Verwerkersovereenkomsten en verwerkingsregister goed geregeld!

4 januari 2023

Scholen lopen achter met verwerkersovereenkomsten en actueel houden van het verwerkingsregister

Het bijhouden van een register van verwerkingsactiviteiten, ook wel verwerkingsregister genoemd, is een verplichting voor alle organisaties die persoonsgegevens verwerken, zo ook voor scholen. Dit register moet een overzicht geven van de verwerkingsactiviteiten die de organisatie uitvoert met betrekking tot persoonsgegevens. Het doel hiervan is om transparantie te bieden over hoe persoonsgegevens worden verwerkt en om te voldoen aan de wettelijke verplichtingen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG).

Hoofdpijndossier

Voor veel scholen blijven het beoordelen en ondertekenen van verwerkersovereenkomsten en het bijhouden van het verwerkingsregister een hoofdpijndossier. Het op orde krijgen van deze zaken vraagt naast extra administratieve lasten ook de nodige (vooral juridische) kennis van zaken. Daarnaast is het ook ingewikkeld om dit binnen een schoolbestuur georganiseerd te krijgen, omdat de inkoop vaak zowel centraal (bovenschools) als decentraal (op meerdere locaties) verloopt. Ondanks landelijke initiatieven, zoals het dataregister van Kennisnet en de model verwerkersovereenkomst van het privacyconvenant, blijven deze zaken op scholen vaak liggen.

Privacy op School helpt!

Privacy op School wil daar verandering in brengen. Als onderdeel van onze FG-dienst kunnen scholen al gebruik maken van deze additionele ondersteuning op het gebied van het beoordelen van verwerkersovereenkomsten en het beheren van het verwerkingsregister. Wij willen dit nu ook beschikbaar stellen aan schoolbesturen en andere organisaties die geen FG-dienst afnemen. Zie bijgaande flyer voor een workflow waarmee we uw organisatie kunnen ontzorgen.

Uiteraard sluiten we hierbij aan bij de landelijke initiatieven zoals de ondertekendienst van Kennisnet, waarmee leveranciers de overeenkomst aan scholen kunnen aanbieden en ook het initiatief van SIVON en het IBP-netwerk om overeenkomsten te controleren (op landelijk niveau).

Inmiddels heeft Privacy op School al meer dan 400 overeenkomsten voor schoolbesturen beoordeeld en zien we toe op meer dan 150 verwerkingsregisters in het onderwijs, dus we weten ook welke verwerkingen en applicaties extra aandacht behoeven. Ondanks het model van het privacyconvenant, wijken sommige partijen nog bewust af van dit model, zonder goede onderbouwing. Met name de bijlagen waarin o.a. is beschreven welke persoonsgegevens worden verwerkt, voor welk doel en hoe de beveiliging is geregeld, verdienen de nodige aandacht. Deze worden niet altijd goed ingevuld of er worden meer persoonsgegevens verwerkt dan noodzakelijk voor het doel. Hopelijk kunnen we via SIVON en het IBP-netwerk van Kennisnet de krachten bundelen om gezamenlijk het gesprek met leveranciers te voeren over de benodigde aanpassingen in de overeenkomst.

Op deze manier kan het onderwijs alsnog voldoen aan de wettelijke verplichtingen, veilig gebruik maken van applicaties en zich vooral bezighouden met het onderwijs.