Privacyconvenant onderwijs
  • Convenant
  • Deelnemers
  • Meedoen?
  • FAQ
  • Contact

Privacyconvenant onderwijs

  • Convenant/
  • Deelnemers/
  • Meedoen?/
  • FAQ/
  • Contact/
_rod2325.jpg

Privacyconvenant onderwijs

Veelgestelde vragen

Privacyconvenant onderwijs

  • Convenant/
  • Deelnemers/
  • Meedoen?/
  • FAQ/
  • Contact/

Over het convenant

Wat is het verschil tussen convenant 2.0 en versie 3.0?
De AVG wordt op 28 mei 2018 van kracht. Deze wet gebruikt andere terminologie, dus moest het taalgebruik in het privacyconvenant 3.0 en de nieuwe modelverwerkersovereenkomst worden aangepast aan de terminologie in de wet AVG. Er was ook een aantal inhoudelijke toevoegingen nodig om de modelverwerkersovereenkomst AVG-proof te maken: de AVG kent namelijk een aantal afwijkende verlichtingen ten opzichte van de huidige situatie.
Tevens waren enkele aanpassingen nodig voor de uitbreiding van de reikwijdte van het privacyconvenant en de modelverwerkersovereenkomst met de mbo-sector. Bovendien gaven ervaringen uit de praktijk van scholen en leveranciers aanleiding tot nieuwe versies van de documenten. Ook ontwikkelingen in het onderwijsdomein, zoals een recente uitspraak van de Autoriteit Persoonsgegevens, of de invoering van het ECK iD, gaven aanleiding tot herziening. We hebben de belangrijkste wijzigingen voor u op een rijtje gezet.

Wie waren er betrokken?
De initiatiefnemers van het privacyconvenant (PO-Raad, VO-raad, GEU, KBb-E en VDOD; verenigd in Edu-K) werkten de afgelopen maanden samen hard aan de nieuwe versies van de documenten. Ook de MBO Raad heeft zich hierbij gevoegd. Leden van brancheorganisaties zijn betrokken, zodat de gemaakte afspraken aansluiten bij zowel de belangen van schoolbesturen als van leveranciers. Ook deskundigen op het gebied van de AVG en privacyrecht gaven input.

Wanneer kan ik met de nieuwe documenten werken?
Vanaf dit moment kunnen scholen en leveranciers gebruikmaken van model verwerkersovereenkomst 3.0. Door het gebruik van de nieuwe versie maakt u afspraken die voldoen aan de AVG. De nieuwe versie van het privacyconvenant wordt van kracht vanaf 1 april 2018. Ondertekenaars van eerdere versies van het convenant zijn automatisch gebonden aan deze versie 3.0. De leden van Edu-K hebben ook een lijst met aandachtspunten AVG ontwikkeld om leveranciers op weg te helpen.

Is het convenant alleen voor leveranciers? 
Nee, het convenant is voor scholen én leveranciers. Hierdoor weten scholen én distributeurs en leveranciers van digitaal leermateriaal en school- en administratiesystemen wat ze over en weer van elkaar mogen verwachten. 

Waarom is dit convenant zo belangrijk, is privacy niet gewoon een tijdelijke hype? 
Het convenant vertaalt de wet (de AVG) naar de onderwijspraktijk. Veel zaken moesten scholen én leveranciers al geregeld hebben, bijvoorbeeld door andere wetgeving. Het convenant en de model verwerkersovereenkomst helpen hierbij.

Ik volg toch gewoon de wet, waarom zou ik het convenant dan gebruiken?
Privacybescherming is een basisvoorwaarde voor het gebruik van ict in het onderwijs. De AVG geeft slechts in algemene bewoordingen weer wat de rechten en verplichtingen van scholen en leveranciers zijn. Het convenant geeft er een sectorbrede uitleg hoe er door alle partijen moet worden omgegaan met leerlinggegevens. De ruimte voor interpretatie van de wet wordt beperkt, waarmee onbedoeld of onrechtmatig gebruik van persoonsgegevens kan worden voorkomen.  

