Over het convenant

Wat is het verschil tussen convenant 1.0 en versie 2.0?
Het eerste convenant bevat afspraken over het omgaan met persoonsgegevens bij het gebruik van digitale leermiddelen en toetsen. In 2016 zijn daar de afspraken aan toegevoegd met leveranciers van school- en leerlingadministratiesystemen. Bovendien anticipeert het nieuwe convenant op de nieuwe wetgeving over datalekken.

Is het convenant alleen voor leveranciers? 
Nee, het convenant is voor scholen én leveranciers. Hierdoor weten scholen én distributeurs en leveranciers van digitaal leermateriaal en school- en administratiesystemen wat ze over en weer van elkaar mogen verwachten. 

Waarom is dit convenant zo belangrijk, is privacy niet gewoon een tijdelijke hype? 
Het convenant vertaalt de Wet bescherming persoonsgegevens naar de onderwijspraktijk. De meeste afspraken komen voort uit de wet die als sinds 2001 van kracht is. Veel zaken moeten scholen én leverancier al geregeld hebben. In 2018 wordt in heel Europa de Algemene Verordening Gegevensbescherming van kracht, die organisaties verplicht om privacy nog beter te regelen dan de huidige Nederlandse wet voorschrijft. Het convenant houdt daar al rekening mee en is dus niet iets tijdelijks. 

Ik volg toch gewoon de wet, waarom zou ik het convenant dan gebruiken?
Privacybescherming is een basisvoorwaarde voor het gebruik van ict in het onderwijs. De Wet bescherming persoonsgegevens geeft slechts in algemene bewoordingen weer wat de rechten en verplichtingen van scholen en leveranciers zijn. Het convenant geeft er een sectorbrede uitleg hoe er door alle partijen moet worden omgegaan met leerlinggegevens. De ruimte voor interpretatie van de wet wordt beperkt, waarmee onbedoeld of onrechtmatig gebruik van persoonsgegevens kan worden voorkomen.  

Wie controleert of de afspraken in het convenant worden nagekomen? 
De initiatiefnemers van het convenant zijn de PO-Raad, VO-raad en de brancheorganisaties GEU, VDOD en KBb-e. Deze partijen overleggen en besluiten samen over de doorontwikkeling van het convenant en model bewerkersovereenkomst. Ook maken deze partijen afspraken over het naleven van de afspraken en het houden van toezicht op de naleving van het convenant. Als afspraken door een leverancier (bewust) niet worden nagekomen, kan dit worden gemeld bij de samenwerkende partijen. Zo nodig gaan brancheorganisaties het gesprek aan met de bij hun leden. Klachten en vragen over de naleving van het convenant kunnen worden gestuurd aan info@privacyconvenant.nl. 

Gaan er nu geen gegevens meer van scholen naar uitgevers?
Er gaan nog steeds gegevens van scholen naar uitgevers. Uitgevers, die bewerker zijn in de zin van de Wbp, mogen hier echter niets anders mee doen dan waar ze opdracht toe hebben gekregen van de scholen. De regie over wat er gebeurt met de gegevens ligt altijd bij de school.

Over de model bewerkersovereenkomst en bijlagen

Wat is de modelbewerkersovereenkomst?
De afspraken in het convenant vormen het uitgangspunt voor de model bewerkersovereenkomst voor de onderwijspraktijk. Het gebruik van dit model is dus belangrijk om de juiste afspraken te maken en om het convenant na te leven.
De model bewerkersovereenkomst is opgesteld door een team van deskundige juristen van de sectorraden en brancheorganisaties. Daarbij is rekening gehouden met de verschillende onderwijssectoren en het bestellen, leveren en gebruik van digitale onderwijsmiddelen. Er is rekening gehouden met een zeer divers en breed gebruik van het model.

Is het gebruik van de model bewerkersovereenkomst verplicht? 
Ja. Partijen die het convenant hebben ondertekend, zijn verplicht om de model bewerkersovereenkomst te gebruiken. 

Mag er worden afgeweken van de model bewerkersovereenkomst?
Nee, tenzij dat noodzakelijk is en de leverancier dat goed uitlegt. Er is weinig reden om af te wijken van het huidige model. Mocht een leverancier dat toch moeten doen, dan kan dit alleen als in de bewerkersovereenkomst met de school wordt uitgelegd waarom en op welke punten er wordt afgeweken. Iedere wijziging moet aangegeven worden door erbij te zetten: ‘past toe of leg uit’. 

De leverancier maakt gebruik van de model bewerkersovereenkomst dat hoort bij het convenant 1.0, moet deze bewerkersovereenkomst vervangen worden door het model dat hoort bij het convenant 2.0? 
In de nieuwe model bewerkersovereenkomst die hoort bij het convenant 2.0, zijn een aantal bepalingen gewijzigd. De leverancier zal in ieder geval bij  nieuwe contracten de  model bewerkersovereenkomst 2.0 moeten gaan gebruiken. 

