Nieuwe Verwerkers-overeenkomsten 3.0

Gepubliceerd op: 3 juli 2018 08:06

Vanwege de verscherpte wet op privacy en beveiliging moeten school en bibliotheek een verwerkersovereenkomst afsluiten zodra de school gebruik maakt van een (school)bibliotheeksysteem. De Model Verwerkersovereenkomst 3.0 is een bijlage bij het Convenant Digitale Onderwijsmiddelen van de PO-VO-MBO raad en enkele andere convenantpartijen. Deze hebben wij aangepast voor de situaties waarin bibliotheken een schoolbibliotheeksysteem van HKA|OCLC en Infor aanbieden aan scholen. Alle benodigde documenten zijn nu te vinden in de besloten toolkit.

De Verwerkersovereenkomst 3.0 is een standaardovereenkomst waar aanbieders van digitale onderwijsdiensten niet van mogen afwijken. De standaardovereenkomst bevat twee bijlagen: een gepersonaliseerde privacybijlage en een beveiligingsbijlage. Als bibliotheek moet je in beide bijlagen de geel gearceerde tekstdelen aanpassen. In de meeste gevallen betreft dit alleen contactgegevens. Daarnaast moet je als bibliotheek en/of POI altijd nog controleren of de beschreven situaties in de bijlagen overeenkomen met jouw uitvoeringspraktijk en deze waar nodig aanpassen.

Klik hier voor de besloten toolkit met alle documenten.

Beveiligingsbijlage en certficeringsschema ROSA

In bijlage 2, de beveiligingsbijlage, beschrijf je of jouw schoolbibliotheeksysteem voldoet aan de minimale BIV-criteria voor Beschikbaarheid, Integriteit en Vertrouwelijkheid, of voor welke alternatieven je hebt gekozen. Voor het nalopen van deze criteria maak je gebruik van het Certificeringsschema toetsingskader ROSA, dat als losse bijlage in de besloten toolkit zit. We adviseren om deze beveiligingsbijlage samen in te vullen met de POI die jouw schoolbibliotheeksysteem beheert en onderhoudt.

De volgende stappen

We krijgen veel vragen over de AVG en de verplichte Verwerkersovereenkomst. Met deze Model Verwerkersovereenkomst 3.0 en het Certificeringsschema ROSA kun je als bibliotheek starten met het vastleggen van afspraken rondom privacy en beveiliging zoals verplicht binnen de nieuwe AVG. Op korte termijn volgt een geactualiseerde toelichting bij deze bestanden. Ook werken we nog aan de subverwerkersovereenkomsten die de keten bibliotheek - POI - leverancier compleet maken.

Veel bibliotheken kiezen ervoor om leerlingen niet alleen lid te maken van de schoolbibliotheek, maar ook van de openbare bibliotheek. De verwerking van persoonsgegevens van leerlingen voor dit specifieke doeleinde valt buiten de scoop van de Verwerkersovereenkomst. School en/of bibliotheek moeten de ouders van de leerlingen tijdig om toestemming vragen en waarborgen dat zij hun recht op inzage, correctie, verwijdering, bezwaar en beperking kunnen uitoefenen. We publiceren binnenkort een advies en standaardbrief voor deze procedure.