Een Data Protection Impact Assesment (DPIA), ook wel een gegevensbeschermingseffectbeoordeling, is een in de AVG benoemd instrument om privacyrisico’s voor betrokkenen in kaart te brengen. Hierbij werkt SIVON nauw samen met leveranciers.
Waarom een DPIA?
Scholen hebben volgens de AVG een verantwoordingsplicht. Dat houdt onder meer in dat scholen moeten kunnen aantonen welke technische en organisatorische maatregelen zij hebben genomen om de persoonsgegevens van leerlingen te beschermen.
In veel systemen die scholen gebruiken worden op grootschalige en systematisch wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen). Daarom is de school verplicht een DPIA uit te voeren op deze systemen.
Hoe voert SIVON DPIA’S uit?
SIVON voert generieke DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico-afweging te komen. Dit worden centrale DPIA’s genoemd. SIVON maakt hierbij gebruik van de model DPIA van de Rijksoverheid, aangepast voor het onderwijs. De DPIA wordt in nauwe samenwerking met een leverancier uitgevoerd.
Model DPIA SIVONEventuele beveiligings- en privacyrisico’s worden geëvalueerd en samen wordt gezocht naar passende maatregelen. Het doel is dat SIVON en leveranciers hiermee samen een bijdrage leveren aan digitaal veiliger onderwijs. We publiceren per DPIA de maatregelen die leverancier en scholen moeten nemen om geconstateerde tekortkomingen te mitigeren en stellen met leveranciers eventueel een verbeterplan op.
Deelnemers aan het privacy convenant zeggen medewerking toe in artikel 9.1c van de Model Verwerkersovereenkomst.