Bijlage II – Verwerkersovereenkomst Vensters PO

Bijlage II – Verwerkersovereenkomst Vensters PO

Versie 19 november 2019

Deze verwerkersovereenkomst is een bijlage bij de Deelnameovereenkomst, tevens overeenkomst in de zin van artikel 28 lid 3 van de Algemene Verordening Gegevensverwerking (“AVG”) (hierna: “de Verwerkersovereenkomst”).

Door akkoord te gaan met de Deelnameovereenkomst gaan (het bevoegd gezag van) het schoolbestuur en haar personeel zoals leerkrachten (lees: de “gebruiker(s)”) akkoord met deze Verwerkersovereenkomst. De in deze Verwerkersovereenkomst gebruikte termen komen overeen met de terminologie uit de AVG.

Onder “schoolbestuur” dient in deze bijlage ook de school of scholen te worden verstaan die door het schoolbestuur worden vertegenwoordigd.

1. Onderwerp en verplichtingen over en weer

1. Onderwerp: met Xxxxxxxx PO kunnen de schoolbesturen – waaronder hun personeel zoals leerkrachten – persoonsgegevens verwerken. Hiermee kunnen zij inzicht verkrijgen in informatie zoals diverse statistieken en indicatoren. Daarnaast kunnen zij met Xxxxxxxx PO geanonimiseerde gegevens publiceren op de publieke website Scholen op de Kaart.

2. Verantwoordelijkheid: het schoolbestuur en diens gebruikers, zoals de leerkrachten, gelden als verwerkingsverantwoordelijken voor de ‘verwerking’ (lees: het gebruik) van de gegevens over de leerlingen in Vensters PO en voor het aggregeren van gegevens ten behoeve van Scholen op de Kaart.

3. De PO-Raad: de PO-Raad verwerkt als sectorraad persoonsgegevens ten behoeve van het schoolbestuur en diens gebruikers. Dit doet de PO-Raad uitsluitend op basis van instructies van het schoolbestuur en diens gebruikers. In dat kader geldt de PO-Raad alsverwerker.

2. Persoonsgegevens en verwerkingen

1. Aard en doeleinden: Vensters PO is een digitaal (verantwoordings)instrument voor het verkrijgen van inzichten gerelateerd aan het basisonderwijs, speciaal basisonderwijs of het (voortgezet) speciaal onderwijs.

Met Vensters PO kan in samenhang de verschillende aspecten van de kwaliteit van het schoolbestuur worden getoond. Dit zorgt onder meer voor gesprekken tussen alle betrokken partijen over de onderwijskwaliteit en voor kwaliteitsbenchmarking ten behoeve van het onderwijs.

Vensters PO kan momenteel ook:

• worden benut ter bevordering van kansengelijkheid van leerlingen, door het inzichtelijk maken van over- en onderadvisering;

• gegevens publiceren voor de website Scholen op de Kaart voor verantwoording in het onderwijs;

• gegevens verwerken ter verbetering van het primaire proces van het schoolbestuur en diens gebruikers door het tonen van betrouwbare informatie over het schoolbestuur en andere schoolbesturen;

• het schoolbestuur en diens gebruikers zoals leerkrachten, maar ook leerlingen, ouders, voogden en de PO-Raad in staat te stellen keuzes te maken rond advisering, plaatsing en begeleiding van leerlingen bij de aansluiting tussen primair en voortgezetonderwijs.

Vensters PO kan in de toekomst door de PO-Raad uitgebreid of verbeterd worden met andere modules en (online) platformen die technisch en inhoudelijk onder Vensters PO vallen. Deze uitbreidingen of verbeteringen kunnen door de PO-Raad worden aangeduid met “Vensters PO” of, in voorkomende gevallen, met andere aanduidingen. Voor zover hiermee persoonsgegevens

worden verwerkt, is op een dergelijke uitbreiding of verbetering deze Verwerkersovereenkomst van toepassing.

2. Soort gegevens: de persoonsgegevens die in Vensters PO worden verwerkt zijn oorspronkelijk geregistreerd door het schoolbestuur en diens gebruikers in het kader van de onderwijstaak. Ook kunnen met behulp van Vensters PO gegevens over uw personeel – m.n. vertrouwenspersonen – worden verwerkt, zoals contactgegevens. Naast gewone gegevens over leerlingen gaat het, voor zover de wet dat toestaat, om:

• Gevoelige gegevens: zoals gegevens over de leerprestaties van een leerling;

• Bijzondere persoonsgegevens: m.n. gezondheidsgegevens over leerlingen voor zover de verwerking hiervan noodzakelijk is met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hungezondheidstoestand.

4. Categorieën van betrokkenen: de betrokkenen zijn leerlingen in het basisonderwijs, speciaal basisonderwijs of het (voortgezet) speciaal onderwijs. Daarnaast zijn betrokkenen personeelsleden van uw school of scholen, waaronder begrepen ingehuurd externpersoneel.

