Downloads

Het convenant en de model verwerkersovereenkomst 4.0 (voor deelnemers)

De model verwerkersovereenkomst 4.0 is alleen bedoeld voor deelnemers aan het convenant. Voor andere leveranciers (medestanders) is er het algemene model voor de verwerkersovereenkomst. Lees voor het toepassen van de model verwerkersovereenkomst eerst de toelichting.

Branchemodellen MEVW

Engelse versies

Toetsingskader deelnemers

Het is voor onderwijsinstellingen belangrijk dat zij erop kunnen vertrouwen dat partijen die in het online register als deelnemer staan vermeld de afspraken in het convenant naleven. Binnen Edu-K is daarom een toetsingskader ontwikkeld, waaraan alle deelnemers dienen te voldoen. Met dit kader kan beter worden toegezien op het juist gebruik van de model verwerkersovereenkomst. Dit toetsingskader is dus niet bedoeld voor medestanders, die gebruik kunnen maken van de algemene model verwerkersovereenkomst.

Aanmeldformulieren

Indien u alle vragen op de vragenlijst met ‘ja’ hebt beantwoord, download u de toetredingsverklaring. De volledig ingevulde en ondertekende verklaring kunt u, voorzien van een (digitaal) uittreksel van de Kamer van Koophandel als bijlage, sturen naar info@privacyconvenant.nl. Uw aanvraag wordt in behandeling genomen en uw bedrijfsnaam komt in het register. Valt u niet onder de reikwijdte van het convenant, dan kunt u de medestandersverklaring invullen en komt uw naam op de lijst met medestanders.

Reglement bij het convenant

Om goed om te kunnen gaan met de afspraken in het convenant heeft Edu-K afspraken gemaakt over governance, besluitvorming, bevoegdheden, kosten, procedurele afspraken, en wijziging van het convenant. Deze afspraken zijn opgenomen in het reglement.

Model subverwerkersovereenkomst

Om leveranciers te helpen om goede afspraken te maken met hun subverwerkers, is model subverwerkerovereenkomst opgesteld. Hierin zijn de verplichtingen voor de verwerker – die volgen uit de model verwerkersovereenkomst – vertaald naar juridische afspraken tussen de verwerker en zijn subverwerker(s). Door ook hier goede afspraken te maken, heeft de verwerker meer zekerheid daadwerkelijk te kunnen voldoen aan de afspraken die hij met de verwerkingsverantwoordelijke (het schoolbestuur maakt).

Certificeringsschema informatiebeveiliging en privacy ROSA

Vertegenwoordigers van leveranciers en scholen hebben gezamenlijk een standaard afgesproken om te bepalen wat ‘passende technische maatregelen’ zijn in het onderwijsdomein. Deze afspraak bevat een toetsingskader (stappenplan) inclusief BIV-classificatie dat een leverancier helpt om meer zicht te krijgen op de te nemen maatregelen. De uitkomsten kunnen gebruikt worden om de beveiligingsbijlage (Bijlage 2) in te vullen bij de model verwerkersovereenkomst. Het Certificeringsschema is in beheer bij Edustandaard en wordt op basis van ervaringen van gebruikers aangepast.

Overige hulpmiddelen voor leveranciers

Algemene model verwerkersovereenkomst (voor medestanders)

Voor partijen die geen leveranciers zijn van een ‘digitaal onderwijsmiddel’ zoals beschreven in het privacyconvenant, is het niet wenselijk dat zij de model verwerkersovereenkomst bij het privacyconvenant gebruiken. De afspraken in zowel het convenant als de model verwerkersovereenkomst zijn namelijk toegespitst op specifieke situaties waarin sprake is van digitale onderwijsmiddelen én het schoolbestuur de verwerkingsverantwoordelijke is. Als dit niet het geval is, is gebruik van de model verwerkersovereenkomst géén hulpmiddel bij het maken van goede afspraken over persoonsgegevens. Om u als leverancier toch op weg te helpen, en om schoolbesturen te ondersteunen in het maken van goede afspraken hebben de PO-Raad, VO-raad en MBO Raad een algemene verwerkersovereenkomst opgesteld. Deze is vrij te gebruiken, wanneer een leverancier wél verwerker is, maar níet onder de reikwijdte van het convenant valt.

Andere modellen (voor verwerkingsverantwoordelijken)

Niet in alle gevallen is een partij met wie persoonsgegevens worden uitgewisseld een verwerker in de zin van de AVG. Soms zijn zowel de onderwijsinstelling als de andere partij zelfstandig verwerkingsverantwoordelijke, soms zijn ze gezamenlijke verwerkingsverantwoordelijken.

In die gevallen moet er geen verwerkersovereenkomst worden afgesloten, maar een ander soort overeenkomst. Als beide partijen gezamenlijk verwerkingsverantwoordelijken zijn, dan verplicht de AVG ze om een overeenkomst gezamenlijk verwerkingsverantwoordelijken af te sluiten. Is zowel de school als de andere organisatie zelf verantwoordelijk voor de verwerking van de persoonsgegevens, dan kan een data-uitwisselingsovereenkomst worden afgesloten. Een data-uitwisselingsovereenkomst is niet verplicht, maar kan wel helpen om goede afspraken te maken over veilige uitwisseling en gebruik van de persoonsgegevens. NB Deze modellen zijn geen onderdeel van het convenant.

Het is niet altijd eenvoudig om vast te stellen welke rollen partijen in een concrete situatie hebben en welke soort afspraken daarbij horen. Ter ondersteuning van scholen heeft Kennisnet daarom een beslisboom opgesteld. De beslisboom helpt scholen om te bepalen welke soort afspraken moeten worden gemaakt bij het leveren of uitwisselen van persoonsgegevens aan een andere organisatie.

© Deze website wordt beheerd door Edu-V | Privacystatement