Bijna elke school werkt met externe software die leerlinggegevens verwerkt: een leerlingadministratiesysteem, een toetsplatform, een digitale leeromgeving. Op het moment dat een leverancier persoonsgegevens verwerkt in opdracht van de school, verplicht de Algemene Verordening Gegevensbescherming (AVG) tot een verwerkersovereenkomst. Dit artikel legt uit wat zo een overeenkomst is, wanneer hij verplicht is en welke afspraken er minimaal in horen.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst is een schriftelijke afspraak tussen de partij die bepaalt waarom en hoe gegevens worden verwerkt (de verwerkingsverantwoordelijke) en de partij die dat in opdracht uitvoert (de verwerker). De AVG regelt dit in artikel 28. Voor het onderwijs betekent het meestal dat de school de verwerkingsverantwoordelijke is en de softwareleverancier de verwerker.
De kern van de afspraak is eenvoudig: de verwerker mag de gegevens alleen gebruiken voor de doelen die de school heeft bepaald, en niet voor eigen doeleinden. De school blijft eindverantwoordelijk en moet kunnen aantonen dat de verwerking aan de AVG voldoet.
Wanneer is het verplicht?
Een verwerkersovereenkomst is verplicht zodra een externe partij persoonsgegevens verwerkt namens de school. Dat is al snel het geval: namen, leerlingnummers, cijfers, klasindelingen en inloggegevens zijn allemaal persoonsgegevens. Verwerkt een leverancier deze gegevens, dan moet er een overeenkomst liggen voordat de verwerking begint.
Er is geen overeenkomst nodig wanneer twee partijen samen het doel en de middelen bepalen (dan zijn ze gezamenlijk verwerkingsverantwoordelijke) of wanneer er helemaal geen persoonsgegevens worden uitgewisseld. In de praktijk valt onderwijssoftware bijna altijd onder de verwerkersrelatie.
Welke afspraken horen er minimaal in?
De AVG schrijft een aantal onderwerpen voor die in elke verwerkersovereenkomst geregeld moeten zijn. Het gaat onder meer om:
- Het onderwerp, de duur, de aard en het doel van de verwerking;
- De soorten persoonsgegevens en de categorieen betrokkenen (leerlingen, docenten, ouders);
- De instructie dat de verwerker uitsluitend op aanwijzing van de school handelt;
- Passende technische en organisatorische beveiligingsmaatregelen;
- Afspraken over het inschakelen van subverwerkers (en toestemming daarvoor);
- Medewerking bij datalekken, verzoeken van betrokkenen en audits;
- Teruggave of verwijdering van de gegevens na afloop van de opdracht.
Let op de subverwerkers. Veel toetsplatformen draaien op cloudinfrastructuur of gebruiken externe diensten voor e-mail of opslag. De verwerkersovereenkomst moet inzichtelijk maken welke subverwerkers worden gebruikt en waar de gegevens worden opgeslagen.
Het model uit het Privacyconvenant Onderwijs
Scholen hoeven het wiel niet zelf uit te vinden. Binnen het Nederlandse onderwijs is een model-verwerkersovereenkomst opgesteld als onderdeel van het Privacyconvenant Onderwijs. Veel leveranciers hebben dit model ondertekend, waardoor scholen niet per leverancier hoeven te onderhandelen over de basisafspraken. Wie met een convenant-leverancier werkt, sluit aan op een breed gedragen standaard.
Checklist: dit controleer je voor ondertekening
| Onderwerp | Vraag die je stelt |
|---|---|
| Doelbinding | Staat duidelijk dat gegevens alleen voor onze onderwijsdoelen worden gebruikt? |
| Subverwerkers | Is er een actuele lijst, en worden wij geinformeerd bij wijzigingen? |
| Locatie | Worden de gegevens binnen de EER opgeslagen? |
| Beveiliging | Zijn de technische maatregelen concreet beschreven (versleuteling, toegangsbeheer)? |
| Datalekken | Wordt de school tijdig geinformeerd zodat de meldplicht haalbaar blijft? |
| Bewaartermijn | Worden gegevens na afloop teruggegeven of aantoonbaar verwijderd? |
Een ondertekende verwerkersovereenkomst is geen formaliteit voor in de la. Het is het document waarop je terugvalt als er iets misgaat, en het bewijs dat de school haar verantwoordingsplicht serieus neemt. Loop het daarom inhoudelijk door en bewaar het samen met je verwerkingsregister.
Wie is verantwoordelijke en wie verwerker?
Het onderscheid tussen verwerkingsverantwoordelijke en verwerker bepaalt wie waarvoor opdraait. De school bepaalt welke gegevens worden verzameld en waarom, en is daarmee verwerkingsverantwoordelijke. De leverancier voert die verwerking technisch uit en is verwerker. Een toetsplatform mag de gegevens dus niet voor eigen marketing of productontwikkeling inzetten zonder dat daar aparte, geldige afspraken over zijn.
Soms is de rolverdeling minder zwart-wit. Gebruikt een leverancier gegevens ook voor een eigen doel waarover hij zelf beslist, dan kan hij voor dat deel zelf verwerkingsverantwoordelijke worden. Voor de school is het daarom belangrijk om scherp te krijgen wat een leverancier precies met de data doet, en dat in de overeenkomst vast te leggen.
Wat als er geen overeenkomst ligt?
Werken zonder verwerkersovereenkomst is een overtreding van de AVG, ook als er nooit iets misgaat. De Autoriteit Persoonsgegevens kan hierop handhaven, en bij een datalek staat de school met lege handen. Minstens zo belangrijk: zonder overeenkomst heeft de school geen grip op wat er met de gegevens van haar leerlingen gebeurt. De overeenkomst is dus geen administratieve last, maar het instrument waarmee de school haar leerlingen beschermt.
Hoe dit bij TestWisely geregeld is
TestWisely sluit met scholen een verwerkersovereenkomst af die aansluit op de onderwijsstandaard, met afspraken over doelbinding, opslag binnen de EER, subverwerkers en verwijdering van gegevens. Zo weet een school vooraf waar zij aan toe is.
