Een Data Protection Impact Assesment (DPIA), ook wel een gegevensbeschermingseffectbeoordeling, is een instrument om privacyrisico’s voor betrokkenen in kaart te brengen met als doel deze weg te nemen of te verminderen.
Scholen zijn volgens de wet verplicht om hun informatiebeveiliging en privacy (IBP) op orde te hebben. Zij moeten kunnen aantonen welke technische en organisatorische maatregelen ze hebben genomen om de persoonsgegevens van leerlingen en medewerkers te beschermen. Onderdeel van deze maatregelen is een DPIA. In veel systemen die scholen gebruiken worden op grootschalige en systematisch wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen). Daarom is de school verplicht een DPIA uit te voeren op deze systemen.
Wat doet SIVON?
SIVON voert generieke centrale DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico-afweging te komen. We publiceren per DPIA welke maatregelen scholen moeten nemen om geconstateerde tekortkomingen weg te nemen. Daarnaast stellen we met leveranciers een verbeterplan op (‘remediation plan’). SIVON levert daarbij een model-DPIA op voor schoolbesturen. Dit model gebruiken schoolbesturen om bevindingen uit de centrale DPIA voor hun eigen lokale DPIA uit te voeren. Hiermee voldoen schoolbesturen op relatief eenvoudige wijze aan de verplichting om DPIA’s uit te voeren.
Een centrale DPIA bestaat uit een juridisch en technisch onderzoek om de risico’s vast te stellen. Ook staan er maatregelen in om de risico’s t verhelpen. Deze maatregelen kunnen bestaan uit implementatievoorschriften voor gebruik en/of afspraken met de leverancier om aanpassingen aan de dienst door te voeren. De vastlegging onder verantwoordelijkheid van het schoolbestuur noemen we een lokale DPIA.
Deze dienst maakt deel uit van ons ondersteuningsbod binnen het programma Digitaal Veilig Onderwijs.
Het Normenkader Informatiebeveiliging en Privacy voor Funderend Ondewijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om jouw school digitaal veilig te maken.
In onderstaand overzicht zie je bij welke norm deze dienst past.
- 3.2 en 3.3
- 9.1, 9.3 en 9.5
- 15.3
Welke DPIA’s vinden plaatsen in 2023?
In onderstaand schema vind je een overzicht van de DPIA’s die in 2023 plaatsvinden. Je ziet ook in welk kwartaal wij je informeren over de bevindingen uit de verschillende DPIA’s.
🟠 In contact: het contact met de leverancier is gelegd. We verzamelen de documenten en benaderen de schoolbesturen.
🟢 Lopend: de DPIA is gestart en er hebben één of meerdere DPIA-sessies plaatsgevonden.
🟡 Te plannen: we gaan de leveranciers benaderen. De DPIA vindt later dit jaar plaats.
🔵 In afwachting van de business editie (in tegenstelling tot de consumentenversie).
🔴 On hold gezet door de leverancier.
✅ Afgerond: de DPIA is afgerond. Klik op de naam van de leverancier om de DPIA, een eventueel verbeterplan en de laatste stand van zaken te bekijken.
| Jan | Feb | Mrt | Apr | Mei | Jun | Jul | Aug | Sep | Okt | Nov | Dec | |
| AFAS | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | ✅ | |||
| Apple | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | |||
| Basispoort | 🟡 | 🟠 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | |||||
| Deviant (Studiemeter) | 🟢 | |||||||||||
| Entree Federatie | 🟢 | |||||||||||
| Esis – Rovict | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | |||
| Google ChromeOS en Chrome-browser | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | ✅ | ✅ | ✅ | |||
| Google Workspace | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | ✅ | ✅ | ✅ | |||
| Hololens-Microsoft | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | |||
| Noordhoff | 🟠 | 🟠 | 🟠 | 🟠 | 🟠 | 🟠 | 🔴 | 🔴 | 🔴 | 🟠 | ||
| HR2Day | 🔴 | 🔴 | 🔴 | 🔴 | 🔴 | 🔴 | 🔴 | 🔴 | 🔴 | 🟠 | ||
| Jamf | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | 🟢 | |||
| Magister – Iddink | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟠 | |||
| Malmberg (Sanoma) Platform Bingel & Max | 🟠 | 🟠 | 🟢 | 🟢 | 🟢 | 🟢 | 🔴 | 🔴 | 🔴 | |||
| Meta Quest 2 VR-bril | 🔵 | 🔵 | 🔵 | 🔵 | 🔵 | 🔵 | 🔵 | 🔵 | 🔵 | |||
| Parentcom | 🟡 | 🟡 | 🟡 | 🟠 | 🟠 | 🟠 | 🟠 | 🟠 | 🟠 | |||
| ParnasSys – Topicus | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟠 | |||
| Snappet | 🟡 | 🟡 | 🟡 | 🟠 | 🟠 | 🟠 | 🟠 | 🟠 | 🟢 | |||
| Somtoday – Topicus | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | |||
| ThiemeMeulenhoff | 🟠 | 🟠 | 🟠 | 🟠 | 🟠 | 🟠 | 🔴 | 🔴 | 🔴 | |||
| Visma HR& Payroll (voorheen) Youforce | 🟠 | 🟠 | 🟠 | 🟠 | 🟠 | 🟢 | 🟢 | 🟢 | 🟢 | |||
| Zien voor onderwijs | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | 🟡 | |||
| Zwijsen | 🟡 | 🟡 | 🟠 | 🟠 | 🟠 | 🟢 | 🔴 | 🔴 | 🔴 |
Welke DPIA’s hebben plaatsgevonden?
Meer informatie per DPIA
Alles over de DPIA’s op Google Workspace & ChromeOS
Uitleg transparantie gegevensverwerkingen Google Workspace for Education
DPIA Microsoft Teams, OneDrive, SharePoint
Alles over de DPIA op AFAS
DPIA ZOOM
DPIA Windows 10 Enterprise, Office 365 online en mobiele apps
DPIA Office 365 for the web en mobiele officeapps
DPIA Intune