Wijzigingen in Privacyconvenant 4.0
Het is belangrijk om als verwerkingsverantwoordelijke afspraken over privacy en gegevensverwerking met verwerkers van persoonsgegevens schirftelijk vast te leggen. Hiervoor zijn modellen opgesteld, speciaal voor scholen en aanbieders van digitale leermiddelen en andere digitale producten en diensten. Dit legt een basis voor het verder in de praktijk brengen van de gemaakt afspraken.
Update
Sinds het verschijnen van de laatste modellen in 2018 zijn er nieuwe ontwikkelingen geweest. Ook is er helderheid gekomen vanuit privacy jurisprudentie over bepaalde vraagstukken die spelen. Denk daarbij bijvoorbeeld aan richtsnoeren, de AVG, de stand van de techniek en “best practices”. De verworven kennis, ervaring en samenwerking binnen Edu-K[1] heeft geleid tot een update in de vorm van nieuwe bewerkingen van het Convenant digitale onderwijsmiddelen en privacy (afgekort: het Privacyconvenant) en de daarbij horende Model verwerkersovereenkomst met bijlagen én een up-to-date versie van het Certificeringsschema: versie 4.0.
PrivacyTeam Checklist 4.0
Ook in onze nieuwsbrief van april 2022 hebben wij aandacht besteed aan het Privacyconvenant 4.0 (https://www.privacyteam.nl/privacyconvenant-4-0). PrivacyTeam heeft inmiddels aan de hand van de nieuwe versies 4.0 (het Privacyconvenant, het Model verwerkersovereenkomst en het Certificeringsschema) een handige Checklist 4.0. opgesteld. In deze Checklist 4.0 hebben wij ook aandacht besteed aan de belangrijkste veranderingen. Zo kunt u eenvoudig uw huidige documenten controleren en aanpassen naar de nieuwe standaard.
Hierbij krijgt u op efficiënte wijze antwoord op de volgende vragen:
- Zijn alle formaliteiten opgenomen in de betreffende documenten?
- Welke wijzigingen moeten nog worden doorgevoerd?
- Waar liggen de aandachtspunten?
- Welke punten zijn in de nieuwe versies aangescherpt?
Wat is er precies veranderd?
De meest in het oog springende updates in versie 4.0 zijn de verankering van het Eck-iD (KetenID), de toevoeging van een Wijzigingsbijlage (Bijlage 3) en de extra aandacht voor waarborgen bij doorgifte van persoonsgegevens buiten de EER.
Eck-iD (KetenID)
In het kader van beveiliging en controle van de verwerking van persoonsgegevens is het de bedoeling dat alleen Eck-iD wordt gebruikt. Het Eck-iD is een pseudoniem van het persoonsgebonden nummer van een leerling. Het is een unieke iD dat kan worden gebruikt, daar waar het gaat om toegang tot en het gebruik van digitale onderwijsmiddelen. Op deze manier kunnen onderwijsinstellingen persoonsgegevens delen, zonder dat deze direct herleidbaar zijn tot de betreffende leerling.
Wijzigingsbijlage (Bijlage 3)
Het is de bedoeling om zoveel mogelijk aan te sluiten bij de modellen. Aan het Model Verwerkersovereenkomst is een Wijzigingsbijlage (Bijlage 3) toegevoegd. Indien van toepassing kan in deze Wijzigingsbijlage worden aangegeven waar wordt afgeweken van de standaard. Hierbij kan de noodzaak ervan worden vermeld en een onderbouwing/de overwegingen waarom er is afgeweken van die standaard.
Doorgifte buiten de EER
Ook nieuw is de vereiste van het nemen van voldoende aanvullende maatregelen, wanneer er standard contractual clauses[2] worden gebruikt. Het gaat hierbij om doorgifte van persoonsgegevens buiten de EER. De aanscherping zit hem met name in de waarborg dat de veiligheid van de te distribueren persoonsgegevens – zowel tijdens als na de doorgifte – gelijkwaardig is aan het beschermingsniveau binnen de EER. De getroffen waarborgen voor doorgifte moeten worden beschreven in de Privacybijsluiter (Bijlage 1).
Beveiligingsbijlage (Bijlage 2)
Tot slot kan in de Beveiligingsbijlage (Bijlage 2) nu nog duidelijker worden uiteengezet a) de maatregelen om persoonsgegevens te beschermen tegen onopzettelijk of onrechtmatige vernietiging, wijziging, opslag, toegang of openbaarmaking en b) de maatregelen om de persoonsgegevens te beveiligen en de continuïteit van de middelen, het netwerk, de server en de applicatie te waarborgen.
Vindplaats
U kunt het Privacyconvenant 4.0, het Model verwerkersovereenkomst met bijlagen plus een up-to-date versie van het Certificeringsschema hier downloaden:
Downloads — Privacyconvenant onderwijs
Aanvang
Zoals aangegeven in onze nieuwsbrief van april 2022 is het advies om de oudere/vorige versies van de modellen spoedig - in ieder geval vanaf 1 augustus 2022 - te vervangen voor de nieuwste versies 4.0. Dit geldt bij het verlopen of de vernieuwing van de huidige product-, dienst- of verwerkersovereenkomst. Bij een doorlopende product- of dienstenovereenkomst dient zo spoedig mogelijk, maar uiterlijk 1 augustus 2026 overgegaan te worden naar het gebruik van versie 4.0. Tot het afsluiten van een verwerkersovereenkomst 4.0, blijft versie 3.0 uit 2018 geldig.
Let op!
Zolang de vorige versie nog in gebruik is tussen partijen, blijft deze gewoon van kracht. Wanneer er daarentegen afwijkingen zijn of discrepantie is, dan is versie 4.0 leidend.
Vragen?
- Hebt u interesse in onze PrivacyTeam Checklist 4.0?
- Hebt u hulp nodig bij het doornemen en beoordelen van uw verwerkersovereenkomsten en bijbehorende documenten?
- Of hebt u als leverancier hulp nodig bij op maat maken van de nieuwe standaard documenten?
Dan kunt u contact met ons opnemen, we helpen u graag.
[1] Edu-K is een samenwerkingsforum waar initiatiefnemers, vertegenwoordigers van scholen èn vertegenwoordigers van aanbieders van digitale leermiddelen en andere digitale producten en diensten de handen ineen hebben geslagen om privacy binnen het onderwijs te verbeteren: https://www.edu-k.nl/.
[2] Een door de Europese Commissie goedgekeurd modelcontract in het kader van doorgifte van persoonsgegevens naar een derde land buiten de Europese Economische Ruimte (EER).
Bron: o.a. Alles weten over informatiebeveiliging & privacy (ibp) (kennisnet.nl)