033 200 30 83
Lokale regie op privacy: van ondersteuning naar eigenaarschap
De opmars van digitale leermiddelen en cloudgebaseerde oplossingen vergroot de verantwoordelijkheid van scholen om leerlinggegevens veilig en rechtmatig te verwerken. Door de toename van digitale leermiddelen en cloudsoftware groeit de verantwoordelijkheid van scholen voor het beschermen van leerlinggegevens. Terwijl op centraal niveau DPIA’s worden uitgevoerd door partijen als SIVON en SURF, blijft het uitvoeren van een lokale DPIA noodzakelijk voor elke onderwijsinstelling. In een recent overleg met de vaste Kamercommissie voor OCW over privacy in het funderend onderwijs benadrukt de staatssecretaris dat scholen niet alleen kunnen vertrouwen op centrale voorzieningen. Effectieve privacybescherming vereist lokaal eigenaarschap, context specifiek beleid en continue evaluatie.
Centrale DPIA’s als waardevolle basis, niet als eindstation
Op centraal niveau worden steeds vaker DPIA’s (Data Protection Impact Assessments) uitgevoerd op producten die veel in het onderwijs worden gebruikt, zoals Google Workspace, Microsoft 365 of leerlingvolgsystemen. Dit gebeurt bijvoorbeeld door SIVON of SURF. Deze centrale DPIA’s bieden scholen een goede eerste analyse en voorkomen dat elk schoolbestuur hetzelfde onderzoek zelf opnieuw moet uitvoeren. Zo besparen ze tijd en versterken ze de juridische positie van scholen richting leveranciers.
Toch is dit slechts het vertrekpunt. De centrale DPIA’s zijn vaak generiek en dekken niet alle specifieke contexten af. De staatssecretaris bevestigt dat schoolbesturen verplicht zijn om de bevindingen uit centrale DPIA’s lokaal te beoordelen. Scholen hoeven het volledige DPIA-proces niet zelfstandig van begin tot eind te doorlopen, maar dienen wel zelf te analyseren of de risico’s en bevindingen uit de centrale DPIA van toepassing zijn op hun eigen organisatie. Scholen moeten dus vaststellen of dezelfde risico’s gelden binnen hun eigen organisatie, hoe zij gegevens verwerken, met welke leveranciers zij samenwerken en of extra maatregelen nodig zijn. Deze lokale vertaalslag is essentieel, juist omdat de verwerkingscontext kan verschillen per instelling.
Verwerkersovereenkomsten: juridische basis onder digitale samenwerking
Naast het uitvoeren van DPIA’s is het sluiten van goede verwerkersovereenkomsten onmisbaar. Scholen zijn verplicht om met iedere externe partij die persoonsgegevens verwerkt een verwerkersovereenkomst te sluiten. Deze overeenkomsten zijn de juridische basis voor verantwoorde gegevensverwerking. Deze contracten leggen vast welke verantwoordelijkheden externe partijen, zoals leveranciers van leerlingvolgsystemen, apps of cloudopslag, hebben in de verwerking van persoonsgegevens.
De Dienst Verwerkersovereenkomsten van Kennisnet ondersteunt scholen hierin. Inmiddels maakt 87% van de besturen gebruik van deze dienst. Toch ontbreekt er nog inzicht in de naleving bij de overige scholen. De staatssecretaris erkent dat het ministerie geen volledig zicht heeft op de dekking buiten deze centrale voorziening. Daarmee blijft de eindverantwoordelijkheid liggen bij de schoolbesturen zelf.
Big Tech: de onderliggende afhankelijkheid zichtbaar maken
De afhankelijkheid van Amerikaanse techbedrijven, zoals Google en Microsoft, wordt in het overleg nadrukkelijk benoemd als strategisch risico. Niet alleen vanwege privacy en databeveiliging, maar ook vanwege geopolitieke en juridische instabiliteit, zoals mogelijke ongeldigverklaring van het EU-VS Data Privacy Framework
Het EU-VS Data Privacy Framework regelt onder welke voorwaarden persoonsgegevens uit de Europese Economische Ruimte (EER) naar de Verenigde Staten mogen worden overgedragen. Dit kader is onderwerp van juridische discussie, vanwege zorgen over toegang door Amerikaanse overheden en de rechtsbescherming van Europese burgers.
De Kamer adviseert scholen om kritisch te kijken naar welke data zij delen, met welke partijen en via welke subverwerkers. De staatssecretaris onderschrijft de urgentie en verwijst naar lopende initiatieven zoals het programma Edu-V, de ontwikkeling van een Open Source Program Office (OSPO) en het EuroStack-rapport.
Conclusie: grip op privacy begint lokaal
De Kamerbrief maakt helder wat de AVG al voorschrijft: privacyverantwoordelijkheid ligt lokaal. Het digitale onderwijslandschap vraagt om structurele, juridisch verantwoorde keuzes. Centrale DPIA’s en landelijke diensten zijn waardevolle hulpmiddelen, maar ontslaan scholen niet van hun eigen verantwoordelijkheid. Lokale context, concrete gegevensverwerkingen en organisatorische maatregelen moeten per instelling opnieuw beoordeeld worden.
Juist daar maakt EasyDPIA het verschil: niet als vervanger van juridisch werk, maar als versneller van zorgvuldig beleid. Deze tool maakt het mogelijk om op basis van centrale (SIVON) DPIA’s een lokale DPIA op te stellen. Praktisch, overzichtelijk én juridisch verantwoord. Scholen die vandaag investeren in overzicht, eigenaarschap en zorgvuldige documentatie van hun digitale processen, leggen de basis voor duurzaam, veilig en wendbaar onderwijs. Alleen met aantoonbare grip op gegevensstromen en privacyrisico’s is toekomstbestendige innovatie mogelijk. EasyDPIA en EasyPrivacy voor het onderwijs fungeren hierin als waardevolle hulpmiddelen, als versnellers van professioneel en verantwoord privacybeleid.
Voer nu gratis en vrijblijvend uw eerste lokale DPIA uit