AVG in het onderwijs
Instellingen moeten bij het gebruik van persoonsgegevens voldoen aan de Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), om zo de privacy van studenten en hun data te waarborgen. Dit heeft wel consequenties voor onderwijsinnovatie met ict, bijvoorbeeld online onderwijs en benutten van studiedata.
Inkopen van applicatie of dienst
Welke eisen moet je stellen aan een applicatie of dienst die je wilt inkopen? Als je als instelling een applicatie of dienst gebruikt, verwerkt de leverancier daarbij meestal ook persoonsgegevens. Het is belangrijk om duidelijke afspraken met leveranciers te maken over hoe zij met gegevens omgaan.
De AVG geeft aan wat onder verwerking valt. Onder de verwerking valt in elk geval: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken en verstrekken van persoonsgegevens. Persoonsgegevens zijn gegevens die herleidbaar zijn tot een persoon, denk niet alleen aan een naam maar bijvoorbeeld ook een IP-adres. Bij verwerking van persoonsgegevens moet de verantwoordelijke ervoor zorgen dat dit gebeurt met inachtneming van de wettelijke regels.
Wil je een contract aangaan met leveranciers? In het SURF Juridisch Normenkader (Cloud)services vind je hiervoor de regels voor vertrouwelijkheid, privacy, eigendom en beschikbaarheid. Het bevat standaardbepalingen en een modelverwerkersovereenkomst die instellingen een stevige basis geven voor contracten met leveranciers. De belangrijkste bijlage van het Normenkader is de SURF model verwerkersovereenkomst 4.0 (pdf, versie november 2024).
Ook SURF hanteert het Normenkader bij diensten waar SURF persoonsgegevens verwerkt namens instellingen. Diensten worden zoveel mogelijk op een privacyvriendelijke manier ingericht en er worden stevige afspraken gemaakt met de instellingen en mogelijke (hulp)leveranciers.