Privacy richtlijnen

Owned by Indra Henneman
Last updated: Mar 08, 2024
5 min read

Titel

Privacy richtlijnen

Status

IN ONTWIKKELING BESLUITVORMING IN BEHEER

Versie

0.0.3

Datum

21 December 2023

Auteur

Werkgroep Beheersing

Acties

Toetsen aanpassingen versie 0.0.2: KA-P EDU-K

Goedkeuren versie 0.0.9: KBO

Goedkeuren versie 0.1.0: BO

Doel van deze afspraken is om waarborgen te creëren voor de zorgvuldige omgang door Onderwijsinstellingen en Deelnemers met Persoonsgegevens die worden Verwerkt bij het gebruik van Leer- en onderwijsmiddelen.

De reikwijdte van deze afspraken strekt zich uit tot de Verwerking van Persoonsgegevens door of in opdracht van Onderwijsinstellingen bij het gebruik van Leer- en onderwijsmiddelen in https://edu-v.atlassian.net/wiki/spaces/AFSPRAKENS/pages/11370497. In het afsprakenstelsel EDU-V onderscheiden we vier classificatieniveaus voor gegevenssoorten bij de gegevensuitwisseling. Op het moment dat sprake is van deelname met een referentiecomponent die gegevenssoorten uitwisselt van classificatieniveau IV, heeft de Deelnemer zich te houden aan de volgende afspraken. De afspraken zijn niet van toepassing op eventuele Verwerkingen waarvoor Deelnemer zelf Verwerkingsverantwoordelijke is (dus voor de andere categorieën gegevensuitwisseling).

Afspraken ten aanzien van de verwerking van persoonsgegevens bij deelname in het afsprakenstelsel:

  1. Voor Verwerkingen van Persoonsgegevens in de zin van deze afspraken is de Onderwijsinstelling de Verwerkingsverantwoordelijke en de Deelnemer de Verwerker. De Onderwijsinstelling heeft en houdt zelfstandige zeggenschap over (het bepalen van) het doel en de middelen van de Verwerking van de Persoonsgegevens.

  2. Bij de rol van de Deelnemer in de hoedanigheid van Verwerker hoort dat deze de Onderwijsinstelling (voorafgaand) informeert over de Verwerkingen van Persoonsgegevens in het kader van de levering en/of het gebruik van de producten en/of dienst(en), en de keuzes die een Onderwijsinstelling daarbij heeft. Bij de rol van de Onderwijsinstelling hoort dat deze schriftelijk opdracht geeft aan de Deelnemer welke Verwerkingen van Persoonsgegevens in het kader van het gebruik van Digitale Onderwijsmiddelen worden uitgevoerd. De Deelnemer controleert of deze opdracht er ligt.

  3. Onderwijsinstellingen en Deelnemers maken bij het uitvoeren van de afspraken in het afsprakenstelsel EDU-V en in het geval sprake is van de inzet van Leer- en onderwijsmiddelen waarbij Persoonsgegevens worden Verwerkt (zie eerder), uitsluitend gebruik van de Model Verwerkersovereenkomst. Hierin zijn onder meer de vereisten van artikel 28 AVG verwerkt. Van de inhoud van de Model Verwerkersovereenkomst kan tussen deze partijen slechts schriftelijk en gemotiveerd worden afgeweken. Deelnemers zijn verplicht om bij het aangaan of vernieuwen van een verwerkersovereenkomst gebruik te maken van deze Model Verwerkersovereenkomst 4.1. Reeds afgesloten verwerkersovereenkomsten op basis van voorgaande modellen (versies 4.0 en 3.0) blijven in beginsel geldig totdat deze verwerkersovereenkomsten door partijen worden beëindigd dan wel aansluitend worden opgevolgd door een nieuwe verwerkersovereenkomst op basis van de nieuwe Model Verwerkersovereenkomst 4.1.

  4. Onderwijsinstellingen mogen Persoonsgegevens alleen Verwerken voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn daardoor leidend voor het Verwerken van Persoonsgegevens door een Deelnemer ten behoeve van de Onderwijsinstelling. De doeleinden zijn hier opgenomen zodat bij afspraken tussen de Onderwijsinstelling en de Deelnemer duidelijk is dat voor wat betreft de Verwerking van Persoonsgegevens met behulp van de te leveren producten en/of diensten, deze doeleinden voor beide partijen het uitgangspunt vormen. Daarnaast zal de Onderwijsinstelling als Verwerkingsverantwoordelijke moeten aangeven voor welke van de doeleinden zij de gegevens over Onderwijsdeelnemers wil laten verwerken met de door de Deelnemer aangeboden producten en/of diensten. Hiervoor is een mogelijkheid opgenomen in de bijlagen bij de Model Verwerkersovereenkomst. De Deelnemer controleert of deze opdracht er ligt. Verwerking van Persoonsgegevens met behulp van Leer- en onderwijsmiddelen door Onderwijsinstellingen, zoals wordt ondersteund door de Deelnemers in het afsprakenstelsel EDU-V via het naleven van de afspraken, vindt plaats ten behoeve van het verzorgen van onderwijs, waaronder het voorbereiden, uitvoeren, evalueren en ondersteunen van het onderwijs(proces) en het begeleiden en volgen van Onderwijsdeelnemers (in hun leerproces). Meer in het bijzonder vindt dergelijke Verwerking van Persoonsgegevens door Onderwijsinstellingen met behulp van Leer- en onderwijsmiddelen vooral plaats ten behoeve van:

