DPIA's in het onderwijs

Scholen zijn volgens de wet verplicht om hun informatiebeveiliging en privacy (IBP) op orde te hebben. Zij moeten kunnen aantonen welke technische en organisatorische maatregelen ze hebben genomen om de persoonsgegevens van leerlingen en medewerkers te beschermen. Onderdeel van deze maatregelen is een DPIA. In veel systemen die scholen gebruiken, worden op grootschalige en systematische wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen). Daarom is de school verplicht een DPIA uit te voeren op deze systemen. 

DPIA's in het onderwijs

Een DPIA uitvoeren met EasyDPIA

In EasyDPIA zijn de veelgebruikte modellen uit het Handboek DPIA's in elektronische vorm beschikbaar. In een volledig digitale workflow kun je met meerdere personen een (Pre-) DPIA uitvoeren. Met EasyDPIA beschik je over beproefde software met veel functionaliteit om je (Pre-) DPIA's uit te voeren:

  • professioneel rapport (SIVON model) in Word of PDF
  • aparte rollen voor FG en verwerkingsverantwoordelijke
  • algoritmeassessment kan onderdeel uitmaken van DPIA
  • mogelijkheid om eigen vragen toe te voegen
  • DPIA's borgen als proces en eenvoudig te herzien
  • met (Pre-) DPIA's voldoen aan verantwoordingsplicht 
Een DPIA uitvoeren met EasyDPIA

Een vooringevulde lokale (SIVON) DPIA uitvoeren met EasyDPIA

In EasyDPIA staan generieke centrale (SIVON) DPIA’s die scholen kunnen gebruiken om tot een lokale DPIA en risicoafweging te komen. In het model in EasyDPIA staan de bevindingen uit de centrale DPIA en scholen kunnen hiermee eenvoudig hun eigen lokale DPIA uitvoeren. Hiermee kunnen schoolbesturen op relatief eenvoudige wijze aan de verplichting om DPIA’s uit te voeren voldoen.

Een vooringevulde lokale (SIVON) DPIA uitvoeren met EasyDPIA

Er zijn diverse vooringevulde (SIVON) modellen beschikbaar.

Leermiddelen

In veel systemen die scholen gebruiken worden op grootschalige en systematische wijze persoonsgegevens verwerkt van kwetsbare personen (kinderen). Daarom is de school verplicht een DPIA uit te voeren op deze systemen. Alle SIVON DPIA's (Google, ParnasSys, Somtoday, Magister, Snappet etc.) staan al voor u klaar.

Lees meer

Cameratoezicht

Bij het gebruik van camera's is er al snel een verplichting om een DPIA uit te voeren. Of u nu een gemeente bent, een zorginstelling of een ondernemer of school die zijn terreinen en gebouwen wil beveiligen. In de bibliotheek van EasyDPIA staat een professioneel uitgevoerde DPIA cameratoezicht die al voor 80% klaar is en die u eenvoudig zelf op maat kunt maken.

Lees meer

Personeel

Iedere werkgever verwerkt gegevens in de personeelsadministratie, voor diverse HR processen, maar bijvoorbeeld ook in systemen die geschikt zijn om medewerkers te monitoren. Dit zijn vaak verwerkingen waarvoor het uitvoeren van een DPIA verplicht is. De DPIA's op AFAS en Visma.net HRM & Payroll staan al voor u klaar in de bibliotheek en kunt u dus al eenvoudig zelf uitvoeren.

Lees meer

Artificial Intelligence

Indien er sprake is van een (zelflerend) algoritme (AI) waarbij persoonsgegevens worden gebruikt (verwerkt), moet als onderdeel van de DPIA een aantal aanvullende vragen worden beantwoord. In EasyDPIA is een set met relevante vragen (met toelichting) opgenomen die is gebaseerd op het Impact Assessment Mensenrechten en Algoritmes, het Onderzoekskader Algoritmes ADR2023 en art. 29 van de AI Act.

Lees meer

Business intelligence

Een DPIA moet worden uitgevoerd op Business Intelligence (BI) om de privacyrisico's van het verwerken van persoonsgegevens te identificeren, te beoordelen en te mitigeren. BI-systemen verwerken vaak grote hoeveelheden data, inclusief persoonlijke informatie, wat kan leiden tot risico’s zoals datalekken of ongeautoriseerde toegang. Een DPIA helpt de privacy van betrokkenen te waarborgen.

Lees meer

Profilering

Bij profilering zijn er risico's voor de rechten en vrijheden van betrokkenen. Hier moet vaak een DPIA voor uitgevoerd worden, omdat profilering kan leiden tot discriminerende, onterechte of ingrijpende gevolgen, zoals verlies van privacy of een oneerlijke behandeling, wat de basisprincipes van de AVG schendt.

Lees meer

Gegevensuitwisseling

Een DPIA moet worden uitgevoerd wanneer een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. In het geval van gegevensuitwisseling kan dit snel van toepassing zijn, vooral wanneer er grote hoeveelheden gegevens worden gedeeld of gevoelige informatie, zoals gezondheids- of financiële gegevens, wordt verwerkt.

Lees meer

Veelgestelde vragen over DPIA's in het onderwijs

Hoe voer je een DPIA uit?

