Veelgestelde vragen

Veelgestelde vragen

Snel naar…

Wordt op deze website uw vraag over het convenant of de model verwerkersovereenkomst niet beantwoord? Stuur uw vraag dan naar info@privacyconvenant.nl.

Over het convenant

Wie zijn de initiatiefnemers?

De initiatiefnemers van het privacyconvenant zijn de PO-Raad, de VO-raad, de MBO Raad, en de volgende branche verenigingen van leveranciers van digitale onderwijsmiddelen: MEVW (voorheen GEU), KBb-E en VDOD. Deze initiatiefnemers zijn verenigd in Edu-K. Zij hebben de afgelopen jaren eendrachtig samengewerkt aan de totstandkoming en frequente actualisering van het privacyconvenant en de daarbij behorende documenten. Ook deskundigen op het gebied van de AVG en privacyrecht geven hierbij input. Door de samenwerking sluiten de gemaakte afspraken aan bij zowel de belangen van schoolbesturen als van leveranciers.

Is het convenant alleen voor leveranciers?

Nee, het convenant is voor scholen én leveranciers. Hierdoor weten scholen, leveranciers én distributeurs van digitale onderwijsmiddelen wat ze over en weer van elkaar mogen verwachten.

Waarom is dit convenant zo belangrijk, is privacy niet gewoon een tijdelijke hype?

Privacybescherming is een basisvoorwaarde voor het gebruik van ICT in het onderwijs. Het privacyconvenant vertaalt de wet (de AVG) naar de onderwijspraktijk. Dat is nodig omdat de AVG slechts in algemene bewoordingen weergeeft wat de rechten en verplichtingen van scholen en leveranciers zijn. Het convenant geeft een sectorbrede uitleg hoe er door alle partijen moet worden omgegaan met persoonsgegevens. Daarmee wordt de ruimte voor interpretatie van de wet beperkt, waarmee onbedoeld of onrechtmatig gebruik van persoonsgegevens kan worden voorkomen. Verder zorgt het privacyconvenant voor documenten op maat die scholen en leveranciers helpen om goede onderlinge afspraken te maken. Doordat scholen en leveranciers allemaal dezelfde documenten gebruiken ontstaat er uniformiteit, herkenbaarheid en vertrouwen. Het scheelt scholen ook heel veel uitzoekwerk en tijd als leveranciers dezelfde documenten gebruiken voor het regelen van privacyzaken.

Wie controleert of de afspraken in het convenant worden nagekomen?

Dat doen de initiatiefnemers van het convenant: de PO-Raad, VO-raad, MBO Raad en de brancheorganisaties MEVW (voorheen GEU), VDOD en KBb-e. Deze partijen overleggen en besluiten samen over de doorontwikkeling van het convenant en model verwerkersovereenkomst. Ook maken deze partijen afspraken over het naleven van de afspraken en het houden van toezicht op de naleving van het convenant. Als een leverancier de afspraken van het convenant (bewust) niet nakomt, kunt u dit melden via: info@privacyconvenant.nl. Edu-K doet dan onderzoek bij de leverancier in kwestie en neemt zonodig maatregelen.

Gaan er nu geen gegevens meer van scholen naar uitgevers?

Er gaan nog steeds gegevens van scholen naar uitgevers, maar alleen onder regie én met toestemming van de onderwijsinstelling. Uitgevers, die verwerker zijn in de zin van de AVG, mogen met die verkregen persoonsgegevens niets anders mee doen dan waar ze opdracht toe hebben gekregen van de scholen.

Geldt het convenant ook voor het mbo?

Ja, het convenant is ook van toepassing voor het mbo. De model verwerkersovereenkomst zal hier worden gebruikt om afspraken te maken tussen onderwijsinstelling en leveranciers. Dit is altijd het geval als de mbo-instelling zelf digitale onderwijsmiddelen bestelt, dan is de mbo-instelling altijd verwerkingsverantwoordelijke en is het convenant dus van toepassing.

Soms wel, soms niet, dat hangt af van de situatie.

