Goed omgaan met privacy in het onderwijs. Dat doe je niet alleen door afspraken op te schrijven in een privacyconvenant, maar vooral ook door deze afspraken in de praktijk te brengen.

De school heeft hierbij de regie. Deze is tenslotte verantwoordelijk voor de zorgvuldige omgang met de persoonsgegevens van de leerlingen en de communicatie met ouders. Het maken van goede afspraken met aanbieders van digitale producten en diensten hoort daarbij.

Scholen staan daar gelukkig niet alleen in. Aanbieders van digitale leermiddelen en van andere digitale producten die in de school worden gebruikt, helpen scholen deze verantwoordelijkheid vorm te geven. Dat doen ze door zich aan te melden als deelnemer aan het convenant en de afspraken uit het convenant toe te passen. Maar ook door deel te nemen aan het publiek-private platform Edu-K, waarin vertegenwoordigers van scholen en van aanbieders samenwerken om privacy op scholen beter te regelen.

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. De AVG vervangt de Wet bescherming persoonsgegevens (Wbp). Het privacyconvenant en de model verwerkersovereenkomst worden hierop aangepast. Per 1 april 2018 treedt versie 3.0 van het privacyconvenant in werking. Deze nieuwe versie van het privacyconvenant en de de model verwerkersovereenkomst zijn volledig in overeenstemming met de AVG. Een belangrijke stap is daarnaast dat versie 3.0 van het privacyconvenant nu ook van kracht is voor scholen en leveranciers in het mbo.

Digitale leermiddelen zijn niet meer weg te denken in het onderwijs. Het is belangrijk dat bij het gebruik van deze leermiddelen de privacy van leerlingen is beschermd. Daarom maken scholen, vertegenwoordigd door de PO-Raad en de VO-raad, en aanbieders gezamenlijk afspraken over een goede omgang met leerlinggegevens. Deze website ondersteunt bij het in praktijk brengen van deze afspraken. Het convenant zelf en de bijlagen zijn hier te vinden. 

Goed aan de slag met privacy en informatiebeveiliging in de school?

Kijk op de site van de PO-RaadVO-raad of MBO Raad voor meer informatie over het convenant en wat dat voor uw school betekent. De  Aanpak Informatiebeveiliging en Privacy voor het po en vo van Kennisnet i.s.m. de PO-Raad en VO-raad beschrijft welke stappen scholen moeten doorlopen bij het goed regelen van privacy. Voor het mbo is er de Aanpak IBP in het mbo van Kennisnet, saMBO-ICT en SURFnet.

Als leverancier aan de slag met privacy en informatiebeveiliging?

Naast het gebruik van de model verwerkersovereenkomst helpt het Certificeringsschema voor informatiebeveiliging en privacy ROSA leveranciers om hun producten te classificeren op de kenmerken: Betrouwbaarheid, Integriteit en Vertrouwelijkheid en geeft verder aan welke beveiligingsmaatregelen je bij iedere classificatie zou kunnen of zou moeten nemen. Dit bevordert uniformiteit en duidelijkheid over beveiligingsmaatregelen in het onderwijsdomein. Tevens hebben de brancheorganisaties GEU en VDOD branchemodellen van de privacybijsluiter en de beveiligingsbijlage opgesteld om hun leden te ondersteunen. De informatie hieruit is vrij beschikbaar. Tot slot is een Aandachtspuntenlijst AVG ontwikkeld die een overzicht biedt van de verplichtingen waaraan leveranciers moeten voldoen.


Afspraken tussen scholen en leveranciers ‘AVG-proof’ door nieuwe 3.0-versie privacyconvenant

15 maart 2018

Na maanden van intensieve gesprekken tussen vertegenwoordigers van schoolbesturen en van leveranciers in het onderwijsdomein (uitgevers, distributeurs en leveranciers van o.a. leerlingadministratie- en volgsystemen) zijn er nieuwe afspraken over de omgang met gegevens van leerlingen. Dit was nodig door nieuwe wetgeving, de AVG (Algemene Verordening Gegevensbescherming) die op 25 mei 2018 van kracht wordt. Dit zorgt voor nieuwe verplichtingen en verantwoordelijkheden, zowel voor schoolbesturen als voor leveranciers. Een hele belangrijke stap is daarnaast dat versie 3.0 van het privacyconvenant nu ook van kracht is voor scholen en leveranciers in het mbo.

Nieuwe afspraken voor veilige omgang met leerlinggegevens
Binnen het publiek-private platform Edu-K hebben de sectorraden PO-Raad, VO-raad, MBO Raad en de brancheorganisaties GEU, VDOD en KBb-E zich ingespannen om afspraken te maken die zorgen voor een veilige en betrouwbare omgang met de gegevens van leerlingen. Duidelijke afspraken over bijvoorbeeld verantwoordelijkheden, beveiliging van gegevens en wat te doen als er onverhoopt iets mis mocht gaan (datalekken), maken onderdeel uit van de nieuwe versie. Ook zijn individuele lessen uit de afgelopen jaren vertaald naar sectorbrede afspraken, zoals naar aanleiding van een groot datalek in het vo in de zomer van 2016 en de recente uitspraak van de Autoriteit Persoonsgegevens over welke medewerkers van scholen toegang mogen hebben tot leerlinggegevens. We hebben de belangrijkste wijzigingen voor u op een rijtje gezet.

Afspraken in de praktijk
Bij de nieuwe versie van het convenant hoort een nieuwe model verwerkersovereenkomst. De komende periode passen alle leveranciers de verwerkersovereenkomsten voor hun producten aan (inclusief de privacybijsluiter en beveiligingsbijlage). Het doel hiervan is dat met het van kracht worden van de AVG de nieuwe overeenkomsten beschikbaar zijn. Een schoolbestuur kan deze opvragen bij een leverancier, zelf beoordelen en getekend retourneren. Tot dat dit gebeurd is, blijven bestaande overeenkomsten geldig. Het is daarom begrijpelijk dat veel scholen en leveranciers ervoor zullen kiezen om de nieuwe verwerkersovereenkomsten te betrekken bij het maken van afspraken voor het schooljaar 2018/2019.

Op dit moment hebben ongeveer 220 leveranciers van diensten en producten in het onderwijs het privacyconvenant ondertekend. Door gebruik te maken van de model verwerkersovereenkomst zorgen leveranciers en scholen gezamenlijk voor een veilige en betrouwbare omgang met de gegevens van leerlingen.