In het digitale tijdperk is informatiebeveiliging en privacy in het onderwijs van cruciaal belang. Onlangs voerden we een onderzoek uit om te onderzoeken hoe organisaties in de opvang en het onderwijs omgaan met Data Protection Impact Assessments (DPIA’s) en welke applicaties het PO, VO, samenwerkingsverbanden en de opvang het meest gebruiken. Dit onderzoek biedt waardevolle inzichten om risico’s te beperken en de DPIA-strategieën te verbeteren.
Met als doel meer inzicht te verkrijgen in het gebruik van applicaties door onze klanten en om prioriteiten te stellen binnen de ontwikkeling van onze DPIA-strategie, hebben we recent een enquête uitgevoerd. Hierbij delen we zoals beloofd de belangrijkste resultaten en inzichten.
De enquête kende twee rondes en leverde in totaal 88 unieke respondenten op, wat neerkomt op een reply-score van 48%. Deelnemers kwamen uit drie klantcategorieën:
- Primair Onderwijs (PO): 73 respondenten
- Voortgezet Onderwijs (VO): 10 respondenten
- Samenwerkingsverbanden/Kinderopvang (SWV/KO): 5 respondenten
De top 5 meest gebruikte applicaties per categorie zijn:
PO | VO | SWV/KO | |
1. | Basispoort (93%) | Entree (90%) | M365 (100%) |
2. | ParnasSys (86%) | M365 (90%) | AFAS (40%) |
3. | M365 (82%) | Zermelo (90%) | Cameratoezicht (40%) |
4. | Google WfE (79%) | Magister (80%) | Kidskonnect (20%) |
5. | CITO (78%) | DOT-BOOT (70%) | Topdossier (20%0 |
De percentages geven aan hoeveel procent van de respondenten deze applicatie gebruikt. De top 5 geeft geen hele grote verassingen.
Naast de vraag welke applicaties er worden gebruikt is ook meer informatie gevraagd over de uitvoer van de DPIA’s zelf. Wat zijn de belangrijkste bevindingen rondom de uitvoer van de DPIA’s:
Hoe voeren onze klanten hun DPIA’s uit? | |||
PO | VO | SWV/KO | |
Altijd met hulp van buitenaf | 74% | 50% | 100% |
Altijd volledig zelfstandig | 3% | 10% | 0% |
Afhankelijk van de verwerking | 23% | 40% | 0% |
Hoeveel DPIA’s voert het gemiddelde schoolbestuur in ons klantenbestand nu uit en komt dat overeen met de wettelijke taak? Ieder schoolbestuur van een eenpitter tot regiobestuur heeft minimaal 6 DPIA plichtige applicaties in gebruik. Een DPIA wordt 1 keer in de drie jaar uitgevoerd, dat zou betekenen dat ieder bestuur minstens 2 DPIA’s per jaar uit zou moeten voeren.
Hoeveel DPIA’s voeren onze klanten uit? | |||
PO | VO | SWV/KO | |
Aantal DPIA’s in afgelopen 3 jaar | 102 | 17 | 4 |
Aantal DPIA’s gepland dit jaar | 25 | 5 | 0 |
Aantal klanten | 73 | 10 | 5 |
Aantal per klant per jaar | 0,4 | 0,6 | 0,2 |
Belangrijkste bevindingen:
De belangrijkste conclusie uit deze cijfers is, dat het overgrote deel van onze klanten de DPIA’s altijd of veelvuldig met hulp van buitenaf uitvoeren en dat er te weinig DPIA’s worden uitgevoerd en daarmee onvoldoende de risico’s die gepaard gaan met de verwerking van persoonsgegevens gemitigeerd worden. Daarmee lijkt de noodzaak tot DPIA’s in combinatie met de complexiteit ondanks de centrale DPIA’s van SIVON nog altijd een rol te spelen.
Waarom is dit belangrijk?
Privacy risico’s binnen het onderwijs kunnen grote gevolgen hebben voor leerlingen, ouders en medewerkers. Hoewel er wel DPIA’s worden uitgevoerd, blijkt dat er nog ruimte is voor verbetering. Hier ligt een kans om verder te investeren in ondersteuning en eenvoudiger processen. Gezamenlijk kunnen we deze risico’s beperken en de bescherming van (bijzondere) persoonsgegevens versterken. Dit sluit ook 1-op-1 aan bij de normen rondom DPIA’s uit het normenkader IBP.
Wat doet Privacy op School hiermee?
Om te voorzien in de ondersteuningsvraag is Privacy op School, het 4D-initiatief gestart: Iedere Derde Donderdag (van de maand) DPIA Dag. De kern van dit initiatief is, hulp bij het afronden van een DPIA in één dag. Dit gaat dan om de DPIA’s die landelijk door SIVON zijn uitgevoerd, die betrekking hebben op verwerkingen die redelijk uniform zijn voor meerdere organisaties en geen grote complexiteit kennen.
Meer informatie of aanmelden? Klik hier