Veel gestelde vragen vanuit het netwerk IBP

Als je verwerker buiten de EU (of eigenlijk de EER) is gevestigd mag je niet zomaar persoonsgegevens uitwisselen. De eerste check is of het land van vestiging op de lijst staat van landen met een passend beschermingsniveau. Dat geldt bijvoorbeeld voor Zwitserland, Canada en Israël. Voor de VS geldt daarbij de voorwaarde dat het bedrijf zich heeft aangesloten bij het EU-US Privacy Shield. In alle andere gevallen moet je voor de uitwisseling van gegevens het Europees Modelcontract (ongewijzigd) hanteren. Let erop dat je altijd ook een verwerkersovereenkomst nodig hebt. Je kunt hiervoor gebruikmaken van de Engelstalige Modelovereenkomst die hoort bij het privacyconvenant (verwijder in dat geval art. 4).

Als je verwerker buiten de EU (of eigenlijk de EER) is gevestigd mag je niet zomaar persoonsgegevens uitwisselen. De eerste check is of het land van vestiging op de lijst staat van landen met een passend beschermingsniveau. Dat geldt bijvoorbeeld voor Zwitserland, Canada en Israël. Voor de VS geldt daarbij de voorwaarde dat het bedrijf zich heeft aangesloten bij het EU-US Privacy Shield. In alle andere gevallen moet je voor de uitwisseling van gegevens het Europees Modelcontract (ongewijzigd) hanteren. Let erop dat je altijd ook een verwerkersovereenkomst nodig hebt. Je kunt hiervoor gebruikmaken van de Engelstalige Modelovereenkomst die hoort bij het privacyconvenant (verwijder in dat geval art. 4).

Hier is veel discussie over geweest.

Ten eerste moet er een onderscheid tussen VO en MBO gemaakt worden. Voor het VO is er een afspraak met OCW en moet het CJP de passen gratis verstrekken. Om daaraan te kunnen voldoen hebben ze gegevens nodig van de scholen en zijn ze zelfstandig verantwoordelijke. En is er geen verwerkersovereenkomst nodig.

In het mbo ligt dat anders. Daar is geen sprake van een wettelijk plicht en ligt het dus anders. De MBO instelling levert een beperkte set van gegevens aan aan het CJP voor de MBO Card.  Daarbij is de instelling dus verwerkingsverantwoordelijke en het CJP de verwerker. Strict genomen is daar dus een verwerkersovereenkomst vereist. Het CJP biedt dan ook een overeenkomst, deze is gebaseerd op het convenantsmodel.

Voor hetgeen studenten zelf vervolgens aan gegevens aan het CJP afgeven is het CJP de verwerkingsverantwoordelijke.

Omdat het gaat om een beperkte set aan persoonsgegevens (waaronder geen bijzondere persoonsgegevens) zullen instellingen ook wel wegkomen zonder een verwerkersovereenkomst.

En dit jaar speelt het probleem ook nog eens voor het laatst omdat CJP heeft aangegeven volgend jaar op een andere manier de gegevens te willen gaan verzamelen, dan is het niet meer aan de orde.

In ieder geval moet het Dataregister Studenten voor het mbo nog wel aangepast worden omdat daarin nog staat dat CJP extern verantwoordelijke is.

Nee. In het kader van de AVG treedt de arbo dienstverlener op als verantwoordelijke voor de verwerking van de persoonsgegevens. Dit betekent dat een arbo dienstverlener geen verwerker is en het opstellen van een verwerkersovereenkomst om die reden niet nodig is.

In bijgaand document wordt uitvoerig ingegaan op wat de nieuwe AVG betekent voor de ARBO dienstverlening. Het document is opgesteld door Ludo Cuijpers aan de hand van een samenwerking met de Arbo Unie.

Veel organisaties zien arbodienstverleners als verwerker van hun personeelsgegevens. Toch is hun rol een andere. Als arbodienst zijn zij namelijk verantwoordelijk voor alle informatie die noodzakelijk is voor het uitvoeren van onze wettelijke taken, zoals verzuimbegeleiding, RI&E, preventief medisch onderzoek en (functie)keuringen. Dat is ook begrijpelijk als je bedenkt dat de werkgever geen inzage mag hebben in informatie over de gezondheid van zijn medewerkers. Een verwerkersovereenkomst is voor deze wettelijke taken dan ook niet nodig. Natuurlijk kunnen we wel afspraken maken met werkgevers. Dat doet een arbo dienstverlener via het vernieuwde privacyreglement. Dit dekt alles wat ook in een verwerkersovereenkomst aan bod komt.

