De AP (Autoriteit Persoonsgegevens) heeft een boete van 150.000 euro opgelegd aan creditcardbedrijf ICS voor het niet uitvoeren van een wettelijk verplichte DPIA. Hoewel ICS vanuit hun rol persoonsgegevens mogen verwerken hadden ze, gelet op de hoeveelheid en de gevoeligheid van deze gegevens een DPIA moeten uitvoeren.
ICS was echter van oordeel dat dit niet noodzakelijk was. Nu zij de uitvoering van de DPIA hebben nagelaten, hebben zij de AVG overtreden en hiervoor een boete opgelegd gekregen. De boete die de AP hier heeft opgelegd demonstreert het belang van het uitvoeren van een DPIA. SIVON speelt een grote rol in het ondersteunen van scholen om op tijd hun eigen digitale veiligheid op orde te hebben. In het Departementaal Informatieplan OCW 2023-2028 wordt SIVON aangewezen als partij die DPIA’s uitvoert en ook scholen hierin ondersteunt door ze te wijzen op de lokale risico’s. Het boetebesluit van de AP laat zien dat het uitvoeren van een DPIA, in het bijzonder wanneer het gaat om de grootschalige verwerking van persoonsgegevens van kinderen, niet alleen verstandig maar ook noodzakelijk is.
Ook scholen zijn volgens de wet verplicht om hun informatiebeveiliging en privacy (IBP) op orde te hebben. Zij moeten kunnen aantonen welke technische en organisatorische maatregelen ze hebben genomen om de persoonsgegevens van leerlingen en medewerkers te beschermen. Onderdeel van deze maatregelen is een DPIA.