De afgelopen tijd is er verwarring ontstaan over hoe je als schoolbestuur een goede DPIA (gegevensbeschermingseffectbeoordeling) uitvoert. Er circuleren berichten waarin wordt gezegd dat het voldoende is om één DPIA te maken op een ‘proces’, zoals “het geven van onderwijs” of “personeelszaken” en niet op de software die je bij dit proces gebruikt. Maar dat klopt niet. Wie het zo aanpakt, mist een belangrijk deel van de privacyrisico’s – en voldoet daarmee niet aan de wet.
Wat zegt de wet?
De AVG verplicht organisaties om een DPIA te doen als ze persoonsgegevens verwerken met een hoog risico. Dat is vaak het geval in het onderwijs, waar je werkt met leerlinggegevens, toetsresultaten of gegevens van medewerkers. De DPIA moet duidelijk maken wat er precies gebeurt met die gegevens, waarom dat nodig is, welke risico’s er zijn, en hoe je deze risico’s voorziet van de juiste maatregelen.
In het Normenkader informatiebeveiliging en privacy voor het onderwijs, is dit beschreven in de normen PR.04 en PR.05, onderdeel van het groeipad.
In de praktijk betekent dit: je moet kijken naar het hele plaatje – en dat bestaat uit meer dan alleen het proces. Je moet ook goed kijken met welke applicaties of systemen je het proces uitvoert. Dit speelt bijvoorbeeld wanneer er gebruikt wordt gemaakt van een applicatie in een onderwijskundig proces. Om leerlingen te volgen in het basisonderwijs doe je dat in de praktijk via een systeem zoals ParnasSys of ESIS. De risico’s zitten dan niet alleen in het proces zelf, maar vooral ook in de gebruikte systemen. Daarom is het verstandig om die systemen goed te beoordelen.
Waarom een DPIA op applicaties nodig is?
In het onderwijs gebruiken we bijna altijd digitale systemen om persoonsgegevens te verwerken. Denk aan leerlingvolgsystemen, administratiesoftware of leerplatforms. Juist in die systemen zitten vaak risico’s:
- Is duidelijk wat de leverancier met de data doet?
- Hoe zit het met opslag, beveiliging en toegang?
- Worden gegevens gedeeld met derde partijen?
Als je alleen het proces bekijkt en de applicatie buiten beschouwing laat, mis je precies die onderdelen waar het vaak mis kan gaan. Je voldoet dan niet aan de wettelijke verplichting om alle relevante risico’s te beoordelen.
Wat doet SIVON?
SIVON voert DPIA’s uit op veelgebruikte applicaties in het onderwijs. We doen dat grondig en publiceren de resultaten op onze website. Scholen kunnen onze DPIA’s gebruiken als basis voor hun eigen beoordeling. Daarmee bespaar je tijd en werk je aan veilige, bewuste keuzes in je digitale omgeving.
Wat is de rol van het schoolbestuur?
- Voer DPIA’s uit op processen én op de applicaties waarmee die processen worden uitgevoerd.
- Gebruik bestaande DPIA’s van SIVON als basis voor je eigen lokale DPIA.
- Neem privacy en veiligheid serieus – niet alleen voor de wet, maar ook voor je leerlingen en medewerkers.
Kortom: een DPIA op alleen een proces is niet genoeg. Applicaties en systemen waarin persoonsgegevens worden verwerkt, móéten worden meegenomen. Alleen dan voldoe je aan de AVG en bescherm je de privacy van iedereen in jouw school.
Bekijk onze DPIA’s en meer achtergrondinformatie op sivon.nl/dpia
Meer informatie
Wil je naar aanleiding van dit bericht meer achtergrondinformatie? Lees dan dit artikel waarin we aangeven waar in de wet onze bevindingen staan.
Heb je hierover vragen, maak dan een afspraak met een van onze medewerkers.