Afspraken tussen scholen en leveranciers AVG-proof door nieuwe versie privacyconvenant

25-04-2018

Na maanden van intensieve gesprekken tussen vertegenwoordigers van schoolbesturen en leveranciers in het onderwijs (uitgevers, distributeurs en leveranciers van o.a. administratie- en volgsystemen) liggen er nieuwe afspraken over de omgang met gegevens van onder andere mbo-studenten. Dit was nodig vanwege de AVG (Algemene Verordening Gegevensbescherming) die vanaf 25 mei 2018 van kracht is. De wetgeving leidt tot nieuwe verplichtingen en verantwoordelijkheden voor zowel schoolbesturen als hun leveranciers. Afspraken over de nieuwe omgang van persoonsgegevens zijn bekrachtigd met de ondertekening van het privacyconvenant 3.0.

Afbeelding van het Friesland College, Maartje Roos
Afbeelding van het Friesland College, Maartje Roos

Binnen het publiek-private platform Edu-K hebben de brancheorganisaties PO-Raad, VO-raad, MBO Raad,GEU, VDOD en KBb-E zich ingespannen om afspraken te maken die zorgen voor een veilige en betrouwbare omgang met de gegevens van leerlingen en studenten. Afspraken over bijvoorbeeld verantwoordelijkheden, beveiliging van gegevens en wat te doen als er onverhoopt iets mis gaat (bijvoorbeeld een data-lek), maken onderdeel uit van het privacyconvenant 3.0. Ook zijn individuele lessen van de afgelopen jaren vertaald naar sectorbrede afspraken. Dit gebeurde mede naar aanleiding van een groot data-lek in het vo in de zomer van 2016 en de recente uitspraak van de Autoriteit Persoonsgegevens over welke medewerkers van scholen toegang mogen hebben tot leerling- en studentgegevens. Op dit moment hebben ongeveer 220 leveranciers van diensten en producten in het onderwijs het nieuwe privacyconvenant ondertekend.

Verwerkersovereenkomst

Bij het nieuwe convenant hoort een nieuw model voor de verwerkersovereenkomst. De komende periode passen daarom alle leveranciers de verwerkersovereenkomsten voor hun producten aan, inclusief de privacybijsluiter en beveiligingsbijlage. Deze nieuwe overeenkomsten moeten met het van kracht worden van de AVG beschikbaar zijn. Door gebruik te maken van de modelverwerkersovereenkomst zorgen leveranciers en mbo-scholen gezamenlijk voor een veilige en betrouwbare omgang met de gegevens van leerlingen en mbo-studenten.

Bij scholen en leveranciers leven nog uiteenlopende praktische vragen over het vervangen van de bewerkersovereenkomsten en het gebruik van de nieuwe modelverwerkersovereenkomst. Hierover hebben de PO-Raad, VO-raad en MBO Raad afspraken gemaakt met leveranciers. Deze uitgangspunten zijn te vinden op de website van het privacyconvenant (zie: Meer informatie).

IBP

Afgelopen jaar hebben vrijwel alle mbo-scholen iemand aangesteld die verantwoordelijk is voor het thema informatiebeveiliging en privacy en de verdere implementatie van afspraken binnen de school. Om te zorgen voor een goed informatiebeveiligingsbeleid hebben saMBO-ICT, Kennisnet en Surfnet in 2015 het framework Informatiebeveiliging en privacy (IBP) in het mbo ontwikkeld.

Inmiddels is het framework aangepast aan de nieuwste ontwikkelingen in wetgeving. Zo zijn alle privacydocumenten aan de nieuwe AVG aangepast. De MBO Raad adviseert mbo-scholen, voor zover dat nog niet het geval was, gebruik te maken van het IBP: het framework bevat alle documentatie voor een goede implementatie van informatiebeveiliging en privacy in een mbo-school.

Afbeelding van Peter Vermeijs

Peter Vermeijs

Beleidsadviseur privacy
Marije Hulsbosch

Marije Hulsbosch-Sizoo

Manager In- & Externe Communicatie / woordvoerder
06 - 5027 2673