In de AVG zijn Data Protection Impact Assessments (DPIA’s) verplicht gesteld voor bepaalde type verwerkingen van persoonsgegevens. Dat is met name het geval als een verwerking mogelijk een hoog privacyrisico oplevert  voor de betrokkenen, zoals bij leerlingadministratiesystemen (LAS’en). Verschillende schoolbesturen hebben daarom, samen met SIVON en Kennisnet, een generieke DPIA uitgevoerd op de meest gebruikte LAS’en:  

• Magister
• Somtoday
• ParnasSys
• Esis
• SchoolOAS

Veel van onze klanten maken gebruik van bovengenoemde LAS’en. Als bestuur van een onderwijsinstelling bent u verplicht om zelf ook een DPIA uit te voeren op het bij u gebruikte LAS. In dit artikel geven wij aan wat een onderwijsinstelling zelf kan doen, gebruik makend van de generieke versies. Ook beschrijven wij wat Lumen Group met deze uitkomsten in haar dienstverlening doet. De generieke DPIA’s zijn te raadplegen via het Netwerk IBP van Kennisnet of via SIVON.

Waarom een DPIA?

Binnen het onderwijs worden persoonsgegevens steeds meer digitaal opgeslagen en uitgewisseld. Dit brengt risico’s met zich mee voor de privacy van betrokkenen (in dit geval vooral de leerlingen). Door het treffen van technische en organisatorische maatregelen kan de omgang met persoonsgegevens veilig en verantwoord plaatsvinden. Hiervoor moet wel eerst in kaart worden gebracht welke specifieke risico’s aanwezig zijn voor een bepaalde gegevensverwerking. Het uitvoeren van een DPIA biedt inzicht in deze risico’s. Wij hebben al eerder geschreven over wanneer een DPIA uitgevoerd moet worden. Lees hier meer over.

Toetsingskader DPIA

Door de uitgevoerde DPIA’s op de LAS’en zijn verschillende risico’s op de privacy van betrokkenen geïdentificeerd. Sommige risico’s zijn hetzelfde in de verschillende LAS’en, andere zijn specifiek op een enkele LAS van toepassing. Deze risico’s zijn ingedeeld in de zes clusters die Kennisnet hanteert. Per cluster zijn criteria opgesteld waar aan voldaan moet worden, op basis van het betreffende AVG-artikel of een internationale standaard (bijv. ISO 27001).

Wat moeten onderwijsinstellingen zelf doen?

De generieke DPIA’s die uitgevoerd zijn op de verschillende LAS’en zijn bedoeld om schoolbesturen te helpen bij de uitvoering van een eigen, specifieke DPIA. De generieke DPIA kan daarbij als uitgangspunt gebruikt worden, maar belangrijk is dat deze gecontroleerd en aangevuld wordt waar nodig. Per individuele onderwijsorganisatie kunnen immers specifieke risico’s van toepassing zijn.

In de generieke DPIA’s zijn een aantal aanwijzingen in kaders, rood gemarkeerde onderdelen en processtappen opgenomen die door uw eigen onderwijsorganisatie nader moeten worden bepaald.

Alle aanwijzingen en stappen in de DPIA moeten nauwkeurig uitgevoerd worden. Heeft u behoefte aan begeleiding en ondersteuning hierbij? Of heeft u vragen over bepaalde onderdelen van het format? Neem dan contact met ons op. Lumen Group heeft ruime ervaring in het ondersteunen bij de uitvoering van DPIA’s. Wij kunnen indien gewenst de DPIA ook helemaal voor u uitvoeren.  

Als u zelfstandig de DPIA uitvoert

Als uw organisatie de DPIA zelfstandig uitvoert, neem dan de volgende punten (stappen) in acht.

TIP: Bekijk ook onze webinar over DPIA’s in het onderwijs voor meer informatie, maar maak ook gebruik van onze privacyrisicomatrix om risico’s in kaart te brengen.

