terug

Het uitvoeren van een DPIA: de rol van informatie­­beveiliging en privacy

10 juli 2025

SIVON voert sinds 2020 DPIA’s uit op digitale producten die gebruikt worden in het onderwijs. Maar wat gebeurt er nou eigenlijk tijdens een DPIA-proces? Op welke eisen is een DPIA gebaseerd? En waaraan moet een digitaal product dan allemaal voldoen? In dit artikel worden een aantal aspecten van het DPIA-proces uitgelegd. Zo krijg je als schoolbestuur beter inzicht in waar een digitaal product aan moet voldoen en op welke wetgeving het DPIA-proces gebaseerd is.

Een DPIA, ook wel een gegevensbeschermingseffectbeoordeling, is een instrument om privacyrisico’s voor gebruikers in kaart te brengen, met als doel deze risico’s weg te nemen of te verminderen. SIVON heeft sinds 2020 twaalf DPIA’s uitgevoerd op digitale producten die het meest gebruikt worden in het onderwijs. DPIA’s worden uitgevoerd om de data van leerlingen te beschermen. Met duidelijke DPIA’s, goede afspraken met leveranciers en heldere standaarden, draagt SIVON bij aan veilig digitaal onderwijs.

Uitvoering van een DPIA

Via een DPIA worden systematisch alle risico’s en de impact daarvan op leerlingen in kaart gebracht. Tijdens het proces worden leveranciers aangesproken op hun verantwoordelijkheden op het gebied van informatiebeveiliging en privacy. Zo wordt de privacybescherming van leerlingen in het onderwijs gewaarborgd. Bij een risico wordt beoordeeld welke maatregelen passend zijn. Hierdoor kunnen risico’s voorkomen of verminderd worden. Bijvoorbeeld door een maatregel te treffen waardoor minder data verwerkt wordt dan nodig is, door encryptie toe te passen op de te verzamelen data of door identificerende gegevens apart van de onderliggende database op te slaan.

Niet alleen de leverancier is aan zet bij het voldoen aan informatiebeveiligingseisen, maar ook het schoolbestuur dat er gebruik van maakt. Na de afronding van een DPIA is het namelijk aan het schoolbestuur om nog een lokale DPIA uit te voeren. De centrale DPIA is hierbij de basis voor het maken van keuzes over de inzet van digitale onderwijstoepassingen.

Privacy-juridische beoordeling

Een van de onderdelen van een DPIA is het privacy-juridische aspect. Dit wordt getoetst door een gegevensverwerkingsanalyse. Hiervoor wordt in kaart gebracht welke gegevens van leerlingen allemaal verwerkt worden en waarom. Het “Mode Verwerkersovereenkomst Onderwijs” vormt de basis voor afspraken met leveranciers over de verwerking van persoonsgegevens en wordt in deze stap gebruikt voor de toetsing van de juridische en beveiligingseisen. Vervolgens wordt er een beoordeling gedaan op de basisprincipes van de AVG. Die principes bestaan uit de volgende zes:

  1. Rechtmatigheid, behoorlijkheid en transparantie;
  2. Doelbinding;
  3. Dataminimalisatie;
  4. Juistheid;
  5. Opslagbeperking;
  6. Vertrouwelijkheid en integriteit.

Informatiebeveiligingseisen

Ook informatiebeveiliging speelt een belangrijke rol in de DPIA. Worden er persoonsgegevens verwerkt? Dan moet dat veilig gebeuren. Daarvoor moeten technische en organisatorische maatregelen getroffen worden. Denk aan goede toegangsbeveiliging, versleuteling en heldere afspraken. Zo wordt voorkomen dat gegevens van leerlingen op straat belanden.

Voor die beoordeling wordt het ROSA-certificeringsschema ingezet. Dit schema wordt (verplicht) in de onderwijssector gebruikt. Deze standaard beschrijft welk basisniveau van informatiebeveiliging nodig is voor digitale toepassingen in het onderwijs.

Het schema geeft per toepassing aan wat er nodig is op het gebied van ‘betrouwbaarheid’, ‘integriteit’ en ‘vertrouwelijkheid’, dit wordt ook wel de BIV-classificatie genoemd. Er worden voorbeelden gegeven van maatregelen die daarbij toepasbaar zijn. Ook laat het zien hoe je controleert of de leverancier de maatregelen daadwerkelijk toepast. Zo weten scholen zeker dat persoonsgegevens van leerlingen veilig verwerkt worden.

Casus: DPIA op Studiemeter van Uitgeverij Deviant – De toegang tot de database dient goed beschermd te zijn

We nemen je mee in een voorbeeld uit een van de DPIA’s. In mei 2024 publiceerde SIVON een centrale DPIA op Studiemeter van Uitgeverij Deviant. Hierin is onder andere gekeken naar de informatiebeveiliging die Studiemeter toepast. Bij het controleren van de BIV-classificatie die door de leverancier was ingevuld, merkten de juristen van SIVON op dat de classificatie van ‘vertrouwelijkheid’ niet juist was ingevuld. Hierdoor was een te zwakke maatregel toegepast, terwijl een zwaardere maatregel noodzakelijk was. Hierdoor ontbrak de versleuteling van de database, zowel op de (virtuele) harde schijf als op bestands- of recordniveau. Versleuteling voorkomt dat gevoelige gegevens zomaar uitlekken.

Dit is opgepakt met leverancier Deviant. Zij hebben de maatregel aangepast en doorgevoerd, vóór de afgesproken deadline. Daarmee hebben ze de beveiliging van Studiemeter flink verbeterd.

Blijf op de hoogte

Ben je benieuwd naar de DPIA’s waar nu aan gewerkt wordt? Zie hier een overzicht van alle DPIA’s. Of wil je meer weten over het volledige proces van DPIA’s? Zie hier een stappenplan.

Wil je op de hoogte blijven van alle uitgevoerde DPIA’s? Via onze nieuwsbrief sturen we elke twee weken het laatste nieuws, ook rondom DPIA’s. Meld je hier aan voor de nieuwsbrief.

Auteur: Sander van de Molen, Privacyjurist en adviseur IBP bij SIVON