Voion | Arbeidsmarkt & opleidingsfonds voortgezet onderwijs

Er wordt gezocht op *

FAQ over AVG overeenkomsten

FAQ

Op deze pagina vindt u de antwoorden op vragen over de overeenkomsten die een bestuur met Voion dient af te sluiten in het kader van de Algemene Verordening Gegevensverwerking (AVG) om gebruik te kunnen maken van de verschillende instrumenten van Voion. Staat uw vraag er niet bij? Stel uw vraag dan via de mail: info@voion.nl of bel onze servicedesk tijdens kantooruren op 045-579 6024. Wij helpen u graag.

Wat is het precieze doel van een verwerkersovereenkomst?

Als u als school (en daarmee verwerkingsverantwoordelijke) persoonsgegevens laat verwerken door een andere partij (bijvoorbeeld Voion als verwerker), is altijd een verwerkersovereenkomst tussen beide verplicht. Hierin wordt vastgelegd hoe de verwerker met uw persoonsgegevens moet omgaan.

We gebruiken het instrument al jaren binnen onze school. Waarom moeten we daar nu iets voor tekenen?

Op 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) in werking getreden als opvolger van de WBP (Wet Bescherming Persoonsgegevens). Het doel van de AVG is de bescherming van persoonsgegevens. De AVG is echter een stuk strenger dan de WBP en stelt hogere eisen aan de verwerking van persoonsgegevens. Dat betekent onder andere dat organisaties die persoonsgegevens verwerken, een verantwoordingsplicht hebben. Deze verantwoordingsplicht wordt vastgelegd in de verwerkersovereenkomst die u met Voion afsluit. 

Waarom moet ik nu pas overeenkomsten tekenen terwijl de AVG al op 25 mei 2018 is ingegaan?

Voion heeft de AVG-wetgeving bestudeerd vanaf dat deze bekend werd. De reden dat we u nu pas benaderen is drieledig. Ten eerste bleek het concreet invullen van AVG-verplichtingen ten aanzien van de instrumenten die we aanbieden, complexer dan gedacht en de wetgeving liet veel ruimte voor interpretatie. Voor het bepalen van de verschillende AVG-rollen heeft Voion expertise van externe juristen in moeten roepen. Daarnaast was het de wens van Voion om toe te treden tot het Convenant Digitale Onderwijsmiddelen en Privacy om de herkenbaarheid voor scholen te vergroten en het aanvraagtraject heeft tijd in beslag genomen. Tot slot was het de wens om scholen niet alleen te benaderen voor het vastleggen van AVG-verantwoordelijkheden maar ook voor het vastleggen van intellectuele eigendomsrechten.

Waarom moet ik twee overeenkomsten tekenen?

U tekent de verwerkersovereenkomst om zo vast te leggen hoe Voion met uw gegevens moet omgaan. De gebruiksrechtovereenkomst legt vast hoe u met het instrument moet omgaan dat u ter beschikking wordt gesteld.

Zijn er voor ons als school(bestuur) kosten gemoeid met deze overeenkomsten?

Nee, Voion verleent in opdracht van de sociale partners (de VO-raad en de onderwijsvakbonden) diensten aan scholen in het voortgezet onderwijs. Die diensten zijn al betaald uit de jaarlijkse bijdrage. Aan het gebruik van de instrumenten zijn verder geen kosten verbonden.

Wat gebeurt er als ik (een van) beide overeenkomsten niet teken?

Als verwerkingsverantwoordelijke bent u gehouden de verwerking van uw gegevens goed te regelen. Wanneer u één van beide overeenkomsten niet tekent, kunnen wij u niet langer gebruik laten maken van de instrumenten.  

We maken als school(bestuur) gebruik van meerdere instrumenten maar willen niet alle instrumenten meer aanbieden aan onze medewerkers. Hoe geven we dat aan?

U ondertekent een verwerkersovereenkomst met daaraan toegevoegd de bijlagen per instrument dat u gebruikt. Indien u niet meer van alle instrumenten gebruik wilt maken, geef ons dan door welke instrumenten u wilt blijven gebruiken. Wij sturen u dan een aangepaste overeenkomst. Wilt u van geen enkel instrument meer gebruik maken, dan hoeft u de overeenkomst niet te tekenen. Wij beëindigen dan automatisch het gebruik van de instrumenten.