Wie controleert of de afspraken in het convenant worden nagekomen? 
De initiatiefnemers van het convenant zijn de PO-Raad, VO-raad, MBO Raad en de brancheorganisaties GEU, VDOD en KBb-e. Deze partijen overleggen en besluiten samen over de doorontwikkeling van het convenant en model verwerkersovereenkomst. Ook maken deze partijen afspraken over het naleven van de afspraken en het houden van toezicht op de naleving van het convenant. Als afspraken door een leverancier (bewust) niet worden nagekomen, kan dit worden gemeld bij de samenwerkende partijen. Zo nodig gaan brancheorganisaties het gesprek aan met de bij hun leden. Klachten en vragen over de naleving van het convenant kunnen worden gestuurd aan info@privacyconvenant.nl. 

Gaan er nu geen gegevens meer van scholen naar uitgevers?
Er gaan nog steeds gegevens van scholen naar uitgevers. Uitgevers, die verwerker zijn in de zin van de AVG, mogen hier echter niets anders mee doen dan waar ze opdracht toe hebben gekregen van de scholen. De regie over wat er gebeurt met de gegevens ligt altijd bij de school.

Geldt het convenant ook voor het mbo?
Ja, het convenant is ook van toepassing voor het mbo. De model verwerkersovereenkomst zal hier worden gebruikt om afspraken te maken tussen onderwijsinstelling en leveranciers. Dit is altijd het geval als de mbo-instelling zelf digitale onderwijsmiddelen bestelt, dan is de mbo-instelling altijd verwerkingsverantwoordelijke en is het convenant dus van toepassing.

Artikel 2 lid 3 van het privacyconvenant maakt duidelijk dat leveranciers zelf verwerkingsverantwoordelijke kunnen zijn. In die situaties is het convenant niet van toepassing. Ten aanzien van het mbo geldt bijvoorbeeld dat als een andere persoon dan de onderwijsinstelling een digitaal onderwijsmiddel bestelt (bijvoorbeeld maar niet beperkt tot de student of ouder), de leverancier bij wie het onderwijsmiddel wordt besteld de verwerkingsverantwoordelijke is. Op deze regel geldt als uitzondering de situatie waarin gebruik wordt gemaakt van de ECK-route en door de onderwijsinstelling daarbij behorende persoonsgegevens worden uitgewisseld met de leverancier; in dit geval is de onderwijsinstelling verwerkingsverantwoordelijke voor de verwerking van die persoonsgegevens.

Zijn er nog meer uitzonderingen?
Gegevens die een student zelf (of een ander dan de onderwijsinstelling) verstrekt aan een leverancier (zoals adres-of bankgegevens) vallen niet onder het convenant. Het kan hierbij ook gaan om gegevens die door een onderwijsinstelling met de leverancier zijn uitgewisseld en die door deze leverancier worden gebruikt voor de uitvoering van de bestelopdracht. Ook het gebruik van digitale onderwijsmiddelen waarbij géén persoonsgegevens worden verwerkt valt buiten de scope van het convenant.

Over de model verwerkersovereenkomst en bijlagen

Wat is de model verwerkersovereenkomst?
De afspraken in het convenant vormen het uitgangspunt voor de model verwerkersovereenkomst voor de onderwijspraktijk. Het gebruik van dit model is dus belangrijk om de juiste afspraken te maken en om het convenant na te leven.
De model verwerkersovereenkomst is opgesteld door een team van deskundige juristen van de sectorraden en brancheorganisaties. Daarbij is rekening gehouden met de verschillende onderwijssectoren en het bestellen, leveren en gebruik van digitale onderwijsmiddelen. Er is rekening gehouden met een zeer divers en breed gebruik van het model.

Is het gebruik van de model verwerkersovereenkomst verplicht? 
Ja. Partijen die het convenant hebben ondertekend, zijn verplicht om de model vewerkersovereenkomst te gebruiken. 