  1. Als de mbo-instelling zelf digitale onderwijsmiddelen bestelt, dan is de mbo-instelling verwerkingsverantwoordelijke en is het convenant dus van toepassing.
  2. Als een andere persoon dan de onderwijsinstelling een digitaal onderwijsmiddel bestelt, bijvoorbeeld maar niet beperkt tot de student of ouder, dan is de leverancier bij wie het onderwijsmiddel wordt besteld de verwerkingsverantwoordelijke. De onderwijsinstelling is in die situatie privacy-technisch gezien geen partij en het convenant is niet van toepassing.
  3. Als een andere persoon dan de onderwijsinstelling een digitaal onderwijsmiddel bestelt, bijvoorbeeld maar niet beperkt tot de student of ouder, maar bij het gebruik van het digitale onderwijsmiddel wordt gebruik gemaakt van de zogenaamde ECK-route, dan worden er wel persoonsgegevens uitgewisseld tussen de onderwijsinstelling en de leverancier. In deze situatie is de onderwijsinstelling verwerkingsverantwoordelijke voor de verwerking van die persoonsgegevens en is het convenant dus van toepassing.

In welke situaties is het privacyconvenant niet van toepassing?

Gegevens die een student zelf of een ander dan de onderwijsinstelling verstrekt aan een leverancier, zoals adres-of bankgegevens, vallen niet onder het convenant. Het kan hierbij ook gaan om gegevens die door een onderwijsinstelling met de leverancier zijn uitgewisseld en die door deze leverancier worden gebruikt voor de uitvoering van de bestelopdracht. Ook het gebruik van digitale onderwijsmiddelen waarbij géén persoonsgegevens worden verwerkt valt buiten de scope van het convenant.

Over de model verwerkersovereenkomst en bijlagen

Wat is de model verwerkersovereenkomst?

De model verwerkersovereenkomst is een zo exact mogelijke vertaling van de afspraken in het convenant naar het gebruik van een digitaal onderwijsmiddel in de onderwijspraktijk. In het leeuwendeel van de gevallen hoeven alleen product specifieke kenmerken en verwerkingen van een onderwijsmiddel in één of meerdere bijlagen te worden omschreven. Het gebruik van het model is dus essentieel om de juiste afspraken met een verwerker te maken en om het convenant na te leven.

De model verwerkersovereenkomst is opgesteld door een team van deskundige juristen van de sectorraden en brancheorganisaties. Daarbij is rekening gehouden met de verschillende onderwijssectoren en met het bestellen, leveren en gebruik van digitale onderwijsmiddelen. Er is voorts rekening gehouden met een zeer divers en breed gebruik van het model.

Is het gebruik van de model verwerkersovereenkomst verplicht?

Ja. Partijen die het convenant hebben ondertekend, zijn verplicht om de model verwerkersovereenkomst te gebruiken.

Mag er worden afgeweken van de model verwerkersovereenkomst?

Dat mag alleen als dit strikt noodzakelijk is en onderwijsinstelling en leverancier de afwijkingen van het model vastleggen in bijlage 3 bij de verwerkersovereenkomst.

De leverancier maakt gebruik van een verwerkersovereenkomst die hoort bij eerdere versies van het privacyconvenant, moet deze verwerkersovereenkomst worden vervangen?

Verwerkersovereenkomsten 2.0 moeten worden vervangen. Deze versies voldoen niet aan de AVG en aan de actuele versie van het privacyconvenant.

Reeds afgesloten verwerkersovereenkomsten 3.0 hoeven niet vervangen te worden, zodra privacyconvenant 4.0 van kracht is. Het is op dat moment wel de bedoeling dat alle nieuwe af te sluiten verwerkersovereenkomsten conform privacyconvenant 4.0 zijn.

De leverancier heeft zelf een verwerkersovereenkomst ontworpen, is het gebruik van het model dan nog nodig?

Alle partijen die het convenant hebben ondertekend, zijn verplicht om de model verwerkersovereenkomst te gebruiken. Leveranciers die zelf al verwerkersovereenkomst hadden gemaakt voordat zij zich aansloten bij het convenant, zullen hun bestaande verwerkersovereenkomsten moeten aanpassen aan de actuele versie van de model verwerkersovereenkomst.

Wie mag een verwerkersovereenkomst accepteren, accorderen en ondertekenen?

Een verwerkersovereenkomst moet ondertekend worden door het bevoegd gezag waaronder een school valt. Deze bestuurder mag wel een medewerker van de onderwijsinstelling mandateren om namens het bestuur akkoord te geven op verwerkersovereenkomsten, maar de bestuurder blijft daarvoor eindverantwoordelijk.

Voldoet de model verwerkersovereenkomst aan de wet?

Ja. De model verwerkersovereenkomst bevat alle wettelijk vereisten. Met het gebruik van het model, wordt voldoen onderwijsinstellingen en leveranciers aan de AVG. Doordat alle scholen en leveranciers het model gebruiken, wordt de wet op dezelfde wijze uitgelegd en toegepast.

