DPIA op uitgeverij Vodix: scholen kunnen leeromgevingen, met aanvullende maatregelen, veilig gebruiken

SIVON heeft een Data Protection Impact Assessment (DPIA) uitgevoerd op de digitale leer- en toetsomgeving van uitgeverij Vodix. Uit de DPIA blijkt dat scholen Vodix veilig kunnen gebruiken wanneer de voorgestelde maatregelen door Vodix en de schoolbesturen worden uitgevoerd. Vodix zal de meeste maatregelen dit kalenderjaar implementeren.

Leerlingen en leraren in het voortgezet onderwijs maken gebruik van de lesmethodes van Vodix voor het oefenen, toetsen en begeleiden van leerprocessen. Vodix geeft verschillende lesmethodes uit: Tijd voor Geschiedenis, BeatsNbits, Backstage, iSociety, Paspoort 21, en CKV‑lab.

Risico’s en benodigde maatregelen

Tijdens de DPIA zijn mogelijke privacy- en beveiligingsrisico’s onderzocht. Ook is gekeken welke maatregelen nodig zijn om deze risico’s te beperken.

Vodix heeft tijdens het DPIA-proces actief meegewerkt en verschillende verbeteringen direct opgepakt of opgenomen in de ontwikkelagenda. Het gaat onder andere om verbeteringen op het gebied van:

• duidelijkere afspraken in de verwerkersovereenkomst over het verwerken van persoonsgegevens;
• het veiliger maken van export- en downloadfuncties, zodat persoonsgegevens minder snel buiten de applicatie terechtkomen;
• betere logging en monitoring, zodat incidenten sneller kunnen worden onderzocht en opgevolgd;
• meer inzicht voor scholen in logginggegevens om ongeautoriseerde wijzigingen sneller te signaleren;
• het beperken van bewaartermijnen van persoonsgegevens;
• aanscherping van het wachtwoordbeleid en aanvullende beveiligingsmaatregelen;
• betere documentatie over de rechten van betrokkenen en de afhandeling van verzoeken.

De verbeteringen worden dit kalenderjaar opgepakt. De uitbreiding waarmee scholen zelfstandig logging kunnen inzien volgt in Q1 2027.

Wat schoolbesturen zelf moeten doen

Voor schoolbesturen is het belangrijk om de volgende maatregelen te nemen om, op dit moment, veilig gebruik te kunnen maken van Vodix.

• het inkorten van de bewaartermijnen om aan te sluiten op gebruik in de praktijk;
• het maken van afspraken over het maken en gebruiken van exports en hier controle op uitoefenen;
• het maken van afspraken over de controle op de logging;
• zorgen dat er een proces is voor het veilig beheren en bewaren van wachtwoorden;
• standaard 2FA aanzetten voor gebruik van de applicatie;
• het tekenen van de nieuwste verwerkersovereenkomst;
• gebruik van exports buiten de applicatie beperken;
• vrije tekstvelden uitsluitend gebruiken voor strikt noodzakelijke informatiel
• Vodix in het verwerkingsregister opnemen;
• betrokkene (leerlingen) informeren over de verwerking, waaronder cookiegegevens.

Scholen blijven verantwoordelijk voor een lokale DPIA

De centrale DPIA helpt schoolbesturen om invulling te geven aan hun verplichtingen vanuit de Algemene Verordening Gegevensbescherming (AVG). Schoolbesturen blijven wel verantwoordelijk voor het uitvoeren van een lokale DPIA. Daarin beoordelen zij organisatie-specifieke risico’s en eventuele restrisico’s.

Wanneer Vodix en de onderwijsinstellingen de afgesproken maatregelen uitvoeren, kan het gebruik van de lesmethodes van Vodix volgens de DPIA op een veilige manier plaatsvinden.

• Download het DPIA-rapport (Pdf)
• Download het DPIA-rapport (Word)

Veelgestelde vragen over DPIA op Vodix