Het Convenant Digitale Onderwijsmiddelen en Privacy vertaalt de Algemene Verordening Gegevensbescherming naar de onderwijspraktijk. Het bevat afspraken over het omgaan met persoonsgegevens bij het gebruik van digitale leermiddelen en toetsen. Dankzij het convenant weten scholen en aanbieders wat ze over en weer van elkaar mogen verwachten, zijn de afspraken werkbaar in de praktijk en heeft iedereen dezelfde gemeenschappelijke uitleg bij deze afspraken.

Regie bij de school

Bij de afspraken staat voorop dat de school de regie heeft. De school is verantwoordelijk voor de zorgvuldige omgang met de persoonsgegevens van de leerlingen en de communicatie naar ouders. Hierbij hoort ook het maken van goede afspraken met aanbieders. Een school staat hier niet alleen in. De partijen bij het convenant hebben een gemeenschappelijke en gedeelde zorg om de school in staat te stellen deze verantwoordelijkheid vorm te geven.

De afspraken in de praktijk

De PO-Raad, VO-raad en MBO Raad hebben het convenant ondertekend namens alle aangesloten schoolbesturen. Aanbieders tekenen individueel het convenant en passen de afspraken toe in hun verwerkersovereenkomsten met scholen. Hiervoor kunnen zij de model verwerkersovereenkomst gebruiken. De PO-Raad, VO-raad en MBO Raad zullen samen met de brancheorganisaties de scholen informeren over wat zij kunnen verwachten en hen daarbij ondersteuning bieden. Zo heeft Basispoort haar aangepaste gebruikersovereenkomst afgestemd met de PO-Raad. 

Voor de vervanging van bestaande bewerkersovereenkomsten door verwerkersovereenkomsten conform het model van privacyconvenant 3.0 zijn de volgende uitgangspunten opgesteld.

Van van versie 2.0 naar versie 3.0

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG vervang de Wet bescherming persoonsgegevens (Wbp). Het privacyconvenant en de model verwerkersovereenkomst worden hierop aangepast. Per 1 april 2018 treedt versie 3.0 van het privacyconvenant in werking. Deze nieuwe versie van het privacyconvenant en de de model verwerkersovereenkomst zijn volledig in overeenstemming met de AVG. Een belangrijke stap is daarnaast dat versie 3.0 van het privacyconvenant nu ook van kracht is voor scholen en leveranciers in het mbo.

AVG-proof
De AVG gebruikt andere terminologie, dus moest het taalgebruik in het privacyconvenant 3.0 en de nieuwe model verwerkersovereenkomst worden aangepast aan de terminologie in de wet AVG. Er was ook een aantal inhoudelijke toevoegingen nodig om de model verwerkersovereenkomst AVG-proof te maken: de AVG kent namelijk een aantal afwijkende verlichtingen ten opzichte van de huidige situatie.

Uitbreiding met het mbo
Tevens waren enkele aanpassingen nodig voor de uitbreiding van de reikwijdte van het privacyconvenant en de model verwerkersovereenkomst met de mbo-sector. Bovendien gaven ervaringen uit de praktijk van scholen en leveranciers aanleiding tot nieuwe versies van de documenten. Ook ontwikkelingen in het onderwijsdomein, zoals een recente uitspraak van de Autoriteit Persoonsgegevens, of de invoering van het ECK iD, gaven aanleiding tot herziening. We hebben de belangrijkste wijzigingen voor u op een rijtje gezet.

Extra aandacht voor de beveiligingsbijlage
Aan de beveiligingsbijlage is een verwijzing naar het Certificeringsschema toegevoegd. Dit Certificeringsschema voor informatiebeveiliging en privacy ROSA helpt leveranciers om hun producten te classificeren op de kenmerken: Betrouwbaarheid, Integriteit en Vertrouwelijkheid en geeft verder aan welke beveiligingsmaatregelen je bij iedere classificatie zou kunnen of zou moeten nemen. Dit bevordert uniformiteit en duidelijkheid over beveiligingsmaatregelen in het onderwijsdomein. De leverancier rapport in het schema of en op welke wijze hij voldoet aan deze normen. Overigens mogen leveranciers ook kiezen voor een andere rapportage zoals die van toepasselijke ISO-normeringen.