Data Protection Impact Assesment

Een Data Protection Impact Assesment (DPIA), ook wel een gegevensbeschermingseffectbeoordeling, is een instrument om privacyrisico’s voor betrokkenen in kaart te brengen met als doel deze weg te nemen of te verminderen.

Scholen zijn volgens de wet verplicht om hun informatiebeveiliging en privacy (IBP) op orde te hebben. Zij moeten kunnen aantonen welke technische en organisatorische maatregelen ze hebben genomen om de persoonsgegevens van leerlingen en medewerkers te beschermen. Onderdeel van deze maatregelen is een DPIA. In veel systemen die scholen gebruiken worden op grootschalige en systematisch wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen). Daarom is de school verplicht een DPIA uit te voeren op deze systemen. 

Wat doet SIVON? 

SIVON voert generieke centrale DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico-afweging te komen. We publiceren per DPIA welke maatregelen scholen moeten nemen om geconstateerde tekortkomingen weg te nemen. Daarnaast stellen we met leveranciers een verbeterplan op (‘remediation plan’). SIVON levert daarbij een model-DPIA  op voor schoolbesturen. Dit model gebruiken schoolbesturen om bevindingen uit de centrale DPIA voor hun eigen lokale DPIA uit te voeren. Hiermee voldoen schoolbesturen op relatief eenvoudige wijze aan de verplichting om DPIA’s uit te voeren.

Een centrale DPIA bestaat uit een juridisch en technisch onderzoek om de risico’s vast te stellen. Ook staan er maatregelen in om de risico’s te verhelpen. Deze maatregelen kunnen bestaan uit implementatievoorschriften voor gebruik en/of afspraken met de leverancier om aanpassingen aan de dienst door te voeren. De vastlegging onder verantwoordelijkheid van het schoolbestuur noemen we een lokale DPIA.  

Deze dienst maakt deel uit van ons ondersteuningsbod binnen het programma Digitaal Veilig Onderwijs.

Het Normenkader Informatiebeveiliging en Privacy voor Funderend Ondewijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om jouw school digitaal veilig te maken.

In onderstaand overzicht zie je bij welke norm deze dienst past.

  • 3.2 en 3.3
  • 9.1, 9.3 en 9.5
  • 15.3