De uitgevoerde DPIA op Stichting Basispoort heeft geen grote risico’s aan de kant van de Basispoort applicatie aan het licht gebracht. Wel moet de school zorgen dat de risico’s die samenhangen met het gebruik van Basispoort worden beheerst. De softwareapplicatie biedt een zogenaamde Single-Sign-On toegangsdienst naar web-based lesmateriaal van uitgevers. Download het rapport van de DPIA hier.
In de DPIA is naar voren gekomen dat Basispoort de afgelopen dertien jaar veel aandacht heeft gegeven aan de onderwerpen privacy en informatiebeveiliging. Bij de uitvoering van de DPIA zijn geen grote risico’s aangetroffen die (direct) nadere actie van stichting Basispoort behoeven. Basispoort heeft aangegeven dat er bij grote veranderingen opnieuw gekeken wordt naar de BIV-classificatie en de daarmee verbonden maatregelen. Dit is bijvoorbeeld op het moment dat er ook Single-Sign-On (SSO) koppelingen gemaakt worden met systemen die doorstroomtoetsen aanbieden of met leerlingvolgsystemen.
Uitvoering van de DPIA
In een periode van ruim een jaar is de DPIA door SIVON uitgevoerd. Dit met de enthousiaste medewerking van een aantal onderwijsinstellingen. Ook Basispoort heeft op een constructieve manier meegewerkt aan het uitvoeren van de DPIA. Basispoort heeft op een transparante wijze inzicht gegeven in de gegevensverwerkingen en de daarmee verbonden risico’s voor de betrokkenen.
Onrechtmatige toegang
Wel zijn er meerdere risico’s bij het gebruik van Basispoort door scholen. Zo staat bijvoorbeeld bij een beheerdersrol met veel systeemrechten de standaard multi-factor-authenticatie (MFA) niet standaard aan. MFA kan wel worden ingesteld voor een gehele school, maar hiervoor is een handmatige actie vereist. Gelet op de rechten die met name de beheerdersrol heeft, moet bij die rol MFA standaard zijn ingesteld. Basispoort heeft aangegeven dit in schooljaar 2024-2025 zo in te richten.
Verwerkersovereenkomst
Tijdens de uitvoering van de DPIA is de door Basispoort gebruikte verwerkersovereenkomst bijgewerkt volgens de laatste versie van het Privacyconvenant. Hierdoor is de overeenkomst nu up-to-date. Dit maakt het voor de schoolbesturen duidelijker en makkelijker om heldere afspraken te maken met de verwerker van haar persoonsgegevens.
Vervolg lokale DPIA
Naast meer algemene risico’s en het niet verplichte gebruik van MFA is nog een aantal risico’s geïdentificeerd die door het schoolbestuur moet worden gemitigeerd. Deze moeten worden meegenomen in de lokale DPIA. Het betreft:
- Het risico dat er gegevens beschikbaar worden gesteld aan onbevoegde koppelpartners.
- Het risico dat er onrechtmatig toegang is tot persoonsgegevens en/of leerresultaten omdat de school een niet persoonlijk account gebruikt voor een invalkracht in plaats van de veilige door Basispoort aangeboden oplossing.
- Het risico dat er onrechtmatig toegang is tot persoonsgegevens en/ of leerresultaten bij het gebruik van thuisaccounts.
- Het risico dat er onrechtmatig toegang is tot persoonsgegevens en/of leerresultaten omdat medewerkers wachtwoorden niet veilig genoeg zijn en MFA niet is aangezet.
- Het risico dat (oud) medewerkers onrechtmatig toegang tot gegevens houden, als het proces bij uitdienst en rolverandering niet goed doorgevoerd wordt in het leerlingadministratiesysteem en in Basispoort.
Over het programma Digitaal Veilig Onderwijs
Het uitvoeren van DPIA’s valt onder het programma Digitaal Veilig Onderwijs. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.