Een Data Protection Impact Assesment (DPIA), ook wel een gegevensbeschermingseffectbeoordeling, is een instrument om privacyrisico’s voor betrokkenen in kaart te brengen met als doel deze weg te nemen of te verminderen.
Scholen zijn volgens de wet verplicht om hun informatiebeveiliging en privacy (IBP) op orde te hebben. Zij moeten kunnen aantonen welke technische en organisatorische maatregelen ze hebben genomen om de persoonsgegevens van leerlingen en medewerkers te beschermen. Onderdeel van deze maatregelen is een DPIA. In veel systemen die scholen gebruiken worden op grootschalige en systematisch wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen). Daarom is de school verplicht een DPIA uit te voeren op deze systemen.
Wat doet SIVON?
SIVON voert generieke centrale DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico-afweging te komen. We publiceren per DPIA welke maatregelen scholen moeten nemen om geconstateerde tekortkomingen weg te nemen. Daarnaast stellen we met leveranciers een verbeterplan op (‘remediation plan’). SIVON levert daarbij een model-DPIA op voor schoolbesturen. Dit model gebruiken schoolbesturen om bevindingen uit de centrale DPIA voor hun eigen lokale DPIA uit te voeren. Hiermee voldoen schoolbesturen op relatief eenvoudige wijze aan de verplichting om DPIA’s uit te voeren.
Een centrale DPIA bestaat uit een juridisch en technisch onderzoek om de risico’s vast te stellen. Ook staan er maatregelen in om de risico’s t verhelpen. Deze maatregelen kunnen bestaan uit implementatievoorschriften voor gebruik en/of afspraken met de leverancier om aanpassingen aan de dienst door te voeren. De vastlegging onder verantwoordelijkheid van het schoolbestuur noemen we een lokale DPIA.
Deze dienst maakt deel uit van ons ondersteuningsbod binnen het programma Digitaal Veilig Onderwijs.
Namens wie voert SIVON DPIA’s uit?
SIVON is de ict-coöperatie van en voor het basis- en voortgezet onderwijs. Zij voert namens schoolbesturen DPIA’s uit op de digitale producten die het meest gebruikt worden in het onderwijs. Wanneer een aantal schoolbesturen zich heeft aangemeld om deel te nemen aan zo’n DPIA, neemt SIVON namens hen – en ten behoeve van het gehele onderwijs – de leiding in het proces. Zij spreekt leveranciers aan op hun verantwoordelijkheden op het gebied van informatiebeveiliging en privacy. Leveranciers zijn op hun beurt verplicht om medewerking te verlenen. Dit volgt in ieder geval uit de AVG en de verwerkersovereenkomst, en soms ook uit specifieke privacyconvenanten waaraan zij zich hebben verbonden.
Verschil centrale DPIA en lokale DPIA
Een centrale DPIA bestaat uit een juridisch en technisch onderzoek om bepaalde risico’s vast te stellen. Ook staan er maatregelen in om deze risico’s weg te nemen. Deze maatregelen kunnen bestaan uit implementatievoorschriften voor gebruik en/of afspraken met de leverancier om aanpassingen aan de dienst door te voeren. Het schoolbestuur bepaalt in de eigen DPIA of deze bevindingen en risico’s ook op hun organisatie van toepassing zijn. Zij maken hierbij hun eigen risico-afweging. Deze vastlegging onder verantwoordelijkheid van het schoolbestuur noemen we een lokale DPIA. Het voordeel van deze werkwijze is dat leveranciers niet zelf betrokken hoeven te zijn bij de honderden DPIA’s die schoolbesturen uitvoeren, en schoolbesturen niet zelf het juridisch en technisch onderzoek tot in detail hoeven uit te voeren.
Voor wie?
Schoolbesturen – van klein tot groot – in het primair en voortgezet onderwijs.
Welke DPIA’s vinden plaatsen in 2023?
In onderstaand schema vind je een overzicht van de DPIA’s die in 2023 plaatsvinden. Je ziet ook in welk kwartaal wij je informeren over de bevindingen uit de verschillende DPIA’s.
🟠 In contact: het contact met de leverancier is gelegd. We verzamelen de documenten en benaderen de schoolbesturen.
🟢 Lopend: de DPIA is gestart en er hebben één of meerdere DPIA-sessies plaatsgevonden.
🟡 Te plannen: we gaan de leveranciers benaderen. De DPIA vindt later dit jaar plaats.
🔵 In afwachting van de business editie (in tegenstelling tot de consumentenversie).
| Jan | Feb | Mrt | Apr | Mei | Jun | Jul | Aug | Sep | Okt | Nov | Dec | |
| AFAS | 🟢 | 🟢 | 🟢 | 🟢 | ||||||||
| Apple | 🟢 | 🟢 | 🟢 | 🟢 | ||||||||
| Basispoort | 🟡 | 🟠 | ||||||||||
| Esis – Rovict | 🟡 | 🟡 | 🟡 | 🟡 | ||||||||
| Google Chrome OS en Chrome Browser | 🟢 | 🟢 | 🟢 | 🟢 | ||||||||
| Google Workspace | 🟢 | 🟢 | 🟢 | 🟢 | ||||||||
| Hololens-Microsoft | 🟡 | 🟡 | 🟡 | 🟡 | ||||||||
| Noordhoff | 🟠 | 🟠 | 🟠 | 🟠 | ||||||||
| HR2Day | 🟢 | 🟢 | 🟢 | 🟢 | ||||||||
| Jamf | 🟢 | 🟢 | 🟢 | 🟢 | ||||||||
| Magister – Iddink | 🟡 | 🟡 | 🟡 | 🟡 | ||||||||
| Malmberg (Sanoma) Platform Bingel & Max | 🟠 | 🟠 | 🟢 | 🟢 | ||||||||
| Meta Quest 2 VR-bril | 🔵 | 🔵 | 🔵 | 🔵 | ||||||||
| Parentcom | 🟡 | 🟡 | 🟡 | 🟠 | ||||||||
| ParnasSys – Topicus | 🟡 | 🟡 | 🟡 | 🟡 | ||||||||
| Snappet | 🟡 | 🟡 | 🟡 | 🟠 | ||||||||
| Somtoday – Topicus | 🟡 | 🟡 | 🟡 | 🟡 | ||||||||
| ThiemeMeulenhoff | 🟠 | 🟠 | 🟠 | 🟠 | ||||||||
| Visma HR& Payroll (voorheen) Youforce | 🟠 | 🟠 | 🟠 | 🟠 | ||||||||
| Zien voor onderwijs | 🟡 | 🟡 | 🟡 | 🟡 | ||||||||
| Zwijsen | 🟡 | 🟡 | 🟠 | 🟠 |