    1. de opslag van leer- en toetsresultaten;

    2. het terugontvangen door de Onderwijsinstelling van leer- en toetsresultaten;

    3. de beoordeling van leer- en toetsresultaten om leerstof en toetsmateriaal te kunnen verkrijgen dat is afgestemd op de specifieke leerbehoefte van een Onderwijsdeelnemer;

    4. analyse en interpretatie van leer- en toetsresultaten;

    5. het kunnen uitwisselen van leer- en toetsresultaten tussen Leer- en onderwijsmiddelen;

    6. de indeling en aanpassing van roosters;

    7. het bijhouden van persoonlijke (waaronder medische) omstandigheden van een Onderwijsdeelnemer en de gevolgen daarvan voor het volgen van onderwijs;

    8. het begeleiden en ondersteunen van leerkrachten / docenten en andere medewerkers binnen de Onderwijsinstelling;

    9. de communicatie met Onderwijsdeelnemers en ouders en medewerkers van de Onderwijsinstelling;

    10. monitoring en verantwoording, met name ten behoeve van: (prestatie)metingen van de Onderwijsinstelling, kwaliteitszorg, tevredenheidsonderzoek, effectiviteitsonderzoek van onderwijs(vormen) of de geboden ondersteuning van Onderwijsdeelnemers bij passend onderwijs;

    11. het voor zover noodzakelijk en wettelijk toegestaan uitwisselen van Persoonsgegevens met Derden, waaronder:

      1. toezichthoudende instanties en zorginstellingen in het kader van de uitvoering van hun (wettelijke) taak;

      2. samenwerkingsverbanden in het kader van passend onderwijs en regionale samenwerkingen;

      3. partijen betrokken bij de invulling van stage- of leer-werkplekken;

      4. het leveren van Persoonsgegevens aan Onderwijsinstellingen in geval van overstappen tussen Onderwijsinstellingen en bij vervolgonderwijs;

      5. het in opdracht van de Onderwijsinstelling leveren van Persoonsgegevens aan een andere partij;

    12. het geleverd krijgen / in gebruik kunnen nemen van Leer- en onderwijsmiddelen conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Leverancier;

    13. het verkrijgen van toegang tot de aangeboden Leer- en onderwijsmiddelen, en externe informatiesystemen, waaronder de identificatie, authenticatie en autorisatie;

    14. de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomen van inconsistentie en onbetrouwbaarheid in de met behulp van het Leer- en onderwijsmiddel Verwerkte Persoonsgegevens;

    15. de continuïteit, verbetering en de goede werking van het Leer- en onderwijsmiddel in opdracht van de Onderwijsinstelling conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Leverancier, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen onder andere na geconstateerde fouten of onjuistheden, en het krijgen van ondersteuning;

    16. het door de Onderwijsinstelling beschikbaar kunnen stellen van (geanonimiseerde of gepseudonimiseerde) Persoonsgegevens voor wetenschappelijk onderzoek of statistische doeleinden ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling, dat wordt uitgevoerd op basis van strikte voorwaarden vergelijkbaar met bestaande gedragscodes op het terrein van onderzoek en statistiek;

    17. het door de Onderwijsinstelling voor onderzoeks- en analysedoeleinden beschikbaar kunnen stellen van geanonimiseerde Persoonsgegevens om daarmee de kwaliteit van het onderwijs te verbeteren;

    18. het beschikbaar stellen van Persoonsgegevens voor zover noodzakelijk om te kunnen voldoen aan de wettelijke eisen die worden gesteld aan Leer- en onderwijsmiddelen;

    19. het behandelen van geschillen;

    20. financieel beheer;

    21. de uitvoering of toepassing van een Unierechtelijke of lidstaatrechtelijke wettelijke bepaling of regeling.

*blauwe tekst = aanpassingen of aanvullingen tov oorspronkelijke tekst uit het Privacyconvenant

Release notes

Deze uitwerking is gebaseerd op basis van de volgende stappen:

  • 0.0.1: Versie voor bespreking in KA-P

  • 0.0.2: Versie voor publicatie

  • 0.0.3: Aanvulling met opmerking over blijven toepassen versies 3.0 en 4.0 bij punt 3