Hoe zit het met verwerkersovereenkomsten binnen samenwerkingsverbanden

Door middel van wetgeving over Passend Onderwijs en Voortijdig Schoolverlaten stimuleert de overheid  onderwijsinstellingen om de problematiek rondom deze twee thema´s aan te pakken.

Om dit te goed te kunnen doen zullen de onderwijsinstellingen elkaar op de hoogte moeten houden over waar leerlingen/studenten zich hebben aangemeld, zodat er monitoring kan plaatsvinden en indien nodig tijdig worden ingegrepen. Dit wordt vaak binnen regionale samenwerkingsverbanden van onderwijsinstellingen georganiseerd. Ook gemeentes kunnen deel uitmaken van deze samenwerkingsverbanden. Dat betekent dat binnen een samenwerkingsverband over deze gegevensuitwisseling onderling goede afspraken moeten worden vastgelegd over verantwoordelijkheid en veiligheid van de persoonsgegevens.

 

De onderwijsinstellingen kunnen er voor kiezen om deze gegevensuitwisseling te laten verlopen via een verwerker. Intergrip BV biedt hiervoor een aantal producten aan in de vorm van verschillende overstapmodules (PO-VO / Overstap PvE / VO-MBO) om overstappers in het onderwijs te kunnen monitoren: zij hebben op dit moment 80% van alle overstappers in beeld (lees gegevens hiervan opgeslagen). Tegelijk bieden deze modules mogelijkheden om leerlingdossiers aan elkaar over te dragen. Ook deze -vaak bijzondere- persoonsgegevens moeten goed worden beschermt.

Onderwijsinstellingen mogen op basis van de wet met elkaar gegevens uitwisselen rondom de aanmeldingen. De gegevens over studenten en leerlingen worden met hun toestemming en in geval van minderjarigheid ook met toestemming van de ouders via de systemen van Intergrip aan elkaar doorgegeven.

Voor alle onderwijsinstellingen moeten de volgende zaken duidelijk worden en in deze volgorde:

  1. Wie is de verwerkingsverantwoordelijke?
  2. Mag het BSN-nummer hiervoor gebruikt worden?
  3. Heeft Intergrip zijn beveiliging op orde?

Ad1.

De onderwijsinstellingen zijn verantwoordelijk: vanwege de zorgplicht (Artikel 27b Wet op het voortgezet onderwijs) en recht op toelating (Artikel 8.0.1 Wet educatie en beroepsonderwijs en Artikel 8.0.3 Wet educatie en beroepsonderwijs)

Als onderwijsinstellingen binnen een samenwerkingsverband er voor kiezen om de uitwisseling via een verwerker te laten verlopen, dan moeten hierover binnen het samenwerkingsverband goede afspraken gemaakt worden. Een samenwerkingsverband (ook al is zij een rechtspersoon) kan deze verantwoordelijkheid nooit overnemen, omdat zij volgens de wet niet gerechtigd is om het BSN-nummer te gebruiken. (https://passendonderwijsenprivacy.nl/#!/content/58)

De volgende oplossingen hiervoor zijn mogelijk:

1a. Alle onderwijsinstellingen werken samen in een samenwerkingsverband (als er geen rechtspersoon is opgericht). Ze zijn samen verantwoordelijk en er is 1 penvoerder. In een convenant moet dan een opdracht (mandaat) staan van alle verantwoordelijken aan de penvoerder om namens alle verantwoordelijke onderwijsinstellingen een verwerkersovereenkomst te tekenen met een verwerker.

1b. Alle onderwijsinstellingen werken samen in een samenwerkingsverband (als er geen rechtspersoon is opgericht). In een convenant staat dan dat alle onderwijsinstellingen Intergrip gebruiken om gegevens uit te wisselen en iedere onderwijsinstelling tekent afzonderlijk een verwerkersovereenkomst (en desnoods een apart contract met Intergrip)

2. Als er in het kader van het samenwerkingsverband wel een rechtspersoon is opgericht. Die moet dan de taak hebben die de partijen ook hebben bij punt 1a hiervoor. Je kunt er ook voor kiezen dat de organisatie/rechtspersoon aangewezen wordt als verwerker die afspraken maakt met alle verantwoordelijken (1 op 1), en dan een verwerkersovereenkomst sluit met een verwerker.

Omdat een samenwerkingsverband niet als verwerkingsverantwoordelijke kan optreden, lijken de opties 1a en 1b het meest voor de hand te liggen als te kiezen oplossing.