Kies een goed DPIA model

Veelgebruikte DPIA modellen zijn de modellen uit het Handboek DPIA's. Als je de modellen uit het Handboek gebruikt start je met het uitvoeren van een Pre-DPIA, In het model Pre-DPIA bepaal je of er sprake is van een hoog risico voor betrokkenen. Als dit het geval is ga je verder met het uitvoeren van een model DPIA Compact of Uitgebreid. Deze werkwijze en de modellen zijn in elektronische vorm beschikbaar in EasyDPIA, zodat je op een efficiente en tijdbesparende manier met je team (Pre-) DPIA's kunt uitvoeren.

Klik hier voor meer informatie en om een goed model aan te vragen

Kan EasyDPIA ook worden gebruikt om onderwijs DPIA's uit te voeren?

EasyDPIA wordt veel gebruikt voor het opstellen van DPIA's in het onderwijs. EasyDPIA biedt diverse vooringevulde DPIA's zoals bijvoorbeeld de SIVON DPIA's, DPIA's op Top Dossier, Scaliq, TeachToday en cameratoezicht. De makers van EasyDPIA hebben veel DPIA's in het onderwijs uitgevoerd. Neem contact op om te kijken of er al DPIA's zijn uitgevoerd op een (vergelijkbare) verwerking van persoonsgegevens als die u wilt uitvoeren. Deze kunnen eventueel beschikbaar worden gesteld of in de bibliotheek van EasyDPIA worden opgenomen.

Wat is een SIVON DPIA?

SIVON voert generieke centrale DPIA’s uit die scholen kunnen gebruiken om tot een lokale DPIA en risico-afweging te komen. SIVON publiceert per DPIA welke maatregelen scholen moeten nemen om geconstateerde tekortkomingen weg te nemen. Daarnaast stelt SIVON met leveranciers een verbeterplan op (‘remediation plan’). SIVON levert daarbij een model-DPIA  op voor schoolbesturen. Dit model gebruiken schoolbesturen om bevindingen uit de centrale DPIA voor hun eigen lokale DPIA uit te voeren. Hiermee voldoen schoolbesturen op relatief eenvoudige wijze aan de verplichting om DPIA’s uit te voeren.

Schoolbesturen kunnen relatief eenvoudig met EasyDPIA de verplichte lokale DPIA uitvoeren door de SIVON DPIA te selecteren in de bibliotheek en deze vervolgens aan te vullen en aan te passen aan de eigen situatie.

Welke SIVON DPIA's zijn er?

SIVON heeft DPIA's uitgevoerd op Studiemeter, Snappet, Entreefederatie, Basispoort, AFAS, Visma HRM.net & Payroll (Peple), PanasSys, Esis, Magister, Somtoday en Google Workspace for Education.

Zie voor meer informatie: https://sivon.nl/diensten/informatiebeveiliging-en-privacy/dpia/

Schoolbesturen kunnen relatief eenvoudig met EasyDPIA de verplichte lokale DPIA uitvoeren door de SIVON DPIA te selecteren in de bibliotheek en deze vervolgens aan te vullen en aan te passen aan de eigen situatie.

Zijn de SIVON DPIA modellen in het onderwijs verplicht?

Het SIVON DPIA-model is niet wettelijk verplicht voor alle onderwijsinstellingen, maar het wordt sterk aanbevolen. De AVG vereist dat organisaties een DPIA uitvoeren wanneer er een hoog risico is voor de privacy van betrokkenen bij de verwerking van persoonsgegevens. Aangezien onderwijsinstellingen vaak met gevoelige data werken, helpt het SIVON-model hen om deze risico’s te identificeren en passende maatregelen te nemen, wat de naleving van de AVG ondersteunt.

Schoolbesturen kunnen relatief eenvoudig met EasyDPIA de verplichte lokale DPIA uitvoeren door de SIVON DPIA te selecteren in de bibliotheek en deze vervolgens aan te vullen en aan te passen aan de eigen situatie.

Kan ik met EasyDPIA ook andere dan SIVON DPIA's uitvoeren?

Met EasyDPIA kun je naast SIVON DPIA's ook andere DPIA's uitvoeren. Het platform is flexibel en ondersteunt diverse scenario's waarin een DPIA vereist is, zoals bij nieuwe projecten, producten of diensten die persoonsgegevens verwerken. EasyDPIA helpt gebruikers bij het opstellen, evalueren en documenteren van DPIA's volgens de geldende privacywetgeving.

Kan ik EasyDPIA gebruiken om een verwerkingsregister bij te houden?

De tijdens de Pre-DPIA ingevoerde gegevens komen ook direct beschikbaar als rapport ‘register van verwerkingsactiviteiten’ en kunnen worden gebruikt om het register van verwerkingsactiviteiten te vullen. Indien u van alle verwerkingsactiviteiten een Pre-DPIA heeft uitgevoerd, dan heeft u in EasyDPIA® een compleet register van verwerkingsactiviteiten.

Daarmee voldoet u overigens ook direct aan de verplichting om per verwerking inzichtelijk te hebben of deze een hoog risicoverwerking betreft of niet.

Kan ik met EasyDPIA als team samen aan een DPIA werken?

In EasyDPIA® kunt u met meerdere personen aan een DPIA werken. Het systeem kent daarvoor meerdere rollen die u kunt kiezen bij de samenstelling van uw DPIA team. U kunt teams samenstellen bij DPIA’s die u zelf heeft aangemaakt of als u deelneemt aan een DPIA en de rol van DPIA-eigenaar heeft gekregen.

GRATIS PROEFLICENTIE

Direct weten of u persoonsgegevens met een hoog risico verwerkt?
Beoordeel eenvoudig of u een DPIA moet uitvoeren.

Gratis Proeflicentie

via WhatsApp