Elk schoolbestuur is verantwoordelijk om – wanneer zij een overeenkomst aangaat met een leverancier voor een product of dienst waarbij persoonsgegevens worden verwerkt – een verwerkersovereenkomst af te sluiten dan wel te controleren op juistheid en volledigheid. De leverancier moet per schoolbestuur reageren op de eventuele feedback van het schoolbestuur. Om schoolbesturen èn leveranciers te ontlasten, pakt SIVON dit landelijk op. De verantwoordelijkheid voor het controleren en het juist afsluiten van een verwerkersovereenkomst blijft wel bij het schoolbestuur liggen.
De toets op een verwerkersovereenkomst is een toets op basis van verschillen en opvallendheden en niet op goed of fout.
Wat is het?
Naast het uitvoeren van landelijke DPIA’s voor het funderend onderwijs worden – als onderdeel van leveranciersmanagement – ook verwerkersovereenkomsten getoetst. De toetsing vindt op twee onderdelen plaats:
- theoretisch: op verschillen ten opzichte van het Privacyconvenant Onderwijs Model 4.0 (voor deelnemers en medestanders) en de AVG (voor leveranciers die niet aangesloten zijn bij het convenant).
- praktisch: op verschillen tussen theorie en praktijk. Bijvoorbeeld: klopt de opsomming van de persoonsgegevens in de verwerkingsovereenkomst wel met de persoonsgegevens in de applicatie?
Hoe werkt het?
De theoretische toets wordt zoveel mogelijk door juridische experts gedaan. Voor de praktische toets hebben we feedback vanuit de schoolpraktijk nodig. Opvallendheden worden besproken met de leveranciers en daarna wordt een toetsrapport opgeleverd. Deze wordt gedeeld met het gehele onderwijsveld, inclusief de leden van SIVON.
SIVON volgt bij het uitvoering van toetsen verwerkersovereenkomsten onderstaand proces.
Stand van zaken
Het project is in 2022 gestart bij Kennisnet. Vanaf januari 2023 is SIVON verantwoordelijk voor de toetsing. De eerste 30 verwerkingsovereenkomsten zijn theoretisch getoetst. Zodra deze zijn verwerkt, worden ze gedeeld met de leveranciers, die hierop kunnen reageren. Daarna kan het toetsrapport, in een afgeschermde omgeving, worden gedeeld met schoolbesturen.
Dienst Verwerkersovereenkomsten
Schoolbesturen kunnen in de Dienst Verwerkersovereenkomsten van Kennisnet de verwerkersovereenkomsten van de aangesloten leveranciers vinden, beoordelen en goedkeuren. Opgeleverde toetsrapporten komen – in een later stadium – daar ook te staan. Op Kennisnet.nl vind je meer informatie over deze dienst.
Deze dienst maakt deel uit van ons ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.
Het Normenkader Informatiebeveiliging en Privacy voor Funderend Ondewijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om jouw school digitaal veilig te maken.
In onderstaand overzicht zie je bij welke norm deze dienst past.
- 9.1 en 9.3
- 15.3