Elk schoolbestuur is verantwoordelijk om – wanneer zij een overeenkomst aangaat met een leverancier – een verwerkersovereenkomst te toetsen bij deze leverancier. De leverancier moet per schoolbestuur reageren op de eventuele feedback van het schoolbestuur. Om schoolbesturen èn leveranciers te ontlasten, gaat SIVON dit landelijk oppakken. De verantwoordelijkheid voor een juiste verwerkersovereenkomst blijft wel bij het schoolbestuur liggen.
De verwerkersovereenkomst is een toets op basis van verschillen en opvallendheden en niet op goed of fout.
Wat is het?
Naast het uitvoeren van landelijke DPIA’s voor het funderonderwijs worden – als onderdeel van leveranciersmanagement – ook verwerkersovereenkomsten getoetst. De toetsing is onderverdeeld in:
- theoretisch: op verschillen ten opzichte van het Privacyconvenant Onderwijs Model 4.0 (voor deelnemers en medestanders) en de AVG (voor leveranciers die niet aangesloten zijn bij het convenant).
- praktisch: op verschillen tussen theorie en praktijk. Bijvoorbeeld: klopt de opsomming van de persoonsgegevens in de verwerkingsovereenkomst wel met de persoonsgegevens in de applicatie?
Hoe werkt het?
De theoretische toets wordt zoveel mogelijk door juridische experts gedaan. Voor de praktische toets hebben we feedback vanuit de schoolpraktijk nodig. Een werkgroep buigt zich in een tweetal korte sessie van ongeveer een uur over de verwerkingsovereenkomst. Opvallendheden worden besproken met de leveranciers en daarna wordt een toetsrapport opgeleverd. Deze wordt gedeeld met het onderwijsveld en ook met de leden van SIVON.
Stand van zaken
Het project is in 2022 gestart bij Kennisnet. Vanaf januari 2023 is SIVON verantwoordelijk voor de toetsing. De eerste 30 verwerkingsovereenkomsten zijn theoretisch getoetst. Zodra deze zijn verwerkt, worden ze gedeeld met de leveranciers, die hierop kunnen reageren. Daarna kan het toetsrapport worden gedeeld. Parallel hieraan start de eerste werkgroep in februari met een pilot om twee verwerkingsovereenkomsten praktisch te toetsen.
Dienst verwerkersovereenkomsten
Vanaf mei 2023 kun je op de website Dienst Verwerkersovereenkomsten de verwerkersovereenkomsten van de leveranciers vinden, beoordelen en goedkeuren. Op dit moment is de website nog niet beschikbaar. Op Kennisnet.nl vind je meer informatie over deze dienst.