Hoe kom ik als school aan een nieuwe verwerkersovereenkomst?

Zodra het convenant 4.0 in werking treedt, zullen leveranciers die het privacyconvenant hebben ondertekend ervoor zorgen dat de verwerkersovereenkomsten voldoen aan het actuele model. Daar hoeft de school niets voor te doen. Sluit u na inwerkingtreding van privacyconvenant 4.0 een nieuwe verwerkersovereenkomst af, dan zal dat dus een overeenkomst 4.0 (moeten) zijn. Als u met een leverancier reeds een verwerkersovereenkomst 3.0 heeft afgesloten, dan hoeft u niets te doen. Deze overeenkomst blijft ook correct en geldig na inwerkingtreding van privacyconvenant 4.0. U kunt uw leverancier wel om een nieuwe overeenkomst vragen, als u dat wenst.

Is er een handige manier om te beoordelen of ik de juiste maatregelen neem, zoals beschreven in de beveiligingsbijlage?

Ja, die is er. In de beveiligingsbijlage bij de verwerkersovereenkomst hoort een verwijzing te staan naar het Certificeringsschema voor informatiebeveiliging en privacy ROSA. Daarin classificeert de leverancier zijn product op de kenmerken: Betrouwbaarheid, Integriteit en Vertrouwelijkheid en geeft verder aan of hij voldoet aan de beveiligingsmaatregelen die bij iedere classificatie horen. Overigens mogen leveranciers ook kiezen voor een andere rapportage, zoals die van toepasselijke ISO-normeringen.

Welke bijlagen horen er bij de model verwerkersovereenkomst?

De model verwerkersovereenkomst kent altijd twee bijlagen: de privacybijsluiter (bijlage 1) en de beveiligingsbijlage (bijlage 2).

In de privacybijsluiter beschrijft de leverancier wat zijn product precies doet, welke leerlinggegevens er nodig zijn, wie en welke ander partijen er toegang hebben tot die data, waar de gegevens worden opgeslagen en wat de contactgegevens zijn voor vragen over de privacybescherming.

In de beveiligingsbijlage beschrijft de leverancier welke maatregelen er zijn getroffen om de persoonsgegevens te beschermen en beveiligen en wat de afspraken zijn als er zich een beveiligingsincident of een datalek voordoet.

Soms zijn er nog meer bijlagen bij de verwerkersovereenkomst gevoegd. Bijvoorbeeld een bijlage waarin wordt vastgelegd dat er wordt afgeweken van de model verwerkersovereenkomst en waarom dat is. Sommige leveranciers vragen het bevoegd gezag ook om een lijst toe te voegen van scholen die onder hun gezag vallen.

Moet de schoolbestuurder de verwerkersovereenkomsten en bijlagen controleren die overeenkomen met het model?

Ja. Het bevoegd gezag is wettelijk eindverantwoordelijk voor de privacybescherming van zijn leerlingen. Dat betekent dat het moet controleren of de juiste afspraken met de leverancier zijn gemaakt. De bestuurder zal dus altijd zelf de verwerkersovereenkomst met bijlagen moeten lezen en controleren.

Voor scholen

Moet ik als school ook het convenant ondertekenen?

De PO-Raad, VO-raad en MBO Raad hebben het convenant ondertekend namens alle bij hen aangesloten schoolbesturen. Schoolbestuurders die lid zijn van een sectorraad, hoeven het convenant niet te ondertekenen. Een schoolbestuur dat geen lid is van een sectorraad, moet ook aan de wet voldoen. Het ondertekenen van het convenant en gebruiken van de model verwerkersovereenkomst is een eenvoudige manier om dit te doen.

Vallen Google, Microsoft en Apple ook onder het convenant?

Google, Microsoft en Apple hebben tot op heden het privacyconvenant niet ondertekend. Zij werken ook niet met de model verwerkersovereenkomst. Toch zijn zij ook wettelijk verplicht om een verwerkersovereenkomst af te sluiten indien er leerlinggegevens door de school worden uitgewisseld met Google, Microsoft en/of Apple. De PO-Raad en VO-raad voeren gesprekken met de Nederlandse leveranciers en distributeurs van deze producten om zeker te stellen dat deze partijen voldoen aan de Nederlandse of Europese wettelijke voorwaarden. In de tussentijd zal iedere bestuurder zelf de verwerkersovereenkomst met bijlagen van de producten van deze leveranciers moeten lezen en controleren.

