U bent hier

Hoe borgt u de privacy van leerlingen en personeel?

Voor veel leermiddelen, toetsen, volgsystemen, roostering, absentiemeldingen en financiële administratie gebruiken scholen software. Handig en gemakkelijk. Maar onlangs deed het Europese Hof van Justitie een belangrijke uitspraak over de veiligheid van digitale persoonsgegevens wanneer deze zijn opgeslagen in Amerika. Daar kunt u als schoolorganisatie ook zomaar mee te maken hebben. 

Is de privacy van de leerlingen en het personeel waarvoor de school verantwoordelijk wel voldoende gewaarborgd? Weet u waar de gegevens van docenten en leerlingen in bijvoorbeeld absentieoverzichten, roosters of leerling administratiesystemen worden opgeslagen, hoe lang dit gebeurt en wie er bij deze gegevens kunnen komen? Vaak is het antwoord op deze vragen dat de gegevens ergens ‘in de cloud’ staan, maar wat houdt die cloud in en waar is die cloud? Belangrijker nog: wie hebben allemaal toegang tot deze cloud en hoe gemakkelijk kan hierop worden ingebroken? 

Maakt u gebruik van Amerikaanse servers?

Het is verstandig na te gaan of ook uw school via softwareleveranciers gebruikmaakt van Amerikaanse servers. Blijkt dit het geval dan kunt u aan deze leveranciers vragen hoe zij zorgen voor een passend niveau van bescherming van de persoonsgegevens. Wellicht blijkt dat aanvullende eisen aan de genomen beschermingsmaatregelen nodig zijn.

Wet bescherming persoonsgegevens

De bescherming van onze persoonsgegevens is geregeld in de Wet bescherming persoonsgegevens (de ‘Wbp’). Deze wet legt veel verantwoordelijkheid bij degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Dit geldt dus ook voor onderwijsinstellingen. Zo zijn onderwijsinstellingen verantwoordelijk voor het zorgen voor passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. 

De school moet dus een passend beschermingsniveau kunnen verzekeren. Als iemand schade lijdt doordat de Wbp niet wordt nageleefd, kan de school aansprakelijk worden gesteld. Dit geldt zelfs als de schade het gevolg is van de nalatigheid van degene die ten behoeve van de school persoonsgegevens verwerkt en met wie de school een contract heeft gesloten. Diegene is in dat geval zelf ook aansprakelijk.  

Privacy

Gelet op de grote verantwoordelijkheid van schoolorganisaties, kan er niet zomaar vertrouwd worden op de door de school ingeschakelde dienstverleners die voor de verwerking en/of opslag van gegevens zorgen (deze dienstverleners worden in de Wbp ‘bewerkers’ genoemd). U doet er verstandig aan om zich af te vragen of de bewerker wel voldoende maatregelen heeft genomen om het beschermingsniveau te borgen. 

Ook belangrijk is of dit niveau in de loop van de contractperiode op peil blijft naar de laatste stand van de techniek. En hoe weet u of de persoonsgegevens niet ook voor andere dan de overeengekomen doeleinden worden gebruikt en hoe lang ze worden bewaard? Heeft u controlemogelijkheden om – met behulp van een deskundige en onafhankelijke auditor – de beveiligingsmaatregelen die met de dienstverlener zijn afgesproken door deze worden nageleefd?

Bewerkersovereenkomst

De afspraken over onder andere de hier bedoelde onderwerpen – doeleinden van het gebruik van persoonsgegevens, geheimhouding, beveiligingsmaatregelen, locatie van de data, controlemogelijkheden en aansprakelijkheid, moeten goed worden vastgelegd. Dit kan in een zogenaamde ‘bewerkersovereenkomst’. 

Voor de verwerking van persoonsgegevens in verband met leermiddelen en toetsen hebben de sectorraden voor het primair en voortgezet onderwijs onlangs een convenant gesloten met leden van de brancheorganisaties van educatieve uitgeverijen, de vereniging digitale onderwijs dienstverleners en schoolleveranciers/distributeurs. Zij hebben ook een model bewerkersovereenkomst opgesteld. Dit model is te downloaden vanaf de websites van de sectorraden.

