SIVON heeft een data protection impact assessment (DPIA)* uitgevoerd op de Basis van ParnasSys. Uit het onderzoek blijkt dat de Basis veilig kan worden gebruikt. Schoolbesturen en leverancier Topicus moeten dan wel de voorgestelde maatregelen op de juiste manier doorvoeren. Tijdens het DPIA-traject hebben we prettig samengewerkt met Topicus.
Wat gaat Topicus doen om de risico’s te verminderen.
Bij Topicus liggen de volgende maatregelen:
- In het rollen en rechten-overzicht op schoolniveau wordt opgenomen tot welke gegevens (en dus rechten en rollen) BSN behoort. Dit omdat er op dit moment onvoldoende transparantie is over inzage in BSN.
- Het implementeren van dubbele encryptie. Een tweede encryptielaag ontbreekt op dit moment.
- Het exporteren en downloaden wordt zichtbaar gemaakt in logging.
- De voorvertoningen, voor zover technisch mogelijk, worden technisch aangepast evenals de kleurstellingen bij de exportfuncties.
- Het uitbreiden van de loggingfunctionaliteit voor schoolbesturen met informatie over welke gebruikers exports/downloads hebben uitgevoerd, alsmede wie mutaties in cijfers heeft doorgevoerd.
- Het aanpassen van de informatie in de verwerkersoverenkomst. In de huidige verwerkersovereenkomst zijn de afspraken ontoereikend wat betreft bewaartermijnen loggings, verwijdering na einde contract en cookiegebruik.
Wat schoolbesturen zelf moeten doen
Je blijft als schoolbestuur verwerkingsverantwoordelijke. De centrale DPIA ondersteunt je, maar je moet deze altijd vertalen naar je eigen situatie en bepalen welke restrisico’s je accepteert. Deze risico-afweging verwerk je in een lokale DPIA. In het rapport van de centrale DPIA staan invulvelden voor het invullen van de lokale DPIA.
Voor veilig gebruik van Basis van ParnasSys moet je als schoolbestuur deze stappen zetten.
- Beperk beheerrechten
Geef admin-rechten alleen aan medewerkers die dit écht nodig hebben en laat hen een geheimhoudingsverklaring ondertekenen. - Leg vast wie exports en downloads uitvoert
Stel duidelijke regels op. Spreek af wie dit mag en controleer dit regelmatig. - Gebruik de uitgebreide logging
Topicus breidt de loggegevens uit die voor de scholen zelf beschikbaar zijn. Er kan dan gecontroleerd worden wie exports uitvoert of cijfers wijzigt. Spreek af wie de logs controleert en hoe vaak. - Activeer tweefactorauthenticatie (2FA)
Zet 2FA aan. Dit voorkomt misbruik en maakt jouw systeem sterker. - Voer de nieuwe verwerkersovereenkomst door
Topicus past de afspraken over bewaartermijnen, verwijdering van gegevens en cookiegebruik aan. Gebruik de nieuwe versie zodra deze beschikbaar is.
Met deze acties bouw je aan een veilige digitale omgeving. Dit helpt om te voldoen aan de AVG-verplichtingen én die van het Normenkader IBP.
Eerdere DPIA op ParnasSys
In 2021 hebben SIVON en Kennisnet een DPIA op ParnasSys uitgevoerd. Daar kwamen een aantal hoge risico’s uit. In 2022 heeft Topicus hierop gereageerd met een aanvullend rapport waarin zij lieten zien welke verbeteringen zijn doorgevoerd of nog opgepakt gaan worden. In deze nieuwe DPIA zijn de eerdere bevindingen meegenomen waardoor een compleet en actueel beeld van de Basis van ParnasSys is beoordeeld.
Positieve samenwerking met Topicus
Tijdens het DPIA-traject werkte Topicus actief mee. De open werkwijze, de inhoudelijke besprekingen en de bereidheid om verbetervoorstellen te bekijken, hielpen bij het onderzoek en het scherp krijgen van de risico’s. Tijdens het traject verbeterde Topicus al een aantal punten die uit het onderzoek naar voren kwamen, zoals het aanpassen van de bewaartermijn van de technische logs.
Daarnaast deelden de deelnemende schoolbesturen hun praktijkervaringen. Deze inzichten waren waardevol om het gebruik van Basis van ParnasSys beter te begrijpen. Ze vormden de basis voor de voorgestelde maatregelen voor schoolbesturen.
Download het DPIA rapport
*Deze DPIA is uitgevoerd op Basis van ParnasSys., het standaardpakket zonder uitbreidingen. Andere modules zoals Parro, Ouderportaal, Schoolkassa, Kindbegrip of Leerlijnen zijn niet meegenomen in deze DPIA.
Webinar
Binnenkort volgt een webinar over deze DPIA waarin we je bijpraten over de bevindingen en aanbevelingen uit de DPIA. Hou hiervoor onze communicatiekanalen in de gaten of vul hiervoor dit formulier in. Je ontvangt dan een bericht zodra de datum voor de webinar is vastgesteld.
Over het programma Digitaal Veilig Onderwijs
Het uitvoeren van DPIA’s valt onder het programma Digitaal Veilig Onderwijs. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy (IBP) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.