Elk schoolbestuur is verantwoordelijk om – wanneer zij een overeenkomst aangaat met een leverancier voor een product of dienst waarbij persoonsgegevens worden verwerkt – een verwerkersovereenkomst af te sluiten en deze te controleren op juistheid en volledigheid. De leverancier moet per schoolbestuur reageren op de eventuele feedback van het schoolbestuur. Om schoolbesturen Γ¨n leveranciers te ontlasten, pakt SIVON dit landelijk op. De verantwoordelijkheid voor het controleren en het juist afsluiten van een verwerkersovereenkomst blijft wel bij het schoolbestuur liggen.
De toets op een verwerkersovereenkomst is een toets op basis van verschillen en opvallendheden ten opzichte van de Model Overeenkomst van het Privacyconvenant en de AVG, waarbij risico’s worden benoemd, en niet op goed of fout. Onderwijsinstellingen dienen zelf te bepalen welke risico’s ze willen nemen.
Wat is het?
Naast het uitvoeren van landelijke DPIA’s voor het funderend onderwijs worden – als onderdeel van leveranciersmanagement – ook verwerkersovereenkomsten getoetst. De toetsing vindt op twee niveaus plaats:
- Theoretisch: op verschillen ten opzichte van het Privacyconvenant Onderwijs Model 4.0 (voor deelnemers en medestanders) en de AVG (voor leveranciers die niet aangesloten zijn bij het convenant).
- Praktisch: op verschillen tussen theorie en praktijk. Bijvoorbeeld: klopt de opsomming van de persoonsgegevens in de verwerkingsovereenkomst wel met de persoonsgegevens in de applicatie?
Hoe werkt het?
De theoretische toets wordt zoveel mogelijk door juridische experts gedaan. Voor de praktische toets hebben we feedback vanuit de schoolpraktijk nodig en/of doen we deskresearch op de website, de online handleidingen of demo-video’s. Opvallendheden die leiden tot een midden of hoog risisco worden besproken met de leveranciers om verbeteringen door te voeren en daarna wordt een toetsrapport opgeleverd. Deze wordt gedeeld met alle schoolbesturen po en vo, inclusief de leden van SIVON.
SIVON volgt bij het toetsen van verwerkersovereenkomsten onderstaand proces.
Stand van zaken
Het project is eind 2022 gestart bij Kennisnet. Vanaf januari 2023 is SIVON verantwoordelijk voor de toetsing. Inmiddels zijn er zo’n 60 verwerkingsovereenkomsten theoretisch getoetst (stand per januari 2024) (stap 1). Daarvan zijn er 12 praktisch getoetst (stap 2) en gecontroleerd (stap 3). Van 10 daarvan zijn de resultaten gecommuniceerd en besproken met de leverancier (stap 4) en bijna klaar voor publicatie (stap 5) in de Dienst Verwerkersovereenkomsten van Kennisnet of de afgesloten IBP-netwerkomgeving.
In onderstaande tabel een overzicht om welke leverancier en dienst of product het gaat. De cijfers 1 t/m 5 corresponderen met de stappen uit het plaatje ‘Processtappen’.
β
Gepubliceerd
π’ Afgerond
π‘ Lopend
π΄ On hold
| Leverancier | Dienst/product | 1 | 2 | 3 | 4 | 5 |
| Kennisnet | Dienst verwerkersovereenkomsten | π’ | π’ | π’ | π’ | π’ |
| Kennisnet | Entree Federatie | π’ | π’ | π’ | π’ | π’ |
| Kennisnet | Nummervoorziening | π’ | π’ | π’ | π’ | π’ |
| Kennisnet | OSO | π’ | π’ | π’ | π’ | π’ |
| Topicus Education | ParnasSys | π’ | π’ | π’ | π’ | π’ |
| AFAS | HRM + Payroll | π’ | π’ | π’ | π’ | π‘ |
| Iddink Learning Materials | Distributie van (digitale) leermiddelen | π’ | π’ | π’ | π’ | π‘ |
| Snappet | Snappet | π’ | π’ | π’ | π’ | π‘ |
| ThiemeMeulenhoff | Digitale leermiddelen | π’ | π’ | π’ | π’ | π‘ |
| VO-content | Extra programma’s | π’ | π’ | π’ | π’ | π‘ |
| Visma Raet | HRM + Payroll | π’ | π’ | π’ | π‘ | |
| Basispoort | Basispoort | π’ | π’ | π’ | π‘ | |
| Deviant | Studiemeter | π’ | π’ | π‘ | ||
| ParentCom | Basisschool apps – Basisschool website – ParentCom | π’ | π’ | π‘ |
Oproep
In onderstaande overzicht staan de leveranciers en hun producten/diensten waarbij de input van onderwijsinstellingen gewenst is voor de praktische toets. Die input kun je heel makkelijk geven via het bijgevoegde formulier waarin activerende vragen staan. Input geven kan op ieder moment, maar liefst zo snel mogelijk zodat we zoveel mogelijk volledige Toetsrapporten kunnen publiceren.Β Is je als functionaris gegevensbescherming of privacy officer iets opgevallen in de verwerkersovereenkomst en matcht dat niet met de praktijk of komt het niet overeen met wat is afgesproken in de hoofdovereenkomst of service level agreement? Vul dan het formulier in. Zo help je ons, de leverancier en het onderwijs.