Mag er worden afgeweken van de model verwerkersovereenkomst?
Nee, tenzij dat noodzakelijk is en de leverancier dat goed uitlegt. Er is weinig reden om af te wijken van het huidige model. Mocht een leverancier dat toch moeten doen, dan kan dit alleen als in de verwerkersovereenkomst met de school wordt uitgelegd waarom en op welke punten er wordt afgeweken. Iedere wijziging moet aangegeven worden door erbij te zetten: ‘past toe of leg uit’. 

De leverancier maakt gebruik van de model verwerkersovereenkomst dat hoort bij het convenant 2.0, moet deze verwerkersovereenkomst vervangen worden door het model dat hoort bij het convenant 3.0? 
In de nieuwe model verwerkersovereenkomst die hoort bij het convenant 3.0, zijn een aantal bepalingen gewijzigd. De leverancier zal in ieder geval bij nieuwe contracten de model verwerkersovereenkomst 3.0 moeten gaan gebruiken. Door gebruik van de 3.0-versie hebben zowel de school als de leverancier meer zekerheid dat zij aan de verplichten van de AVG voldoen.

Wie gaat binnen de school akkoord met de verwerkersovereenkomst? 
Het bevoegd gezag van een onderwijsinstelling kan iemand mandateren om namens het bestuur akkoord te geven op verwerkersovereenkomsten, maar de bestuurder blijft daar eindverantwoordelijk voor. 

Wat zijn de bijlagen die bij de model verwerkersovereenkomst horen? 
In de privacybijsluiter bij de verwerkersovereenkomst, beschrijft de leverancier wat zijn product precies doet, welke leerlinggegevens er nodig zijn, wie en welke ander partijen er toegang hebben tot die data, waar de gegevens worden opgeslagen en wat de contactgegevens zijn voor vragen over de privacybescherming. De tweede bijlage, de beveiligingsbijlage, beschrijft welke beveiligingsmaatregelen er zijn getroffen door de leverancier, en wat de afspraken zijn als er zich een beveiligingsincident voordoet (bijvoorbeeld een datalek). De beveiliging van de leerlinggegevens zal een continu punt van aandacht en zorg moeten blijven. 

De leverancier heeft zelf een verwerkersovereenkomst ontworpen, is het gebruik van het model dan nog nodig? 
Alle partijen die het convenant hebben ondertekend, zijn verplicht om de model verwerkersovereenkomst te gebruiken. Leveranciers die zelf al verwerkersovereenkomst hadden gemaakt voordat zij zich aansloten bij het convenant, zullen hun bestaande verwerkersovereenkomsten moeten aanpassen aan de model verwerkersovereenkomst. In volgend schooljaar 2018/2019 zullen alle scholen werken met een (nieuwe) verwerkersovereenkomst die voldoet aan het model dat hoort bij het convenant. 

Moet de schoolbestuurder de verwerkersovereenkomsten en bijlagen controleren die overeenkomen met het model?
De wetgever gaat er van uit dat het bevoegd gezag eindverantwoordelijk is voor de privacybescherming van leerlingen. Dat betekent dat de onderwijsinstelling moet controleren of er in de verwerkersovereenkomsten met de leveranciers de juiste afspraken zijn gemaakt. De model verwerkersovereenkomst bevat geen informatie over concrete digitale onderwijsmiddelen van leveranciers. Een onderwijsinstelling mag er van de wetgever niet van uit gaan dat de verwerkersovereenkomsten van de leverancier juist zijn. Een onderwijsinstelling zal dus altijd zelf de verwerkersovereenkomst met bijlagen moeten lezen en controleren. 

Voldoet de model verwerkersovereenkomst aan de wet?
Ja, de model verwerkersovereenkomst bevat de wettelijk vereiste onderdelen. Met het gebruik van het model, wordt voor dat deel voldaan aan de wet. Doordat alle scholen en leveranciers het model gebruiken, wordt de wet op de zelfde wijze uitgelegd en toegepast.  

