DPIA (leveranciersinformatie)

Een Data Protection Impact Assesment (DPIA), ook wel een gegevensbeschermingseffectbeoordeling, is een in de AVG benoemd instrument om privacyrisico’s voor betrokkenen in kaart te brengen. Hierbij werkt SIVON nauw samen met leveranciers.   

Scholen hebben volgens de AVG een verantwoordingsplicht. Dat houdt onder meer in dat scholen moeten kunnen aantonen welke technische en organisatorische maatregelen zij hebben genomen om de persoonsgegevens van leerlingen te beschermen. 

In veel systemen die scholen gebruiken worden op grootschalige en systematisch wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen). Daarom is de school verplicht een DPIA uit te voeren op deze systemen.  

SIVON voert generieke DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico-afweging te komen. Dit worden centrale DPIA’s genoemd. SIVON maakt hierbij gebruik van de model DPIA van de Rijksoverheid, aangepast voor het onderwijs. De DPIA wordt in nauwe samenwerking met een leverancier uitgevoerd. Eventuele beveiligings- en privacyrisico’s worden geëvalueerd en samen wordt gezocht naar passende oplossingen. Het doel is dat SIVON en leveranciers hiermee samen een bijdrage leveren aan digitaal veiliger onderwijs. We publiceren per DPIA de maatregelen die scholen moeten nemen om geconstateerde tekortkomingen te mitigeren en stellen met leveranciers eventueel een verbeterplan op.  

Deelnemers aan het privacy convenant zeggen medewerking toe in artikel 9.1c van de Model Verwerkersovereenkomst. 

SIVON volgt bij het uitvoeren van een DPIA onderstaand proces en werkt met een model DPIA en vragenlijst.  

Klik op deze pdf om het DPIA proces in groter formaat te bekijken.