Voor ICT in het belang van je school
Verwerkersovereenkomsten

Hoe gaan softwareleveranciers om met persoonsgegevens?

Als school(bestuur) is het belangrijk om juiste maatregelen te nemen voor gegevensbescherming. Zeker sinds de komst van de AVG, de standaard modelverwerkersovereenkomst van de Europese Commissie en het IBP-normenkader. Maar niet alle leveranciers hanteren dezelfde voorwaarden. Wij ondersteunen je door de verschillen inzichtelijk te maken. Zo weet je zeker dat gegevens van leerlingen, ouders en medewerkers veilig worden verwerkt!

Afspraken over privacy en informatiebeveiliging met een leverancier leg je vast in een verwerkersovereenkomst. Hierin staat welke persoonsgegevens de leverancier mag verwerken en met welk doel. Om scholen en leveranciers te helpen bij het maken van de juiste afspraken, hebben de PO-Raad en VO-raad het initiatief genomen voor het Privacyconvenant Onderwijs. Een belangrijk onderdeel van dit convenant is de modelverwerkersovereenkomst, waarin standaardafspraken tussen schoolbesturen en leveranciers staan.

Ook heeft de Europese Commissie in 2021 een nieuwe modelverwerkersovereenkomst vastgesteld, die verwerkingsverantwoordelijken én verwerkers in de Europese Economische Ruimte (EER) moeten gebruiken. Deze EU- modelverwerkersovereenkomsten voldoen per definitie aan de AVG.

Verschillende voorwaarden

Niet elke leverancier is aangesloten bij het Privacyconvenant Onderwijs. Leveranciers die hier geen deel van uitmaken, hanteren hun eigen verwerkersvoorwaarden. De verschillen tussen deze voorwaarden en de modelovereenkomsten maken wij inzichtelijk. Voor grote leveranciers die hun eigen voorwaarden hanteren en niet zijn aangesloten bij het convenant, maken wij deel uit van een onderwijsbreed consortium dat met deze leveranciers onderhandelt. Dat geldt onder andere voor Microsoft en Adobe. Wij vertegenwoordigen in dit consortium de belangen van (speciaal) basisonderwijs, SLBdiensten het voortgezet onderwijs en SURF die van het mbo, hbo en het wetenschappelijk onderwijs. Hiermee bevorderen wij dat elke verwerkersovereenkomst aan de AVG voldoet en dat gegevens zo veilig mogelijk zijn.

Onderhandelingen met leveranciers

De verwerkersovereenkomst is een belangrijk onderdeel van je afspraken met een leverancier. Tot nu toe is het nog niet voorgekomen dat onbevredigende voorwaarden een overeenkomst met een leverancier in de weg stonden. Maar wanneer we ervan overtuigd zijn dat persoonsgegevens van scholen niet veilig zijn of niet op de juiste wijze worden bewaard, zullen we producten van die leverancier niet aanbieden.

Het Privacyconvenant is sterk gericht op leermiddelen en geldt als standaard voor het primair onderwijs. Maar het zijn juist de leveranciers van andere soorten applicaties, die afwijkende teksten hanteren voor hun verwerkersovereenkomst.

Kijken en vergelijken

Wij vergelijken de verwerkersvoorwaarden van deze leveranciers met beide modelovereenkomsten (die van het Privacyconvenant en die van de Europese Commissie uit 2021). De uitkomst hiervan zie je onderaan de specifieke productpagina in onze webwinkel, onder het kopje Bekijk de verwerkersovereenkomst van de leverancier (let op: alleen zichtbaar wanneer je bent ingelogd). Zo zie je op welke manier de leverancier voldoet aan de AVG-eisen en aan de vereisten in het convenant. Zijn er uitzonderingen? Dan dient de leverancier aan te geven wat deze zijn en op welk artikel dit van toepassing is. Wij laten dit toetsen en controleren door een expert en geven aan of deze afwijking voldoet. Hiermee bespaar je jezelf veel uitzoekwerk! Je hoeft niet meer door de talloze overeenkomsten en artikelen te spitten en ziet in één oogopslag wat de verschillen zijn. 

Een belangrijk punt waarop vaak afwijkingen zijn, is de wijze waarop leveranciers gegevens verzamelen en gebruikers. Ook de opslag is een belangrijk aandachtspunt. Denk aan de behoefte om de servers zo dichtbij mogelijk te hebben staan, het liefst nog in Nederland. Hier houden wij ook rekening mee. Bijvoorbeeld het verwerken van gegevens buiten de Europese Economische Ruimte (EER) is een belangrijk discussiepunt met sommige leveranciers.

De verwerkersovereenkomsten zelf vind je ook terug in het portfolio.

School blijft verantwoordelijk

Wat de verschillen ook zijn, met de tabel heb je als school een duidelijke indicatie van de toetsing op de verwerkersvoorwaarden. Je kunt ervan uitgaan dat deze toetsing goed is en de verschillen met het Privacyconvenant Onderwijs en met de EU-modelovereenkomst inzichtelijk maakt. 

Wel is het zo dat je als school uiteindelijk zelf verantwoordelijk blijft voor de afspraken die je met leveranciers maakt. Neem je producten of diensten af? Dan ga je ook akkoord met de voorwaarden van de leverancier. De tabel laat de verschillen met de modelovereenkomsten zien en ondersteunt de beoordeling van de voorwaarden van de leverancier. Ook adviseert de tabel over beveiligingsfuncties in de producten en maatregelen die je zelf kunt of moet nemen om de producten op een zo veilig mogelijke manier te gebruiken.

Meer informatie of vragen

Twijfel je over de manier waarop een leverancier omgaat met persoonsgegevens? Of heb je andere vragen of opmerkingen? Je kunt altijd contact met ons opnemen!

Vragen of meer informatie?

Onze Servicedesk staat voor je klaar. We zijn elke werkdag bereikbaar tussen 8.30 en 17.00 uur. 030 2856870 info@apsitdiensten.nl

Ook interessant voor jou

Artikel

AVG en privacy in het basisonderwijs
Artikel

Normenkader moet veiligheid leerlingen ook online garanderen
Artikel

Hoe vergroot je het bewustzijn rondom privacy op school?

Cookies

Wij maken gebruik van cookies (Functioneel, Analytisch, Marketing) die noodzakelijk zijn om de website zo goed mogelijk te laten functioneren. Door op alle cookies accepteren te klikken geef je aan hiermee akkoord te gaan. Bekijk onze privacy verklaring.