Tijdens het webinar in januari 2026 hebben de deelnemers aan het webinar vragen gesteld. De vragen en de bijbehorende antwoorden vind je op deze pagina.
Kan er een toelichting gegeven worden op risico 3? Het ontbreken van een 2e encryptielaag van data in rust en hoe zich dit verhoudt met de huidige beveiliging tot het moment van doorvoeren 2e encyptielaag?
De 2e encryptielaag houdt in, zie ook de maatregelen in het ROSA certificeringsschema, dat: Encryptie van opslag, moet minimaal op twee niveaus, zoals op (virtuele)disk en bestands- of recordniveau. Hiervoor wordt gebruik gemaakt van richtlijnen/best practices/standaarden, zoals van NCSC, ENISA, NIST. Dit betekent dat er op 2 lagen encryptie wordt toegepast. Dit heeft een aanvullende veiligheid, namelijk dat als onbevoegden toegang krijgen tot de (virtuele)disc, zij de data op de disc niet kunnen lezen.
SIVON heeft de centrale risico’s beoordeeld, al dan niet in combinatie met lokaal te nemen maatregelen. Voor de centrale door Topicus te nemen maatregelen geldt dat SIVON heeft gekeken naar (een combinatie van) maatregelen die leiden tot de meest wenselijke situatie. Dit wil niet zeggen dat de huidige netto risicoscore in het verlengde van de bruto risicoscore ook tot onaanvaardbare problemen aanleiding geeft. Zo heeft Topicus in het geval van de beveiliging van de database technische maatregelen getroffen (zie bijlage 3 van de DPIA) die al een hoog effect hebben op het bruto risico. In andere gevallen zal een combinatie van door Topicus en de onderwijsinstelling te nemen maatregelen leiden tot een aanvaardbaar risico, ook in de huidige situatie. Daarentegen is het wel zo dat na het doorvoeren van de voorgestelde maatregelen er naar het oordeel van SIVON sprake is van een meer veilige situatie.
Wat is de status van Parro en de separate app registratie binnen de basis DPIA van ParnasSys? Deze is urgent voor alle besturen die momenteel de IBP kaders willen (gaan) toepassen. De huidige app registratie zorgt ervoor dat de Parro app niet werkt wanneer je meer strikte beveiliging toepast binnen M365.
Parro maakte geen deel uit van de scope van deze DPIA, aangezien dit een aparte module is. Wel zal SIVON met een of meer leden contact zoeken om hier verder naar te kijken. Ook Topicus heeft hiertoe de bereidheid uitgesproken.
Is er een voornemen om de risico’s/voorwaarden voor gebruik van Parro (en andere gegevensdelen koppelingen als die voor het delen van persoonsgegevens met de schoolfotograaf) nog eens verder uit te werken? (of kan Topicus daarin voorzien?)
Ja, dat is SIVON wel van plan. Er wordt elk jaar een planning gemaakt voor de uit te voeren DPIA’s. Afhankelijk van de besluitvorming van de volgorde zal dit eerder of later worden gedaan. SIVON publiceert op de website de planning van de DPIA’s.
Wordt de verbeterde versleuteling ook bij Somtoday opgeleverd?
Momenteel wordt door SIVON een DPIA uitgevoerd op Somtoday, waarbij dit onderzocht wordt.
Kun je aangeven op basis van welk juridisch kader dat een geheimhoudingsverklaring verwacht mag worden van medewerkers die al een arbeidscontract hebben getekend waarbij aandacht is voor een geheimhouding? Zijn er specifieke zaken die in deze geheimhoudingsverklaring beschreven moeten worden?
Dit in relatie tot onderstaande risico uit de DPIA:
1. Risico:
Autorisaties worden niet by default beperkt op basis van ‘need to have’.
Applicatiebeheerder kan alle persoonsgegevens inzien.
Maatregel:
Onderwijsinstelling: Moet de toewijzing van admin-accounts beperken. Tevens de admin een geheimhoudingsverklaring laten ondertekenen.
Zoals in het webinar is toegelicht kan een passage in de arbeidsovereenkomst mogelijk voldoende zijn. Dit kan worden beoordeeld door Personeelszaken/HR of een (arbeids)jurist binnen de onderwijsinstelling. De AVG geeft in artikel 32 aan dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen moet nemen.
Een aanvullende geheimhoudingsverklaring kan een passende organisatorische maatregel zijn. In ieder geval kan onderdeel van deze geheimhoudingsverklaring zijn:
1. Ondergetekende verplicht zich tot volledige geheimhouding van alle vertrouwelijke informatie die hem/haar tijdens het uitvoeren van zijn/haar werkzaamheden ter kennis komt en/of is gekomen, waaronder maar niet uitsluitend, alle digitale of mondelinge informatie met betrekking tot:
(a) persoonsgegevens waarvan ondergetekende kennis neemt tijdens zijn/haar werkzaamheden;
en: 2. Ondergetekende erkent dat de vertrouwelijke informatie door ondergetekende uitsluitend mag worden gebruikt ten behoeve van zijn/haar werkzaamheden bij Stichting [….].
