Aanpak IBPDPIA

DPIA

Als je persoonsgegevens verwerkt, moet je de juiste maatregelen nemen om die gegevens te beschermen. De Algemene Verordening Gegevensbescherming (AVG) verplicht je daarom om te onderzoeken wat het effect is van het verwerken van persoonsgegevens op de privacy van leerlingen en medewerkers. Dit heet een Data Protection Impact Assessment of DPIA. Een DPIA is dus een speciale risicoanalyse gericht op het voorkomen van privacyschending.

Bij iedere nieuwe of gewijzigde manier van persoonsgegevens verwerken, moet je opnieuw een DPIA doen. Een DPIA geeft inzicht in de risico’s die het verwerken van persoonsgegevens binnen jouw organisatie oplevert voor de eigenaren van die gegevens: leerlingen, ouders of medewerkers.

Is het wettelijk verplicht?

De AVG verplicht tot het goed beveiligingen van persoonsgegevens, waarbij je rekening moet houden met de risico’s van de vewerking van die gegevens. Voer je nieuwe software, een nieuw systeem of nieuwe technologie in waarbij je persoonsgegevens gaat verwerken? Of ga je je bestaande systemen ingrijpend updaten of persoonsgegevens misschien op een nieuwe manier verwerken? Dan is het uitvoeren van een DPIA verplicht.

Meer informatie vind je in artikel 5, artikel 24, artikel 35 en artikel 39 van de AVG.

Wie doet wat?

In het overzicht hieronder zie je wie wat doet bij het uitvoeren van een DPIA.

Verantwoordelijkheid


Schoolbestuur
Eindverantwoordelijk

Uitvoering


Ict-coördinator,
Privacy Officer of
functioneel beheerder
Uitvoeren van DPIA.

Advies


FG
Geeft advies en houdt de uitvoering van de DPIA in de gaten.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Hoe ga je aan de slag met de DPIA?

Stap 1 | Bepaal of een DPIA nodig is

Het is niet altijd nodig om een DPIA uit te voeren. Gebruik onze DPIA-checklist om te bepalen of je een DPIA moet uitvoeren.

Stap 2 | Voer de DPIA uit

Kennisnet heeft een model gemaakt voor het uitvoeren van een DPIA.

Stap 3 | Advies van de FG

De FG adviseert over de DPIA en houdt de uitvoering ervan in de gaten.

Stap 4 | Meld een verwerking met een hoog risico aan de Autoriteit Persoonsgegevens

Kom je er via de DPIA achter dat je een verwerking van persoonsgegevens een hoog risico oplevert voor de privacy van leerlingen of medewerkers? En kun je geen maatregelen nemen om dat risico te beperken? Dan moet je een melding doen aan de Autoriteit Persoonsgegevens.

Tool: checklist

Verdieping

Inhoudsopgave