Instellingen moeten bij het gebruik van persoonsgegevens voldoen aan de Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), om zo de privacy van studenten en hun data te waarborgen. Dit heeft wel consequenties voor onderwijsinnovatie met ict, bijvoorbeeld online onderwijs en benutten van studiedata.
Inkopen van applicatie of dienst
Welke eisen moet je stellen aan een applicatie of dienst die je wilt inkopen? Als je als instelling een applicatie of dienst gebruikt, verwerkt de leverancier daarbij meestal ook persoonsgegevens. Het is belangrijk om duidelijke afspraken met leveranciers te maken over hoe zij met gegevens omgaan.
De AVG geeft aan wat onder verwerking valt. Onder de verwerking valt in elk geval: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken en verstrekken van persoonsgegevens. Persoonsgegevens zijn gegevens die herleidbaar zijn tot een persoon, denk niet alleen aan een naam maar bijvoorbeeld ook een IP-adres. Bij verwerking van persoonsgegevens moet de verantwoordelijke ervoor zorgen dat dit gebeurt met inachtneming van de wettelijke regels.
Wil je een contract aangaan met leveranciers? In het SURF Juridisch Normenkader (Cloud)services vind je hiervoor de regels voor vertrouwelijkheid, privacy, eigendom en beschikbaarheid. Het bevat standaardbepalingen en een modelverwerkersovereenkomst die instellingen een stevige basis geven voor contracten met leveranciers. De belangrijkste bijlage van het Normenkader is de SURF verwerkersovereenkomst 3.0 (pdf, versie april 2019).
Ook SURF hanteert het Normenkader bij diensten waar SURF persoonsgegevens verwerkt namens instellingen. Diensten worden zoveel mogelijk op een privacyvriendelijke manier ingericht en er worden stevige afspraken gemaakt met de instellingen en mogelijke (hulp)leveranciers.
Handreiking Inkopen van onderdelen voor de digitale leeromgeving
Het aanbestedingsrecht speelt vaak een rol bij de inkoop van onderdelen van de digitale leeromgeving. In deze handreiking geven we aan wanneer aanbesteden nodig is. Ook gaan we in op innovatie(f) inkopen en de aandachtspunten bij cloudcontracten. Tot slot behandelen we de verwerking van persoonsgegevens en de eisen van de privacywetgeving.