In 2024 voerde SIVON een DPIA uit op Studiemeter, een online leeromgeving voor het voortgezet onderwijs en het mbo. Security Officer Anne Boon legt uit waarom Uitgeverij Deviant heeft meegewerkt aan deze DPIA en tot welke inzichten dat heeft geleid.
Studiemeter is ontwikkeld door Uitgeverij Deviant, een Nederlandse educatieve uitgeverij. Het platform biedt online lesmateriaal, toetsen en andere educatieve tools voor het voortgezet onderwijs en het mbo. Op dit moment wordt Studiemeter gebruikt op ongeveer 400 scholen voor voortgezet onderwijs.
Proactief
Anne: “Een jaar of twee geleden zijn we al eens door een school benaderd voor een DPIA. We hadden er dus al ervaring mee toen SIVON ons eind 2023 vroeg of we mee wilden werken aan deze DPIA. Het leek ons meteen een mooie kans. We zijn altijd proactief bezig met gegevensbescherming en privacy en hebben bijvoorbeeld ook een ISO 27001-certificaat voor informatiebeveiliging. En zo’n DPIA is niet alleen heel waardevol voor scholen, maar levert ons ook nuttige inzichten op, waarmee we Studiemeter nog veiliger kunnen maken. Uiteindelijk hebben mijn directeur, het hoofd ICT en ik vier sessies gehad met SIVON en is het DPIA-traject in juni 2024 afgerond.”
Leren
In de DPIA op Studiemeter heeft SIVON alleen gekeken naar het voortgezet onderwijs. “Gelukkig was er wel alle ruimte om uit te leggen waarom we bepaalde keuzes hebben gemaakt. Een voorbeeld is de toegang tot bepaalde klassen. In het mbo zijn er meer docentwisselingen, waardoor die toegang best laagdrempelig moet zijn. In het voortgezet onderwijs zitten er meer restricties aan de toegang.” Tijdens het traject hebben Anne en zijn collega’s SIVON allerlei beleids- en procesdocumenten en veiligheidsrapporten gestuurd. Bovendien kreeg SIVON toegang tot een testomgeving van Studiemeter. “Informatiebeveiliging en privacy zijn voor ons heel belangrijk, omdat wij werken in opdracht van scholen. Zij vertrouwen ons de gegevens toe van hun leerlingen en docenten, dus wij moeten er alles aan doen om daar op een veilige manier mee om te gaan. Daar draagt deze DPIA zeker aan bij.”
Verbeteringen
De DPIA op Studiemeter leverde een aantal verbeterpunten op, maar de hoofdconclusie is dat Studiemeter een veilige online leeromgeving is. “Daar zijn we heel blij mee. Ook met de verbeterpunten trouwens. De meeste punten hebben we al opgepakt. Een voorbeeld van een verbeterpunt is dat we eerst in Studiemeter per leerling vastlegden of sprake was van dyslexie of een auditieve beperking. SIVON wees ons erop dat dit tot discriminatie kan leiden. Per 1 september 2024 hebben we dit aangepast. Nu hoeven docenten alleen aan te geven of bijvoorbeeld extra tijd of ondertiteling gewenst is. De reden maakt niet uit.” Anne raadt andere leveranciers zeker aan om mee te doen aan een DPIA van SIVON. “Het levert mooie inzichten op over hoe je je product nóg veiliger kunt maken.”
Meer weten?
Lees meer over de DPIA op Studiemeter, het uitvoeren van DPIA’s en of neem contact op met een van onze relatiemanagers.
Over Digitaal Veilig Onderwijs en DPIA’s
Het programma Digitaal Veilig Onderwijs van het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad heeft als doel: een digitaal veilige leeromgeving op elke school. Daarbij is het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP) leidend. Een verplicht onderdeel van dit normenkader is het uitvoeren van een Data Protection Impact Assesment (DPIA). Een DPIA is een instrument om de privacyrisico’s in kaart te brengen, met als doel deze weg te nemen of te verminderen. Sinds 2020 voert SIVON generieke DPIA’s uit op systemen die binnen scholen worden gebruikt. Deze generieke DPIA’s kunnen scholen vervolgens gebruiken om tot een lokale DPIA te komen. Zo kunnen schoolbesturen dus relatief makkelijk voldoen aan de wettelijke verplichting om DPIA’s uit te voeren.