Versions Compared

Version Old Version 109 New Version 110
Changes made by

Koen Voermans

Koen Voermans

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • Leveranciers beschikken allebei over een geldige en door het Onderwijsbestuur ondertekende verwerkersovereenkomst.

  • Leveranciers zijn als Verwerker gebonden aan de afspraken zoals vastgelegd in de verwerkersovereenkomst en dienen daarnaast te voldoen aan de AVG. De implicatie hiervan is dat alleen de persoonsgegevens worden verwerkt waarvoor een leverancier ook daadwerkelijk doelbinding heeft.

    • Als voorbeeld kan een leverancier met een methode Biologie voor de onderbouw toestemming vanuit de onderwijsorganisatie hebben om gegevens uit het Administratiesysteem onderwijsdeelnemer te bevragen. De leverancier mag echter alleen de persoonsgegevens verwerken van de onderwijsdeelnemers die ook daadwerkelijk het vak Biologie volgen en in de onderbouw zitten.

    • Leveranciers treffen maatregelen om enkel deze persoonsgegevens te verwerken en beschikbaar te stellen in de eigen applicaties. De overige persoonsgegevens worden niet opgeslagen.

...

Verwerkersregister is niet verplicht, wel een optie voor Leveranciers

  • Indien een Onderwijsorganisatie fuseert of splitst dan is Onderwijsorganisatie verantwoordelijk voor het tijdig verstrekken van een nieuwe verwerkersovereenkomst aan alle Leveranciers die ook in de nieuwe Onderwijsorganisatie een verwerkersovereenkomst dienen te hebben.

Optioneel kunnen Leveranciers gebruik maken van het Verwerkersregister van de het Onderwijsbestuur om te controleren of de Leverancier waarmee gegevens worden uitgewisseld ook Verwerker zijn namens het Onderwijsbestuur.

Note

Verwerkersregister is niet verplicht, wel een optie voor Leveranciers

In een eerdere versie van het Architectuurkader Edu-V was er verplicht gebruik van het Verwerkersregister. Deze verplichting heeft geleid tot principiële bezwaren vanuit leveranciers.

De belangrijkste argumenten zijn:

  1. Niet aanwezig zijn van een verwerkersovereenkomst kan geen operationele blokkade zijn.

    1. Verwerkersovereenkomst kan ook ergens anders opgeslagen zijn.

    2. De huidige dekkingsgraad van verwerkersovereenkomsten is nog te laag.

  2. Het controleren van een verwerkersovereenkomst van een andere leverancier is niet de verantwoordelijkheid van leveranciers

    1. Dit is de verantwoordelijkheid van de andere leverancier en de school.

  3. Als leverancier wil ik de vrijheid hebben om de verwerkersovereenkomsten in mijn eigen applicatie te laten ondertekenen.

  4. Applicatiebeheerders die toegang hebben tot de referentiecomponent consentmanagement zijn hiertoe bevoegd door de onderwijsorganisatie. Ze hebben ook de taak om te controleren of de verwerkersovereenkomst ondertekend is. Het is dus procedureel opgelost en hoeft niet technisch opgelost te worden.

  5. Een verwerkersregister met contracten van alle leveranciers levert veel marktinformatie op één plek op. Is dat wel wenselijk?

Deze argumenten hebben geleid tot het schrappen van het verplicht gebruik maken van het Verwerkersregister. Het verwerkersregister is niet geschrapt uit het Ecosysteem om leveranciers die wel gebruik willen maken van de dienst hier toch mee te laten experimenteren.

De wettelijke verplichting voor het ondertekenen van een verwerkersovereenkomst blijft uiteraard onverminderd van toepassing.

Optioneel kunnen Leveranciers gebruik maken van het Verwerkersregister van de het Onderwijsbestuur om te controleren of de Leverancier waarmee gegevens worden uitgewisseld ook Verwerker zijn namens het Onderwijsbestuur. Hierbij gelden de volgende mogelijkheden:

  • De verwerkersovereenkomsten zijn door de Onderwijsorganisatie geregistreerd bij één leverancier die de referentiecomponent Verwerkersregister aanbiedt.

  • De door de Onderwijsorganisatie gekozen Registerhouder beschikt over de referentiecomponent Verwerkersregister en voldoet aan de van toepassing zijnde functionele, technische en operationele afspraken zoals beschreven in Activeren en deactiveren van een gegevensuitwisseling.