Hoe kom ik als school aan een nieuwe verwerkersovereenkomst? 
Na de inwerkingtreding van het convenant 3.0 in april 2018, zullen leveranciers ervoor zorgen dat de verwerkersovereenkomsten voldoen aan het model. Daar hoeft de school niets voor te doen. Scholen zullen vanaf volgend schooljaar werken met de nieuwe overeenkomst. Veel uitgevers en distributeurs maken al gebruik van de model verwerkersovereenkomst op basis van het convenant 2.0, deze blijft ook gewoon geldig tot deze vervangen is. De sectorraden zijn met de brancheorganisaties van leveranciers in gesprek over een handige manier om deze contracten uit te rollen. U kunt natuurlijk altijd om een nieuwe overeenkomst vragen bij uw leveranciers.

Is er een handige manier om te beoordelen of ik de juiste maatregelen neem, zoals beschreven in de beveiligingsbijlage?
Ja, die is er. Aan de beveiligingsbijlage is een verwijzing naar het Certificeringsschema toegevoegd. Dit Certificeringsschema voor informatiebeveiliging en privacy ROSA helpt leveranciers om hun producten te classificeren op de kenmerken: Betrouwbaarheid, Integriteit en Vertrouwelijkheid en geeft verder aan welke beveiligingsmaatregelen je bij iedere classificatie zou kunnen of zou moeten nemen. Dit bevordert uniformiteit en duidelijkheid over beveiligingsmaatregelen in het onderwijsdomein. De leverancier rapport in het schema of en op welke wijze hij voldoet aan deze normen. Overigens mogen leveranciers ook kiezen voor een andere rapportage zoals die van toepasselijke ISO-normeringen.

Voor scholen

Moet ik als school ook  het convenant ondertekenen? 
De PO-Raad, VO-raad en MBO Raad hebben het convenant ondertekend namens alle bij hen aangesloten schoolbesturen. Schoolbestuurders die lid zijn de sectorraden, hoeven het convenant niet te tekenen. Een schoolbestuur dat geen lid is, moet ook aan de wet voldoen en het ondertekenen van het convenant en gebruiken van de model verwerkersovereenkomst is een eenvoudige manier om dit te doen. 

Vallen Google, Microsoft en Apple ook onder het convenant?
Ook voor deze partijen is het wettelijk verplicht een verwerkersovereenkomst af te sluiten indien er leerlinggegevens door de school worden uitgewisseld met Google, Microsoft en Apple. De PO-Raad en VO-raad zijnin gesprek gaan met de Nederlandse leveranciers en distributeurs van deze producten, om te bespreken of, en in welke mate, deze partijen voldoen aan de Nederlandse of Europese wettelijke voorwaarden. 

Moet de bestuurder zelf de model verwerkersovereenkomst en bijlagen nog controleren?
De wetgever stelt voor scholen dat het bevoegd gezag verantwoordelijk is voor de leerlinggegevens die worden uitgewisseld met een uitgever. Een bestuurder moet dus altijd controleren of de verwerkersovereenkomst en bijlagen de juiste afspraken bevatten. De PO-Raad, VO-raad en MBO Raad ontwikkelen hulpmiddelen om schoolbestuurders te helpen de contracten te analyseren en begrijpen. 

Moet de bestuurder zelf akkoord gaan, of mag hij ook iemand aanwijzen?
Het bevoegd gezag van een onderwijsinstelling kan iemand mandateren om namens het bestuur akkoord te geven op verwerkersovereenkomsten, maar de bestuurder blijft daar eindverantwoordelijk voor. 

Mijn leverancier staat niet op de lijst van leveranciers die het convenant hebben getekend, wat moet ik doen? 
Omdat scholen ook partij zijn bij het convenant, wordt er ook van scholen verwacht dat zij de model verwerkersovereenkomst gebruiken. De school zal dus toch ook met een leverancier die niet bij het convenant is aangesloten, de model verwerkersovereenkomst kunnen gebruiken. De model verwerkersovereenkomst kan worden gedownload via deze website; het gebruik van het model is gratis.  Het is wenselijk dat een bestuurder de leverancier wijst op het bestaan van het convenant en de model verwerkersovereenkomst en hem vraagt zich hierbij aan te sluiten.

