DPIA: wat is het en wat doet SIVON?

Een Data Protection Impact Assesment (DPIA), ook wel een gegevenseffectbeoordeling, is een instrument om privacy risico’s voor betrokkenen in kaart te brengen.  

Scholen zijn volgens de wet verplicht om informatiebeveiliging en privacy (IBP) te regelen. Zij moeten kunnen aantonen welke technische en organisatorische maatregelen ze hebben genomen om de persoonsgegevens van leerlingen te beschermen. Onderdeel van deze maatregelen is een DPIA.  

In veel systemen die scholen gebruiken worden op grootschalige en systematisch wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen). Daarom is de school verplicht een DPIA uit te voeren op deze systemen.  

Verschil centrale DPIA en lokale DPIA

Scholen moeten kunnen aantonen welke technische en organisatorische maatregelen zij hebben genomen om de persoonsgegevens van leerlingen te beschermen. Onderdeel van deze maatregelen is een privacy impact analyse (DPIA). In veel systemen die scholen gebruiken wordt op grootschalige en systematisch wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen), daarom is de school verplicht een DPIA uit te voeren op deze systemen. De vastlegging onder verantwoordelijkheid van het schoolbestuur noemen we een lokale DPIA. 

SIVON voert centrale DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico afweging te komen. Centrale DPIA’s worden op systeem niveau uitgevoerd. In de scope wordt vastgelegd voor welke processen de DPIA uitgevoerd is. Een centrale DPIA bestaat uit een juridisch en technisch onderzoek om de risico’s vast te stellen en waar mogelijk de maatregelen om de risico’s te mitigeren. Deze maatregelen kunnen bestaan uit implementatie voorschriften voor gebruik en/of afspraken met de leverancier om aanpassing aan de dienst door te voeren. Met een centrale DPIA neemt SIVON een deel van het werk van scholen uit handen. 

Wat doet SIVON?  

SIVON voert een generieke DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico afweging te komen. We publiceren per DPIA de te nemen maatregelen om geconstateerde tekortkomingen te mitigeren en stellen met leveranciers een remediationplan op.