SIVON toetst verwerkersovereenkomsten als losse activiteit en het vormt ook standaard onderdeel van een DPIA (zie stap 5 van het DPIA-proces). De getoetste verwerkersovereenkomsten wordt via een toetsrapport gepubliceerd in de Dienst verwerkersovereenkomsten van Kennisnet (indien een verwerker is aangesloten) en in de afgesloten omgeving van het netwerk IBP. Bij de toetsing van deelnemers aan het Privacyconvenant Onderwijs is de Model Verwerkersovereenkomst van het Privacyconvenant het uitgangspunt. Bij andere leveranciers is de AVG het uitgangspunt.
De toetsing vindt op twee niveau’s plaats:
- Theoretisch (Stap 1): op verschillen ten opzichte van het Model Verwerkersovereenkomst (voor deelnemers en medestanders van het Privacyconvenant Onderwijs) en de AVG (voor leveranciers die niet aangesloten zijn bij het convenant).
- Praktisch (Stap 2): op verschillen tussen theorie en praktijk. Bijvoorbeeld: klopt de opsomming van de persoonsgegevens in de verwerkingsovereenkomst wel met de persoonsgegevens in de applicatie?
SIVON controleert de resultaten van het toetsen (Stap 3) en deelt de uitkomsten met de leveranciers via een gestandaardiseerde toetsformulier. Afhankelijk van de risico’s worden de uitkomsten in nauw overleg met de leverancier besproken (Stap 4). Daarna wordt een toetsrapport opgesteld en gepubliceerd (Stap 5). Samen zorgen we hiermee voor digitale veilige afspraken voor onderwijsinstellingen en met name voor de omgang met persoonsgegevens van onderwijsdeelnemers.
SIVON volgt bij het toetsen van verwerkersovereenkomsten onderstaand proces.
Stand van zaken en oproep
Wil je weten welke verwerkersovereenkomsten SIVON al heeft getoetst en met welke verwerkersovereenkomsten SIVON bezig is? Kijk dan op deze pagina. Wil je als leverancier dat jouw verwerkersovereenkomst getoetst wordt? Stuur dan een e-mail met je verwerkersovereenkomst (inclusief bijlagen) op naar ibp@sivon.nl.
Beveiliging
Als onderdeel van een DPIA worden verwerkers getoetst op het nemen van passende beveiligingsmaatregelen. Onder passende maatregelen verstaan we de maatregelen zoals beschreven in het ROSA certificeringsschema.
De AVG schrijft voor dat scholen (als verwerkersverantwoordelijke) de maatregelen moeten beoordelen en evalueren. Artikel 32 Lid 1 sub d stelt dat er een procedure moet zijn voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.