SIVON is de ict-coöperatie van en voor het basis- en voortgezet onderwijs. Zij voert namens schoolbesturen DPIA’s uit op de digitale producten die het meest gebruikt worden in het onderwijs. Wanneer een aantal schoolbesturen zich heeft aangemeld om deel te nemen aan zo’n DPIA, neemt SIVON namens hen – en ten behoeve van het gehele onderwijs – de leiding in het proces. Zij spreekt leveranciers aan op hun verantwoordelijkheden op het gebied van informatiebeveiliging en privacy. Leveranciers zijn op hun beurt verplicht om medewerking te verlenen. Dit volgt in ieder geval uit de AVG en de verwerkersovereenkomst, en soms ook uit specifieke privacyconvenanten waaraan zij zich hebben verbonden.
De DPIA’s kunnen wij echter niet uitvoeren zonder draagvlak en medewerking van de partijen voor wie wij dit voornamelijk doen: schoolbesturen. Om deze reden doen wij een dringende oproep: meld je als bestuur aan om deel te nemen aan één van de DPIA’s.
Verschil centrale DPIA en lokale DPIA
Een centrale DPIA bestaat uit een juridisch en technisch onderzoek om bepaalde risico’s vast te stellen. Ook staan er maatregelen in om deze risico’s weg te nemen. Deze maatregelen kunnen bestaan uit implementatievoorschriften voor gebruik en/of afspraken met de leverancier om aanpassingen aan de dienst door te voeren. Het schoolbestuur bepaalt in de eigen DPIA of deze bevindingen en risico’s ook op hun organisatie van toepassing zijn. Zij maken hierbij hun eigen risico-afweging. Deze vastlegging onder verantwoordelijkheid van het schoolbestuur noemen we een lokale DPIA. Het voordeel van deze werkwijze is dat leveranciers niet zelf betrokken hoeven te zijn bij de honderden DPIA’s die schoolbesturen uitvoeren, en schoolbesturen niet zelf het juridisch en technisch onderzoek tot in detail hoeven uit te voeren.
Voor wie?
Schoolbesturen – van klein tot groot – in het primair en voortgezet onderwijs.
Advies Autoriteit Persoonsgegevens uit het ‘sectorbeeld onderwijs’
De AP heeft in mei 2021 de ministers van OCW geadviseerd een coördinerende rol te nemen in de aanpak van gegevensbescherming binnen het onderwijs en data protection impact assessments (DPIA’s) uit te (laten) voeren op veelgebruikte digitale middelen in het onderwijs. Voor het funderend onderwijs is SIVON de partij die – in het kader van het programma Digitaal Veilig Onderwijs – DPIA’s uitvoert op veelgebruikte softwareapplicaties. Daarom is het belangrijk dat alle scholen zich aansluiten bij SIVON.
Het hele rapport lees je op de website van de Autoriteit Persoonsgegevens.