Stap 7: sluit een verwerkersovereenkomst af

De verwerkersovereenkomst waarborgt dat verwerkers persoonsgegevens verwerken conform de GDPR/AVG.

Een verwerkingsverantwoordelijke moet ervan uit kunnen gaan dat de verwerker(s) die hij inschakelt rechtmatig en behoorlijk omgaat met de persoonsgegevens.

Een verwerker is een derde die niet onder onmiddellijk gezag staat van de verwerkings-verantwoordelijke. De verwerker verwerkt persoonsgegevens in opdracht van de verwerkingsverantwoordelijke. Denk aan aanbieders van leerlingvolgsystemen, administratiesystemen, boekhoudpakketten, e-learningsystemen …

De verwerkingsverantwoordelijke stelt vast of de verwerker aan de GDPR-verordening voldoet (art. 28(1) GDPR).

Alle maatregelen die de verwerker hiervoor neemt komen vast te liggen in een verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker.

De intentieverklaring

sla link op in klembord

Vanuit een gemeenschappelijke verantwoordelijkheid voor de zorgvuldige omgang met de persoonsgegevens hebben de onderwijsverstrekkers, de Federatie Centra voor Basiseducatie, VCLB en een aantal leveranciers van digitale onderwijsmiddelen samen een intentieverklaring ‘Privacy in Digitale Onderwijsmiddelen’ ontwikkeld.

De intentieverklaring bevat een model van verwerkersovereenkomst dat onderwijsinstellingen en leveranciers zullen gebruiken bij het maken van afspraken. De verwerkersovereenkomst wilt waarborgen dat leveranciers persoonsgegevens conform de GDPR verwerken.

Door de verwerkersovereenkomst te gebruiken weten de onderwijstellingen en de leveranciers wat ze van elkaar mogen verwachten en worden er in de onderwijssector dezelfde afspraken gemaakt.

In de verwerkersovereenkomst staat:

  • het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen;
  • dat de gegevens alleen op instructie van de verwerkingsverantwoordelijke mogen verwerkt worden;
  • dat de werknemers van de verwerker vertrouwelijk met de gegevens moeten omgaan;
  • dat de verwerker passende technische en organisatorische maatregelen moet nemen om het beveiligingsniveau te waarborgen;
  • onder welke voorwaarden de verwerker gegevens mag doorgeven;
  • dat de verwerker er voor zorgt dat de verwerkingsverantwoordelijke zich zo veel als mogelijk aan de rechten van de betrokkenen kan houden;
  • dat de verwerker na afloopt van de diensten de (persoons)gegevens verwijdert of teruggeeft aan de verwerkingsverantwoordelijke;
  • dat de verwerker alle informatie ter beschikking stelt aan de verwerkingsverantwoordelijke die nodig is om aan de GDPR te voldoen.

Wie doet wat?

sla link op in klembord

Het school-, internaat- en centrumbestuur sluit een verwerkersovereenkomst af met al zijn verwerkers.

De koepelorganisatie biedt een sjabloon aan waarop de besturen zich kunnen baseren om een verwerkersovereenkomst af te sluiten.

De DPO (Data Protection Officer) van de koepelorganisatie organiseert professionalisering zodat het aanspreekpunt informatieveiligheid het bestuur kan ondersteunen bij het opstellen van de verwerkersovereenkomsten.

Het aanspreekpunt Informatieveiligheid (AIV) informeert en adviseert het bestuur bij het opstellen van de verwerkersovereenkomsten.

Contact

×
Kijkt als...
Niveau
Regio