Moet de schoolbestuurder de verwerkersovereenkomsten en bijlagen controleren die overeenkomen met het model?

Ja. Het bevoegd gezag is wettelijk eindverantwoordelijk voor de privacybescherming van zijn leerlingen. Dat betekent dat de bestuurder dus altijd zelf de verwerkersovereenkomst met bijlagen moeten lezen en controleren.

Moet de bestuurder zelf akkoord gaan, of mag hij ook iemand aanwijzen?

Een verwerkersovereenkomst moet ondertekend worden door het bevoegd gezag waaronder een school valt. Deze bestuurder mag wel een medewerker van de onderwijsinstelling mandateren om namens het bestuur akkoord te geven op verwerkersovereenkomsten, maar de bestuurder blijft daarvoor eindverantwoordelijk.

Mijn leverancier heeft het convenant niet getekend, wat kan ik doen?

Omdat scholen ook partij zijn bij het convenant, wordt er ook van scholen verwacht dat zij de model verwerkersovereenkomst gebruiken. De school zal dus toch ook met een leverancier die niet bij het convenant is aangesloten, de model verwerkersovereenkomst kunnen gebruiken. De model verwerkersovereenkomst kan worden gedownload via deze website; het gebruik van het model is gratis. Het is wenselijk dat een bestuurder de leverancier wijst op het bestaan van het convenant en de model verwerkersovereenkomst en hem vraagt zich hierbij aan te sluiten.

Mijn leverancier houdt zich niet aan de afspraken van het convenant, wat kan ik doen?

De initiatiefnemers van het convenant, de PO-Raad, VO-raad, MBO Raad en de brancheorganisaties MEVW (voorheen GEU) , VDOD en de KBb-e houden zich ook bezig met de naleving van het convenant. Een leverancier die lid is van een branche vereniging en die zich niet aan de afspraken houdt, zal in eerste instantie daarop worden aangesproken door zijn brancheorganisatie. Bij klachten over leveranciers die geen lid zijn van een branche vereniging, zal de secretaris van Edu-K een onderzoek instellen. Klachten en vragen over de naleving van het convenant kunnen worden gestuurd aan info@privacyconvenant.nl. Als vast staat dat een leverancier zich niet houdt aan de bepalingen van het privacyconvenant, zal deze daarover een aantekening krijgen in de deelnemerslijst. U kunt in deze lijst dus altijd zien welke leveranciers het privacyconvenant compleet en correct hebben geïmplementeerd en bij welke leveranciers dat kon worden vastgesteld.

Mijn leverancier heeft het convenant niet getekend, wat kan ik doen?

Scholen zijn ook partij bij het privacyconvenant, daarom wordt van scholen eveneens verwacht dat zij de model verwerkersovereenkomst gebruiken; ook bij leveranciers die het privacyconvenant (nog) niet hebben ondertekend. De model verwerkersovereenkomst kan worden gedownload van deze website en het gebruik ervan is gratis. Via artikel 4 van de model verwerkersovereenkomst verbindt uw leverancier zich dan – in rechte afdwingbaar – aan de bepaling van het privacyconvenant. Het is verder wenselijk dat een bestuurder de leverancier wijst op het bestaan van het convenant en de model verwerkersovereenkomst en hem vraagt zich hierbij aan te sluiten.

Mijn leverancier legt mij een eigen verwerkersoverkomst voor, wat moet ik doen?

Scholen zijn ook partij zijn bij het privacyconvenant, daarom wordt van scholen eveneens verwacht dat zij de model verwerkersovereenkomst gebruiken. Als uw leverancier vasthoudt aan zijn eigen verwerkersovereenkomst en u gaat daarin mee, schendt u de bepalingen van het convenant. Bovendien bent u er in dit geval niet zeker van dat u voldoet aan al uw wettelijke verplichtingen en of de persoonsgegevens bij deze leverancier wel adequaat zijn beveiligd. Als verwerkingsverantwoordelijke moet de bestuurder een eigen afweging en keuze maken, maar het advies is om niet met deze leverancier in zee te gaan.

Mijn leverancier legt mij een verwerkersoverkomst zonder bijlagen voor, wat moet ik doen?

