organisatie zelf verantwoordelijk voor de verwerking van de persoonsgegevens, dan kan een data-uitwisselingsovereenkomst worden afgesloten. Een data-uitwisselingsovereenkomst is niet verplicht, maar kan wel helpen om goede afspraken te maken over veilige uitwisseling en gebruik van de persoonsgegevens.

Het is niet altijd eenvoudig om vast te stellen welke rollen partijen in een concrete situatie hebben en welke soort afspraken daarbij horen. Ter ondersteuning van scholen heeft Kennisnet daarom een beslisboom opgesteld. De beslisboom helpt scholen om te bepalen welke soort afspraken moeten worden gemaakt bij het leveren of uitwisselen van persoonsgegevens aan een andere organisatie.

 

Verdieping

Inhoudsopgave