Update impact assessments voor leerlingadministratiesystemen

Wat is een Data Protection Impact Assessment? Wie voert ze uit en hoe kan ik als schoolbestuur deelnemen? Waar vind ik een overzicht van de actuele risico’s en beheersmaatregelen? De antwoorden op deze vragen, vindt u in dit bericht. 

Wat is een DPIA? 

Een Data Protection Assessment of ‘DPIA’ (spreek uit als ‘De-PieJa’) is letterlijk vertaald een gegevensbeschermingseffectbeoordeling. Het is een instrument om – voor je aan de slag gaat met de verwerking van persoonsgegevens – privacy risico’s in kaart te brengen, zodat je als organisatie passende maatregelen kunt nemen om die risico’s te verkleinen. Daarnaast kun je met een DPIA aantonen dat je als organisatie voldoet aan de verplichtingen van de Algemene verordening gegevensbescherming (AVG). 

SIVON en het Netwerk Informatiebeveiliging en Privacy (IBP) 

In 2021 heeft het Netwerk IBP DPIA’s uitgevoerd op leerlingadministratiesystemen (LAS). 

Uit deze DPIA’s zijn een aantal adviezen voor risico-beperkende beheersmaatregelen gerold, die je als lid van het netwerk kunt raadplegen. Nog geen lid? Meld je hier aan.
Risico-beperkende beheersmaatregelen kunnen bestaan uit organisatorische maatregelen, technische (inrichtings)maatregelen en maatregelen waarvoor productaanpassingen noodzakelijk zijn. 

In 2022 heeft SIVON als ict-coöperatie in samenspraak met de leverancier de risico’s in de laatste categorie – de productaanpassingen – van een actuele status voorzien. SIVON is voornemens om de uitgevoerde DPIA’s op leerlingadministratiesystemen iedere drie jaar te herhalen. 

Documentatie DPIA’s 

Hieronder vindt u documenten die een update bieden van de door de leverancier genomen maatregelen. Voor een totaaloverzicht van de risico’s verwijzen wij u nogmaals naar de hierboven genoemde oorspronkelijke DPIA’s. 

• Topicus – ParnasSys
• Topicus – Somtoday
• Iddink – Magister
• Rovict – Esis