Bij het behartigen van de belangen van scholen en het leveren van diensten aan schoolbesturen in het funderend onderwijs vervult SIVON verschillende taken. Het is in de samenwerking met scholen en leverancier – belangrijk om duidelijk te zijn over de verschillende taken die SIVON heeft. Voor SIVON zijn betrouwbaarheid en vertrouwelijkheid leidende uitgangspunten.
De verschillende rollen van SIVON
SIVON heeft als ict-coöperatie, opgericht door en voor schoolbesturen uit het funderend onderwijs, de taak om digitale onderwijsbelangen op uiteenlopende onderwerpen te behartigen.
SIVON is niet alleen een verlengstuk maar ook de spreekbuis van de schoolbesturen. Zij staan aan het roer door de agenda van SIVON vorm te geven.
Schoolbesturen maken gebruik van digitale (leer)middelen, producten en diensten die digitaal veilig moeten zijn. SIVON heeft als opdracht om de schoolbesturen hierbij te adviseren, te ontzorgen en hun belangen te behartigen. Dit doet SIVON op verschillende vlakken, zoals:
- Begeleiding van inkoop- en aanbestedingstrajecten.
- De dienst Veilig Internet.
- Leveranciersmanagement: het uitvoeren van DPIA’s en toetsen van verwerkersovereenkomsten.
- Individuele gesprekken met leveranciers.
Transparantie rollen SIVON
Omdat wij diverse rollen vervullen, willen we transparant zijn over de werkwijze die wij hanteren. Integriteit is daarbij het vertrekpunt. Vertrouwelijke documenten en informatie die ten behoeve van een Data Protection Impact Assessment (DPIA) worden verzameld, worden alleen gebruikt voor de uitvoering van de DPIA en niet voor andere doeleinden. Dit waarborgen wij door de volgende maatregelen:
- Chinese walls: medewerkers met een inkoop- of aanbestedingsrol zijn niet betrokken bij de leveranciersmanagement activiteiten zoals de uitvoering van DPIA’s, toetsen verwerkersoverenkomsten en visa versa. Dit geldt ook voor de toegang tot de bestanden en mappen van de teams binnen SIVON die beperkt is op een strikte need to know basis.
- Geheimhoudingsovereenkomsten: SIVON gebruikt een model geheimhoudingsverklaring (NDA) die aansluit bij de wens van leveranciers om bedrijfsgevoelige informatie vertrouwelijk te behandelen en uitsluitend voor de beoordeling in de DPIA gebruiken. Het expliciet vastleggen van afspraken draagt bij aan dit vertrouwen.
- Geheimhoudingsverklaring medewerkers: de medewerkers die toegang hebben tot bedrijfsgevoelige gegevens hebben een geheimhoudingsverklaring ondertekend waarbij zij zich verplichten tot strikte vertrouwelijkheid en deze informatie uitsluitend mogen gebruiken voor aangegeven doelen.
- Geheimhouding deelnemende scholen: met schoolbesturen wordt overeengekomen dat het DPIA-proces in strikte vertrouwelijkheid plaatsvindt. Tussentijds delen van informatie of bevindingen is niet toegestaan. De scholen hebben geen toegang tot de door de leverancier verstrekte DPIA-documenten
- Controller: de interne processen die deze maatregelen borgen worden door onze interne controller getoetst. Functiescheiding en autorisaties zijn daarbij aandachtspunten.
- Verklaring bestuur: het bestuur van SIVON verklaart dat de bovenstaande maatregelen zijn genomen, dat hierop toezicht wordt gehouden en dat deze afspraken moete worden nageleefd door de medewerkers van SIVON.
Verschil inkoop- en aanbestedingsproces en DPIA
Een inkoop- en aanbestedingsproces is op verschillende onderdelen anders dan een DPIA. Een DPIA brengt in beeld wat de risico’s van gegevensverwerking kunnen zijn. De inkoop en aanbesteding is gericht op het selecteren van de beste leverancier op basis van verschillende criteria. Deze criteria zijn voorafgaand aan de inkoop of aanbesteding transparant en openbaar en gelden voor iedere partij. Daarnaast is inschrijving op een aanbesteding vrijwillig. Het verlenen van medewerking aan een DPIA is niet vrijwillig maar is vanuit de AVG en de verwerkersovereenkomst verplicht.
In een aanbesteding neemt SIVON ook eisen op het gebied van privacy en security op. Deze eisen zijn niet lager of hoger dan de eisen die gebruikt worden in een DPIA. Dit om te kunnen vaststellen dat er aan het product geen hoge risico’s verbonden zijn.
SIVON zal in de (voorbereidingen van) aanbestedingen van haar uiteraard geen gebruik maken van vertrouwelijke informatie van en over leveranciers die in het kader van een DPIA zijn verkregen, maar alleen publiek beschikbare informatie gebruiken. In alle gevallen gaat SIVON op een juiste en integere manier om met de documenten die nodig zijn voor een traject. Daarbij is eveneens oog voor de bedrijfsbelangen en mogelijke zorgen van leveranciers die gepaard gaan met het delen van (bedrijfs-)gevoelige informatie.