Toetsen verwerkersovereenkomsten

Elk schoolbestuur is verantwoordelijk om – wanneer zij een overeenkomst aangaat met een leverancier voor een product of dienst waarbij persoonsgegevens worden verwerkt – een verwerkersovereenkomst af te sluiten en deze te controleren op juistheid en volledigheid. De leverancier moet per schoolbestuur reageren op de eventuele feedback van het schoolbestuur. Om schoolbesturen èn leveranciers te ontlasten, pakt SIVON dit landelijk op. De verantwoordelijkheid voor het controleren en het juist afsluiten van een verwerkersovereenkomst blijft wel bij het schoolbestuur liggen.

De toets op een verwerkersovereenkomst is een toets op basis van verschillen en opvallendheden ten opzichte van de Model Overeenkomst van het Privacyconvenant en de AVG, waarbij risico’s worden benoemd, en niet op goed of fout. Onderwijsinstellingen dienen zelf te bepalen welke risico’s ze willen nemen. 

Wat is het?

Naast het uitvoeren van landelijke DPIA’s voor het funderend onderwijs worden – als onderdeel van leveranciersmanagement – ook verwerkersovereenkomsten getoetst. De toetsing vindt op twee niveaus plaats:

  • Theoretisch: op verschillen ten opzichte van het Privacyconvenant Onderwijs Model 4.0 (voor deelnemers en medestanders) en de AVG (voor leveranciers die niet aangesloten zijn bij het convenant).
  • Praktisch: op verschillen tussen theorie en praktijk. Bijvoorbeeld: klopt de opsomming van de persoonsgegevens in de verwerkingsovereenkomst wel met de persoonsgegevens in de applicatie?

Hoe werkt het?

De theoretische toets wordt zoveel mogelijk door juridische experts gedaan. Voor de praktische toets hebben we feedback vanuit de schoolpraktijk nodig en/of doen we deskresearch op de website, de online handleidingen of demo-video’s. Opvallendheden die leiden tot een midden of hoog risisco worden besproken met de leveranciers om verbeteringen door te voeren en daarna wordt een toetsrapport opgeleverd. Deze wordt gedeeld met alle schoolbesturen po en vo, inclusief de leden van SIVON. 

SIVON volgt bij het toetsen van verwerkersovereenkomsten onderstaand proces.

Stand van zaken

Het project is eind 2022 gestart bij Kennisnet. Vanaf januari 2023 is SIVON verantwoordelijk voor de toetsing. Inmiddels zijn er zo’n 60 verwerkingsovereenkomsten theoretisch getoetst (stand per januari 2024) (stap 1). Daarvan zijn er 12 praktisch getoetst (stap 2) en gecontroleerd (stap 3). Van 10 daarvan zijn de resultaten gecommuniceerd en besproken met de leverancier (stap 4) en bijna klaar voor publicatie (stap 5) in de Dienst Verwerkersovereenkomsten van Kennisnet of de afgesloten IBP-netwerkomgeving.  

In onderstaande tabel een overzicht om welke leverancier en dienst of product het gaat. De cijfers 1 t/m 5 corresponderen met de stappen uit het plaatje ‘Processtappen’.

✅ Gepubliceerd
🟢 Afgerond
🟡 Lopend
🔴 On hold

LeverancierDienst/product12345
KennisnetDienst verwerkersovereenkomsten🟢🟢🟢🟢
KennisnetEntree Federatie 🟢🟢🟢🟢
KennisnetNummervoorziening🟢🟢🟢🟢
KennisnetOSO🟢🟢🟢🟢
Topicus EducationParnasSys🟢🟢🟢🟢🟢
AFASHRM + Payroll🟢🟢🟢🟢🟢
Iddink Learning MaterialsDistributie van (digitale) leermiddelen🟢🟢🟢🟢🟡
SnappetSnappet🟢🟢🟢🟢
ThiemeMeulenhoffDigitale leermiddelen🟢🟢🟢🟢🟡
VO-contentExtra programma’s 🟢🟢🟢🟢🟡
Peple (was Visma Raet)HRM + Payroll🟢🟢🟢🟢🟡
BasispoortBasispoort🟢🟢🟢🟢
DeviantStudiemeter🟢🟢🟢🟢
ParentComBasisschool apps – Basisschool website –
ParentCom
🟢🟢🟢🟡
NoordhoffDigitale leermiddelen 🟢🟢🟢🟡
MalmbergDL VO (Max)🟢🟢🟢🟡
Seneca BurgerschapSeneca Burgerschap🟢🟢
ToetsPers BVToetsPers🟢🟢
VodixBeatsNbits🟢🟡
DiataalDiatoetsen en Dia-groeiwijzer🟢🟡
Uitgeverij NEODigitale Leermiddelen🟢🟡
StudyflowSpark🟢🟡
Woots B.V.Woots🟢🟡
Boom uitgevers AmsterdamDigitale Leermiddelen + Boom Testcentrum🟢🟡
MalmbergDL BO (Bingel)🟢🟡
MyndrMyndr voor school🟢🟡
PeppelsPeppels.net🟢🟡
GynzyGynzy🟢🟡
SynaxionMijnRapportfolio🟢🟡
Focus Onderwijs B.V.Focus PO🟢🟡
Iddink DigitalMagister 🟢🟡

