In 2021 en 2022 is binnen het onderwijs gewerkt aan een nieuwe versie van het privacyconvenant en de model verwerkersovereenkomst (inclusief bijlagen). Deze nieuwe versie (versie 4.0) vervangt de versie uit 2018 (versie 3.0). Het advies is om zo snel mogelijk over te gaan naar het gebruik van versie 4.0 als de huidige product-, dienst- of verwerkersovereenkomsten verlopen zijn of vernieuwd moeten worden.
Nieuwe versie convenant en model verwerkersovereenkomst
Sinds 2018 is meer kennis opgedaan over het toepassen van het convenant en de model verwerkersovereenkomst binnen het onderwijs. Ook is er sinds 2018 meer bekend over jurisprudentie en richtlijnen in het kader van de AVG. Deze ontwikkelingen brengen mee dat Edu-K een nieuwe versie van het convenant en de model verwerkersovereenkomst heeft opgesteld. Daarnaast heeft Edustandaard parallel hieraan gewerkt aan een nieuwe versie van het Certificeringsschema, waaraan de beveiligingsbijlage van de nieuwe model verwerkersovereenkomst is aangepast.
De nieuwe model verwerkersovereenkomst is alleen bedoeld voor deelnemers aan het convenant. Er is een algemeen model verwerkersovereenkomst voor leveranciers die geen deelnemer zijn van het convenant (medestanders). Partijen die in het online register als deelnemer staan vermeld, moeten de afspraken in het convenant naleven. Edu-K heeft in het reglement afspraken vastgelegd voor deelnemers over governance, besluitvorming, bevoegdheden, kosten, procedurele afspraken en wijziging van het convenant. Om toe te zien of partijen de model verwerkersovereenkomst juist toepassen, is daarnaast een toetsingskader opgesteld binnen Edu-K. Alle deelnemers moeten voldoen aan dit toetsingskader. Dit kader geldt niet voor medestanders.
Relevante wijzingen versie 4.0 ten opzichte van 3.0
In de toelichting bij het convenant zijn de wijzigingen opgenomen die versie 4.0 kent ten opzichte van versie 3.0. Hieronder hebben wij de meest relevante weergegeven:
- Om herhaling te voorkomen, zijn onderwerpen die al in de AVG of de model verwerkersovereenkomst zijn vastgelegd uit het convenant gehaald;
- In de model verwerkersovereenkomst is nog nadrukkelijker vastgelegd dat de leverancier persoonsgegevens niet voor eigen doeleinden mag verwerken, waaronder in het kader van reclame of ongevraagde aanbiedingen;
- Na overleg met de Autoriteit Persoonsgegevens (AP) is de mogelijkheid van het melden van een datalek door een verwerker vervallen, indien het datalek meerdere onderwijsinstellingen in gelijke mate treft;
- In de model verwerkersovereenkomst is Bijlage 3 toegevoegd. Hierin moeten partijen gemotiveerd afwijkingen van de tekst vastleggen.
In Toelichting bij het Convenant Digitale Onderwijsmiddelen en Privacy 4.0 zijn alle wijzigingen te vinden.
Model subverwerkersovereenkomst voor leveranciers en subverwerkers
Leveranciers moeten goede afspraken maken met hun subverwerkers om te voldoen aan de AVG. Om hen hierbij te helpen is de model subverwerkersovereenkomst opgesteld, waarin verplichtingen voor de verwerker zijn weergegeven in de vorm van juridisch inhoudelijke afspraken tussen verwerker en zijn subverwerker(s). Dit brengt zekerheid mee voor de verwerker om te kunnen voldoen aan afspraken met het schoolbestuur als zijn verwerkingsverantwoordelijke.
Advies omtrent gebruik versie 4.0
Het advies voor deelnemers luidt om zo snel mogelijk versie 4.0 te gaan gebruiken als een product-, dienst- of verwerkersovereenkomst verloopt of aan vernieuwing toe is. Vanaf 1 augustus 2022 moet de nieuwe versie in ieder geval in gebruik genomen zijn.
Stilzwijgende verlenging is mogelijk. Dan kan de overgang worden uitgesteld tot de ondertekenvoorziening van Kennisnet in gebruik is genomen . Dit beperkt de administratieve last voor scholen en leveranciers. Voor doorlopende product- of dienstovereenkomsten geldt ook dat zo snel mogelijk versie 4.0 gebruikt moet worden. Indien dit niet mogelijk is, moeten organisaties uiterlijk 1 augustus 2026 de nieuwe versie in gebruik nemen.
De versie 3.0 blijft geldig tot een onderwijsinstelling een verwerkersovereenkomst 4.0 afsluit. Indien de verschillende versies tegenstrijdigheden vertonen, is de nieuwste versie leidend.
Vervangen versies 1.0 en 2.0
De oude model verwerkersovereenkomsten (versie 1.0 en 2.0) zijn al lange tijd niet meer in lijn met de AVG. Gebruik van deze versies brengt grote risico’s mee voor partijen op het gebied van aansprakelijkheid én boetes door de Autoriteit Persoonsgegevens. De oude versies moeten daarom onmiddellijk vervangen worden door versie 4.0.
Meer weten?
Op de website van privacyconvenant onderwijs is meer informatie te vinden over dit onderwerp. Ook zijn daar alle documenten te vinden. Houd deze website in de gaten voor updates omtrent dit onderwerp.
Privacyconvenant heeft een model verwerkersovereenkomst in zowel het Nederlands als Engels gepubliceerd. Deze kunnen als template gebruikt worden.