3. Ondergetekende erkent dat het verboden is om vertrouwelijke informatie tijdens of na afloop van de werkzaamheden – ongeacht de wijze waarop de werkzaamheden zijn beëindigd – zonder voorafgaande toestemming van Stichting [….] direct of indirect openbaar te maken.
4. Deze geheimhoudingsverklaring geldt voor onbepaalde duur en kan slechts worden ingetrokken met voorafgaande schriftelijke instemming van Stichting [….].
5. Deze geheimhoudingsverklaring wordt beheerst door Nederlands recht.
Onze scholen zetten zo minimaal gegevens in het systeem. Vervolgens wordt verplicht uitgewisseld via ROD en gegevens ingeladen vanuit ROD. Het is voorgekomen dat een geheim adres of telefoonnummer daarna niet meer als geheim geregistreerd bleek te zijn. Is dit probleem bekend bij jullie?
Zoals aangegeven door Topicus in het webinar, betreft het hier geen breed ervaren probleem en is het advies hierover met Topicus contact op te nemen, zodat uitgezocht kan worden waar in de overdrachtsketen het probleem wordt veroorzaakt.
Toevoeging Topicus: In het ontwerp en de implementatie van ParnasSys is het systeem erop gericht om geheime informatie geheim te houden. Ook na uitwisseling met derde-systemen. Er is geen geval bekend waarbij dit niet goed gefunctioneerd heeft.
Is het opslaan van een Toelaatbaarheidsverklaring (TLV) meegenomen? Ik merk dat scholen dat graag in het LAS willen bewaren. Echter een TLV is een financieel document en heeft een bewaartermijn van 7 na het boekjaar. Dat geeft problemen met het verwijderen van een leerling na 5 jaar.
Wat voor de TLV geldt is ook van toepassing voor andere gegevens die bewaard moeten worden in het kader van bekostiging.
Uit de reacties op deze vraag in het webinar werd het volgende gemeld over de Toelaatbaarheidsverklaring (TLV) en samenwerkingsverbanden (SWV) door andere deelnemers:
‘Na afgifte bewaart het SWV hem 7 jaar, maar een TLV kan voor meerdere jaren worden afgegeven en dan heeft het SWV het niet meer. Scholen moeten die 7 jaar bewaren tot na het boekjaar waarop het van invloed is.’ De-bewaartermijn-van-de-TLV-hoe-zit-het-nu-precies.pdf
Kennisnet heeft een overzicht gepubliceerd van alle bewaartermijnen.
In dit overzicht staat (Excel, regels 224 – 227) dat een ondersteuningsarrangement voor passend onderwijs 7 jaar bewaard moet blijven.
Binnen ParnasSys is het mogelijk deze gegevens 7 jaar te bewaren. Het is de vraag of ParnasSys de ideale plek is om dit te bewaren. ParnasSys is erop ingericht om tijdens de onderwijsloopbaan informatie correct te bewaren. Nadien is ParnasSys minder geschikt. Wanneer het uitsluitend om financiële afspraken gaat, adviseren we onderwijsinstellingen dit te bewaren in de systemen waarin ook andere contracten en afspraken zijn opgeslagen.
In het speciaal onderwijs wordt op verschillende plekken ook gewerkt met bijzondere persoonsgegevens. In hoeverre is in deze DPIA naar deze gegevens gekeken ? Denk bijvoorbeeld ook aan informatie van/voor ambulant-dienstverleners.
In de DPIA is onderzocht welke autorisatiemogelijkheden er zijn, dus op welke manier rechten en rollen ingedeeld kunnen worden voor verschillende niveau’s van toegang. Binnen Basis van ParnasSys kan dit op diverse manieren, er zijn voldoende mogelijkheden om rollen in te richten op een ‘need to know’ basis. Suggestie vanuit een deelnemer aan het webinar voor dit specifieke geval is om met sublesgroepen te werken, waarbij de desbetreffende leerlingen aan de ambulant medewerker worden toegekend, waardoor deze alleen bij de benodigde gegevens kan. Dit is ook de door ParnasSys aanbevolen methode.
Is het privacy center van ParnasSys, waar extra voor betaald moet worden een onderdeel van de scope? Is het in rekening brengen van deze dienst wel conform de AVG?
