Scholen moeten kunnen aantonen welke technische en organisatorische maatregelen zij hebben genomen om de persoonsgegevens van leerlingen te beschermen. Onderdeel van deze maatregelen is een privacy impact analyse (DPIA). In veel systemen die scholen gebruiken wordt op grootschalige en systematisch wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen), daarom is de school verplicht een DPIA uit te voeren op deze systemen. De vastlegging onder verantwoordelijkheid van het schoolbestuur noemen we een lokale DPIA. Hierin worden op lokaal niveau de risico’s uit de centrale DPIA beoordeeld. Dit zijn afwegingen die iedere onderwijsinstelling zelf moet maken. Zo gaat het om de rechtmatigheid van de voorgenomen verwerkingen, geconstateerde risico’s en genomen en te nemen maatregelen. Ook het op lokaal niveau betrekken van de FG en/of de visie van betrokkenen kan hierin worden uitgewerkt.
SIVON voert centrale DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico afweging te komen. Centrale DPIA’s worden op systeem niveau uitgevoerd. In de scope wordt vastgelegd voor welke processen de DPIA uitgevoerd is. Een centrale DPIA bestaat uit een juridisch en technisch onderzoek om de risico’s vast te stellen en waar mogelijk de maatregelen om de risico’s te mitigeren. Deze maatregelen kunnen bestaan uit implementatie voorschriften voor gebruik en/of afspraken met de leverancier om aanpassing aan de dienst door te voeren. Met een centrale DPIA neemt SIVON een deel van het werk van scholen uit handen.