- Uitleg
- |
- Informatiebeveiliging en privacy
- |
- vo
DPIA’s op de vijf meest gebruikte leerlingadministratiesystemen
Bij persoonsgegevens in leerlingadministratiesystemen (LAS) gelden meerdere criteria van hoogrisicoverwerkingen. De AVG vereist daarom een Data Protection Impact Assessment (DPIA). Diverse werkgroepen van het Netwerk Informatiebeveiliging en Privacy (IBP) po/vo hebben DPIA’s uitgevoerd op de vijf meest gebruikte LAS’en in het primair en voortgezet onderwijs: ParnasSys, Magister, ESIS, SchoolOAS en Somtoday. De DPIA-rapportages bevatten waardevolle informatie voor scholen, maar die moeten ook zelf aan de slag.
Door de redactie
DPIA op de leverancierskant
Het uitvoeren van een DPIA op zo’n groot systeem als een LAS is complex en veelomvattend. Aangezien de verwerkingen van scholen in een LAS grotendeels hetzelfde zijn, heeft het Netwerk IBP een generieke DPIA uitgevoerd op de leverancierskant. Schoolbesturen kunnen hiermee efficiënt een eigen DPIA uitvoeren.
Wanneer voer je een DPIA uit?
Een DPIA moet worden uitgevoerd wanneer een nieuwe of substantieel gewijzigde verwerking van persoonsgegevens start én deze verwerking waarschijnlijk een hoog risico voor de privacy met zich meebrengt. Het is dus niet altijd nodig om een DPIA uit te voeren. Om te bepalen wanneer een DPIA verplicht is, heeft Kennisnet een DPIA-checklist ontwikkeld en een model voor het uitvoeren van een DPIA.
Bekijk de toelichting van een DPIA op Aanpak IBPDPIA-rapportages
In vijf verschillende werkgroepen, met vertegenwoordigers van schoolbesturen en inhoudelijke experts vanuit Kennisnet, is voor ieder systeem een DPIA-rapportage opgesteld. In deze rapportages staan de gegevensverwerking, beoordeling van doel, rechtmatigheid en risico’s en de te nemen maatregelen. In het algemene deel zijn dat de maatregelen die de leverancier moet nemen, eventueel in overleg met de school. Ook is aangegeven welke maatregelen scholen zelf moeten nemen om risico’s weg te nemen.
Aan de slag
Scholen die zijn aangesloten bij het Netwerk IBP kunnen de DPIA-rapportages van de werkgroepen gebruiken als basis voor de DPIA van de eigen organisatie. Iedere school heeft immers specifieke risico’s, die mogelijk niet zijn meegenomen in de rapportage. In een inventarisatieformulier kan een school aangeven welke generieke risico’s en maatregelen van toepassing zijn op de eigen situatie. Daarnaast geeft de school aan welke instellingsspecifieke risico’s er zijn en welke maatregelen de school kan nemen.
Netwerk Informatiebeveiliging en Privacy po/vo
Wil je met collega’s die zich ook bezighouden met IBP op school, kennis en ervaringen delen, gebruikmaken van standaarddocumenten en met elkaar in gesprek? Meld je dan aan voor het Netwerk Informatiebeveiliging en Privacy po/vo.
Meer informatie en aanmelden