Oproep

In onderstaande overzicht staan de leveranciers en hun producten/diensten waarbij de input van onderwijsinstellingen gewenst is voor de praktische toets. Die input kun je heel makkelijk geven via het bijgevoegde formulier waarin activerende vragen staan. Input geven kan op ieder moment, maar liefst zo snel mogelijk zodat we zoveel mogelijk volledige Toetsrapporten kunnen publiceren. Is je als functionaris gegevensbescherming of privacy officer iets opgevallen in de verwerkersovereenkomst en matcht dat niet met de praktijk of komt het niet overeen met wat is afgesproken in de hoofdovereenkomst of service level agreement? Vul dan het formulier in. Zo help je ons, de leverancier en het onderwijs.

LeverancierDienst/Product12, 3, 4, 5
AcadinOnderwijsontwikkeling Nederland🟢vul het toetsformulier in 
B&TVerschillende diensten (o.a. werving en selectie) 🟢vul het toetsformulier in 
BasisacademieSCORE taal en rekenen 🟢vul het toetsformulier in 
Blink Educatie PODigitale Leermiddelen 🟢vul het toetsformulier in 
Blink Educatie VODigitale Leermiddelen 🟢vul het toetsformulier in 
Boom beroepsonderwijsBoomdigitaal + EduBieb🟢vul het toetsformulier in 
Bureau ICEIEP🟢vul het toetsformulier in 
CitoDigitale leermiddelen🟢vul het toetsformulier in 
DataCare B.V.Edumaps🟢vul het toetsformulier in 
Dedact Learnbeat🟢vul het toetsformulier in 
EducompanyLeerlingbespreking🟢vul het toetsformulier in 
EduspotEindexamensite🟢vul het toetsformulier in 
EssenerEssener Online🟢vul het toetsformulier in 
Heutink Primair OnderwijsMomento🟢vul het toetsformulier in 
Holmwood’sLesmethoden🟢vul het toetsformulier in 
InstructLesmethoden PO🟢vul het toetsformulier in 
InstructLesmethoden VO🟢vul het toetsformulier in 
IT-workzOnderwijsdiensten🟢vul het toetsformulier in 
JamfJamf School🟢vul het toetsformulier in 
Kenteq🟢vul het toetsformulier in 
Klik OnderwijsKlik Platform ELO/K&V🟢vul het toetsformulier in 
Kurve Learning InnovationsNumo + Muiswerk🟢vul het toetsformulier in 
KwintessensDigibordmateriaal🟢vul het toetsformulier in 
LesLab CoöperatieProeftuin en Grondstof🟢vul het toetsformulier in 
LWEOLWEOplus+BEplus🟢vul het toetsformulier in 
MalmbergDL BO (Bingel)🟢vul het toetsformulier in 
MalmbergMBO 🟢vul het toetsformulier in 
MQSTMQScan🟢vul het toetsformulier in 
OntwikkelcentrumMySpot🟢vul het toetsformulier in 
Perspectief op SchoolLeerwinst/TOP dossier + SWV🟢vul het toetsformulier in 
Profijt SoftwareProfijt🟢vul het toetsformulier in 
RezultoLOGO-digitaal🟢vul het toetsformulier in 
RolfgroepZorgelooos in de cloud🟢vul het toetsformulier in 
SchoolsupportDigitale leermiddelen🟢vul het toetsformulier in 
Slimleren.nlSlimleren🟢vul het toetsformulier in 
SqulaSqula in de Klas🟢vul het toetsformulier in 
Tumult🟢vul het toetsformulier in 
Visiria🟢vul het toetsformulier in 
Zermelo🟢vul het toetsformulier in 
ZwijsenDigitale Onderwijsmiddelen🟢vul het toetsformulier in 

Dienst Verwerkersovereenkomsten

Schoolbesturen kunnen in de Dienst Verwerkersovereenkomsten van Kennisnet de verwerkersovereenkomsten van de aangesloten leveranciers vinden, beoordelen en goedkeuren. Leveranciers kunnen opgeleverde toetsrapporten – in een later stadium – oploaden in de dienst. Op Kennisnet.nl vind je meer informatie over deze dienst.

Het toetsrapport wordt  ook beschikbaar gesteld in de afgesloten omgeving van het netwerk IBP.

Het toetsen van verwerkersovereenkomsten en de Dienst Verwerkersovereenkomsten maken deel uit van het ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.

Het Normenkader Informatiebeveiliging en Privacy voor Funderend Ondewijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om jouw school digitaal veilig te maken.

In onderstaand overzicht zie je bij welke norm deze dienst past.

  • 9.1 en 9.3
  • 15.3