Wat is het precieze doel van een gebruiksrechtovereenkomst?

De gebruiksrechtovereenkomst bepaalt aan welke voorwaarden het gebruik van een instrument is gebonden. Het instrument is namelijk het intellectuele eigendom van de softwareleverancier die het aan u, via Voion, verstrekt. Deze softwareleverancier wil zijn rechten veiligstellen en misbruik van zijn software voorkomen.

Waarom moet het bestuur tekenen en kunnen wij als school niet zelf tekenen?

Het bestuur is, als werkgever, aansprakelijk voor alle aangesloten scholen. In het kader van de Algemene Verordening Gegevensbescherming (AVG) is de werkgever namelijk de verantwoordelijke partij. In het onderwijs is het bestuur, ook in het geval van meerdere scholen, de werkgever. Daarom laten we het ‘bevoegd gezag’ (d.w.z. het bestuur) tekenen.

Ik weet niet of medewerkers van mijn school gebruik maken van een instrument. Wat betekent dat voor mijn AVG-verantwoordelijkheid?

Voion schrijft alle gebruikers  van de instrumenten die de AVG ‘raken’ aan. Daarna proberen we elke gebruiker aan een schoolbestuur te koppelen. Als het bestuur de overeenkomsten tekent, kunnen alle gebruikers van scholen onder dat schoolbestuur, gebruik blijven maken van het instrument. Gebruikers die onder een bestuur vallen dat de overeenkomsten (nog) niet heeft getekend, worden erop gewezen dat wij hun schoolbestuur met de  overeenkomsten zullen benaderen. Wanneer het bestuur echter besluit de overeenkomsten niet te tekenen, vervalt het gebruiksrecht en wordt het account van de gebruiker geblokkeerd. We vragen gebruikers dan ook om hun schoolbestuur op het instrument opmerkzaam te maken.

Ik gebruik een instrument al jaren maar denk dat mijn schoolbestuur geen overeenkomsten heeft gesloten. Wat betekent dat voor mij?

Indien u dit zelf al weet verzoeken we u vriendelijk dit aan ons door te geven, met daarbij de gegevens van de school waar u voor werkt. Wij controleren dan of er al overeenkomsten zijn gesloten. Zo niet, dan zullen wij uw schoolbestuur benaderen met een voorstel om de overeenkomsten te tekenen. Het resultaat hiervan wordt aan u teruggekoppeld. Als u dat ook al aan uw schoolbestuur kunt doorgeven, weet het bestuur direct waar het verzoek praktisch mee te maken heeft.

Het schoolbestuur wil de overeenkomsten niet tekenen. Wat betekent dat voor mij als gebruiker?

Als uw school(bestuur) niet wilt tekenen, wordt uw account geblokkeerd. Wij brengen u hier tijdig van op de hoogte, zodat u uw gegevens kunt veiligstellen.  

Ik maak gebruik van de instrumenten die Voion biedt maar ben niet in dienst bij een school. Wat betekent dat voor mij?

We zijn helaas verplicht om het gebruik te beëindigen. We verzoeken u om alle gegevens aan de school te verstrekken waar u diensten voor verleent en onder wiens verantwoordelijkheid u van gegevens gebruik maakt. Dat geldt ook in het geval dat u in opdracht van de school het instrument gebruikt, bijvoorbeeld wanneer u bij een arbodienst werkt.  

Wat is het verband tussen een verwerkersovereenkomst en een subverwerkersovereenkomst?

De verwerkersovereenkomst en de subverwerkersovereenkomst hebben allebei als doel om vast te leggen hoe er met uw gegevens wordt omgegaan. In de verwerkersovereenkomst zijn de verantwoordelijkheden tussen uw school en Voion geregeld. Voion maakt gebruik van externe softwareleveranciers voor de hosting van programma’s en het beschikbaar stellen van software. Omdat deze softwareleveranciers uw gegevens ook kunnen inzien, gelden de regels waaraan Voion zich moet houden, ook voor deze leveranciers. Dat wordt geregeld in de subverwerkersovereenkomst.