5. Publicatie van geaggregeerde gegevens op Scholen op de Kaart: het is voor een gebruiker van Vensters PO mogelijk om gegevens over het schoolbestuur te publiceren op dewebsite “Scholen op de Kaart”. Hiervoor kunnen geaggregeerde gegevens over leerlingen worden gebruikt. De gegevens zijn in principe niet (meer) te herleiden tot individuele leerlingen.

6. Mate van zeggenschap van de PO-Raad: het schoolbestuur en diens gebruikers stemmen ermee in dat de PO-Raad zelfstandig maatregelen mag uitvoeren met het oog op netwerk- en informatiebeveiliging. Daarnaast stemmen het schoolbestuur en diens gebruikers ermee in dat de PO-Raad zelfstandig persoonsgegevens, al dan niet geanonimiseerd, verder mag verwerken als de nodige voorzieningen zijn getroffen om te verzekeren dat de persoonsgegevens uitsluitend worden verwerkt in lijn met de AVG en als deze verdere verwerking past binnen de doelstellingen van de PO-Raad. Bovendien stemmen het schoolbestuur en diens gebruikers ermee in dat de PO-Raad gegevens, waaronder persoonsgegevens, van derden mag ontvangen en mag verwerken ten behoeve van de doelstellingen van de Vensters PO en/of de schoolbesturen. Al voorgenoemde verwerkingen vinden plaats als onderdeel van de instructies van de schoolbesturen en/of diens gebruikers. Daarmee behoudt de PO-Raad de rol van verwerker.

7. Verwerking binnen Nederland en derden: de PO-Raad verwerkt de persoonsgegevens in principe in Nederland en niet buiten de Europese Economische Ruimte. De PO-Raad verstrekt geen persoonsgegevens aan derden, tenzij een op de PO-Raad van toepassing zijnde wettelijk voorschrift haar tot verstrekking verplicht. In dat geval stelt de PO-Raad – voorafgaand aan de verstrekking – het schoolbestuur en diens gebruikers in kennis van dat wettelijk voorschrift, tenzij deze kennisgeving verboden is om gewichtige redenen van algemeen belang.

8. Duur: de persoonsgegevens worden verwerkt door de PO-Raad voor een periode gelijk aan de duur van de Deelnameovereenkomst. Indien om welke reden dan ook de Deelnameovereenkomst eindigt, dan eindigt ook deze Verwerkersovereenkomst maar blijven de noodzakelijke verplichtingen doorlopen over de rechten van leerlingen (artikel 6) en omgang met persoonsgegevens na beëindiging (artikel 8).

3. Controle

1. Toezicht: het schoolbestuur en diens gebruikers kunnen met behulp van audits toezien op de naleving van de waarborgen die zijn opgenomen in de AVG en deze Verwerkersovereenkomst. Indien het schoolbestuur en diens gebruikers een audit wensen uit te (laten) voeren, dan informeren zij de PO-Raad per e-mail tijdig voorafgaand aan de voorgenomen inspectie, doch niet later dan vier weken van tevoren. Het schoolbestuur draagt de kosten van deaudits.

2. Informatieverstrekking: op verzoek van het schoolbestuur en diens gebruikers stelt de PO-Raad alle informatie ter beschikking die nodig is om de nakoming van de AVG-verplichtingen aan te tonen.

4. Vertrouwelijkheid

1. Vertrouwelijkheid: de PO-Raad waarborgt dat haar personeel vertrouwelijkheid in acht neemt ten aanzien van de persoonsgegevens. Hiervoor heeft de PO-Raad contractuele geheimhoudingsplichten opgelegd aan de personeelsleden die Vensters PO beheren .

5. Beveiliging en datalekken

1. Beveiligingsmaatregelen: de PO-Raad heeft diverse maatregelen getroffen om onrechtmatige toegang tot persoonsgegevens mogelijk tegen te gaan. Zo wordt Vensters PO aangeboden via een beveiligde verbinding. Ook wordt het schoolbestuur in staat gesteld om via Vensters PO zelf de toegang tot Vensters PO te beheren in relatie tot haar gebruikers. Hierdoor blijft de toegang tot de persoonsgegevens beperkt tot bevoegde personen. Daarnaast gebruikt de PO-Raad technisch partner(s) die als subverwerker(s) kunnen optreden. Deze partner(s) zijn via overeenkomsten gebonden aan dezelfde verplichtingen voor gegevensbescherming als de verplichtingen die gelden voor de PO-Raad zoals genoemd deze Verwerkersovereenkomst.