Door middel van wetgeving over Passend Onderwijs en Voortijdig Schoolverlaten stimuleert de overheid  onderwijsinstellingen om de problematiek rondom deze twee thema´s aan te pakken.

Om dit te goed te kunnen doen zullen de onderwijsinstellingen elkaar op de hoogte moeten houden over waar leerlingen/studenten zich hebben aangemeld, zodat er monitoring kan plaatsvinden en indien nodig tijdig worden ingegrepen. Dit wordt vaak binnen regionale samenwerkingsverbanden van onderwijsinstellingen georganiseerd. Ook gemeentes kunnen deel uitmaken van deze samenwerkingsverbanden. Dat betekent dat binnen een samenwerkingsverband over deze gegevensuitwisseling onderling goede afspraken moeten worden vastgelegd over verantwoordelijkheid en veiligheid van de persoonsgegevens.

De onderwijsinstellingen kunnen er voor kiezen om deze gegevensuitwisseling te laten verlopen via een verwerker. Intergrip BV biedt hiervoor een aantal producten aan in de vorm van verschillende overstapmodules (PO-VO / Overstap PvE / VO-MBO) om overstappers in het onderwijs te kunnen monitoren: zij hebben op dit moment 80% van alle overstappers in beeld (lees gegevens hiervan opgeslagen). Tegelijk bieden deze modules mogelijkheden om leerlingdossiers aan elkaar over te dragen. Ook deze -vaak bijzondere- persoonsgegevens moeten goed worden beschermt.

Onderwijsinstellingen mogen op basis van de wet met elkaar gegevens uitwisselen rondom de aanmeldingen. De gegevens over studenten en leerlingen worden met hun toestemming en in geval van minderjarigheid ook met toestemming van de ouders via de systemen van Intergrip aan elkaar doorgegeven.

Voor alle onderwijsinstellingen moeten de volgende zaken duidelijk worden en in deze volgorde:

1. Wie is de verwerkingsverantwoordelijke?
2. Mag het BSN-nummer hiervoor gebruikt worden?
3. Heeft Intergrip zijn beveiliging op orde?

Ad1.

De onderwijsinstellingen zijn verantwoordelijk: vanwege de zorgplicht (Artikel 27b Wet op het voortgezet onderwijs) en recht op toelating (Artikel 8.0.1 Wet educatie en beroepsonderwijs en Artikel 8.0.3 Wet educatie en beroepsonderwijs)

Als onderwijsinstellingen binnen een samenwerkingsverband er voor kiezen om de uitwisseling via een verwerker te laten verlopen, dan moeten hierover binnen het samenwerkingsverband goede afspraken gemaakt worden. Een samenwerkingsverband (ook al is zij een rechtspersoon) kan deze verantwoordelijkheid nooit overnemen, omdat zij volgens de wet niet gerechtigd is om het BSN-nummer te gebruiken. (https://passendonderwijsenprivacy.nl/#!/content/58)

De volgende oplossingen hiervoor zijn mogelijk:

1a. Alle onderwijsinstellingen werken samen in een samenwerkingsverband (als er geen rechtspersoon is opgericht). Ze zijn samen verantwoordelijk en er is 1 penvoerder. In een convenant moet dan een opdracht (mandaat) staan van alle verantwoordelijken aan de penvoerder om namens alle verantwoordelijke onderwijsinstellingen een verwerkersovereenkomst te tekenen met een verwerker.

1b. Alle onderwijsinstellingen werken samen in een samenwerkingsverband (als er geen rechtspersoon is opgericht). In een convenant staat dan dat alle onderwijsinstellingen Intergrip gebruiken om gegevens uit te wisselen en iedere onderwijsinstelling tekent afzonderlijk een verwerkersovereenkomst (en desnoods een apart contract met Intergrip)

2. Als er in het kader van het samenwerkingsverband wel een rechtspersoon is opgericht. Die moet dan de taak hebben die de partijen ook hebben bij punt 1a hiervoor. Je kunt er ook voor kiezen dat de organisatie/rechtspersoon aangewezen wordt als verwerker die afspraken maakt met alle verantwoordelijken (1 op 1), en dan een verwerkersovereenkomst sluit met een verwerker.

Omdat een samenwerkingsverband niet als verwerkingsverantwoordelijke kan optreden, lijken de opties 1a en 1b het meest voor de hand te liggen als te kiezen oplossing.