| Leverancier | Dienst/Product | 1 | 2, 3, 4, 5 |
| Acadin | Onderwijsontwikkeling Nederland | π’ | vul het toetsformulier in |
| B&T | Verschillende diensten (o.a. werving en selectie) | π’ | vul het toetsformulier in |
| Basisacademie | SCORE taal en rekenen | π’ | vul het toetsformulier in |
| Blink Educatie PO | Digitale Leermiddelen | π’ | vul het toetsformulier in |
| Blink Educatie VO | Digitale Leermiddelen | π’ | vul het toetsformulier in |
| Boom beroepsonderwijs | Boomdigitaal + EduBieg | π’ | vul het toetsformulier in |
| Boom Uitgevers Amsterdam | Digitale leermiddelen + Boom Testcentrum | π’ | vul het toetsformulier in |
| Bureau ICE | IEP | π’ | vul het toetsformulier in |
| Cito | Digitale leermiddelen | π’ | vul het toetsformulier in |
| Dedact | Learnbeat | π’ | vul het toetsformulier in |
| Deviant | π’ | vul het toetsformulier in | |
| Diataal | Diatoetsen + Dia-groeiwijzer | π’ | vul het toetsformulier in |
| Educompany | π’ | vul het toetsformulier in | |
| Eduspot | Eindexamensite | π’ | vul het toetsformulier in |
| Essener | Essener Online | π’ | vul het toetsformulier in |
| Heutink Primair Onderwijs | Momento | π’ | vul het toetsformulier in |
| Holmwood’s | Lesmethoden | π’ | vul het toetsformulier in |
| Instruct | Lesmethoden PO | π’ | vul het toetsformulier in |
| Instruct | Lesmethoden VO | π’ | vul het toetsformulier in |
| IT-workz | Onderwijsdiensten | π’ | vul het toetsformulier in |
| Jamf | Jamf School | π’ | vul het toetsformulier in |
| Kenteq | π’ | vul het toetsformulier in | |
| Klik Onderwijs | Klik Platform ELO/K&V | π’ | vul het toetsformulier in |
| Kurve Learning Innovations | Numo + Muiswerk | π’ | vul het toetsformulier in |
| Kwintessens | Digibordmateriaal | π’ | vul het toetsformulier in |
| LesLab CoΓΆperatie | Proeftuin en Grondstof | π’ | vul het toetsformulier in |
| LWEO | LWEOplus+BEplus | π’ | vul het toetsformulier in |
| Malmberg | DL BO (Bingel) | π’ | vul het toetsformulier in |
| Malmberg | DL VO (Max) | π’ | vul het toetsformulier in |
| Malmberg | MBO | π’ | vul het toetsformulier in |
| MQST | MQScan | π’ | vul het toetsformulier in |
| Myndr | Myndr voor school | π’ | vul het toetsformulier in |
| Noordhoff | π’ | vul het toetsformulier in | |
| Ontwikkelcentrum | MySpot | π’ | vul het toetsformulier in |
| Perspectief op School | Leerwinst/TOP dossier + SWV | π’ | vul het toetsformulier in |
| Profijt Software | Profijt | π’ | vul het toetsformulier in |
| Rezulto | LOGO-digitaal | π’ | vul het toetsformulier in |
| Rolfgroep | Zorgelooos in de cloud | π’ | vul het toetsformulier in |
| Schoolsupport | Digitale leermiddelen | π’ | vul het toetsformulier in |
| Slimleren.nl | Slimleren | π’ | vul het toetsformulier in |
| Squla | Squla in de Klas | π’ | vul het toetsformulier in |
| Studyflow | Spark | π’ | vul het toetsformulier in |
| Tumult | π’ | vul het toetsformulier in | |
| Visiria | π’ | vul het toetsformulier in | |
| Vodix | BeatsNbits | π’ | vul het toetsformulier in |
| Zermelo | π’ | vul het toetsformulier in | |
| Zwijsen | Digitale Onderwijsmiddelen | π’ | vul het toetsformulier in |
Dienst Verwerkersovereenkomsten
Schoolbesturen kunnen in de Dienst Verwerkersovereenkomsten van Kennisnet de verwerkersovereenkomsten van de aangesloten leveranciers vinden, beoordelen en goedkeuren. Leveranciers kunnen opgeleverde toetsrapporten – in een later stadium – oploaden in de dienst. Op Kennisnet.nl vind je meer informatie over deze dienst.
Het toetsrapport wordt ook beschikbaar gesteld in de afgesloten omgeving van het netwerk IBP.
Het toetsen van verwerkersovereenkomsten en de Dienst Verwerkersovereenkomsten maken deel uit van het ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.
Het Normenkader Informatiebeveiliging en Privacy voor Funderend Ondewijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om jouw school digitaal veilig te maken.
In onderstaand overzicht zie je bij welke norm deze dienst past.
- 9.1 en 9.3
- 15.3