Vernieuwd Privacyconvenant borgt positie schoolbesturen en privacy leerlingen

14 juni 2022

Het privacyconvenant ondersteunt scholen en besturen bij het beschermen van de privacy van leerlingen en medewerkers. In het convenant maken de PO-Raad, VO-raad, mbo raad en vertegenwoordigers van brancheorganisaties afspraken over gegevensuitwisseling bij digitale onderwijsmiddelen. Nu is er de nieuwste versie (4.0) van het convenant. In deze versie is onder andere de positie van besturen als verwerkersverantwoordelijke beter geborgd.

Binnen schoolorganisaties worden steeds meer gegevens digitaal uitgewisseld en opgeslagen, bijvoorbeeld in leerlingvolgsystemen en digitale leermiddelen. De PO-Raad en VO-raad hebben samen met de MBO Raad en vertegenwoordigers van leveranciers van leermiddelen in 2014 het initiatief genomen om afspraken te maken over het regelen en borgen van de privacy van leerlingen en medewerkers. Het gaat daarbij om het gebruik van digitale onderwijsmiddelen. Die afspraken zijn vastgelegd in een convenant met daarbij een modelovereenkomst.

Convenant en de model verwerkersovereenkomst

Het vernieuwde privacyconvenant, model verwerkersovereenkomst, certificeringsschema en toelichting zijn te vinden op https://www.privacyconvenant.nl/downloads.

De vorige versie van het privacyconvenant (versie 3.0) dateert van mei 2018. Er is sindsdien de nodige kennis en ervaring opgedaan over het toepassen van die versie binnen het onderwijs. Ook is er meer bekend over jurisprudentie en richtlijnen rondom de AVG. Daarom zijn zowel het convenant als de model verwerkersovereenkomst vernieuwd. Ook het Certificeringsschema (versie 3.0) is vernieuwd. Hiermee kunnen onderwijsinstellingen eenvoudig nagaan of een leverancier voldoet aan de gestelde maatregelen op het gebied van informatiebeveiliging. In de toelichting bij het convenant en de model verwerkersovereenkomst vind je een overzicht van alle wijzigingen (p. 4).

Wat is er concreet verbeterd?

Het convenant en de verwerkersovereenkomst zijn op veel punten gewijzigd, met name om te blijven voldoen aan de AVG. Uitspraken van (Europese) toezichthouders en het Europese hof van justitie hebben geleid tot jurisprudentie die wijzigingen in het convenant en de verwerkersovereenkomst noodzakelijk maakten. De PO-Raad en VO-raad hebben zich in het onderhandelingsproces vooral gericht op het beter in positie brengen van besturen in hun rol als verwerkingsverantwoordelijke. Zo is nog nadrukkelijker vastgelegd dat de leverancier persoonsgegevens niet voor eigen doeleinden mag verwerken, zoals voor reclamedoeleinden of het doen van ongevraagde aanbiedingen. Ook is beter vastgelegd waar en hoe gemotiveerde afwijkingen van de tekst van het model moeten worden opgeschreven.

Proces totstandkoming

De PO-Raad en VO-raad hebben actief meegewerkt aan deze versie van het convenant. Verschillende overlegronden hebben geleid tot conceptversies die o.a. voorgelegd zijn aan een klankbordgroep IBP funderend onderwijs (onderdeel van het Netwerk IBP). De laatste conceptversie is via een openbare consultatie van december 2021 tot eind januari 2022 aan alle deelnemers van het convenant voorgelegd. De feedback uit de consultatie is verwerkt in deze versie.

Dienst Verwerkersovereenkomst vermindert werklast

Het nieuwe convenant wordt incrementeel uitgerold, in eerste instantie alleen voor nieuwe contracten. Het is echter wel de bedoeling dat de komende jaren versie 3.0 volledig zal verdwijnen. Bij een reguliere verlenging van een contract is het advies om zo snel mogelijk 4.0 versie te gebruiken. Daarmee is geprobeerd de werklast klein te houden, maar het kan toch tot extra werk leiden. De PO-Raad en VO-raad hebben daarom, in samenwerking met Kennisnet en private partijen, het initiatief genomen om een voorziening te ontwikkelen om eenvoudig verwerkersovereenkomsten te ondertekenen. In deze voorziening kunnen besturen en leveranciers op eenvoudige wijze verwerkersovereenkomsten tekenen, wijzigen en beheren. Dit zal voor alle partijen de werklast verlichten. In overleg met de leveranciers is afgesproken om voor de zogeheten ‘stilzwijgende verlengingen’ pas de nieuwe verwerkersovereenkomst toe te passen als deze voorziening volledig operationeel is. In onze optiek wordt hiermee een hoop onnodig werk voorkomen.

Advies schoolbesturen

Het advies is om zo spoedig mogelijk maar in ieder geval vanaf 1 augustus 2022 over te gaan naar het gebruik van model verwerkersovereenkomst versie 4.0 bij het verlopen of de vernieuwing van de huidige product-, dienst- of verwerkersovereenkomst.

  • Bij stilzwijgende verlengingen kan de overgang uitgesteld worden, totdat de Dienst Verwerkersovereenkomst met de functionaliteit te ondertekenen van Kennisnet in gebruik is genomen om de administratielast van scholen en leveranciers zo laag mogelijk te houden.
  • Bij een doorlopende product- of dienstovereenkomst dient zo spoedig mogelijk, maar uiterlijk 1 augustus 2026 overgegaan te worden naar het gebruik van versie 4.0.
  • Tot het afsluiten van een verwerkersovereenkomst 4.0, zoals hierboven beschreven, blijft versie 3.0 uit 2018 geldig. Bij eventuele tegenstrijdigheden is versie 4.0 echter leidend.
  • De oudere model bewerkersovereenkomsten (versie 1.0 en 2.0) voldoen op diverse onderdelen al geruime tijd niet meer aan de eisen die de AVG stelt. Deze versies dienen met onmiddellijke ingang te worden vervangen door versie 4.0, omdat partijen anders risico’s lopen op het gebied van aansprakelijkheid en/of boetes door de Autoriteit Persoonsgegevens.
     

Edu-V

Een veilige uitwisseling van gegevens is ook één van de ambities uit het programmaplan Edu-V dat onder andere wordt gefinancierd vanuit het Nationaal Groeifonds. Binnen Edu-V maken scholen en leveranciers onderling afspraken – een afsprakenstelsel – die de eenvoudige, veilige en betrouwbare toegang tot en gebruik van digitale onderwijsmiddelen regelen voor het primair, voortgezet, speciaal en middelbaar beroepsonderwijs. Het programma bouwt voort op bestaande afspraken, zoals het privacyconvenant.