Op deze pagina vinden leveranciers informatie over de activiteiten die SIVON onderneemt in het kader van het programma Digitaal Veilig Onderwijs. Het doel is gezamenlijk te werken aan digitaal veiliger onderwijs. We streven ernaar de aanpak open en transparant te maken voor iedereen die digitale diensten levert aan het funderend onderwijs.
Deze informatie is bedoeld voor partijen die applicaties of diensten leveren aan schoolbesturen binnen het primair en voortgezet onderwijs.
Programma Digitaal Veilig Onderwijs (DVO)
Iedere leerling heeft recht op veilig digitaal onderwijs. Het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad werken nauw samen om schoolbesturen te ondersteunen bij het op orde brengen van die digitaal veilige schoolomgeving. Dat doen zij in het programma Digitaal Veilig Onderwijs. Het doel is dat scholen de digitale veiligheid binnen vier jaar (vóór eind 2027) op orde hebben. Door dit samen op te pakken staan scholen er niet alleen voor, is het mogelijk meer efficiëntie te behalen en delen en benutten we kennis en ervaringen. Lees alles over Digitaal Veilig Onderwijs op de speciale programmapagina.
Normenkader Informatiebeveiliging & Privacy
Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel voor scholen én leveranciers. Het voldoen aan de normen kan stap voor stap worden aangepakt. Daarvoor is een groeipad in de maak, dat adviseert over de maatregelen die scholen kunnen nemen en op welk moment zij dat het beste kunnen doen om de normen te halen. Het normenkader is gebaseerd op het volwassenheidsmodel van de NBA.
Scholen zijn voor ict-voorzieningen deels afhankelijk van leveranciers. De ict-dienstverlening aan de scholen moet dus ook in overeenstemming met het normenkader zijn.
Leveranciersmanagement
In het programma richt SIVON zich onder andere op leveranciersmanagement vanuit de gedachte dat centraal organiseren schaalvoordelen oplevert, omdat:
- Scholen veel gebruik maken van SaaS- en Cloudapplicaties en digitale veiligheid en dit dus sterkt afhangt van hoe leveranciers digitale omgevingen veilig houden.
- Doordat scholen veel gebruik maken van dezelfde applicaties is het efficiënter om landelijke afspraken te maken.
- SIVON voor schoolbesturen een kundige en betrouwbare toetsingspartner is.
- Voor de leveranciers is SIVON één aanspreekpunt en creëert SIVON, door het benaderen van (de belangrijkste) leveranciers, een level playing field.
Als onderdeel van leveranciersmanagement beoordeelt SIVON privacy- en beveiligingsmaatregelen van (veel gebruikte) digitale middelen in het onderwijs. Onder leverancier verstaan we hier de verwerker zoals beschreven in de AVG.
SIVON beoordeelt informatiebeveiliging en privacy door het uitvoeren van DPIA’s en het toetsen van verwerkersovereenkomsten. Onderdeel van de DPIA is het toetsen op passende organisatorische en technische beveiligingsmaatregelen.
DPIA
Een Data Protection Impact Assesment (DPIA), ook wel een gegevensbeschermingseffectbeoordeling, is een in de AVG benoemd instrument om privacyrisico’s voor betrokkenen in kaart te brengen. Hierbij werkt SIVON nauw samen met leveranciers.
Scholen hebben volgens de AVG een verantwoordingsplicht. Dat houdt onder meer in dat scholen moeten kunnen aantonen welke technische en organisatorische maatregelen zij hebben genomen om de persoonsgegevens van leerlingen te beschermen.
In veel systemen die scholen gebruiken worden op grootschalige en systematisch wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen). Daarom is de school verplicht een DPIA uit te voeren op deze systemen.
SIVON voert generieke DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico-afweging te komen. Dit worden centrale DPIA’s genoemd. SIVON maakt hierbij gebruik van de model DPIA van de Rijksoverheid, aangepast voor het onderwijs. De DPIA wordt in nauwe samenwerking met een leverancier uitgevoerd. Eventuele beveiligings- en privacyrisico’s worden geëvalueerd en samen wordt gezocht naar passende oplossingen. Het doel is dat SIVON en leveranciers hiermee samen een bijdrage leveren aan digitaal veiliger onderwijs. We publiceren per DPIA de maatregelen die scholen moeten nemen om geconstateerde tekortkomingen te mitigeren en stellen met leveranciers eventueel een verbeterplan op.
Deelnemers aan het privacy convenant zeggen medewerking toe in artikel 9.1c van de modelovereenkomst Toetsing verwerkersovereenkomsten.
SIVON volgt bij het uitvoeren van een DPIA onderstaand proces en werken we met een model DPIA en vragenlijst.
Klik op deze pdf om het DPIA proces in groter formaat te bekijken.
Toetsen verwerkersovereenkomsten
SIVON toetst verwerkersovereenkomsten als onderdeel van een DPIA of als losse activiteit. De getoetste verwerkersovereenkomsten (toetsrapport) worden gepubliceerd in de Dienst verwerkersovereenkomsten van Kennisnet. Bij de toetsing is de model verwerkersovereenkomst 4.0 van het Privacyconvenant het uitgangspunt.
De toetsing is onderverdeeld in:
- Theoretische toetsing: op verschillen ten opzichte van het Privacyconvenant Onderwijs Model 4.0 (voor deelnemers en medestanders) en de AVG (voor leveranciers die niet aangesloten zijn bij het convenant).
- Praktische toetsing: op verschillen tussen theorie en praktijk. Bijvoorbeeld: klopt de opsomming van de persoonsgegevens in de verwerkingsovereenkomst wel met de persoonsgegevens in de applicatie?
SIVON bespreekt de uitkomsten van de toetsing in nauw overleg met de leverancier. Samen zorgen we hiermee een digitaal veilige omgeving voor leerlingen.
SIVON volgt bij het uitvoering van toetsen verwerkersovereenkomsten onderstaand proces. Dit is een voorbeeld van het toetsrapport.
Beveiliging
Als onderdeel van een DPIA worden verwerkers getoetst op het nemen van passende beveiligingsmaatregelen. Onder passende maatregelen verstaan we de maatregelen zoals beschreven in het ROSA certificeringsschema.
De AVG schrijft voor dat scholen (verwerkersverantwoordelijke) de maatregelen moeten beoordelen en evalueren. Artikel 32 Lid 1 sub d stelt dat er een procedure moet zijn voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
Contact
Weet je wat je te doen staat als leverancier met betrekking tot het normenkader of zit je nog met vragen? Wij komen graag met je in contact en staan klaar om vragen te beantwoorden. Stuur je verzoek of vraag naar info@sivon.nl en we komen zo snel mogelijk bij je terug.
Op de hoogte blijven
We gaan regelmatig updates per mail versturen over alle relevante informatie rondom het programma DVO en het normenkader. Wil je deze ontvangen, meld je dan aan via onderstaand formulier.