1. Lees allereerst de managementsamenvatting door. Hierdoor krijgt u een globaal overzicht van de stand van zaken met betrekking tot de AVG-vereisten in het desbetreffende LAS.
2. Organiseer vervolgens een workshop met een aantal sleutelpersonen. Dit is nodig om een zo goed mogelijk beeld te krijgen van de maatregelen, processen en procedures die momenteel zijn geïmplementeerd. Hierdoor krijgt u een goed mogelijk beeld van hoe de huidige praktijk eruit ziet. Dit is nodig om de risico’s goed in kaart te kunnen brengen. 
3. Breng de daarna specifieke privacyrisico’s voor uw eigen organisatie in beeld. Aan de hand van de informatie van uit de workshop moeten de maatregelen, processen, procedures en documenten worden geanalyseerd en privacyrisico’s en -issues geïdentificeerd. Hiervoor raden wij aan om een dreigingskader te hanteren (bijv. MAPGOOD) dit in een privacyrisicomatrix uitwerken. Vervolgens zal aan de hand van het verrichte onderzoek en de geïdentificeerde privacyrisico’s en -issues in het actieplan van de DPIA moeten worden opgenomen.
4. Bekijk vervolgens de risico’s die benoemd staan per cluster. Risico’s die hoog geprioriteerd staan dienen als eerste opgepakt te worden.
5. Vervolgens moet u maatregelen treffen om de risico’s zoveel mogelijk te beperken. Houd hierbij ook het toetsingskader van Lumen Group in het achterhoofd dat gebruik wordt bij de periodieke steekproeven. Als bij de laatste uitgevoerde steekproef voor bepaalde onderdelen lager is gescoord dan privacyvolwassenheidsniveau 4, is het belangrijk om extra alert te zijn. Als deze onderdelen ook binnen uw LAS een hoog risico opleveren is actie nodig. Enkele voorbeelden:
   • Een laag privacyvolwassenheidsniveau op het gebied van het bewaar- en vernietigingsbeleid zal extra zwaar wegen wanneer u het systeem van Magister, SchoolOAS of Somtoday gebruikt, omdat uit de DPIA is gebleken dat er een hoog risico is dat persoonsgegevens niet (tijdig) worden gewist binnen deze systemen. Indien uw eigen bewaar- en vernietigingsbeleid en/of de uitvoering daarvan niet goed op orde is, zorgt dit voor een onnodig hoog risico voor de privacy van betrokkenen. Stel daarom een goed bewaar- en vernietigingsbeleid op met inachtneming van de geldende (wettelijke) termijnen, als dit nog niet is gebeurd. U kunt hiervoor ook onze template Het spreekt voor zich dat ook de uitvoering ervan cruciaal is om de risico’s inzake dit onderwerp te verkleinen.
   • Uit de DPIA’s is gebleken dat de meeste LAS’en met betrekking tot toegangsbeveiliging te kort schieten. Zo is het in ParnasSys niet mogelijk om op leerlingniveau autorisaties in te stellen, waardoor soms meer rechten toegekend worden aan gebruikers dan noodzakelijk. Daarnaast is er bij zowel ParnasSys als SchoolOAS een risico bij het gebruik van groepsautorisaties. Ga daarom na hoe binnen uw organisatie is geregeld wie er tot welke persoonsgegevens toegang heeft. Stel rolgebaseerde autorisatiematrices op, als die nog ontbreken. Lees hier hoe u dit het beste kunt doen.
   • Een aantal van de LAS’en staat het toe om met onveilige wachtwoorden toegang te verkrijgen tot de applicatie. Een duidelijk wachtwoordbeleid en communicatie hierover naar de medewerkers voorkomt dit. Dwing waar mogelijk het periodiek wijzigen van wachtwoord en/of de complexiteit van het wachtwoord af in de applicatie. Een aanvullende manier om de toegangsbeveiliging te versterken is om tweefactorauthenticatie standaard in te stellen. Dit wordt ook door de Autoriteit Persoonsgegevens dringend geadviseerd.
   • Daarnaast is uit de DPIA’s gebleken dat (het ontbreken van) controle en logging een risico vormt. Door periodiek de logging van gebruikersactiviteiten te monitoren en te checken of de toegekende autorisaties nog steeds overeenkomen met de rollen en activiteiten van de gebruikers wordt dit ondervangen. Controleer hiertoe ook periodiek, als onderdeel van de PDCA-cyclus, uw informatiebeveiligingsbeleid.

Waar moet ik nog meer opletten?

Als uw organisatie verschillende LAS-omgevingen heeft (school A gebruikt het LAS op een andere wijze dan school B) , dan is het nodig om voor beiden een afzonderlijke DPIA uit te voeren. Het kan dus zijn dat uw organisatie meerdere DPIA’s moet verrichten. Het is dan ook aan te raden om op één uniforme en organisatiebrede manier te werken met het LAS. Het zorgt voor consistentie in gebruik, beheer en beveiliging en bovendien is dan één DPIA afdoende.

Welke stappen volgen er dan?

Neem zo spoedig mogelijk een bestuursbesluit

Nadat de organisatiespecifieke DPIA is uitgevoerd en voorzien van een advies van de FG, raden wij aan om zo snel mogelijk een formeel bestuursbesluit te nemen ten aanzien van het gebruik van het LAS. Dit moet een afgewogen en gemotiveerd besluit zijn waarin de risico’s uit de DPIA worden onderkend en al dan niet geaccepteerd. De belangenafweging, standpunten ten aanzien van de risico’s en de keuzes moeten hierin duidelijk opgenomen zijn.  De reden  hiervoor is dat het gebruik van een LAS altijd bestuurlijke risico-afweging vereist. Ook als uw organisatie in staat is om de risico’s weg te nemen. Daarnaast is de risico-afweging in het vastgelegde bestuursbesluit een belangrijk onderdeel van de (verplichte) verantwoording richting de betrokkenen, de AP en andere stakeholders.

Informeer de betrokkenen

Verder raden wij aan om de betrokkenen te informeren over het gebruik van het LAS en uw keuzes rondom het omgaan met risico’s daarvan. Hiermee bent u transparant en worden keuzes verantwoord, zodat eventuele onduidelijkheden en vragen vanuit interne en/of externe stakeholders/betrokkenen voorkomen worden.

Wat doet Lumen Group?

Als Functionaris Gegevensbescherming (FG) van meerdere onderwijsinstellingen anticiperen wij uiteraard op de uitkomsten van de generieke DPIA’s. In onze periodieke bijpraatsessies worden de relevante uitkomsten samen besproken en adviezen gegeven over wat u als onderwijsinstelling moet doen om de risico’s die mogelijk nog kleven aan het gebruik van het LAS zoveel mogelijk in te perken. In het kader van onze toezichthoudende rol als FG zullen wij er bovendien in het voorjaar van 2022 tijdens onze steekproef- en monitoringsrapportages op toezien of de benodigde risico-mitigerende maatregelen daadwerkelijk in acht zijn genomen.

Tot slot: een organisatiespecifieke DPIA kan veel werk voor uw organisatie opleveren. Uiteraard adviseren en ondersteunen wij u hierbij als uw FG, binnen het FG-abonnement.. Echter, het is ook mogelijk dat wij u (als aanvullende dienst) ontzorgen op dit gebied door voor u een of meerdere organisatiespecifieke DPIA(‘s) uit te voeren. Neem hierover gerust contact met ons op via fg@lumengroup.nl