Als is vastgesteld dat de derde partij waarmee Scholengroep Driestar-Wartburg voornemens is een contract te sluiten, als verwerker in de zin van de AVG optreedt, dan gaat Scholengroep Driestar-Wartburg na of de partij is aangesloten bij het Convenant Digitale Onderwijsmiddelen en Privacy (privacyconvenant.nl). Zo ja, dan verzoekt Scholengroep Driestar-Wartburg aan de partij om een ingevulde verwerkersovereenkomst volgens het convenant aan Scholengroep Driestar-Wartburg voor te leggen. Scholengroep Driestar-Wartburg beoordeelt of zij akkoord kan gaan met de in de verwerkersovereenkomst opgenomen afspraken. Hierbij besteedt Scholengroep Driestar-Wartburg in het bijzonder aandacht aan:
- De Privacybijsluiter bij de overeenkomst: Scholengroep Driestar-Wartburg controleert of de categorieën persoonsgegevens en doeleinden voor de verwerking overeenstemmen met de opdracht die aan de verwerker wordt verstrekt.
- De beveiligingsbijlage bij de overeenkomst: Scholengroep Driestar-Wartburg controleert of de verwerker voldoende maatregelen heeft genomen om ervoor te zorgen dat de gegevens goed zijn beveiligd.
Als de verwerker niet is aangesloten bij het privacyconvenant, dan kan de algemene verwerkersovereenkomst worden opgesteld, zoals deze te vinden is op de website van het privacyconvenant. Het is ook mogelijk dat de verwerker een eigen verwerkersovereenkomst aanbiedt. In dat geval wordt deze verwerkersovereenkomst door Scholengroep Driestar-Wartburg beoordeeld aan de hand van onderstaande checklist.
Als is vastgesteld dat de derde partij waarmee Scholengroep Driestar-Wartburg voornemens is een contract te sluiten, als medeverantwoordelijke in de zin van de AVG optreedt, wordt beoordeeld of het noodzakelijk is om nadere afspraken te maken over het voldoen aan de verplichtingen van de AVG. In het bijzonder op het gebied van het informeren van de betrokkene, het melden van (potentiële) inbreuken op de beveiliging en de manier waarop de rechten van betrokkenen worden gewaarborgd.
Scholengroep Driestar-Wartburg houdt een overzicht bij van de verwerkers waarmee Scholengroep Driestar-Wartburg samenwerkt. In dit overzicht registreert Scholengroep Driestar-Wartburg de looptijd van de verwerkersafspraken, de datum waarop de afspraken zijn gemaakt en eventuele andere bijzonderheden.
Ga na of de verwerkersovereenkomst alle verplichte bepalingen bevat die volgen uit artikel 28 AVG.
Wordt in de verwerkersovereenkomst omschreven:
- Het onderwerp van de verwerking/dienstverlening?
- De duur van de verwerking en dat de gegevens daarna worden overgedragen/verwijderd?
- De aard en het doel (van Scholengroep Driestar-Wartburg) van de verwerking?
- Welke persoonsgegevens worden verwerkt (niet meer dan nodig)?
- Wie bij de verwerking zijn betrokken (bijvoorbeeld leerlingen/medewerkers)?
- Welke verwerkers (sub-verwerkers) de verwerker zelf inschakelt?
Bevat de verwerkersovereenkomst de volgende verplichtingen van de verwerker?
- Persoonsgegevens worden enkel verwerkt op basis van schriftelijke instructies van verantwoordelijke.
- Doorgifte van persoonsgegevens aan een land buiten de EER of een internationale organisatie is verboden of vindt slechts plaats op basis van schriftelijke instructies en toestemming van de verantwoordelijke.
- Wanneer verwerker tot verwerking wordt verplicht op grond van een van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling die indruist tegen de schriftelijke instructies van verantwoordelijke, stelt de verwerker verantwoordelijke hiervan in kennis, tenzij die wetgeving dit verbiedt.
- Verwerker waarborgt dat de personen gemachtigd tot het verwerken van de persoonsgegevens zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen (wettelijk of contractueel) en de persoonsgegevens alleen volgens opdracht van verantwoordelijke te verwerken.
- Verwerker neemt passende technische en organisatorische maatregelen en een uitwerking van wat deze maatregelen inhouden. Dit gaat om pseudonimisering, versleuteling, testprocedures, mogelijkheid herstel toegang na incident, etc.
- Verwerker houdt bij bepaling van vorenstaande maatregelen rekening met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de verwerkingsdoeleinden en risico’s voor de rechten en vrijheden van personen.
- Verwerker zal geen andere (sub)verwerker benaderen of inschakelen zonder voorafgaande schriftelijke toestemming van verantwoordelijke.
- Met een eventuele (sub)verwerker zal verwerker een overeenkomst sluiten waarin minimaal dezelfde verplichtingen zijn opgenomen als in de verwerkersovereenkomst tussen eerste verwerker en verantwoordelijke.
- In het geval van een (sub)verwerker blijft verwerker ten aanzien van verantwoordelijke volledig aansprakelijk wanneer de andere (sub)verwerker zijn verplichtingen over gegevensbescherming niet nakomt.
- Verwerker zal verantwoordelijke door passende technische en organisatorische maatregelen bijstand verlenen bij de nakoming van de verplichtingen van verantwoordelijke om te voldoen aan verzoeken tot uitoefening van de rechten van betrokkenen zoals het recht tot over en recht op het wissen van gegevens.
- Verwerker verleent verantwoordelijke bijstand bij de nakoming van de verplichtingen van verantwoordelijke die betrekking hebben op de beveiliging van de verwerking, de meldplicht datalekken, de DPIA en eventuele voorafgaande raadpleging bij de Autoriteit Persoonsgegevens.
- Verwerker zal verantwoordelijke zonder onredelijke vertraging, doch uiterlijk binnen 24 (of 36) uur, informeren over de inbreuk vanwege persoonsgegevens (datalek).
- Verwerker zal na afloop van de verwerkingen, alle persoonsgegevens wissen of retourneren en bestaande kopieën verwijderen, tenzij opslag van de persoonsgegevens wettelijk verplicht is.
- Verwerker zal aan verantwoordelijke alle informatie ter beschikking stellen die noodzakelijk is om de nakoming van de verplichtingen uit de verwerkersovereenkomst aan te tonen.
- Verwerker maakt mogelijk dat audits door verantwoordelijke of een door de verantwoordelijke gemachtigde controleur kunnen plaatsvinden.