DPIA’s op leerlingadministratiesystemen (LAS)
21-09-2021 8:57Onder de AVG kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Een goed uitgevoerde DPIA geeft inzicht in de risico’s die de verwerking oplevert voor de betrokkenen. En in de maatregelen die u moet nemen om de risico’s af te dekken. Enkele schoolbesturen wilden een DPIA uitvoeren op het Leerlingadministratiesysteem (LAS). En hebben daarbij de krachten gebundeld. Kennisnet en SIVON hebben de schoolbesturen ondersteund door daarbij procesbegeleiding aan te bieden, handreikingen en specifieke expertise. GOC Consultants heeft ook meegewerkt aan de totstandkoming van zo’n DPIA.
Diverse werkgroepen van het Netwerk Informatiebeveiliging en Privacy (IBP) po/vo hebben DPIA’s uitgevoerd op de 5 meest gebruikte LAS’en in het primair en voortgezet onderwijs: ParnasSys, Magister, ESIS, SchoolOAS, Somtoday. De DPIA-rapportages bevatten waardevolle informatie voor scholen, maar die moeten ook zelf aan de slag.
Het uitvoeren van een DPIA op zo’n groot systeem als een LAS is complex en veelomvattend. Aangezien de verwerkingen van scholen in een LAS grotendeels hetzelfde zijn, heeft het Netwerk IBP een generieke DPIA uitgevoerd op de leverancierskant. Schoolbesturen kunnen hiermee efficiënt een eigen DPIA uitvoeren.
DPIA-rapportages
In 5 verschillende werkgroepen, met vertegenwoordigers van schoolbesturen en inhoudelijke experts vanuit het werkveld, is voor ieder systeem een DPIA-rapportage opgesteld. Deze rapportages bevat de gegevensverwerking, beoordeling van doel, rechtmatigheid en risico’s en de te nemen maatregelen. In het algemene deel zijn dat de maatregelen die de leverancier moet nemen, eventueel in overleg met de school. Ook is aangegeven welke maatregelen scholen zelf moeten nemen om risico’s weg te nemen.
Aan de slag
Scholen moeten zelf een DPIA uitvoeren om individuele risico’s te bepalen. Iedere school heeft immers specifieke risico’s, die mogelijk niet zijn meegenomen in de rapportage. In een inventarisatieformulier kan een school aangeven welke generieke risico’s en maatregelen van toepassing zijn op de eigen situatie. Daarnaast geeft de school aan welke instellingsspecifieke risico’s er zijn en welke maatregelen de school kan nemen.
GOC Consultants biedt ondersteuning aan bij de begeleiding van dit traject. Onze consultant Arnelieke de Bondt (a.debondt@goc-consultants.nl) vertelt je er graag meer over.
Zie ook ons nieuwsbericht: DPIA Leerlingadministratiesysteem
Bron: Kennisnet