Bergen aan informatie in allerlei digitale systemen; ongetwijfeld herkenbaar voor elke school. Hoe weten we of die leveranciers van digitale leermiddelen zorgvuldig met gegevens omgaan? En moet ik gebruikmaken van het keten iD? Ben ik verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen? In dit artikel geven we antwoord op een aantal prangende vragen.
In een verwerkersovereenkomst legt u de voorwaarden voor de gegevensverwerking vast. Deze overeenkomst bevat afspraken tussen de ‘verwerkersverantwoordelijke’ en ‘verwerker’. U bent als school namelijk verantwoordelijk voor de persoonsgegevens van de betrokkenen bij uw school, en u mag die niet zomaar aan derden geven. Daarom is een overeenkomst nodig om de rechten en plichten vast te leggen. In het Handboek Privacy van Wille Donker advocaten zijn modellen voor verwerkersovereenkomsten opgenomen.
Het Handboek Privacy is opgesteld door Wille Donker advocaten om u te helpen bij uw privacybeleid. Meer informatie over dit product vindt u hier. U kunt het Handboek Privacy aanvragen via c.dewit@vgs.nl.
Met brancheorganisaties van leveranciers van digitale leermiddelen, school- en leerlingadministratiesystemen en andere digitale diensten zijn afspraken gemaakt. Deze zijn vastgelegd in het Privacyconvenant. Er zijn ruim 200 leveranciers aangesloten bij dit convenant. U kunt via de link bekijken of de leverancier hierbij aangesloten is. Zo is bijvoorbeeld ParnasSys ook aangesloten. Een verwerkersovereenkomst met die leveranciers is alsnog wel noodzakelijk.
Voor het maken van privacy-afspraken noemt Kennisnet vier stappen:
Een uitgebreide toelichting bij de vier stappen leest u hier.
Gebruik de ‘Modelverwerkersovereenkomst’ (bijlage XII) uit het Handboek Privacy. Afwijken van dit model kan: gebruik in dat geval de aanpassingen die in bijlage 3 van bijlage XII zijn beschreven.
Ook dan is het van belang om goede afspraken over een zorgvuldige uitwisseling van gegevens te maken. Gebruik in dat geval het modelcontract uit bijlage XI van het Handboek Privacy. Het is een model, dus afwijken is mogelijk waar nodig.
Het keten iD is een manier om de herleidbaarheid van gegevens van leerlingen te beperken als er gegevensuitwisseling plaatsvindt tussen scholen en leveranciers van leermiddelen. Dit betekent dat de naam van een leerling wordt vervangen door een nummer. Een school mag zelf bepalen of ze hier wel of niet gebruik van maakt. Dit initiatief vloeit voort uit het afgesloten Privacyconvenant. Onder andere ParnasSys heeft dit convenant ondertekend. Indien er via Kennisnet een verwerkersovereenkomst zal worden afgesloten, zal het keten iD via ParnasSys worden opgehaald. In lijn met het Privacyconvenant handelen, betekent ook dat het raadzaam is om gebruik te maken van het keten iD. Via deze link van Kennisnet treft u meer informatie aan over het keten iD.
Eerder berichtten we u over de motie van de SGP met de vraag om meer duidelijkheid van de Autoriteit Persoonsgegevens (AP) over de reikwijdte van de FG-verplichting voor kleine scholen. Deze richtlijnen zijn nog steeds niet bekend. Uit de diverse contacten die we met het ministerie van OCW en met de AP hebben, blijkt dat de uitvoering van de motie nog steeds loopt. De PO-raad heeft onlangs op de website onderstreept dat er onduidelijkheid is over de vraag of het aanstellen van een FG voor alle scholen een verplichting is.
Mocht u – ondanks dat nog niet bekend is of een FG verplicht is – in contact willen komen met potentiële aanbieders van FG-ers, dan kunt u contact met ons opnemen.
In deze FAQ-rubriek staan de antwoorden op veel vragen over privacy. Uiteraard kunt bij vragen ook contact met ons opnemen.