SIVON toetst verwerkersovereenkomsten als onderdeel van een DPIA (zie stap 5 van het DPIA-proces) of als losse activiteit. De getoetste verwerkersovereenkomsten wordt via een toetsrapport gepubliceerd in de Dienst verwerkersovereenkomsten (indien een verwerker is aangesloten) van Kennisnet en in de afgesloten omgeving van het netwerk IBP. Bij de toetsing is de Model Verwerkersovereenkomst van het Privacyconvenant het uitgangspunt.
De toetsing vindt op twee niveau’s plaats:
- Theoretisch (Stap 1): op verschillen ten opzichte van het Model Verwerkersovereenkomst (voor deelnemers en medestanders van het Privacyconvenant Onderwijs) en de AVG (voor leveranciers die niet aangesloten zijn bij het convenant).
- Praktisch (Stap 2): op verschillen tussen theorie en praktijk. Bijvoorbeeld: klopt de opsomming van de persoonsgegevens in de verwerkingsovereenkomst wel met de persoonsgegevens in de applicatie?
SIVON controleert de resultaten van het toetsen (Stap 3) en deelt de uitkomsten met de leveranciers via een gestandaardiseerde toetsformulier. Afhankelijk van de risico’s worden de uitkomsten in nauw overleg met de leverancier besproken (Stap 4). Daarna wordt een toetsrapport opgesteld en gepubliceerd (Stap 5). Samen zorgen we hiermee voor digitale veilige afspraken voor onderwijsinstellingen en met name voor de omgang met persoonsgegevens van onderwijsdeelnemers.
SIVON volgt bij het toetsen van verwerkersovereenkomsten onderstaand proces.
Beveiliging
Als onderdeel van een DPIA worden verwerkers getoetst op het nemen van passende beveiligingsmaatregelen. Onder passende maatregelen verstaan we de maatregelen zoals beschreven in het ROSA certificeringsschema.
De AVG schrijft voor dat scholen (verwerkersverantwoordelijke) de maatregelen moeten beoordelen en evalueren. Artikel 32 Lid 1 sub d stelt dat er een procedure moet zijn voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.