Privacyrisico’s inschatten met (pre-)DPIA’s
Scholen moeten volgens de AVG privacyrisico’s in kaart brengen bij het gebruik van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres.. Bij nieuwe software, grote updates of nieuwe samenwerkingen is een risicobeoordeling, een zogeheten Data Protection Impact Assessment (DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens.), verplicht. Met de pre-DPIA kan de school vooraf vaststellen of er sprake is van een hoog-privacyrisico. Als dat het geval is, dan moet een volledige DPIA worden uitgevoerd.
Resultaat van dit deelproject
- Er is een proces vastgesteld voor het uitvoeren van een pre-DPIA en een pre-DPIA-formulier.
- Er is een proces vastgesteld voor het uitvoeren van een DPIA en een DPIA-model.
Normen bij dit deelproject
Privacyrisico’s in kaart brengen
Het verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. van persoonsgegevens brengt verantwoordelijkheden met zich mee. Privacybescherming van leerlingen, hun oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn., medewerkers en andere betrokkenenDe personen van wie persoonsgegevens worden verwerkt. is belangrijk. Door met een (pre-)DPIA risico’s tijdig in kaart te brengen en passende maatregelen te nemen, kan de school privacyrisico’s op tijd beperken of wegnemen.
Wie doet wat
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. is eindverantwoordelijk en stelt formeel het proces vast voor het uitvoeren van een (pre-)DPIA. Het bestuur geeft akkoord op de inhoud, conclusie en aanbevelingen van de (pre-)DPIA.
- De privacy officerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. of IBP’er stelt het proces op voor het uitvoeren van een (pre-)DPIA.
- De ICT-coördinator, privacy officer, IBP’er, functioneel beheerder of andere medewerkers vormen een team en voeren de DPIA uit. Gebruikers van de software sluiten aan bij de DPIA om hun gebruikservaring en geconstateerde problemen met het onderzochte systeem te delen.
- De functionaris gegevensbescherming (FGIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG).) geeft verplicht advies over de inhoud en uitvoering van de DPIA.
- De (G)MR en leerlingenraad worden gevraagd naar hun mening over de (eventueel) geconstateerde risico’s. Die mening wordt opgenomen in de DPIA.
Aan de slag
Met het volgen van onderstaande stappen richt je processen in voor het uitvoeren van een pre-DPIA en DPIA binnen je organisatie.
1. Leg vast dat bij nieuwe of gewijzigde verwerkingen vooraf een pre-DPIA wordt uitgevoerd
Zorg dat in bestaand beleid en processen wordt opgenomen dat een pre-DPIA wordt uitgevoerd voor nieuwe of gewijzigde verwerkingen. Denk bijvoorbeeld aan beleid en processen voor inkoop, aan het updaten en uitrollen van (nieuwe) software en het proces voor het actueel houden van het register van verwerkingen. Je kunt in de procesbeschrijving bijvoorbeeld deze tekst opnemen: “Stel vast of een DPIA moet worden uitgevoerd voordat de nieuwe software mag worden gebruikt.”
2. Stel het proces vast voor het uitvoeren van een pre-DPIA
Stel een proces op voor het uitvoeren van een pre-DPIA en leg dit formeel vast. Je kunt hiervoor het voorbeelddocument procesbeschrijving pre-DPIA en formulier (doc) gebruiken.
3. Stel het proces vast voor het uitvoeren van een volledig DPIA
Wanneer uit de pre-DPIA blijkt dat er sprake is van hoog-risicoverwerking moet je een volledige DPIA uitvoeren (tenzij een uitzondering van toepassing is). In de DPIA stel je vast welke privacyrisico’s er zijn bij het verwerken van persoonsgegevens en met welke maatregelen je deze risico’s kunt verkleinen. Stel een proces op voor het uitvoeren van een volledige DPIA en leg dit formeel vast.
4. Volg de uitkomsten op uit de DPIA
Uit de DPIA volgen maatregelen die je moet opvolgen om de privacyrisico’s voor medewerkers en leerlingen te mitigeren.
5. Monitor de voortgang
Monitor de voortgang van het (pre-)DPIA-proces en rapporteer dit periodiek aan het bestuur en andere belanghebbenden.
DPIA’s door SIVON voor het po en vo
Het uitvoeren van een DPIA kan complex zijn. Daarom voert SIVON voor het primair en voortgezet onderwijs DPIA’s uit op veelgebruikte systemen en stelt de uitkomsten beschikbaar. Uit de DPIA’s volgen bevindingen en risico’s. Als schoolbestuur bepaal je in een eigen DPIA of deze ook op jouw organisatie van toepassing zijn en maak je een eigen risicoafweging. Het schoolbestuur blijft eindverantwoordelijk voor het uitvoeren van een DPIA. Bekijk welke DPIA’s SIVON al heeft uitgevoerd en welke DPIA’s in 2025 nog worden uitgevoerd.
Voorbeelddocumenten
- Procesbeschrijving DPIA – voorbeelddocument [volgt later]
- DPIA-model [volgt later]