Wie gaat binnen de school akkoord met de bewerkersovereenkomst? 
Het bevoegd gezag van een onderwijsinstelling kan iemand mandateren om namens het bestuur akkoord te geven op bewerkersovereenkomsten, maar de bestuurder blijft daar eindverantwoordelijk voor. 

Wat zijn de bijlagen die bij de model bewerkersovereenkomst horen? 
In de privacybijsluiter bij de bewerkersovereenkomst, beschrijft de leverancier wat zijn product precies doet, welke leerlinggegevens er nodig zijn, wie en welke ander partijen er toegang hebben tot die data, waar de gegevens worden opgeslagen en wat de contactgegevens zijn voor vragen over de privacybescherming. De tweede bijlage, de bijlage ‘technische en organisatorische beveiligingsmaatregelen’ beschrijft welke beveiligingsmaatregelen er zijn getroffen door de leverancier, en wat de afspraken zijn als er zich een beveiligingsincident voordoet (bijvoorbeeld een datalek). De beveiliging van de leerlinggegevens zal een continu punt van aandacht en zorg moeten blijven. 

De leverancier heeft zelf een bewerkersovereenkomst ontworpen, is het gebruik van het model dan nog nodig? 
Alle partijen die het convenant hebben ondertekend, zijn verplicht om de model bewerkersovereenkomst te gebruiken. Leveranciers die zelf al bewerkersovereenkomst hadden gemaakt voordat zij zich aansloten bij het convenant, zullen hun bestaande bewerkersovereenkomsten moeten aanpassen aan de model bewerkersovereenkomst. In volgend schooljaar 2016/2017 zullen alle scholen werken met een (nieuwe) bewerkersovereenkomst die voldoet aan het model dat hoort bij het convenant. 

Moet de schoolbestuurder de bewerkersovereenkomsten en bijlagen controleren die overeenkomen met het model?
De wetgever gaat er van uit dat het bevoegd gezag eindverantwoordelijk is voor de privacybescherming van leerlingen. Dat betekent dat de onderwijsinstelling moet controleren of er in de bewerkersovereenkomsten met de leveranciers de juiste afspraken zijn gemaakt. De model bewerkersovereenkomst bevat geen informatie over concrete digitale onderwijsmiddelen van leveranciers. Een onderwijsinstelling mag er van de wetgever niet van uit gaan dat de bewerkersovereenkomsten van de leverancier juist zijn. Een onderwijsinstelling zal dus altijd zelf de bewerkersovereenkomst met bijlagen moeten lezen en controleren. De PO-Raad en VO-raad komen met praktische hulpmiddelen om scholen te helpen met het lezen en beoordelen van de bewerkersovereenkomsten. 

Voldoet de model bewerkersovereenkomst aan de wet?
Ja, de model bewerkersovereenkomst bevat de wettelijk vereiste onderdelen. Met het gebruik van het model, wordt voor dat deel voldaan aan de wet. Doordat alle scholen en leveranciers het model gebruiken, wordt de wet op de zelfde wijze uitgelegd en toegepast.  

Wanneer stuurt mijn leverancier de model bewerkersovereenkomst naar mij toe? 
Na de inwerkingtreding van het convenant 2.0 in juni 2016, zullen leveranciers ervoor zorgen dat de bewerkersovereenkomsten voldoen aan het model. Daar hoeft de school niets voor te doen. Scholen zullen vanaf volgend schooljaar werken met de nieuwe overeenkomst. Veel uitgevers en distributeurs maken al gebruik van de modelbewerkersovereenkomst op basis van het Convenant 1.0. Voor leveranciers van school- en leerlingadministratiesystemen is de modelbewerkersovereenkomst nieuw. Zij zullen het nieuwe model gebruiken bij het sluiten van nieuwe contracten met scholen. Wanneer de school eind september 2016 nog niets gehoord heeft van de leverancier is het raadzaam contact op te nemen. 

Voor scholen

Moet ik als school ook  het convenant ondertekenen? 
De PO-Raad en de VO-raad hebben het convenant ondertekend namens alle bij hen aangesloten schoolbesturen. Schoolbestuurders die lid zijn de sectorraden, hoeven het convenant niet te tekenen. Een schoolbestuur dat geen lid is, moet ook aan de wet voldoen en het ondertekenen van het convenant en gebruiken van de modelbewerkersovereenkomst is een eenvoudige manier om dit te doen. 

Vallen Google, Microsoft en Apple ook onder het convenant?
Ook voor deze partijen is het wettelijk verplicht een bewerkersovereenkomst af te sluiten indien er leerlinggegevens door de school worden uitgewisseld met Google, Microsoft en Apple. De PO-Raad en VO-raad zullen in gesprek gaan met de Nederlandse leveranciers en distributeurs van deze producten, om te bespreken of, en in welke mate, deze partijen voldoen aan de Nederlandse of Europese wettelijke voorwaarden. 

