Hoe gaan softwareleveranciers om met persoonsgegevens?

Afspraken over privacy en informatiebeveiliging met een leverancier leg je vast in een verwerkersovereenkomst. Hierin staat welke persoonsgegevens de leverancier mag verwerken en met welk doel. Om scholen en leveranciers te helpen bij het maken van de juiste afspraken, hebben de PO-Raad en VO-raad het initiatief genomen voor het Privacyconvenant Onderwijs. Een belangrijk onderdeel van dit convenant is de modelverwerkersovereenkomst, waarin standaardafspraken tussen schoolbesturen en leveranciers staan. Wij als APS IT-diensten ondersteunen deze uitgangspunten en zijn daarom ook medestander van het convenant. 

Ook heeft de Europese Commissie in 2021 een nieuwe modelverwerkersovereenkomst vastgesteld, die verwerkingsverantwoordelijken én verwerkers in de Europese Economische Ruimte (EER) moeten gebruiken. Deze EU- modelverwerkersovereenkomsten voldoen per definitie aan de AVG.

Hoe zit het met leveranciers die niet zijn aangesloten bij het Privacyconvenant?

Bij het selecteren en aanbieden van oplossingen handelen wij naar de uitgangspunten van het convenant. We streven er daarom ook naar dat leveranciers de modelovereenkomst 4.0 gebruiken. Maar: niet elke leverancier is aangesloten bij het Privacyconvenant Onderwijs. 

Leveranciers die hier geen deel van uitmaken, hanteren hun eigen verwerkersvoorwaarden. De verschillen tussen deze voorwaarden en de modelovereenkomsten maken wij inzichtelijk. Voor grote leveranciers die hun eigen voorwaarden hanteren en niet zijn aangesloten bij het convenant, maken wij deel uit van een onderwijsbreed consortium dat met deze leveranciers onderhandelt. Dat geldt onder andere voor Microsoft en Adobe. Wij vertegenwoordigen in dit consortium de belangen van (speciaal) basisonderwijs, SLBdiensten het voortgezet onderwijs en SURF die van het mbo, hbo en het wetenschappelijk onderwijs. Hiermee bevorderen wij dat elke verwerkersovereenkomst aan de AVG voldoet en dat gegevens zo veilig mogelijk zijn.

Onze onderhandelingen met leveranciers

De verwerkersovereenkomst is een belangrijk onderdeel van je afspraken met een leverancier. Tot nu toe is het nog niet voorgekomen dat onbevredigende voorwaarden een overeenkomst met een leverancier in de weg stonden. Maar wanneer we ervan overtuigd zijn dat persoonsgegevens van scholen niet veilig zijn of niet op de juiste wijze worden bewaard, zullen we producten van die leverancier niet aanbieden.

Het Privacyconvenant is sterk gericht op leermiddelen en geldt als standaard voor het primair onderwijs. Maar het zijn juist de leveranciers van andere soorten applicaties, die afwijkende teksten hanteren voor hun verwerkersovereenkomst.

Onze toetsing van de verwerkersvoorwaarden

Wij vergelijken de afwijkende verwerkersvoorwaarden van deze leveranciers met beide modelovereenkomsten (die van het Privacyconvenant en die van de Europese Commissie uit 2021). De uitkomst hiervan zie je onderaan de specifieke productpagina in onze webwinkel, onder het kopje Bekijk de verwerkersovereenkomst van de leverancier (let op: alleen zichtbaar wanneer je bent ingelogd). 

Zo zie je op welke manier de leverancier voldoet aan de AVG-eisen en aan de vereisten in het convenant. Zijn er uitzonderingen? Dan dient de leverancier aan te geven wat deze zijn en op welk artikel dit van toepassing is. Wij laten dit toetsen en controleren door een expert en geven aan of deze afwijking voldoet. Hiermee bespaar je jezelf veel uitzoekwerk! Je hoeft niet meer door de talloze overeenkomsten en artikelen te spitten en ziet in één oogopslag wat de verschillen zijn. 

Een belangrijk punt waarop vaak afwijkingen zijn, is de wijze waarop leveranciers gegevens verzamelen en gebruikers. Ook de opslag is een belangrijk aandachtspunt. Denk aan de behoefte om de servers zo dichtbij mogelijk te hebben staan, het liefst nog in Nederland. Hier houden wij ook rekening mee. Bijvoorbeeld het verwerken van gegevens buiten de Europese Economische Ruimte (EER) is een belangrijk discussiepunt met sommige leveranciers.

De verwerkersovereenkomsten zelf vind je ook terug in het portfolio.

Informatie voor je verwerkingsregister

Naast het vergelijken en toetsen van de voorwaarden, verzamelen we ook alle informatie die je nodig hebt voor je verwerkingsregister. Denk aan een beschrijving van de verwerking, de doeleinden en de (voorgestelde) verwerkingsgrond. Die informatie leveren we samen met een globale beschrijving van de architectuur van de applicatie of clouddienst. We gebruiken hiervoor een uitgebreid registermodel van de Belgische Gegevensbeschermingsautoriteit. Dit registermodel geeft een overzicht van alle informatie die van belang is voor de AVG.

Als school blijf je zelf verantwoordelijk

Wat de verschillen ook zijn, met de tabel heb je als school een duidelijke indicatie van de toetsing op de verwerkersvoorwaarden. Je kunt ervan uitgaan dat deze toetsing goed is en de verschillen met het Privacyconvenant Onderwijs en met de EU-modelovereenkomst inzichtelijk maakt. 

In onze webwinkel bieden wij alleen oplossingen aan wanneer we ervan overtuigd zijn dat ze voldoen aan de eisen vanuit het onderwijs en de wetgeving. Wel is het zo dat je als school uiteindelijk zelf verantwoordelijk blijft voor de afspraken die je met leveranciers maakt. Neem je producten of diensten af? Dan ga je ook akkoord met de voorwaarden van de leverancier. De tabel laat de verschillen met de modelovereenkomsten zien en ondersteunt de beoordeling van de voorwaarden van de leverancier. Ook adviseert de tabel over beveiligingsfuncties in de producten en maatregelen die je zelf kunt of moet nemen om de producten op een zo veilig mogelijke manier te gebruiken.