Verandert er iets in het aanvragen van een instrument ten opzichte van vroeger?

Ja, in het verleden stelden wij het gebruik van een instrument direct ter beschikking wanneer we uw aanvraag hadden ontvangen. Dat gaat veranderen. Wanneer u als school of als gebruiker een instrument aanvraagt, controleren wij of het bestuur waaronder u als school en gebruiker valt, een verwerkersovereenkomst en gebruiksrechtovereenkomst met ons heeft gesloten. Is dat het geval, dan stellen wij het instrument aan u ter beschikking. Is dat niet het geval, dan stellen we u hiervan op de hoogte. We vragen het bestuur dan om de overeenkomsten te tekenen. Zodra wij de ondertekende overeenkomsten hebben ontvangen, stellen wij het instrument aan u ter beschikking. Tekent het bestuur niet, dan informeren wij u daarover ook en geven aan dat we u het instrument helaas niet ter beschikking kunnen stellen.  

Mijn schoolbestuur is van plan de overeenkomsten te tekenen maar dat duurt nog even. Kan ik zolang het instrument blijven gebruiken?

Ja, we willen het onze gebruikers en de scholen zo makkelijk mogelijk maken. We geven de besturen vanaf ontvangst van de overeenkomsten een aantal weken de tijd om te tekenen en zullen ook een reminder sturen. Tot die tijd verandert er voor u niets.  

Wat zijn de verschillen tussen de AVG en de voorganger, de WBP (Wet Bescherming Persoonsgegevens) die voor ons als school van belang zijn?

De Wbp was Nederlandse wetgeving gebaseerd op een Europese richtlijn. De AVG is een Europese verordening en heeft directe werking in alle landen van de EU. Het voordeel hiervan is dat alle landen in de EU dezelfde (privacy)wetgeving hanteren. 

Momenteel heeft de Autoriteit Persoonsgegevens (AP) de bevoegdheid om boetes tot € 820.000 op te leggen (wegens opzettelijk in strijd met de Wbp handelen). Met de komst van de AVG wordt de maximale boete € 20.000.000 of 4% van de wereldwijde jaaromzet.  

Met de komst van de AVG komt ook de algemene meldplicht bij de AP te vervallen. Indien een organisatie persoonsgegevens wilde verwerken, moest zij dit eerst bij de AP aangeven. Deze algemene meldplicht wordt vervangen door een register. Het register zal alle verwerkingen van persoonsgegevens bevatten die een verantwoordelijke of verwerker doet. Met het register kan achteraf aangetoond worden dat een verantwoordelijke in overeenstemming met de AVG handelt.

Er moet, bij meerdere verwerkingen van persoonsgegevens, voor alle verwerkingen afzonderlijk toestemming gevraagd worden aan de school. Abonnementen mogen niet meer stilzwijgend verlengen en alles moet in duidelijke taal omschreven worden.

In de WBP bestond de meldplicht voor datalekken al. In de AVG is het nieuw dat deze datalekken ook daadwerkelijk moeten worden gedocumenteerd. Daarnaast is melding aan de verantwoordelijke, een eis.

Alle organisaties moeten aantonen ‘compliant’ te zijn met de AVG. Zo moeten organisaties werken volgens ‘privacy by design’. Dit houdt in dat u vanaf beginsel in het design rekening houdt met de privacy van betrokkenen. Nog een bekende term hierin is ‘privacy by default’, wat inhoudt dat de standaardinstellingen privacy-vriendelijk zijn en duidelijk is dat er niet meer persoonsgegevens verwerkt worden dan strikt noodzakelijk.

In de WBP werd nog gesproken over een bewerkersovereenkomst, nu heet dit een verwerkingsovereenkomst. Hierin worden specifieke afspraken gemaakt over de omgang met persoonsgegevens.

Ik heb vragen over de AVG, de overeenkomsten of de instrumenten en vind mijn vraag niet terug in de FAQ. Wat kan ik doen?

U kunt uw vraag stellen via de mail: info@voion.nl of u kunt onze servicedesk bellen tijdens kantooruren op 045-579 6024. Wij helpen u graag.