Hoe gaan softwareleveranciers om met persoonsgegevens?

Afspraken over privacy en informatiebeveiliging met een leverancier leg je vast in een verwerkersovereenkomst. Hierin staat welke persoonsgegevens de leverancier mag verwerken en met welk doel. Om scholen en leveranciers te helpen bij het maken van de juiste afspraken, hebben de PO-Raad en VO-raad het initiatief genomen voor het Privacyconvenant Onderwijs. Een belangrijk onderdeel van dit convenant is de modelverwerkersovereenkomst, waarin standaardafspraken tussen schoolbesturen en leveranciers staan.

Verschillende voorwaarden

Niet elke leverancier is aangesloten bij het Privacyconvenant Onderwijs. Leveranciers die hier geen deel van uitmaken, hanteren hun eigen verwerkersvoorwaarden. De verschillen tussen deze voorwaarden maken wij inzichtelijk. Voor grote leveranciers die hun eigen voorwaarden hanteren en niet zijn aangesloten bij het convenant, maken wij deel uit van een onderwijsbreed consortium dat met deze leveranciers onderhandelt. Dat geldt onder andere voor Microsoft en Adobe. Wij vertegenwoordigen in dit consortium de belangen van (speciaal) basisonderwijs, SLBdiensten het voortgezet onderwijs en SURF die van het mbo, hbo en het wetenschappelijk onderwijs. Hiermee bevorderen wij dat elke verwerkersovereenkomst aan de AVG voldoet en dat gegevens zo veilig mogelijk zijn.

Onderhandelingen met leveranciers

De verwerkersovereenkomst is een belangrijk onderdeel van iedere overeenkomst met een leverancier. Tot nu toe is het nog niet voorgekomen dat onbevredigende voorwaarden een overeenkomst met een leverancier in de weg stonden. Maar wanneer we ervan overtuigd zijn dat persoonsgegevens van scholen niet veilig zijn of niet op de juiste wijze worden bewaard, zullen we producten van die leverancier niet aanbieden.

Het Privacyconvenant is sterk gericht op leermiddelen. Maar het zijn juist de leveranciers van andere soorten applicaties, die afwijkende teksten hanteren voor hun verwerkersovereenkomst. De modelverwerkersovereenkomst geldt als de standaard voor het primair onderwijs, maar er zijn ook partijen die hun eigen standaarden hanteren.

Kijken en vergelijken

Wij vergelijken de verwerkersvoorwaarden van deze leveranciers met het model van het Privacyconvenant Onderwijs. De uitkomst hiervan zie je onderaan de specifieke productpagina in onze webwinkel, onder het kopje Bekijk de verwerkersovereenkomst van de leverancier (let op: alleen zichtbaar wanneer je bent ingelogd). Zo zie je op welke manier de leverancier voldoet aan de AVG-eisen en aan de vereisten in het convenant. Zijn er uitzonderingen? Dan dient de leverancier aan te geven wat deze zijn en op welk artikel dit van toepassing is. Wij laten dit toetsen en controleren door een expert en geven aan of deze afwijking voldoet. Dit vind je ook terug op onze website.

Met deze vergelijkingstabellen bespaar je jezelf veel uitzoekwerk! Je hoeft niet meer door de talloze overeenkomsten en artikelen te spitten en ziet in één oogopslag wat de verschillen zijn. Het doel is om elke leverancier waarbij een verwerkersovereenkomst van toepassing is, op deze manier te presenteren. 

Een belangrijk punt waarop vaak afwijkingen zijn, is de wijze waarop leveranciers gegevens verzamelen en gebruikers. Ook de opslag is een belangrijk aandachtspunt. Denk aan de behoefte om de servers zo dichtbij mogelijk te hebben staan, het liefst nog in Nederland. Hier houden wij ook rekening mee. Bijvoorbeeld het bewaren van gegevens buiten de Europese Economische Ruimte (EER) is een belangrijk discussiepunt met sommige leveranciers.

School blijft verantwoordelijk

Wat de verschillen ook zijn, met de tabel heb je als school een duidelijke indicatie van de toetsing op de verwerkersvoorwaarden. Je kunt ervan uitgaan dat deze toetsing goed is en gebaseerd op het Privacyconvenant Onderwijs. Wel is het zo dat je als school uiteindelijk zelf verantwoordelijk blijft voor de overeenkomst. Neem je producten of diensten af? Dan ga je ook akkoord met de voorwaarden van de leverancier. Wanneer je hogere eisen stelt dan het convenant doet, moet je de voorwaarden zelf controleren. De tabel helpt in dat geval ook, door afwijkingen ten opzichte van het convenant te laten zien. Ook adviseert de tabel over beveiligingsfuncties en eventuele maatregelen die je zelf kunt nemen om de producten op een zo veilig mogelijke manier te gebruiken.

Meer informatie of vragen

Twijfel je over de manier waarop een leverancier omgaat met persoonsgegevens? Of heb je andere vragen of opmerkingen? Je kunt altijd contact met ons opnemen!