Druk op een onderwerp,
en kijk onder voor het antwoord.
- Moet de stichting verwerkersovereenkomsten afsluiten voor medewerkers?
- Bibliotheek op school
- Verwerkingsovereenkomst Ouderraad/ oudervereniging
- Hoe gaan we om met externen die werken met leerlingen onder schooltijd?
Vraag:
Moet de stichting alleen voor leerlingen verwerkersovereenkomsten afsluiten of ook voor medewerkers?
Antwoord:
Met alle leveranciers die persoonsgegevens gaan verwerken dient een verwerkersovereenkomst afgesloten te worden. Dit geldt zowel voor leerlinggegevens als voor medewerkersgegevens.
(Bron: Kennisnet, 2019).
Vraag:
Mag de school gegevens uitwisselen met de bibliotheek en moet hiervoor een verwerkersovereenkomst worden afgesloten?
Antwoord:
Bij ‘de Bibliotheek op school’ is er sprake van een samenwerking tussen onderwijs en bibliotheek. Deze samenwerking met de bibliotheek draagt bij aan de wettelijke onderwijstaak van de school. Gesteld kan worden dat dit een grondslag oplevert voor artikel 6 uit de wet AVG; het bevorderen van leesvaardigheid, taalkennis en mediawijsheid. De school kan de toegang tot leesboeken zelf organiseren maar kan dit ook deels uitbesteden aan de bibliotheek. Op die manier wordt de bibliotheekverwerker voor de school, waarbij leerlinggegevens worden opgenomen in de toepassing SchoolWise. Uiteraard mogen er niet meer gegevens worden uitgewisseld dan noodzakelijk is voor het doel.
Iets anders is als ouders besluiten dat hun kind lid wordt van de bibliotheek (al dan niet op aanraden van school); in dat geval wordt de bibliotheek zelf verwerkingsverantwoordelijk en zit de school daar niet tussen.
Soms komt het voor dat consulenten van de bibliotheek aanwezig zijn op school en een ‘gastles’ geven. Van belang is dat deze consulent geen gegevens over de leerlingen vastlegt.
Vraag:
Hoe zit het met de ouderraad/oudervereniging?
Antwoord:
Allereerst is het belangrijk om te kijken of de ouderraad verwerkingsverantwoordelijke of verwerker is. Dit hangt af van de taken en verantwoordelijkheden van de oudervereniging.
De school en oudervereniging als verwerkingsverantwoordelijken
Zowel de school als de oudervereniging zijn beide verwerkingsverantwoordelijken wanneer beide het doel en de middelen van de verwerking zelf bepalen.
Wanneer de oudervereniging fungeert als ondersteuning voor de school en zelf allerlei activiteiten organiseert, waaronder wellicht het innen van de vrijwillige ouderbijdrage, dan zijn zowel de school als de oudervereniging verwerkingsverantwoordelijken.
Vanwege de eigen verantwoordelijkheid is in dat geval een verwerkersovereenkomst niet nodig. Niettemin kiezen we er binnen onze stichting voor om een verwerkersovereenkomst op te stellen. We doen dit om de privacy te waarborgen.
Drie aandachtspunten:
- Doorgeven van gegevens: het is geoorloofd dat de school contactgegevens doorsluist naar de oudervereniging.
- Dataminimalisatie: De vraag is wel om welke gegevens het gaat. Het is belangrijk om na te gaan of een oudervereniging bepaalde gegevens echt nodig heeft of doorgespeeld moet krijgen, zoals betaalgegevens. Deze gegevens zou de oudervereniging ook zelf op kunnen vragen.
- Informatieplicht: De school moet de betrokkenen informeren, bijv. in de privacyverklaring, dat gegevens worden doorgegeven aan de oudervereniging om de school te ondersteunen in haar onderwijstaak. Ook de oudervereniging heeft deze informatieplicht.
De school als verwerkingsverantwoordelijke en oudervereniging als verwerker
Bovenstaande situatie kan zich ook voordoen. Het zou zo kunnen zijn dat de oudervereniging weinig vrijheid heeft in het organiseren en uitvoeren van haar taken. Met andere woorden: de oudervereniging functioneert alleen als uitvoerend orgaan van de school.
De school kan de oudervereniging bijvoorbeeld alleen de opdracht geven om de ouderbijdragen te innen. Dan kan de oudervereniging ook verwerker zijn. De school bepaalt dan het doel en de middelen van de verwerking, de oudervereniging voert het slechts uit. In dat geval is een verwerkersovereenkomst nodig! Ook dan geldt de informatieplicht voor school als oudervereniging.
Download:
Verwerkersovereenkomst Ouderraden
Verwerkersovereenkomst Oudervereniging
Voorbeeldbericht: ouders informeren mbt afgesloten verwerkingsovereenkomst met de OV/OR.
Pas (indien nodig) onderwerp en doel aan van de verwerking aan.
Vraag:
Hoe gaan we om met externen die werken met (zorg) leerlingen onder schooltijd?
Antwoord:
De school stelt het doel (onderwijs/zorgbegeleiding) en de middelen (Parnassys, bepaalde server waarop wordt gewerkt) van de verwerking van de persoonsgegevens van de (zorg)leerling vast. De externe verwerkt vervolgens ten behoeve van de school persoonsgegevens van de (zorg)leerling.
Als de externe niet ondergeschikt is aan de opdrachtgever, dan is de externe een verwerker en moet er een verwerkingsovereenkomst worden gesloten.
Als de externe wél ondergeschikt is aan de school, dan valt die onder de verantwoordelijkheid van de school (en is de externe dus ook geen verwerker).
Wat is belangrijk:
Wat staat er in de overeenkomst die is afgesloten met de externe? Wie is de opdrachtgever en wat is de beschreven opdracht?
Blijkt daaruit dat de externe met de uitvoering van zijn werkzaamheden niet ondergeschikt is aan de opdrachtgever? – dit wordt vaak zo afgesproken met het oog op voorkomen van verkapt dienstverband (fiscale wetgeving) – dan is de conclusie:
externe is verwerker en een verwerkersovereenkomst is nodig.
Blijkt echter dat de externe in de uitvoering van zijn taken toch ondergeschikt is aan de opdrachtgever, bijvoorbeeld de MOSA-groep? Dan is de externe geen verwerker en hoef je geen verwerkersovereenkomst te sluiten.
Bij enige twijfel neem contact op: (Privacy en security Officer, A. Verwijst).