In deze DPIA is de Basis van ParnasSys onderzocht, geen aanvullende modules. Alle benodigde functionaliteit inzake privacy-instellingen, zoals het op de juiste manier inrichten van de koppelingen, is in de Basis aanwezig. De aanvullende module is optioneel, om de inrichting en monitoring te vergemakkelijken.
Waarom wordt de verantwoordelijkheid van het afdwingen van 2FA bij de school gelegd?
In de DPIA is hierover het volgende opgenomen: “Ondanks dat ParnasSys 2FA by default niet aanbiedt, kan de onderwijsinstelling dit zelf instellen en afdwingen. Hierop moet door de onderwijsinstelling beleid worden gemaakt, waarbij ook SSO met bijvoorbeeld Office 365 of Google kan worden meegenomen. Er resteert hierdoor geen ‘hoog risico’.” EN: “SIVON is van oordeel dat deze maatregel als onderdeel van ‘privacy by design/default’ moet worden gezien en standaard moet worden aangeboden. In de volgende DPIA op deze applicatie wordt dit wederom beoordeeld.”
Hoe is 2FA geregeld bij koppeling met Office 365? Gaat 2FA dan uit van instellingen in 365?
Dit maakte geen deel uit van de DPIA. Voor informatie over dit onderwerp, zie: ParnasSys.nl
Toevoeging Topicus: Hoewel dit geen onderdeel uitmaakt van de DPIA kunnen we bevestigend antwoorden op de vraag. Indien gebruik gemaakt wordt van SSO wordt ook de 2FA van de leverancier daarvan gehanteerd.
Hoe komt het dat mailen via ParnasSys niet veilig is?
Binnen Basis van ParnasSys is de mailoptie te vergelijken met mailen vanuit een reguliere mailapplicaties zoals MS Outlook. Het mailen van gevoelige of bijzondere persoonsgegevens via dergelijke mailprogramma’s wordt niet geadviseerd, omdat deze gegevens extra beveiligingswaarborgen nodig hebben, conform de vereisten uit de AVG.
Er zijn verschillende alternatieven in de markt die voldoen aan NTA 7516 (zorg)normering, welke ook voor de onderwijssector wordt gehanteerd als best practise voor wat betreft veilig e-mailen. Topicus is niet verplicht een dergelijke oplossing aan te bieden binnen hun systeem, het is aan de verwerkingsverantwoordelijke (de school) om te zorgen dat er voldoende technische en organisatorische maatregelen worden genomen om de gegevens veilig te verzenden.
Toevoeging Topicus: In het portfolio van ParnasSys zijn producten aanwezig die veilig communiceren mogelijk maken.
Is het in het webinar benoemde inrichtingsdocument wat een school in gebruik heeft, publiek toegankelijk/beschikbaar?
Het inrichtingsdocument is specifiek door de onderwijsinstelling zelf opgesteld en niet goed te delen. Het gaat er bij een inchtingsdocument om dat zorgvuldig beschreven wordt hoe de applicatie ParnasSys wordt/is ingericht en wat de bevoegdheden bovenschools en op schoolniveau. SIVON gaat nog met de onderwijsinstelling in gesprek of er mogelijk een generiek document van kan worden gemaakt.
Wanneer kunnen we rollen en rechten zelf beïnvloeden? Nu werkt ParnasSys met stapelrollen die slechts in stukjes (niet te beïnvloeden) worden aangeboden. Ik wil als gebruiker van de school zelf aanpassingen aan rollen en rechten maken.
Voor de DPIA is onderzocht of de rollen en rechten in voldoende mate ingesteld kunnen worden om toegang op een ‘need to know’ basis te realiseren. Dit is het geval.
Bewaartermijnen, gelden die ook voor medewerkeraccounts of alleen leerling en gezinsgegevens?
In hoofdstuk 11 van de DPIA is opgenomen welke bewaartermijnen van toepassing zijn voor zowel leerlingen als medewerkers en ouders. Hierin is eveneens opgenomen: ‘Bij vertrek van medewerkers worden hun gegevens meestal gedeactiveerd maar niet verwijderd. Dit is omdat het belangrijk is om te kunnen traceren wie verantwoordelijk was voor bepaalde groepen, wie notities heeft gemaakt bij een leerling, of wie bepaalde documenten heeft aangemaakt. Om deze reden worden de gegevens van medewerkers bewaard voor de gehele schoolperiode van een leerling.’ Dit zou in de regel dan niet meer dan 8 jaar mogen zijn.
Tegenwoordig wordt de privacybijlage van ParnasSys bijgehouden op internet, deze maakt geen deel meer uit van de door de besturen ondertekende verwerkersovereenkomst. Besturen worden niet proactief op de hoogte gebracht van wijzigingen, waardoor ze niet de keuze hebben om wel of niet akkoord te gaan. Waarom worden besturen niet standaard op de hoogte gebracht via DV van wijzigingen in de bijlagen zoals andere leveranciers dat doen?
