In 2024 voerde SIVON een DPIA uit op Snappet, een digitaal lesplatform voor het basisonderwijs. Klaas Waslander is Chief Technology Officer bij Snappet en vertelt waarom ze hebben meegewerkt aan deze DPIA en wat het heeft opgeleverd.
Snappet is een online lesplatform met complete lesmethoden voor rekenen, taal en spelling. Deze lesmethoden gaan uit van gepersonaliseerd leren. Dit betekent dat het systeem de opdrachten en feedback aanpast aan het niveau en de voortgang van de leerling.
Gegevensbescherming
“Eind 2023 benaderde SIVON ons met de vraag of wij wilden meewerken aan een DPIA. Snappet is een grote speler en wordt imiddels op ruim 2.500 scholen gebruikt. Al die scholen zijn verplicht om een DPIA uit te voeren op de systemen die ze gebruiken. Dus als SIVON een generieke DPIA uitvoert op Snappet, scheelt dat de scholen veel werk. Bovendien is privacy een van onze kernwaarden, vinden we gegevensbescherming enorm belangrijk en levert zo’n DPIA weer andere inzichten op dan de DPIA die we elk jaar zelf uitvoeren. We waren dan ook meteen enthousiast over deze DPIA. Al met al duurde het DPIA-traject zo’n zes maanden. In juni 2024 was het rapport klaar.”
Inzage
Klaas vertelt dat ze zes intensieve sessies hebben gehad met SIVON. “Vanuit Snappet waren we met z’n vieren: de Functionaris Gegevensbescherming, de Security Lead, de Data Scientist Lead en ik. We hebben SIVON volledige inzage gegeven in hoe we informatie verwerken en beveiligen en in onze technische – en privacymaatregelen. De gesprekken gingen vrij diep, want gegevensbescherming is nou eenmaal ingewikkeld. SIVON stelde ons goede, kritische vragen. Dat was heel waardevol en leverde voor beide partijen mooie inzichten op. Zo was SIVON kritisch over het feit dat bepaalde logs over gegevensbeveiliging alleen via de servicedesk opgevraagd konden worden en dus niet zelf te raadplegen waren. SIVON gaf aan dat de drempel daardoor te hoog is. Daarom gaan we dit aanpassen en zorgen ervoor dat deze logs binnenkort direct te zien zijn.”
Waardevol
“Uit de DPIA is gebleken dat Snappet een veilig online lesplatform is. Daar zijn we natuurlijk heel blij mee. Maar we willen Snappet ook veilig houden. Daarom moeten we continu aandacht blijven besteden aan informatiebeveiliging en privacy. Het is dan ook erg fijn dat we concrete verbeterpunten hebben gekregen, bijvoorbeeld om scholen meer eigenaarschap te geven over informatiebeveiliging. Ook zijn we gestart met het traject om in aanmerking te komen voor ISO 27001-certificering. Als het goed is, krijgen we dit certificaat rond de zomer van 2025. Deze DPIA heeft dus echt geholpen om te blijven voldoen aan alle eisen rondom informatiebeveiliging.”
Meer weten?
Lees meer over de DPIA op Snappet, het uitvoeren van DPIA’s of neem contact op met een van onze relatiemanagers.
Over Digitaal Veilig Onderwijs en DPIA’s
Het programma Digitaal Veilig Onderwijs van het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad heeft als doel: een digitaal veilige leeromgeving op elke school. Daarbij is het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) leidend. Een verplicht onderdeel van dit normenkader is het uitvoeren van een Data Protection Impact Assesment (DPIA). Een DPIA is een instrument om de privacyrisico’s in kaart te brengen, met als doel deze weg te nemen of te verminderen. Sinds 2020 voert SIVON generieke DPIA’s uit op systemen die binnen scholen worden gebruikt. Deze generieke DPIA’s kunnen scholen vervolgens gebruiken om tot een lokale DPIA te komen. Zo kunnen schoolbesturen dus relatief makkelijk voldoen aan de wettelijke verplichting om DPIA’s uit te voeren.