Binnen het publiek-private platform Edu-K hebben de brancheorganisaties PO-Raad, VO-raad, MBO Raad,GEU, VDOD en KBb-E zich ingespannen om afspraken te maken die zorgen voor een veilige en betrouwbare omgang met de gegevens van leerlingen en studenten. Afspraken over bijvoorbeeld verantwoordelijkheden, beveiliging van gegevens en wat te doen als er onverhoopt iets mis gaat (bijvoorbeeld een data-lek), maken onderdeel uit van het privacyconvenant 3.0. Ook zijn individuele lessen van de afgelopen jaren vertaald naar sectorbrede afspraken. Dit gebeurde mede naar aanleiding van een groot data-lek in het vo in de zomer van 2016 en de recente uitspraak van de Autoriteit Persoonsgegevens over welke medewerkers van scholen toegang mogen hebben tot leerling- en studentgegevens. Op dit moment hebben ongeveer 220 leveranciers van diensten en producten in het onderwijs het nieuwe privacyconvenant ondertekend.
Verwerkersovereenkomst
Bij het nieuwe convenant hoort een nieuw model voor de verwerkersovereenkomst. De komende periode passen daarom alle leveranciers de verwerkersovereenkomsten voor hun producten aan, inclusief de privacybijsluiter en beveiligingsbijlage. Deze nieuwe overeenkomsten moeten met het van kracht worden van de AVG beschikbaar zijn. Door gebruik te maken van de modelverwerkersovereenkomst zorgen leveranciers en mbo-scholen gezamenlijk voor een veilige en betrouwbare omgang met de gegevens van leerlingen en mbo-studenten.
Bij scholen en leveranciers leven nog uiteenlopende praktische vragen over het vervangen van de bewerkersovereenkomsten en het gebruik van de nieuwe modelverwerkersovereenkomst. Hierover hebben de PO-Raad, VO-raad en MBO Raad afspraken gemaakt met leveranciers. Deze uitgangspunten zijn te vinden op de website van het privacyconvenant (zie: Meer informatie).
IBP
Afgelopen jaar hebben vrijwel alle mbo-scholen iemand aangesteld die verantwoordelijk is voor het thema informatiebeveiliging en privacy en de verdere implementatie van afspraken binnen de school. Om te zorgen voor een goed informatiebeveiligingsbeleid hebben saMBO-ICT, Kennisnet en Surfnet in 2015 het framework Informatiebeveiliging en privacy (IBP) in het mbo ontwikkeld.
Inmiddels is het framework aangepast aan de nieuwste ontwikkelingen in wetgeving. Zo zijn alle privacydocumenten aan de nieuwe AVG aangepast. De MBO Raad adviseert mbo-scholen, voor zover dat nog niet het geval was, gebruik te maken van het IBP: het framework bevat alle documentatie voor een goede implementatie van informatiebeveiliging en privacy in een mbo-school.
