Vragenlijst bij het privacyconvenant: doe zelf de check

Het privacyconvenant en de model verwerkersovereenkomst zijn opgesteld om schoolbesturen en leveranciers te ondersteunen in het maken van goede afspraken over de verwerking van persoonsgegevens van leerlingen/studenten en op deze manier te voldoen aan de Algemene Verordening Gegevensbescherming. De afspraken die in het convenant gemaakt zijn voorzien in een behoefte van veel partijen. Dit is terug te zien in het zeer grote aantal ondertekenaars van het convenant. Echter, steeds vaker blijkt dat partijen het convenant ondertekenen voor wie de afspraken helemaal geen hulpmiddel zijn. De afspraken in zowel het convenant als de model verwerkersovereenkomst zijn namelijk toegespitst op specifieke situaties waarin sprake is van digitale onderwijsmiddelen én het schoolbestuur de verwerkingsverantwoordelijke is. Als dit niet het geval is, is gebruik van de model verwerkersovereenkomst géén hulpmiddel bij het maken van goede afspraken over persoonsgegevens.

Met een aantal korte vragen proberen we u zo goed mogelijk te helpen bij het bepalen of het privacyconvenant voor u een goed hulpmiddel is. De vragenlijst kan leiden tot drie uitkomsten:

1)     Uw producten of diensten vallen binnen de reikwijdte van het privacyconvenant. U kunt verder gaan met de ondertekening en het gebruik van de model verwerkersovereenkomst.
2)     Uw product of dienst valt niet binnen de definitie van digitale onderwijsmiddelen zoals gegeven in het convenant, maar u verwerkt wel persoonsgegevens in opdracht van de school. U kunt het convenant niet ondertekenen, maar wel gebruikmaken van de algemene verwerkersovereenkomst onderwijs. Indien gewenst kunt u uw bedrijfsnaam laten opnemen in het overzicht van ‘medestanders’ van het convenant om zichtbaar te maken dat u de uitgangspunten van het convenant naleeft.
3)     U bent zelf verwerkingsverantwoordelijke volgens de wet. Een verwerkersovereenkomst sluiten met de school draagt niet bij aan het voldoen aan de AVG, dit zou een verkeerde interpretatie van de wet zijn. U hebt als verantwoordelijke voor de omgang met persoonsgegevens andere verantwoordelijkheden.

Vraag 1.

Behoort het product of de dienst die u levert tot de definitie van ‘digitaal onderwijsmiddel’ zoals beschreven in het privacyconvenant?
Onder digitaal onderwijs middel wordt verstaan:
a)     Leermiddelen en Toetsen: digitaal product en/of digitale dienst bestaande uit leerstof en/of toetsen en de daarmee samenhangende digitale diensten, gericht op onderwijsleersituaties, ten behoeve van het geven van onderwijs door of namens Onderwijsinstellingen;
b)     School- en Leerlinginformatiemiddelen: een digitaal product en/of digitale dienst ten behoeve van het onderwijs(proces), zoals een leerlingadministratiesysteem, kernregistratiesysteem, studentinformatiesysteem, deelnemersadministratie, roostersysteem, ouderportaal, leerling- en oudercommunicatiesysteem, dashboards en kwaliteitsmanagementsystemen voor zover zij Persoonsgegevens van Onderwijsdeelnemers bevatten, een elektronische leeromgeving en een leerlingvolgsysteem.

  • Ja

  • Nee

Vraag 2.

Is er sprake van uitwisseling van persoonsgegevens van leerlingen, waarbij de gegevens worden verstrekt door de onderwijsinstelling (het schoolbestuur)?

  • Ja

  • Nee

Vraag 3.

Is het schoolbestuur de verantwoordelijke voor de verwerking van persoonsgegevens?
Verwerkt de leverancier in opdracht van de school persoonsgegevens? In deze situatie is het schoolbestuur de verantwoordelijke en de leverancier de verwerker. Wanneer een leverancier, al dan niet in afstemming met de school, diensten aan ouders/leerlingen/studenten levert zonder opdracht of directe tussenkomst van de school, dan is de leverancier waarschijnlijk de verantwoordelijke. NB. in het mbo vallen de leermiddelen die door studenten zelf worden aangeschaft wél onder de reikwijdte van het convenant omdat onderwijsinstelling heeft voorgeschreven dat de student hierover dient te beschikken.

  • Ja

  • Nee

Wat betekenen de antwoorden?

Is het antwoord op vraag 1, 2 en 3 ‘ja’?
Dan valt u binnen de reikwijdte van het convenant. U kunt zicht aanmelden bij het privacyconvenant door het ondertekenen van de
toetredingsverklaring. Daarna wordt uw bedrijfsnaam opgenomen in de lijst met ondertekenaars en wordt u geacht gebruik te maken van de model verwerkersovereenkomst.

Heeft u op vraag 1 ‘nee’ geantwoord, maar ‘ja’ op vraag 2 en 3?
Dan kunt het convenant niet ondertekenen, maar wel gebruik maken van de
algemene verwerkersovereenkomst onderwijs om goede afspraken te maken met de schoolbesturen die klant bij u zijn. Indien gewenst kunt u uw bedrijfsnaam laten opnemen in het overzicht van ‘medestanders’ van het convenant om zichtbaar te maken dat u de uitgangspunten van het convenant naleeft. Vul hiervoor de medestandersverklaring in.

Heeft u de derde vraag beantwoord met ‘nee’?
Dan kunt u het privacyconvenant niet tekenen en kunt u ook geen gebruik maken van de generieke modelverwerkersovereenkomst. U hebt als verantwoordelijke voor de omgang met persoonsgegevens andere verantwoordelijkheden. Zie hiervoor ook de
website van de Autoriteit Persoonsgegevens.

NB Veel scholen vragen hun leveranciers om het privacyconvenant te ondertekenen, ook als deze niet onder de reikwijdte vallen. Ondertekening biedt in die gevallen een schijnzekerheid. Indien u wenst kunt al medestander op worden genomen in het medestandersoverzicht. Als uw klant op basis van de informatie op deze pagina nog steeds van mening is dat u het convenant zou moeten ondertekenen, dan verwijzen wij u door naar de PO-Raad, VO-raad of MBO Raad om duidelijkheid te verschaffen.