Moet de bestuurder zelf de model bewerkersovereenkomst en bijlagen nog controleren?
De wetgever stelt voor scholen dat het bevoegd gezag verantwoordelijk is voor de leerlinggegevens die worden uitgewisseld met een uitgever. Een bestuurder moet dus altijd controleren of de bewerkersovereenkomst en bijlagen de juiste afspraken bevatten. De PO-Raad en VO-raad ontwikkelen hulpmiddelen om schoolbestuurders te helpen de contracten te analyseren en begrijpen. 

Moet de bestuurder zelf akkoord gaan, of mag hij ook iemand aanwijzen?
Het bevoegd gezag van een onderwijsinstelling kan iemand mandateren om namens het bestuur akkoord te geven op bewerkersovereenkomsten, maar de bestuurder blijft daar eindverantwoordelijk voor. 

Mijn leverancier staat niet op de lijst van leveranciers die het convenant hebben getekend, wat moet ik doen? 
Omdat scholen ook partij zijn bij het convenant, wordt er ook van scholen verwacht dat zij de model bewerkersovereenkomst gebruiken. De school zal dus toch ook met een leverancier die niet bij het convenant is aangesloten, de model bewerkersovereenkomst kunnen gebruiken. De model bewerkersovereenkomst kan worden gedownload via deze website; het gebruik van het model is gratis.  Het is wenselijk dat een bestuurder de leverancier wijst op het bestaan van het convenant en de model bewerkersovereenkomst en hem vraagt zich hierbij aan te sluiten.

Mijn leverancier houdt zich niet aan de afspraken van het convenant, wat kan ik doen? 
De initiatiefnemers van het convenant zijn de PO-Raad, VO-raad en de brancheorganisaties GEU, VDOD en leden van de KBb-e. Deze partijen overleggen en besluiten samen over de doorontwikkeling van het convenant en model bewerkersovereenkomst. Ook houden deze partijen zich bezig met de naleving van het convenant. Een leverancier die zich niet aan de afspraken houdt, zal in eerste instantie daarop worden aangesproken door de brancheorganisatie waar de leverancier lid van is. Klachten en vragen over de naleving van het convenant kunnen worden gestuurd aan info@privacyconvenant.nl.

Wat gaat er veranderen voor scholen?
Het convenant stelt scholen in staat om veel beter de regie te behouden over de persoonsgegevens die bij het gebruik van digitale leermiddelen en ondersteunende systemen door alle partijen worden verwerkt. Deze regierol staat centraal in het convenant en in de model bewerkersovereenkomst. Deze bewerkersovereenkomst kunnen zij gebruiken bij het maken van contractuele afspraken met hun leveranciers en als eis in bijvoorbeeld aanbestedingsprocedures opnemen.

Voor leveranciers

Ik ben niet aangesloten bij een brancheorganisatie, kan ik het convenant ook tekenen? 
Om u aan te melden als deelnemer aan het convenant ondertekent de leverancier de toetredingsverklaring. De volledig ingevulde en ondertekende verklaring wordt, voorzien van een (digitaal) uittreksel van de Kamer van Koophandel als bijlage, verzonden naar info@privacyconvenant.nl. De verklaring komt terecht bij het secretariaat van het platform. Als de aanmelding compleet is, verschijnt de naam van de leverancier in de lijst met deelnemers.

Ik heb zelf een bewerkersovereenkomst gemaakt, moet ik de model bewerkersovereenkomst gebruiken?  
Ja, partijen die zich aansluiten bij het convenant, moeten de model bewerkersovereenkomst gebruiken. Afwijken van het model is alleen mogelijk als dat (goed onderbouwd) wordt uitgelegd. Voor de herkenbaarheid voor scholen is het belangrijk om het zelfde model te gebruiken. Het model voldoet aan de wettelijk vereisten. 

Ik ben gevestigd buiten Europa, kan ik ook de model bewerkersovereenkomst gebruiken? 
Ja, de model bewerkersovereenkomst is niet specifiek voor alleen Nederland gemaakt. Het is niet de bedoeling om de model bewerkersovereenkomst in een andere taal dan Nederlands aan scholen aan te bieden.  

Zijn er kosten verbonden aan de inhoud van het convenant?
Nee, aansluiten bij het convenant is gratis. Evenmin zijn er kosten verbonden aan het gebruik van de model bewerkersovereenkomst. De brancheorganisaties hebben voor hun eigen leden de privacybijsluiter (bijlage bij de bewerkersovereenkomst) uitgewerkt. U kunt hiervoor contact opnemen met de brancheorganisatie.  

Kan ik meepraten over het convenant?
De initiatiefnemers van het convenant zijn de PO-Raad, VO-raad en de brancheorganisaties GEU, VDOD en KBb-e. Deze partijen overleggen en besluiten samen over de doorontwikkeling van het convenant en model bewerkersovereenkomst. Als u input wilt leveren aan de doorontwikkeling van het convenant, kunt u contact opnemen via info@privacyconvenant.nl.  

Overige vragen

Is op deze website uw vraag over het privacyconvenant of de modelbewerkersovereenkomst niet beantwoord. Stuur uw vraag dan naar info@privacyconvenant.nl.