DPIA
Als je persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. verwerkt, moet je de juiste maatregelen nemen om die gegevens te beschermen. De Algemene Verordening Gegevensbescherming (AVG) verplicht je daarom om te onderzoeken wat het effect is van het verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. van persoonsgegevens op de privacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. van leerlingen en medewerkers. Dit heet een Data Protection Impact Assessment of DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens.. Een DPIA is dus een speciale risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. gericht op het voorkomen van privacyschending.
Bij iedere nieuwe of gewijzigde manier van persoonsgegevens verwerken, moet je opnieuw een DPIA doen. Een DPIA geeft inzicht in de risico’s die het verwerken van persoonsgegevens binnen jouw organisatie oplevert voor de eigenaren van die gegevens: leerlingen, oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. of medewerkers.
Samen optrekken bij het uitvoeren van DPIA’s
Een DPIA uitvoeren kan een flinke klus zijn. Het is daarom de moeite waard om bij DPIA’s van grote leveranciersAanbieders van ict- of leermiddelen. of systemen samen op te trekken. Dit is bijvoorbeeld gebeurd bij Microsoft. In opdracht van de rijksoverheid zijn de afgelopen jaren verschillende DPIA’s uitgevoerd op een aantal Microsoftproducten. De uitkomsten van die DPIA’s hebben geleid tot aanbevelingen die ook gelden voor het onderwijs. Bekijk de aanbevelingen en meer informatie over de uitkomsten van de Microsoft DPIA’s.
DPIA Google Workspace for Education
In februari 2021 zijn de uitkomsten van de DPIA op Google gepubliceerd. Uit deze DPIA bleek dat het gebruik van Google Workspace for Education een aantal privacyrisico’s met zich meebracht. Na onderhandelingen door SIVON en SURF met Google, is er in juli 2021 overeenstemming bereikt over maatregelen om deze risico’s weg te nemen. Dit betekent dat scholen gebruik kunnen blijven maken van Google Workspace for Education, maar dan moeten zij zelf ook enkele acties uitvoeren.
Scholen moeten de nieuwe contractuele voorwaarden van Google accepteren, eigen technische en organisatorische maatregelen nemen en een eigen – onderwijsspecifieke – beoordeling van de risico’s en maatregelen uitvoeren.
Meer informatie over wat je precies moet doen, vind je op sivon.nl.
Is het wettelijk verplicht?
De AVG verplicht tot het goed beveiligingen van persoonsgegevens, waarbij je rekening moet houden met de risico’s van de verwerking van die gegevens. Voer je nieuwe software, een nieuw systeem of nieuwe technologie in waarbij je persoonsgegevens gaat verwerken? Of ga je je bestaande systemen ingrijpend updaten of persoonsgegevens misschien op een nieuwe manier verwerken? Dan is het uitvoeren van een DPIA verplicht.
Meer informatie vind je in artikel 5, artikel 24, artikel 35 en artikel 39 van de AVG. Raadpleeg het normenkader IBP po vo voor maatregelen die hierbij horen.
Wie doet wat?
Bij het uitvoeren van een DPIA zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. is eindverantwoordelijk.
- De ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker., Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. of de functioneel beheerder voert de DPIA uit.
- De FG geeft advies en houd de uitvoering van de DPIA in de gaten.
Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.
Aan de slag
Hoe ga je aan de slag met de DPIA?
Stap 1 | Bepaal of een DPIA nodig is
Het is niet altijd nodig om een DPIA uit te voeren. Gebruik onze DPIA-checklist om te bepalen of je een DPIA moet uitvoeren.
Stap 2 | Voer de DPIA uit
Kennisnet heeft een model gemaakt voor het uitvoeren van een DPIA. Dit model richt zich op risico’s die je loopt bij het verwerken van de persoonsgegevens zelf. Het model is daarmee datagericht en niet procesgericht. De risico’s die je loopt binnen processen waarin je persoonsgegevens verwerkt, worden in dit model niet meegenomen.
Voor het inventariseren van je verwerkingen, kun je gebruikmaken van de modellen die de FORA heeft ontwikkeld. De procesbeschrijvingen in de FORA en de softwarecatalogus kunnen je veel inventarisatiewerk besparen bij het uitvoeren van een DPIA.
Stap 3 | Advies van de FG
De FG adviseert over de DPIA en houdt de uitvoering ervan in de gaten.
Stap 4 | Meld een verwerking met een hoog risico aan de Autoriteit Persoonsgegevens
Kom je er via de DPIA achter dat je een verwerking van persoonsgegevens een hoog risico oplevert voor de privacy van leerlingen of medewerkers? En kun je geen maatregelen nemen om dat risico te beperken? Dan moet je een melding doen aan de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens..