Scholen zijn ook partij zijn bij het privacyconvenant, daarom wordt van scholen eveneens verwacht dat zij de model verwerkersovereenkomst gebruiken. De bijlagen bij de verwerkersovereenkomst vormen een integraal onderdeel van de overeenkomst. Alle product specifieke informatie over de (verwerking van) persoonsgegevens in het digitale onderwijsmiddel staan juist beschreven in de bijlagen. Zonder bijlagen is de verwerkersovereenkomst incompleet en voldoet niet aan de wettelijke vereisten. U dient niet akkoord te gaan met zo’n overeenkomst en deze zeker niet te ondertekenen.

Mijn leverancier legt mij een verwerkersoverkomst met zelfgemaakte bijlagen voor, wat moet ik doen?

Scholen zijn ook partij zijn bij het privacyconvenant, daarom wordt van scholen eveneens verwacht dat zij de model verwerkersovereenkomst gebruiken. De bijlagen bij de verwerkersovereenkomst vormen een integraal onderdeel van de overeenkomst. Alle product specifieke informatie over de (verwerking van) persoonsgegevens in het digitale onderwijsmiddel staan nu juist beschreven in de bijlagen. Bij gebruik van de (branche specifieke) model bijlagen bij verwerkersovereenkomst 4.0 weet u zeker dat uw verwerkersovereenkomst compleet en correct is. Bij door de leverancier gemaakte bijlagen weet u zat niet zeker en zult u dat nauwgezet moeten onderzoeken. Op deze website vindt u daar een hulpmiddel voor. Het is echter veel eenvoudiger en veiliger als u uw leverancier vraagt om de modelbijlagen te gebruiken.

Hoe kan ik als school aan de slag met informatiebeveiliging en privacy?

De ‘Aanpak Informatiebeveiliging en Privacy voor het po en vo’ van Kennisnet in samenwerking met de PO-Raad en VO-raad, beschrijft welke stappen scholen moeten doorlopen bij het goed regelen van privacy.

Voor leveranciers

Ik ben niet aangesloten bij een brancheorganisatie, kan ik het convenant ook tekenen?

Dat kan zeker. Om u aan te melden als deelnemer aan het convenant, ondertekent u de toetredingsverklaring. De volledig ingevulde en ondertekende verklaring wordt, voorzien van een (digitaal) uittreksel van de Kamer van Koophandel als bijlage, stuurt u naar info@privacyconvenant.nl. De verklaring komt terecht bij de secretaris van Edu-K. Als de aanmelding compleet is, verschijnt uw bedrijfsnaam in de lijst met deelnemers.

Ik heb zelf een verwerkersovereenkomst gemaakt, moet ik de model verwerkersovereenkomst gebruiken?

Alle partijen die zich aansluiten bij het convenant, moeten de model verwerkersovereenkomst gebruiken. Dit model voldoet aan de wettelijk vereisten. Voor de herkenbaarheid voor scholen is het belangrijk om hetzelfde model te gebruiken.

Afwijken van het model is alleen mogelijk als dat (goed onderbouwd) wordt uitgelegd en gedocumenteerd in bijlage 3 bij de overeenkomst. De onderwijsinstelling gaat via het zetten van een handtekening onder de verwerkersovereenkomst schriftelijk akkoord met de overeengekomen afwijking.

Ik ben gevestigd buiten Europa, kan ik ook de model verwerkersovereenkomst gebruiken?

Ja. De model verwerkersovereenkomst is niet specifiek voor Nederland gemaakt. Het is niet de bedoeling om de model verwerkersovereenkomst in een andere taal dan Nederlands aan scholen aan te bieden.

Zijn er kosten verbonden aan de inhoud van het convenant?

Het aansluiten bij het convenant is gratis. Evenmin zijn er kosten verbonden aan het gebruik van de model verwerkersovereenkomst.

Kan ik meepraten over het convenant?

De initiatiefnemers van het convenant zijn de PO-Raad, VO-raad, MBO Raad en de brancheorganisaties MEVW (voorheen GEU), VDOD en KBb-e. Deze partijen overleggen en besluiten samen over de doorontwikkeling van het convenant en de model verwerkersovereenkomst. Edu-K zal relevante ontwikkelingen en het gebruik van de modelverwerkersovereenkomst monitoren. Indien nodig zullen nieuwe inzichten worden opgenomen in volgende versies van het convenant en/of de daarbij behorende documenten. We vragen alle gebruikers om vragen, ervaringen en suggesties voor verdere ontwikkeling op te sturen via info@privacyconvenant.nl.

© Deze website wordt beheerd door Edu-V | Privacystatement