De tijd dat scholen zelf moesten zorgdragen voor het correct afsluiten van kasten en kluizen met af te nemen toetsen of resultaten van leerlingen is voor veel scholen voorbij. De leerprestaties en ontwikkelingen van leerlingen worden in deze tijd bijgehouden in de cloud via aanbieders van digitale (leer)middelen. Hoewel de fysieke sleutel een digitale sleutel is geworden, zijn scholen nog steeds verantwoordelijk voor het veilig opbergen van de gegevens van leerlingen.
Scholen zijn met de leveranciers verwerkersovereenkomsten overeengekomen waarin afspraken zijn gemaakt over hoe invulling wordt gegeven aan de naleving van de privacywet. Het vertrouwen in deze afspraken is goed, maar controle is beter. Dit volgt ook uit de aantoonplicht van artikel 5, tweede lid uit de AVG. Deze controle is via een DPIA uit te voeren.
SIVON heeft in de afgelopen tijd, namens de schoolbesturen, met veel leveranciers contact onderhouden over het uitvoeren van een DPIA op hun systemen. Op basis van de verwerkersovereenkomst zou medewerking aan een DPIA geen issue moeten zijn. Hierin staat namelijk duidelijk beschreven dat een partij haar onvoorwaardelijke medewerking zal verlenen. In de praktijk blijkt echter dat niet elke leverancier bereid is om SIVON een kijkje in de keuken te laten nemen.
SIVON is voor de uitvoering van een goede DPIA afhankelijk van de medewerking van de leverancier. Wanneer deze de door SIVON voorgelegde vragen niet of onvoldoende wil beantwoorden, blijft het gissen naar de stand van zaken. Hierdoor ontstaat de situatie dat er een vertraging ontstaat in het publiceren van DPIA’s.
SIVON blijft volhouden in haar missie om de DPIA’s uit te voeren en ziet ook veel partijen waarbij de samenwerking goed verloopt. Binnenkort delen we de ervaring van een van de leveranciers die volledige medewerking heeft verleend aan de DPIA.