Uiteraard zijn veel contracten op het gebied van digitale dienstverlening al geruime tijd geleden gesloten. Het is goed mogelijk dat hierbij nooit een bewerkersovereenkomst is gesloten. Het is verstandig om in die gevallen alsnog een dergelijke overeenkomst te sluiten. Bij het sluiten van nieuwe contracten kan het voorkomen dat u een bewerkersovereenkomst ter ondertekening krijgt voorgelegd die meer aansprakelijkheden op u legt dan nodig of die de dienstverlener meer vrijheden gunt dan wenselijk. Het is daarom verstandig om de inhoud van deze overeenkomst te vergelijken met de rechten en plichten die uit de Wbp voortvloeien voor zowel uw organisatie als de wederpartij en zo nodig een voorstel voor een gewijzigde inhoud van de u voorgelegde bewerkersovereenkomst te doen.

Algemene voorwaarden

De bewerkersovereenkomst heeft slechts de bescherming van persoonsgegevens tot onderwerp. Een bewerkersovereenkomst wordt aangegaan omdat tussen partijen een bepaalde dienstverlening is afgesproken. Vanzelfsprekend is daarom ook de inhoud van het dienstverleningscontract van belang en met name de algemene voorwaarden van de dienstverlener die - vaak slecht gelezen -, hierop van toepassing worden verklaard. Hierin kan de aansprakelijkheid voor tekortkomingen door de dienstverlener vaak in vergaande mate worden beperkt, bijvoorbeeld in soort schade, maar ook in hoogte van het uit te keren bedrag. Ook worden hierin vaak situaties die in de risicosfeer van de dienstverlener liggen, onder ‘overmacht’ geschaard in plaats van onder ‘wanprestatie’, waarmee de aansprakelijkheid van de dienstverlener voor schade die is ontstaan door de ‘overmacht’ wordt uitgesloten. 

Het loont daarom de moeite deze voorwaarden voorafgaand aan het sluiten van een overeenkomst goed door te lezen en voorwaarden die u niet acceptabel vindt, ter discussie te stellen. Is een overeenkomst eenmaal gesloten, dan is dit te laat. 

Inkoopvoorwaarden

Met de Algemene Inkoopvoorwaarden die Verus heeft opgesteld, versterkt u uw positie als inkopende partij en vermindert u risico's. U neemt hiermee het heft in eigen handen. Ook in het geval de dienstverlener/leverancier uw inkoopvoorwaarden niet accepteert, heeft u een middel in handen waarmee u beter en gerichter kunt onderhandelen over de inhoud van bepaalde voor u niet te accepteren bepalingen in de algemene voorwaarden van uw wederpartij. Worden uw inkoopvoorwaarden wel geaccepteerd dan heeft u daardoor meer zekerheid als afspraken niet worden nagekomen, als er te laat, verkeerd of helemaal niet geleverd wordt of als de factuur hoger uitvalt dan afgesproken.

Leden van Verus krijgen deze Algemene Inkoopvoorwaarden van ons cadeau. Vraag ze hier aan! 

Contracten checken

Heeft u een bewerkersovereenkomst van uw dienstverlener ontvangen? Dan kunt u uiteraard via onze afdeling advocaten en juristen een check uit laten voeren op de inhoud. Zij hebben ervaring met het opstellen en beoordelen van overeenkomsten en spitten de ‘kleine lettertjes’ door die op een te sluiten overeenkomst van toepassing worden verklaard. Ook kunnen zij contractonderhandelingen voeren. Neem gerust contact op via 0348 74 44 48.  

Ook voor vragen over de Wet bescherming persoonsgegevens kunt u bij ons terecht. Denk aan vragen als: 

  • Wanneer moet ik de personen van wie de gegevens worden gebruikt inlichten?
  • Welke informatie moet ik verstrekken? 
  • Wanneer moet ik het College voor bescherming van persoonsgegevens informeren? 

Neem hiervoor contact op met onze gratis juridische helpdesk. Van maandag tot en met vrijdag is de helpdesk tussen 9.00-15.00 uur bereikbaar via 0348 74 44 60. Natuurlijk kunt u ook mailen naar helpdesk@verus.nl

Vragen?

Hebt u naar aanleiding van dit bericht vragen? Neem dan gerust contact op met Elise Visser

PO | VO | MBO | HBO | WO

Aanmelden voor de Verus nieuwsbrief

Iedere week het laatste nieuws uit het onderwijs