terug

DPIA op Vodix: scholen kunnen leeromgeving, met aanvullende maatregelen, veilig gebruiken

19 mei 2026

SIVON heeft een Data Protection Impact Assessment (DPIA) uitgevoerd op de digitale leer- en toetsomgeving Vodix. Uit de DPIA blijkt dat scholen Vodix veilig kunnen gebruiken wanneer de voorgestelde maatregelen door Vodix en de schoolbesturen worden uitgevoerd. Vodix zal de meeste maatregelen dit kalenderjaar implementeren.

Leerlingen en leraren in het voortgezet onderwijs maken gebruik van Vodix voor het oefenen, toetsen en begeleiden van leerprocessen. Vodix omvat verschillende lesmethodes: Tijd voor Geschiedenis, BeatsNbits, Backstage, iSociety, Paspoort 21, en CKV‑lab.

Risico’s en benodigde maatregelen

Tijdens de DPIA zijn mogelijke privacy- en beveiligingsrisico’s onderzocht. Ook is gekeken welke maatregelen nodig zijn om deze risico’s te beperken.

Vodix heeft tijdens het DPIA-proces actief meegewerkt en verschillende verbeteringen direct opgepakt of opgenomen in de ontwikkelagenda. Het gaat onder andere om verbeteringen op het gebied van:

  • duidelijkere afspraken in de verwerkersovereenkomst over het verwerken van persoonsgegevens;
  • het veiliger maken van export- en downloadfuncties, zodat persoonsgegevens minder snel buiten de applicatie terechtkomen;
  • betere logging en monitoring, zodat incidenten sneller kunnen worden onderzocht en opgevolgd;
  • meer inzicht voor scholen in logginggegevens om ongeautoriseerde wijzigingen sneller te signaleren;
  • het beperken van bewaartermijnen van persoonsgegevens;
  • aanscherping van het wachtwoordbeleid en aanvullende beveiligingsmaatregelen;
  • betere documentatie over de rechten van betrokkenen en de afhandeling van verzoeken.

De verbeteringen worden dit kalenderjaar opgepakt, behalve het mogelijk maken voor scholen om zelfstandig hun logging te kunnen inzien. Deze staat voor Q1 2027 op de planning.

Wat schoolbesturen zelf moeten doen

Voor schoolbesturen is het belangrijk om de volgende maatregelen te nemen om, op dit moment, veilig gebruik te kunnen maken van Vodix.

  • het inkorten van de bewaartermijnen om aan te sluiten op gebruik in de praktijk;
  • het maken van afspraken over het maken en gebruiken van exports en hier controle op uitoefenen;
  • het maken van afspraken over de controle op de logging;
  • zorgen dat er een proces is voor het veilig beheren en bewaren van wachtwoorden;
  • standaard 2FA aanzetten voor gebruik van de applicatie;
  • het tekenen van de nieuwste verwerkersovereenkomst;
  • gebruik van exports buiten de applicatie beperken;
  • vrije tekstvelden uitsluitend gebruiken voor strikt noodzakelijke informatiel
  • Vodix in het verwerkingsregister opnemen;
  • betrokkene (leerlingen) informeren over de verwerking, waaronder cookiegegevens.

Scholen blijven verantwoordelijk voor een lokale DPIA

De centrale DPIA helpt schoolbesturen om invulling te geven aan hun verplichtingen vanuit de Algemene Verordening Gegevensbescherming (AVG). Schoolbesturen blijven wel verantwoordelijk voor het uitvoeren van een lokale DPIA. Daarin beoordelen zij organisatie-specifieke risico’s en eventuele restrisico’s.

Wanneer Vodix en de onderwijsinstellingen de afgesproken maatregelen uitvoeren, kan het gebruik van Vodix volgens de DPIA op een veilige manier plaatsvinden.

Download het DPIA-rapport

Webinar over DPIA op Vodix

Op 4 juni van 16.00 – 17.00 uur organiseren we samen met Vodix een webinar over deze DPIA. We lichten de DPIA toe en er is gelegenheid om vragen te stellen. Aanmelden kan via deze link.