Mijn leverancier houdt zich niet aan de afspraken van het convenant, wat kan ik doen? 
De initiatiefnemers van het convenant zijn de PO-Raad, VO-raad, MBO Raad en de brancheorganisaties GEU, VDOD en de KBb-e. Deze partijen overleggen en besluiten samen over de doorontwikkeling van het convenant en model verwerkersovereenkomst. Ook houden deze partijen zich bezig met de naleving van het convenant. Een leverancier die zich niet aan de afspraken houdt, zal in eerste instantie daarop worden aangesproken door de brancheorganisatie waar de leverancier lid van is. Klachten en vragen over de naleving van het convenant kunnen worden gestuurd aan info@privacyconvenant.nl.

Wat gaat er veranderen voor scholen?
Het convenant stelt scholen in staat om veel beter de regie te behouden over de persoonsgegevens die bij het gebruik van digitale leermiddelen en ondersteunende systemen door alle partijen worden verwerkt. Deze regierol staat centraal in het convenant en in de model verwerkersovereenkomst. Deze verwerkersovereenkomst kunnen zij gebruiken bij het maken van contractuele afspraken met hun leveranciers en als eis in bijvoorbeeld aanbestedingsprocedures opnemen.

Voor leveranciers

Ik ben niet aangesloten bij een brancheorganisatie, kan ik het convenant ook tekenen? 
Om u aan te melden als deelnemer aan het convenant ondertekent de leverancier de toetredingsverklaring. De volledig ingevulde en ondertekende verklaring wordt, voorzien van een (digitaal) uittreksel van de Kamer van Koophandel als bijlage, verzonden naar info@privacyconvenant.nl. De verklaring komt terecht bij het secretariaat van het platform. Als de aanmelding compleet is, verschijnt de naam van de leverancier in de lijst met deelnemers.

Ik heb zelf een verwerkersovereenkomst gemaakt, moet ik de model verwerkersovereenkomst gebruiken?  
Ja, partijen die zich aansluiten bij het convenant, moeten de model verwerkersovereenkomst gebruiken. Afwijken van het model is alleen mogelijk als dat (goed onderbouwd) wordt uitgelegd. Voor de herkenbaarheid voor scholen is het belangrijk om het zelfde model te gebruiken. Het model voldoet aan de wettelijk vereisten. 

Ik ben gevestigd buiten Europa, kan ik ook de model verwerkersovereenkomst gebruiken? 
Ja, de model verwerkersovereenkomst is niet specifiek voor alleen Nederland gemaakt. Het is niet de bedoeling om de model verwerkersovereenkomst in een andere taal dan Nederlands aan scholen aan te bieden.  

Zijn er kosten verbonden aan de inhoud van het convenant?
Nee, aansluiten bij het convenant is gratis. Evenmin zijn er kosten verbonden aan het gebruik van de model verwerkersovereenkomst. De brancheorganisaties hebben voor hun eigen leden de privacybijsluiter en beveiligingsbijlage (bijlagen bij de verwerkersovereenkomst) uitgewerkt. U kunt hiervoor contact opnemen met de brancheorganisatie.  

Kan ik meepraten over het convenant?
De initiatiefnemers van het convenant zijn de PO-Raad, VO-raad, MBO Raad en de brancheorganisaties GEU, VDOD en KBb-e. Deze partijen overleggen en besluiten samen over de doorontwikkeling van het convenant en model verwerkersovereenkomst. De verwachting is dat het werken met de AVG de komende periode in heel Europa zal leiden tot nieuwe inzichten, in Nederland bijvoorbeeld bij de Autoriteit Persoonsgegevens. Edu-K zal deze ontwikkelingen en het gebruik van de nieuwe modelverwerkersovereenkomst monitoren. Indien nodig zullen we nieuwe inzichten opnemen in volgende versies van de documenten. We vragen alle gebruikers om vragen, ervaringen en suggesties voor verdere ontwikkeling te delen via info@privacyconvenant.nl.  

Overige vragen

Is op deze website uw vraag over het privacyconvenant of de model verwerkersovereenkomst niet beantwoord. Stuur uw vraag dan naar info@privacyconvenant.nl.  

Deze website wordt beheerd door Kennisnet