De (online) Privacybijsluiter maakt via een link nog steeds onderdeel uit van de verwerkersovereenkomst. Het is verstandig om als onderwijsinstelling alle relevante informatie op te slaan. Topicus heeft aangegeven dat zij wijzigingen via de Dienst Verwerkersovereenkomsten (DV) doorgeven. Let wel, dat is alleen noodzakelijk voor onderwijsinstellingen waarop de wijziging van toepassing is (bijv. onderwijsinstellingen die het optionele product Parro Portaal gaan gebruiken moeten op deze wijziging gewezen worden). Daarnaast is er een extra mogelijkheid om op de hoogte gehouden te worden van alle wijzigingen (dus ook wanneer deze niet van toepassing zijn) door je aan te melden via het formulier onderaan de online Privacybijsluiter. Uiteraard is het wel de bedoeling dat de online Privacybijsluiter alle relevante informatie bevat, dus een niet werkende link moet zo snel mogelijk worden opgelost.
Toevoeging Topicus: ParnasSys stelt besturen standaard op de hoogte via DV van wijzigingen in de bijlagen, net zoals andere leveranciers dat doen. Werken via DV geniet daarom de voorkeur.
Wordt het statutair in de VS gevestigde subverwerkers (en daarmee de voor hen geldende wetgeving) gezien als aanvaardbaar risico?
Zoals in de DPIA in hoofdstuk 8 is aangegeven: ‘Topicus maakt voor Basis van ParnasSys gebruik van subverwerkers, zowel gevestigd binnen als buiten de EER. De subverwerkers die buiten de EER zijn gevestigd, vallen allemaal onder het adequaatheidsbesluit dat is uitgevaardigd door de Europese Commissie, zoals het EU-US Data Privacy Framework (EU-US DPF) (situatie juni 2025). Hierdoor is Topicus niet verplicht om een DTIA uit te voeren op haar subverwerkers.
Hoewel het EU-US DPF als ‘adequaat’ is aangemerkt door de Europese Commissie, is dit politiek en juridisch omstreden. Daarom adviseert SIVON om, daar waar nog niet gerealiseerd, met (sub)verwerkers SCC’s overeen te komen.’
In het normenkader wordt aangegeven dat een back-up 6x per dag verplicht is en dat de integriteit dan automatisch wordt gecontroleerd. Dit soort vragen zijn door scholen niet te beantwoorden. Hoe gaan scholen hiermee om mbt het beantwoorden daarvan in het Normenkader IBP over ParnasSys?
In de DPIA is de back-up van ParnasSys beoordeeld aan de hand van het ROSA certificeringsschema. Topicus doet dit conform het ROSA-certificeringsschema.
Het zou enorm helpend zijn als er kijkend naar het Normenkader IBP (met name het IB-deel) een per norm gespecificeerde uitwerking komt van hoe er op o.a. technisch vlak aan de gestelde norm wordt voldaan. Dit zodat we hier als organisatie voor het ”systeem” ParnasSys de juiste zaken toe kunnen voegen aan bijvoorbeeld de tooling die binnen de organisatie gebruikt wordt voor het in beeld brengen van de naleving van het Normenkader IBP door de organisatie.
Aangezien alle implementaties van een specifiek systeem per school kan verschillen, is het niet mogelijk om hiervoor een generiek kader uit te werken dat op alle situaties van toepassing is. Bovendien is het normenkader IBP bedoeld voor onderwijsinstellingen, en niet voor een specifiek systeem.
Krijgen wij de volledige DPIA ook toegestuurd als schoolbestuur? En krijgen wij deze presentatie/ opname ook toegestuurd?
De DPIA is eind november 2025 gepubliceerd en hier te vinden.
De presentatie is naar de deelnemers van het webinar gemaild.
ParnasSys geeft aan dat het goed is om te werken met de groepsautorisatie. In mijn voorbeeld kan dat niet. Vaak is het zo dat een onderbouwcoördinator verantwoordelijk is voor de aangemelde of toekomstige leerlingen. En namens de school het eerste contact zoekt. Om deze in te kunnen zien, moet de groepsautorisatie worden uitgezet. Op veel scholen staat de groepsautorisatie voor deze onderbouwleerkracht niet aan. Ik geef hem/ haar dus meer toegang omdat het technisch gezien (nog) niet kan in ParnasSys.
Ik pleit dan ook voor een rol “onderbouwcoördinator” die inzicht geeft in aangemelde leerlingen zodat deze kan worden aangevinkt en waarbij de onderbouwcoördinator toch kan werken met de groepsautorisatie.
Veel schoolinstellingen zetten hiervoor sublesgroepen in om communicatie vooraf of specifieke leerlingen in te bundelen.