  • Verwerkersovereenkomsten worden in dit Verwerkersregister gespecificeerd op het niveau van Onderwijsbestuur en Leverancier. De Leverancier is Verwerker van het Verwerkersverantwoordelijke Onderwijsbestuur. De registratie geeft hiermee aan of het Onderwijsbestuur een overeenkomst heeft met Leverancier.

Info

Verschil tussen Toestemming als verwerker en Activering of consent op gegevensuitwisseling

In de verwerkersovereenkomst geeft een Onderwijsbestuur toestemming aan een Leverancier om als verwerker gegevens uit te wisselen. Dit staat niet gelijk aan een activering van een gegevensuitwisseling van een specifieke gegevenssoort voor een Onderwijsaanbieder (zie laag 4). In de registratie van de verwerkersovereenkomst hoeft hierdoor ook niet vastgelegd te worden welke gegevenssoorten er geactiveerd zijn ten behoeve van de onderwijsorganisatie.

...

Leverancier is met de referentiecomponent Consentmanagement aangesloten op het Verwerkersregister van de door de Onderwijsorganisatie gekozen Registerhouder

...

De Onderwijsorganisatie heeft de gegevensuitwisseling vanuit het Verwerkersregister naar de referentiecomponent Consentmanagement van de Verzender of Ontvanger geactiveerd. Op deze wijze kan bijvoorbeeld:

  • Leverancier controleren of een andere Leverancier een geldige registratie van een verwerkersovereenkomst heeft vanuit het Onderwijsbestuur van de Onderwijsorganisatie.

  • Bij het intrekken van een verwerkersovereenkomst door Onderwijsbestuur de Leverancier op de hoogte worden gesteld en alle gegevensuitwisselingen worden gedeactiveerd.

  • Leverancier periodiek controleren of een registratie van een verwerkersovereenkomst voor een andere Leverancier nog actief is.

...

Leverancier controleert minimaal dagelijks of zijzelf en alle aangesloten Leveranciers nog beschikken over een geldige verwerkersovereenkomst.

...

Indien een verwerkersovereenkomst een einddatum heeft dan informeren Leveranciers hun Applicatiebeheerder(s) hier tijdig over. Dit stelt de Applicatiebeheerder(s) in staat om de verwerkersovereenkomst (indien gewenst) te verlengen.

  • Leveranciers sturen minimaal 60 dagen, 30 dagen, 14 dagen en 3 dagen voordat een verwerkersovereenkomst verloopt een melding naar de Applicatiebeheerder(s).

...

Indien een Onderwijsorganisatie fuseert of splitst dan is Onderwijsorganisatie verantwoordelijk voor het tijdig verlenen van toestemming aan alle Leveranciers die ook in de nieuwe Onderwijsorganisatie een verwerkersovereenkomst dienen te hebben.

  • Onderwijsbestuur is verantwoordelijk voor een overgangssituatie van minimaal 30 dagen waarin zowel de verwerkersovereenkomsten vanuit de nieuwe Onderwijsorganisatie en de oude Onderwijsorganisatie als actief zijn geregistreerd in het verwerkersregister.

  • Leveranciers zijn verantwoordelijk voor het actualiseren van de registraties binnen de overgangssituatie zodat gegevensuitwisselingen die geactiveerd zijn blijven werken.

...

Indien een Onderwijsorganisatie de intentie heeft om een verwerkersovereenkomst in te trekken, en als gevolg hiervan alle gegevensuitwisselingen te deactiveren dan trekt het Onderwijsbestuur de registratie van de verwerkersovereenkomst voor een Leverancier in. Leveranciers deactiveren vervolgens alle geactiveerde gegevensuitwisselingen voor de onderliggende Onderwijsaanbieders.

...

die wel gebruik willen maken van de dienst hier toch mee te laten experimenteren.

De wettelijke verplichting voor het ondertekenen van een verwerkersovereenkomst blijft uiteraard onverminderd van toepassing.

Vertrouwelijke gegevens waarvoor de Onderwijsorganisatie Verwerkersverantwoordelijke is kunnen na deze laag veilig uitgewisseld worden door Leveranciers die als verwerker toestemming hebben gekregen van een verwerkersovereenkomst hebben getekend met het Onderwijsbestuur.

...

Release notes

...