2. Informeren over beveiligingsinbreuken en datalekken: de PO-Raad zal het schoolbestuur en diens gebruikers zonder onredelijke vertraging informeren over geconstateerde beveiligingsinbreuken en datalekken. In dat geval vermeldt zij, voor zover mogelijk, informatie over: de (vermeende) aard en oorzaak van de beveiligingsinbreuken en datalekken; het (waarschijnlijke) gevolg van de beveiligingsinbreuken en datalekken; eventuele (voorgestelde) oplossingen en, indien van toepassing, wat de door de PO-Raad ondernomen maatregelen zijn om de nadelige gevolgen te beperken van de beveiligingsinbreuken en datalekken.

Voor het invullen van deze informatieplicht gebruikt de PO-Raad het e-mailadres van het schoolbestuur zoals dat bij haar bekend is.

In het geval van beveiligingsinbreuken en datalekken kunnen het schoolbestuur en diens gebruikers bij de PO-Raad de status hiervan opvragen via het e-mailadres xxxxxxxx@xxxxxx.xx.

3. Melding door het schoolbestuur en diens gebruikers: als het schoolbestuur en diens gebruikers eerder dan de PO-Raad beveiligingsinbreuken en datalekken constateren in verband met Xxxxxxxx PO, dan informeren zij de PO-Raad hierover via het e-mailadres xxxxxxxx@xxxxxx.xx. Het schoolbestuur en diens gebruikers hanteren hierbij dezelfde informatieverplichtingen die de PO-Raad heeft.

6. Rechten van betrokkenen

1. Behandeling verzoeken: als een betrokkene, zoals een leerling (en/of diens ouder/voogd) of een leerkracht, zich richt tot de PO-Raad met een AVG-verzoek – bijvoorbeeld een inzageverzoek of een verzoek tot wissing van persoonsgegevens – dan zal de PO-Raad de betrokkene doorverwijzen naar het schoolbestuur dat als verwerkingsverantwoordelijke optreedt jegens de betrokkene. Het schoolbestuur handelt dan het AVG-verzoek af.

2. Medewerkingsplicht: de PO-Raad verleent zoveel mogelijk bijstand aan het schoolbestuur en diens gebruikers bij de afhandeling van AVG-verzoeken van leerlingen (en/of diens ouder/voogd).

Het schoolbestuur en diens gebruikers begrijpen dat de persoonsgegevens die de PO-Raad niet rechtstreeks van het schoolbestuur en diens gebruikers ontvangt, niet met terugwerkende kracht kan corrigeren. Als gevolg hiervan kunnen het schoolbestuur en diens gebruikers de gepubliceerde gegevens op Scholen op de Kaart toelichten – bijvoorbeeld met betrekking tot het (in)correcte karakter van de gegevens – maar niet aanpassen.

7. Inschakeling onderaannemer (‘Subverwerker’)

1. Subverwerker(s): de PO-Raad kan voor de verwerking van persoonsgegevens in het kader van Xxxxxxxx PO één of meer technische partners inschakelen die als subverwerkers optreden. Deze partners kunnen ondersteuning bieden, bijvoorbeeld bij het telefonisch of per e-mail contact opnemen met gebruikers over het vullen van indicatoren, het informeren over nieuwe

functionaliteiten en/of voor het bieden van ondersteuning bij het verstrekken van gegevens aan derden via Vensters PO. Een door de PO-Raad ingeschakelde subverwerker zal altijd gevestigd zijn in een land dat onderdeel is van de Europese Economische Ruimte (“EER”).

2. Instemming met subverwerker(s): door akkoord te gaan met deze Verwerkersovereenkomst, stemmen het schoolbestuur en zo nodig diens gebruikers in met het gebruik van in de EER gevestigde subverwerkers voor het technisch faciliteren van Xxxxxxxx PO en de verwerkingen van persoonsgegevens die daarvoor nodig zijn. De PO-Raad zal het schoolbestuur inlichten over eventuele toekomstige toevoegingen of vervangingen van subverwerkers als deze veranderingen ertoe zullen leiden dat er sprake is van een lager niveau van gegevensbescherming. In dat geval wordt het schoolbestuur de mogelijkheid geboden tegen deze veranderingen bezwaar te maken.

8. Omgang met persoonsgegevens na beëindiging toegang Vensters PO

1. Gegevenswissing of terugbezorging: na afloop, ontbinding of opzegging van de Deelnameovereenkomst zal – naar keuze van het schoolbestuur – de PO-Raad alle persoonsgegevens wissen of aan het schoolbestuur terugbezorgen, tenzij opslag van de persoonsgegevens wettelijk is verplicht. Het schoolbestuur draagt hierbij de redelijke kosten voor wissing of terugbezorging als deze verwerkingen naar inschatting van de PO-Raad onevenredig veel inspanning kosten.

2. Anonimiseren na afloop: het schoolbestuur en diens gebruikers stemmen ermee in dat, in overleg met de PO-Raad, de persoonsgegevens na afloop van de Deelnameovereenkomst geanonimiseerd of anderszins bewaard kunnen worden bij de PO-Raad en/of de technisch partner(s) die als subverwerker(s) kunnen optreden.

Laatste update van dit document: 19 november 2019

***