SIVON voert namens schoolbesturen centrale Data Protection Impact Assessments (DPIA’s) uit op digitale toepassingen die in het onderwijs worden gebruikt. Een DPIA – in het Nederlands: een gegevensbeschermingseffectbeoordeling – brengt de privacyrisico’s voor leerlingen en medewerkers in kaart. Het doel is om die risico’s te verkleinen of helemaal weg te nemen. In dit bericht lichten we toe wat de rol van SIVON, de Autoriteit Persoonsgegevens en schoolbesturen is.
Op basis van de resultaten van een DPIA geeft SIVON een positief of negatief advies aan schoolbesturen. Bij een negatief advies lichten we toe waarom de toepassing op dat moment nog niet veilig en verantwoord gebruikt kan worden. We geven daarbij aan welke stappen de leverancier nog moet zetten om de toepassing alsnog geschikt te maken voor gebruik binnen scholen. Indien nodig gaat SIVON met de leverancier in gesprek om hen te bewegen tot de benodigde aanpassingen.
De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder in Nederland. De AP ziet erop toe dat organisaties, waaronder scholen, zich houden aan de privacywetgeving en het recht op bescherming van persoonsgegevens naleven.
De eindverantwoordelijkheid voor het gebruik van een digitale toepassing ligt altijd bij het schoolbestuur. Ook wanneer SIVON een centrale DPIA heeft uitgevoerd, moet elk schoolbestuur een lokale DPIA uitvoeren. Op basis van het advies van SIVON bepaalt het bestuur zelf of een toepassing wel of niet wordt ingezet binnen de school en accepteert het (al dan niet) resterende risico.