Verschil centrale DPIA en lokale DPIA

Scholen moeten kunnen aantonen welke technische en organisatorische maatregelen zij hebben genomen om de persoonsgegevens van leerlingen te beschermen. Onderdeel van deze maatregelen is een privacy impact analyse (DPIA). In veel systemen die scholen gebruiken wordt op grootschalige en systematisch wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen), daarom is de school verplicht een DPIA uit te voeren op deze systemen. De vastlegging onder verantwoordelijkheid van het schoolbestuur noemen we een lokale DPIA. 

SIVON voert centrale DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico afweging te komen. Centrale DPIA’s worden op systeem niveau uitgevoerd. In de scope wordt vastgelegd voor welke processen de DPIA uitgevoerd is. Een centrale DPIA bestaat uit een juridisch en technisch onderzoek om de risico’s vast te stellen en waar mogelijk de maatregelen om de risico’s te mitigeren. Deze maatregelen kunnen bestaan uit implementatie voorschriften voor gebruik en/of afspraken met de leverancier om aanpassing aan de dienst door te voeren. Met een centrale DPIA neemt SIVON een deel van het werk van scholen uit handen.