Ad2:

Zolang de onderwijsinstellingen in deze uitwisseling optreden als verantwoordelijke mag het BSN-nummer gebruikt worden In dit proces is er sprake van gegevensuitwisseling tussen twee verantwoordelijken en bij uitwisseling tussen onderwijsinstellingen mag het BSN-nummer gebruikt worden. (https://maxius.nl/wet-op-het-voortgezet-onderwijs/artikel103b/lid7) en https://maxius.nl/wet-educatie-en-beroepsonderwijs/artikel2.5.5a/lid9)

In opdracht van de verwerkingsverantwoordelijke, die gerechtigs is het BSN te gebruiken, mag een verwerker ook het PGN/BSN gebruiken. Uiteraard onder de gebruikelijke beveiligingseisen die bij het verwerken van bijzondere persoonsgegevens horen.

De discussie of een MBO-school het BSN-nummer mag voeren voordat de leerling definitief is ingeschreven, is achterhaald: Artikel 8.0.3 Wet educatie en beroepsonderwijs Bij aanmelding moet volgens de het BSN-nummer opgegeven worden.

Het  BSN-nummer wordt niet meer gebruikt bij de registratie (er wordt tegenwoordig om een ISN-nummer gevraagd). Dit ISN-nummer komt uit het systeem van Intergrip en wordt verstrekt door de onderwijsinstellingen aan de leerlingen. Het BSN-nummer wordt alleen nog gebruikt in de overdrachtsdossiers en niet meer in de producten die daar niets mee te maken hebben.

In de meeste gevallen krijgt een leerling/student een ISN-nummer van de onderwijsinstelling, maar studenten die zich aanmelden en niet bekend zijn in het systeem (omdat zijn bijvoorbeeld vanuit een werkende situatie komen) krijgen soms wel de opdracht om een doorstroomdossier aan te maken in Intergrip en zich te registreren. Dat kan, maar dan wordt Intergrip gebruikt als een soort digitale aanmelding, omdat uiteindelijk de gegevens van die leerling doorgesluisd worden naar het studentenadministatiesysteem. In dat geval wordt wel om het BSN-nummer gevraagd. De vraag is of deze mogelijkheid om een aanmelding te laten verlopen via het Intergrip het totale proces rondom aanmelding kwetsbaarder maakt voor fouten.

Ad 3:

Tot slot de beveiligingsrisico’s: Intergrip neemt security en privacy zeer serieus, maar een aantal zaken zijn nog niet op het niveau van een partij die zoveel (bijzondere) persoonsgegevens van onze leerlingen en studenten verwerkt.

  • Ze zijn niet in bezit van certificaten op het gebied van informatiebeveiliging en privacy.
  • Ondanks dat ze gegevens verwerken waarbij sprake is van hoge vertrouwelijkheid, is 2factor-authentication nog niet mogelijk (wordt wel aan gewerkt).
  • Wanneer hebben ze hun security-test gedaan en voor het laatst een audit gehad? (de laatst bekende is van 20 april 2016)
  • Is Privacy by Default gewaarborgd met het gebruik van vrije velden (de inhoud van deze velden worden -volgens de audit- halfjaarlijks vastgesteld met projectleiders in de regio’s) -> dat zou kunnen betekenen dat per half jaar de privacybijlage aangepast moet worden: onduidelijk is nu wat er allemaal aan persoonsgegevens nog meer wordt vastgelegd naast de standaardvelden.
  • Heeft Intergrip ondertussen een goedgekeurd beveiligingsbeleid en waar wordt die gecommuniceerd?
  • Handelt Intergrip autorisatieverzoeken af via de Helpdesk?

Het advies van Kennisnet en MBO Raad is: niet tekenen voordat de volgende zaken binnen het samenwerkingsverband duidelijk zijn:

  • Is het niet in bezit zijn van certificaten op het gebied van informatiebeveiliging en privacy acceptabel voor ons als onderwijsinstellingen?
  • Is het werken zonder 2factor-authentication voor ons als onderwijsinstellingen acceptabel?
  • Hebben we voldoende duidelijkheid over hoe Intergrip zijn informatiebeveiliging heeft geregeld (inzage beleid en audits?)
  • Is er duidelijkheid over wat er in de vrije velden wordt opgeslagen aan (bijzondere) persoonsgegevens?
  • Wie voert de regie over de autorisatie?
Categorieën Verwerkersovereenkomsten
Reacties (0)
Geef een reactie