DPIA Personeelsadministratie

DPIA staat voor Data Protection Impact Assessment. In het Nederlands heet het gegevensbescherming effectbeoordeling. Een DPIA geeft inzicht op welke manier gegevens worden verzameld, wat het doel ervan is en wat de risico’s zijn. Om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. In de personeelsadministratie zijn ook veel persoonlijke (gevoelige) gegevens bewaard. Het is belangrijk hier zorgvuldig mee op te gaan.

Eigen DPIA

Omdat organisaties in het onderwijs veelal gebruik maken van dezelfde systemen voor processen is het mogelijk om sectoraal DPIA’s uit te voeren. Deze DPIA’s geven inzicht in de grootste risico’s. Organisaties moeten daarom zelf vaststellen of en welke uitkomsten van een DPIA op de eigen situatie van toepassing zijn. Volgens de Autoriteit Persoonsgegevens moeten onderwijsinstellingen zelf voor hun eigen organisatie vaststellen of maatregelen ook voldoende zijn om invulling te geven aan de bescherming van persoonsgegevens conform de AVG. Het is mogelijk dat er bij onderwijsinstellingen sprake is van additionele risico’s die niet opgenomen zijn in de sectorale DPIA.

Afgelopen jaar hebben veel schoolorganisaties aan de hand van zo’n sectorale DPIA het gebruik van Google Workspace for Education onder de loep genomen en maatregelen toegepast. Dit instrument was ook erg helpend voor organisaties. Na deze sectorale DPIA op de leerlingadministratiesystemen en Google Workspace for Education gaan de sectororganisaties daarom verder met andere systemen die veel in gebruik zijn.

DPIA Personeelsadministratie

Onder de leden van het Netwerk IBP heeft in november 2021 een inventarisatie plaatsgevonden naar de personeelsadministratiesystemen die in het primair en voortgezet onderwijs in gebruik zijn. Uit de inventarisatie blijkt dat de personeelsadministratiesystemen HR2Day, AFAS en YouForce veel worden gebruikt. SIVON gaat op deze drie systemen een DPIA uitvoeren. Daarom beginnen zij in juni 2022 voor HR2Day. De planning is om deze af te ronden in het najaar 2022. Het doel is om de risico’s in kaart te brengen en te mitigeren. Er werken meerdere scholen mee aan de DPIA van HR2Day. Na afronding gaat SIVON door met AFAS en YouForce.