Ad2:

Zolang de onderwijsinstellingen in deze uitwisseling optreden als verantwoordelijke mag het BSN-nummer gebruikt worden In dit proces is er sprake van gegevensuitwisseling tussen twee verantwoordelijken en bij uitwisseling tussen onderwijsinstellingen mag het BSN-nummer gebruikt worden. (https://maxius.nl/wet-op-het-voortgezet-onderwijs/artikel103b/lid7) en https://maxius.nl/wet-educatie-en-beroepsonderwijs/artikel2.5.5a/lid9)

In opdracht van de verwerkingsverantwoordelijke, die gerechtigs is het BSN te gebruiken, mag een verwerker ook het PGN/BSN gebruiken. Uiteraard onder de gebruikelijke beveiligingseisen die bij het verwerken van bijzondere persoonsgegevens horen.

De discussie of een MBO-school het BSN-nummer mag voeren voordat de leerling definitief is ingeschreven, is achterhaald: Artikel 8.0.3 Wet educatie en beroepsonderwijs Bij aanmelding moet volgens de het BSN-nummer opgegeven worden.

Het  BSN-nummer wordt niet meer gebruikt bij de registratie (er wordt tegenwoordig om een ISN-nummer gevraagd). Dit ISN-nummer komt uit het systeem van Intergrip en wordt verstrekt door de onderwijsinstellingen aan de leerlingen. Het BSN-nummer wordt alleen nog gebruikt in de overdrachtsdossiers en niet meer in de producten die daar niets mee te maken hebben.

In de meeste gevallen krijgt een leerling/student een ISN-nummer van de onderwijsinstelling, maar studenten die zich aanmelden en niet bekend zijn in het systeem (omdat zijn bijvoorbeeld vanuit een werkende situatie komen) krijgen soms wel de opdracht om een doorstroomdossier aan te maken in Intergrip en zich te registreren. Dat kan, maar dan wordt Intergrip gebruikt als een soort digitale aanmelding, omdat uiteindelijk de gegevens van die leerling doorgesluisd worden naar het studentenadministatiesysteem. In dat geval wordt wel om het BSN-nummer gevraagd. De vraag is of deze mogelijkheid om een aanmelding te laten verlopen via het Intergrip het totale proces rondom aanmelding kwetsbaarder maakt voor fouten.

Ad 3:

Tot slot de beveiligingsrisico’s: Intergrip neemt security en privacy zeer serieus, maar een aantal zaken zijn nog niet op het niveau van een partij die zoveel (bijzondere) persoonsgegevens van onze leerlingen en studenten verwerkt.

• Ze zijn niet in bezit van certificaten op het gebied van informatiebeveiliging en privacy.
• Ondanks dat ze gegevens verwerken waarbij sprake is van hoge vertrouwelijkheid, is 2factor-authentication nog niet mogelijk (wordt wel aan gewerkt).
• Wanneer hebben ze hun security-test gedaan en voor het laatst een audit gehad? (de laatst bekende is van 20 april 2016)
• Is Privacy by Default gewaarborgd met het gebruik van vrije velden (de inhoud van deze velden worden -volgens de audit- halfjaarlijks vastgesteld met projectleiders in de regio’s) -> dat zou kunnen betekenen dat per half jaar de privacybijlage aangepast moet worden: onduidelijk is nu wat er allemaal aan persoonsgegevens nog meer wordt vastgelegd naast de standaardvelden.
• Heeft Intergrip ondertussen een goedgekeurd beveiligingsbeleid en waar wordt die gecommuniceerd?
• Handelt Intergrip autorisatieverzoeken af via de Helpdesk?

Het advies van Kennisnet en MBO Raad is: niet tekenen voordat de volgende zaken binnen het samenwerkingsverband duidelijk zijn:

• Is het niet in bezit zijn van certificaten op het gebied van informatiebeveiliging en privacy acceptabel voor ons als onderwijsinstellingen?
• Is het werken zonder 2factor-authentication voor ons als onderwijsinstellingen acceptabel?
• Hebben we voldoende duidelijkheid over hoe Intergrip zijn informatiebeveiliging heeft geregeld (inzage beleid en audits?)
• Is er duidelijkheid over wat er in de vrije velden wordt opgeslagen aan (bijzondere) persoonsgegevens?
• Wie voert de regie over de autorisatie?

Het antwoord hierop is belangrijk omdat dit bepaalt wie (eind)verantwoordelijk is en of er een verwerkersovereenkomst gesloten moet worden. Daarvoor moeten twee rollen worden bepaald:

• de verwerkingsverantwoordelijke is de partij die bepaalt wat er met de persoonsgegevens moet gebeuren en hoe dat moet gebeuren;
• de verwerker is de externe partij die de verwerking voor de verwerkingsverantwoordelijke uitvoert.

