Update: Verwerkers-overeenkomsten 3.0

Gepubliceerd op: 3 juli 2018 08:06

Vanwege de verscherpte wet op privacy en beveiliging moeten school en bibliotheek een verwerkersovereenkomst afsluiten zodra de school gebruik maakt van een (school)bibliotheeksysteem. De Model Verwerkersovereenkomst 3.0 is een bijlage bij het Convenant Digitale Onderwijsmiddelen van de PO-VO-MBO raad en enkele andere convenantpartijen. Deze hebben wij aangepast voor de situaties waarin bibliotheken een schoolbibliotheeksysteem van HKA|OCLC en Infor aanbieden aan scholen. Alle benodigde documenten zijn nu te vinden in de besloten toolkit.

De Verwerkersovereenkomst 3.0 is een standaardovereenkomst waar aanbieders van digitale onderwijsdiensten niet van mogen afwijken. De standaardovereenkomst bevat twee bijlagen: een gepersonaliseerde privacybijlage en een beveiligingsbijlage. Als bibliotheek moet je in beide bijlagen de geel gearceerde tekstdelen aanpassen. In de meeste gevallen betreft dit alleen contactgegevens. Daarnaast moet je als bibliotheek en/of POI altijd nog controleren of de beschreven situaties in de bijlagen overeenkomen met jouw uitvoeringspraktijk en deze waar nodig aanpassen.

Beveiligingsbijlage en certficeringsschema ROSA

In bijlage 2, de beveiligingsbijlage, beschrijf je of jouw schoolbibliotheeksysteem voldoet aan de minimale BIV-criteria voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Of je beschrijft voor welke alternatieven je hebt gekozen. Voor het nalopen van deze criteria kun je gebruikmaken van het Certificeringsschema toetsingskader ROSA, dat als losse bijlage in de besloten toolkit zit. We adviseren om deze beveiligingsbijlage samen in te vullen met de ict-er van de POI die jouw schoolbibliotheeksysteem beheert en onderhoudt of je eigen ict-er als jouw bibliotheek het systeem in eigen beheer heeft.

Subverwerkersovereenkomsten

In alle gevallen waarin de verwerkersverantwoordelijke (= de school) niet rechtstreeks contracten afsluit met de leverancier van het bibliotheeksysteem is er sprake van een keten van partijen en overeenkomsten. Voor die gevallen waarin er sprak is van een keten van partijen zijn er Model Subverwerkers-overeenkomsten aan de toolkit toegevoegd. De Verwerkersovereenkomst verplicht de hoofdverwerker namelijk om de daaruit voortvloeiende verplichtingen door te contracteren aan eventuele subverwerkers. De Model Subverwerkersovereenkomsten zijn op de Verwerkersovereenkomst afgestemd en zijn door bibliotheken, POI’s en leveranciers goed te gebruiken. Ze zijn mede opgesteld door en getoetst bij een juridische partij van de Bibliotheek op school.

Lidmaatschap openbare bibliotheek

Veel bibliotheken kiezen ervoor om leerlingen niet alleen lid te maken van de schoolbibliotheek, maar ook van de openbare bibliotheek. De verwerking van persoonsgegevens van leerlingen voor dit specifieke doeleinde valt buiten de scoop van de Verwerkersovereenkomst. School en/of bibliotheek moeten de ouders van de leerlingen tijdig om toestemming vragen en waarborgen dat zij hun recht op inzage, correctie, verwijdering, bezwaar en beperking kunnen uitoefenen. De toolkit bevat een model toestemmingsformulier met bijbehorende brief als voorbeeld om deze procedure te regelen.

Met de school kan worden afgesproken dat het informatiepakket voor nieuwe leerlingen ook het toestemmingsformulier voor lidmaatschap van de openbare bibliotheek bevat. In de brief bij het formulier worden de samenwerking tussen school en bibliotheek en het voordeel van een lidmaatschap van de openbare bibliotheek toegelicht. Ook wordt hierin gewezen op de algemene leenvoorwaarden en het privacystatement van de bibliotheek, omdat hier andere regels van toepassing zijn dan voor het lidmaatschap van de schoolbibliotheek. 

Er zijn twee verschillende toestemmingsformulieren: één voor kinderen in het basisonderwijs en één voor jongeren in het voortgezet onderwijs.

Klik hier voor de besloten toolkit met alle documenten en de toelichting op mogelijke ketensamenwerkingen en op het gebruik van alle overeenkomsten.