PrivacyTeam033 200 30 83
Inloggen

Twee nieuwe DPIA’s opgeleverd door SIVON: Basis van ParnasSys en MAX (Malmberg)

Twee nieuwe DPIA’s opgeleverd door SIVON: Basis van ParnasSys en MAX (Malmberg)

SIVON heeft recent twee nieuwe Data Protection Impact Assessments (DPIA’s) opgeleverd voor het onderwijs. Het gaat om een DPIA op Basis van ParnasSys (Topicus) en een DPIA op de digitale leeromgeving MAX van Malmberg (Sanoma Learning). Beide onderzoeken laten zien dat de onderzochte systemen veilig kunnen worden gebruikt, mits de voorgestelde maatregelen zorgvuldig worden doorgevoerd door zowel leveranciers als schoolbesturen.

DPIA Basis van ParnasSys (Topicus)

De DPIA op Basis van ParnasSys concludeert dat het standaardpakket zonder uitbreidingen in beginsel veilig inzetbaar is. Tegelijkertijd zijn er aandachtspunten vastgesteld. Topicus heeft aangegeven verschillende verbetermaatregelen te zullen treffen, waaronder:

  • meer inzicht in rollen en rechten (met name rond BSN-toegang);
  • het implementeren van dubbele encryptie;
  • uitbreiding en verbetering van de loggingsfunctionaliteit;
  • aanpassingen in export- en downloadfunctionaliteiten;
  • het actualiseren van de verwerkersovereenkomst, onder meer ten aanzien van bewaartermijnen loggings, verwijdering na einde contract en cookiesgebruik.

Schoolbesturen blijven verwerkingsverantwoordelijk en dienen de centrale DPIA te vertalen naar de eigen situatie via een lokale DPIA. Daarbij is het belangrijk om bewust keuzes te maken over restrisico’s. Voor een veilig gebruik moet je als schoolbestuur de volgende stappen zetten

  • beperk de beheerrechten;
  • leg vast wie exports en downloads uitvoert;
  • gebruik de uitgebreide loggingsfunctionaliteit;
  • activeer tweefactorauthenticatie(2FA);
  • Voer de nieuwe verwerkersovereenkomst door.

DPIA digitale leeromgeving MAX (Malmberg)

Ook voor de digitale leeromgeving MAX in het voortgezet onderwijs is een DPIA uitgevoerd. Uit dit onderzoek blijkt dat MAX veilig kan worden gebruikt, mits de voorgestelde maatregelen worden opgevolgd door Malmberg en de schoolbesturen.

Tijdens het DPIA-traject zijn al verbeteringen doorgevoerd, zoals een verlenging van de bewaartermijn van loggegevens en verduidelijking van informatie over adaptieve functies. Voor schoolbesturen liggen aandachtspunten onder andere bij:

  • beperk en controleer het gebruik van export- en downloadfuncties;
  • maak afspraken over het inzien en controleren van loggegevens;
  • voer de nieuwe verwerkersovereenkomst door zodra deze beschikbaar is;
  • informeer leerlingen en ouders duidelijk over de (beperkte) adaptieve functies binnen de leeromgeving.

Ook hier geldt dat schoolbesturen met behulp van de centrale DPIA een eigen lokale DPIA moeten opstellen, passend bij hun specifieke gebruik van de leeromgeving.

Samen werken aan digitaal veilig onderwijs

Beide DPIA-trajecten kenmerken zich door een constructieve samenwerking tussen SIVON, leveranciers en deelnemende schoolbesturen. De opgedane praktijkervaringen hebben bijgedragen aan een realistisch beeld van het gebruik van de systemen en aan concrete, uitvoerbare aanbevelingen.

De DPIA’s maken onderdeel uit van het programma Digitaal Veilig Onderwijs, waarin OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad samenwerken aan een onderwijssector waarin leerlingen en medewerkers digitaal veilig kunnen werken en leren, in lijn met het Normenkader Informatiebeveiliging en Privacy (IBP).

DPIA-rapporten beschikbaar

De volledige DPIA-rapporten voor Basis van ParnasSys en MAX zijn hier beschikbaar om te downloaden.

DPIA Basis ParnasSys

DPIA MAX (Malmberg)

Bent u gebruiker van EaysDPIA?

De twee recent opgeleverde DPIA’s van SIVON zijn tevens opgenomen in EasyDPIA. Hierdoor kunnen gebruikers van EasyDPIA de centrale DPIA’s eenvoudig raadplegen en gebruiken als basis voor het uitvoeren van een lokale DPIA binnen de eigen organisatie.

De opname in EasyDPIA maakt het mogelijk om:

  • de bevindingen en maatregelen gestructureerd over te nemen;
  • de risico’s te vertalen naar de eigen context;
  • vast te leggen welke aanvullende maatregelen worden getroffen en welke restrisico’s worden geaccepteerd.

Op deze manier sluiten de centrale DPIA’s beter aan op het eigen DPIA-proces en kan de documentatie worden geborgd binnen het bestaande privacy- en governancekader.

Ondersteuning bij lokale DPIA

PrivacyTeam is gespecialiseerd in het uitvoeren en begeleiden van DPIA’s binnen het onderwijs. Wij ondersteunen schoolbesturen onder meer bij:

  • het vertalen van een centrale DPIA naar de lokale situatie;
  • het maken van een onderbouwde risicoafweging;
  • het vastleggen en motiveren van geaccepteerde restrisico’s;
  • het borgen van samenhang met het Normenkader Informatiebeveiliging en Privacy (IBP).

Indien u behoefte heeft aan ondersteuning bij het uitvoeren van de lokale DPIA, kunt u hiervoor contact opnemen met PrivacyTeam. Wij denken graag met u mee over een passende en zorgvuldige aanpak.

 

 

 

Naar het overzicht