De verwerkingsverantwoordelijke bepaalt dus op welke manier de verwerker omgaat met de aan hem toevertrouwde persoonsgegevens en legt die afspraken vast in een verwerkersovereenkomst.

Onderwijsinstellingen zijn meestal de verwerkingsverantwoordelijke voor de persoonsgegevens van de studenten. Bij het uitvoeren van de werkzaamheden wordt veel gebruikgemaakt van externe partijen, zoals de leverancier van het SIS. Vaak zijn dat verwerkers, maar dat is niet altijd het geval.

Er zijn vier verschillende rolverdelingen, met elk een eigen vorm van overeenkomst:

1. De externe partij werkt onder direct gezag en toezicht van de verantwoordelijke. In dat geval volstaat een geheimhoudingsverklaring (art. 29 AVG). Bijvoorbeeld een consultant die wel toegang heeft tot persoonsgegevens, maar waarbij het verwerken van de persoonsgegevens geen onderdeel van de opdracht is.
2. De externe partij verwerkt persoonsgegevens in opdracht van de verantwoordelijke, deze bepaalt het doel en de middelen, maar de externe partij heeft bij de uitvoering van die opdracht een zekere vrijheid. In dat geval is er sprake van een verwerkersrelatie en moet er een verwerkersovereenkomst worden afgesloten (art. 28 AVG).
3. De partijen bepalen samen doel en middelen van de verwerking. Er is sprake van een samenwerking en partijen zijn gezamenlijk verantwoordelijk. In dat geval moet een (samenwerkings)overeenkomst worden afgesloten waarbinnen de afspraken en verantwoordelijkheden m.b.t. de verwerkte persoonsgegevens worden vastgelegd (art 26 AVG). Dit geldt bijvoorbeeld regionale samenwerkingsverbanden. Voor samenwerkingscolleges is die gemeenschappelijke verantwoordelijkheid trouwens in de WEB geregeld.
4. De verwerkingsverantwoordelijke verstrekt gegevens aan de externe partij, die deze gegevens vervolgens voor eigen doelen gebruikt. In dat geval is een uitwisselingsovereenkomst van toepassing. Bijvoorbeeld de busmaatschappij die in opdracht van de school studenten vervoert.

Zie ook de handreiking verwerkersovereenkomsten: wat, wie, hoe en wanneer? (MBO Raad)

Dit is een ingewikkelde vraag. Je zou zeggen dat het gaat om subbewerkers en dat de hoofdbewerker daar maar afspraken mee moet maken. Maar daar kan je ook anders tegenaan kijken. Het punt van het maken van afspraken met uitgevers door de distributeurs namens de scholen, zoals ze dat zelf stelden is niet het meest wenselijk. Weliswaar ondersteunen de distributeurs, met de beste bedoelingen, scholen door voor hen contracten af te sluiten met leveranciers. Maar het juridisch probleem daarbij is dat ze op de stoel van de bestuurder (bevoegd gezag) gaan zitten: de distributeurs besluit welke gegevens er worden uitgewisseld, én ze sommeren de uitgevers om met hen verwerkersovereenkomsten af te sluiten. De distributeur positioneert de uitgever inderdaad als een subbewerker van zichzelf. Dit sluit echter niet aan bij de werkwijze die juist in het Privacy Convenant is afgesproken: het bevoegd gezag is de verantwoordelijke, en die beschermt de privacy van leerlingen. Dat kan alleen als het bestuur zélf volledige zeggenschap heeft en houdt over de leerlinggegevens. Daarbij wordt het door de PO-Raad en VO-raad als zeer onwenselijk ervaren dat distributeurs de uitgevers als onderaannemer (subbewerker) gingen zien: de school verliest daarmee ook controle over koppelingen en mogelijk zelfs over de didactische inhoud. De distributeur heeft – wat de raden betreft – een beperkte bemoeienis met de inhoud van het onderwijs. De werkwijze van de distributeurs sluit daar niet bij aan. De distributeurs hebben hun werkwijze aangepast, maar met de toezegging dat zij niet aansprakelijk/verantwoordelijk kunnen zijn voor de leerlinggegevens die zij – in opdracht van de scholen – doorgeven aan de uitgevers. Daarom zijn er in het Edu-K overleg op bestuurlijk niveau afspraken gemaakt tussen de verschillende leveranciers van scholen. De afspraken zijn opgenomen in het Privacy Convenant 3.0. (www.privacyconvenant.nl)

Dus: een distributeur maakt geen afspraken met een uitgever, dit doet de onderwijsinstelling zelf. Aanvullingen op de bepalingen in de privacy bijsluiten bij de verwerkersovereenkomst zijn beschikbaar.