Sinds 2021 is de term DPIA een redelijk ingeburgerd begrip in het onderwijs. In dat jaar werd namelijk duidelijk dat Google niet meer gebruikt mocht worden volgens de Autoriteit Persoonsgegevens, tenzij scholen – naast het afsluiten van een verwerkersovereenkomst, ook een DPIA hadden uitgevoerd. Maar wat is een DPIA nu eigenlijk en wanneer en hoe kun je die het beste uitvoeren? YourSafetynet en Privacy op School hebben de handen ineen geslagen om scholen te ondersteunen bij dit vraagstuk.
Wat is een DPIA?
Een DPIA is volgens de Autoriteit Persoonsgegevens verplicht als je als schoolorganisatie persoonsgegevens verwerkt die waarschijnlijk een hoog privacyrisico opleveren. Een Data Protection Impact Assesment (DPIA) (in het Nederlands: gegevensbeschermingseffectbeoordeling) is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, op basis waarvan de schoolorganisatie maatregelen kan nemen om deze risico’s tot een acceptabel niveau terug te brengen.
Wanneer is een DPIA verplicht?
De Autoriteit Persoonsgegevens (AP) heeft een lijst van 19 verwerkingen opgesteld waarvoor een DPIA verplicht is. De belangrijkste verwerkingen voor schoolorganisaties op deze lijst zijn:
- Verwerking van gezondheidsgegevens (bijzondere persoonsgegevens)
- Het delen van gegevens binnen samenwerkingsverbanden
- Cameratoezicht
- Beoordeling van prestaties of gedrag van leerlingen op basis van geautomatiseerde verwerking (profilering)
- Observatie en beïnvloeding van gedrag via geautomatiseerde verwerking
Het is duidelijk dat verwerkingen waarbij sprake is van beveiligingscamera’s of leerlingvolgsystemen, waarin prestaties, gedrag en observatie en/of medische gegevens worden opgeslagen, in aanmerking komen voor een DPIA.
Verder geldt dat als een verwerking niet op de lijst van de AP staat, de schoolorganisatie zelf moet beoordelen of er een DPIA uitgevoerd moet worden. Dit kan aan de hand van de volgende 9 criteria. Een DPIA is verplicht als de verwerking aan tenminste 2 criteria voldoet:
- Beoordelen van mensen op basis van persoonskenmerken (profiling)
- Geautomatiseerde besluiten
- Stelselmatige en grootschalige monitoring
- Gevoelige gegevens: bijzondere persoonsgegevens (bijvoorbeeld gezondheid), strafrechtelijke gegevens of gegevens die over het algemeen als privacygevoelig worden beschouwd
- Grootschalige gegevensverwerkingen
- Gekoppelde databases. (Denk hierbij aan databases die voortkomen uit twee of meer verschillende gegevensverwerkingen met verschillende doelen en/of die worden uitgevoerd door verschillende organisaties, op een manier die mensen niet redelijkerwijs kunnen verwachten.)
- Gegevens over kwetsbare personen (waaronder werknemers en leerlingen).
- Gebruik van nieuwe technologieën (Bijvoorbeeld AI)
- Blokkering van een recht, dienst of contract
Aangezien er in het onderwijs in vrijwel de meeste gevallen sprake is van criteria 4, 5 en 7, komen verwerkingen waarin gegevens van leerlingen of medewerkers worden vastgelegd al snel in aanmerking voor DPIA’s. Dit betekent dus ook het leerling- of personeelsadministratiesysteem en systemen van Google en/of Microsoft, waarin alle documenten van leerlingen en medewerkers worden verzameld. Daarnaast moet je denken aan andere digitale onderwijsmiddelen, zoals leermiddelen, (ouder)communicatieapps en informatievoorzieningen met samenwerkingsverbanden. Een DPIA is niet nodig als de verwerking geen hoog risico met zich meebrengt of niet op de lijst van de AP staat.
In het onderwijs worden door SIVON als onderdeel van het programma Digitaal Veilig Onderwijs generieke of ook wel centrale DPIA’s uitgevoerd op systemen die voldoen aan bovenstaande lijst en criteria. Het gaat hierbij in eerste instantie om platforms zoals Google en Microsoft, maar ook om leerlingadministratie- en volgsystemen en personeelsadministratiesystemen. Op de website van SIVON is te zien welke centrale DPIA’s zijn uitgevoerd en of gepland zijn om uit te voeren.
We raden schoolbesturen aan om te beginnen met het uitvoeren van de DPIA’s die landelijk zijn uitgevoerd en daarnaast DPIA’s die nog ontbreken vooral bij SIVON aan te melden. Het is anders te veel werk voor individuele schoolbesturen om dit te organiseren.
Wat kunnen YourSafetynet en Privacy op School voor jouw schoolorganisatie betekenen op het gebied van DPIA’s?
In de afgelopen periode is er hard gewerkt om DPIA’s in de omgeving van YourSafetynet te kunnen uitvoeren, al dan niet op basis van de informatie die al in het RVV is opgeslagen.
Privacy op School
Met hulp van Privacy op School wordt er straks voor elke centrale DPIA die SIVON al heeft uitgevoerd in YSN een workflow aangemaakt waarmee een schoolorganisatie een centrale DPIA kan aanpassen naar de schoolsituatie (lokale DPIA). Hiermee wordt het eenvoudiger voor scholen om de wettelijk verplichte DPIA’s uit te voeren.
Door het voorwerk van SIVON, de GRC-tooling van YourSafetynet en de DPIA-expertise van Privacy op School worden schoolbesturen optimaal ontzorgd. Neem nu contact op voor een gratis demo om zelf aan de slag te gaan met DPIA in YourSafetynet.
Zoek je ondersteuning bij de uitvoering van een DPIA?
Dan kan Privacy op School je verder helpen. Privacy op School biedt individuele ondersteuning voor de uitvoering van lokale DPIA’s, waarbij we schoolbesturen helpen om een lokale DPIA uit te voeren met behulp van de workflow in YourSafetynet.
Meer informatie, neem contact op met contact@yoursafetynet.com.
Alle berichten