Sectorbrede DPIA van OnTrac en OnStage: ‘Meerwaarde voor alle partijen’

De afgelopen jaren zijn er op initiatief van het programma al negen sectorale DPIA’s afgerond. Daarmee hebben we veel dubbel werk voor instellingen en cloudleveranciers voorkomen. De voltooide DPIA’s voor stagesoftware OnStage en het examenplatform OnTrac – beide uitgevoerd door ICTRecht – zijn de meest recente in het rijtje. Aangezien deze pakketten bij meer dan de helft van de mbo-instellingen in gebruik zijn, plukt de meerderheid van de sector de vruchten van deze assessments. ‘Dagelijks kennen we zo’n 50.000 log-ins’, licht Roel de reikwijdte van de software van Xebic toe. ‘Vorig jaar zijn er zo’n 250.000 examens via OnTrac afgenomen en meer dan anderhalf miljoen documenten ingeleverd.’

Goede beveiliging is een must

Het gaat bij deze platforms dus om serieuze gebruikersaantallen. Én om uitermate privacygevoelige informatie die zij via de platforms delen. ‘Daarom besteden we veel aandacht aan het beveiligen van persoonsgegevens’, vertelt Roel. ‘Om te beginnen voldoen onze platforms natuurlijk helemaal aan de AVG door privacy by design bij de ontwikkeling van de software.’ Maar bij dit soort pakketten bepaalt ook de inrichting aan de klantzijde – bij deze DPIA de mbo-instellingen dus – hoe veilig de software in de praktijk is. Scholen moeten bijvoorbeeld vastleggen wie welke informatie kan inzien en hoe lang gegevens worden bewaard.

Voordelen van de DPIA’s

Precies daar zit volgens Roel een belangrijke meerwaarde van de DPIA’s op OnTrac en OnStage. ‘Als beveiligingsbewuste leverancier ondersteunen we onze klanten al volop via persoonlijke ondersteuning en het delen van kennis, zowel bij de implementatie als tijdens het gebruik en beheer. Toch merken we dat niet alle instellingen van alle mogelijkheden gebruikmaken. Vaak vanwege gebrek aan tijd, resources of kennis. Zeker voor de informatieprofessionals van kleinere onderwijsinstellingen is het een uitdaging om alle ballen in de lucht te houden en overal van op de hoogte te zijn. De whitepapers van deze DPIA’s beschrijven helder welke stappen scholen moeten nemen om de software echt veilig te gebruiken en hun data goed te beveiligen. Aangezien de DPIA een wettelijke verplichting is, is deze actielijst vaak een stok achter de deur.’

Weinig actiepunten

Nagenoeg elk whitepaper naar aanleiding van een DPIA bevat ook actiepunten voor de leverancier. ‘Bij deze DPIA waren dat er niet veel en zijn ze allemaal ingeschat als laag risico’, aldus Niels, die er namens het programma Cyberveiligheid voor zorgt dat de DPIA’s vlekkeloos verlopen. ‘De aandachtspunten pakt Xebic nu al met haar product owners en klanten op. Ook dat kun je als voordeel van een DPIA zien. Hoewel deze programma’s natuurlijk al zijn gecertificeerd, is zo’n assessment een extra check waarmee je verbeterpunten op de agenda zet.’

Onderdeel van de implementatie

Xebic maakt de whitepapers vanaf nu onderdeel van de implementatie van zijn software. ‘Het is natuurlijk prettig dat een gespecialiseerde onafhankelijke partij beoordeelt dat wij goed bezig zijn. Het blijft de verantwoordelijkheid van de instelling zelf, maar het sluit aan bij ons doel om samen met de klant onze standaardproducten optimaal in zijn omgeving te implementeren. Daarbij brengen we nu het whitepaper onder de aandacht, zodat een instelling gericht de beschreven acties kan doorlopen. Op die manier maken de mbo-brede DPIA’s veel uitzoekwerk overbodig én zorgen ze voor extra bewustzijn en kennis over beveiliging.’

Wensen voor volgende assessments

Na de DPIA’s van OnTrac en OnStage naderen ook de assessments van Testjeleefstijl, Praktijkleren, Digibib en Intergrip hun voltooiing. Niels: ‘De komende maanden willen we daarom nieuwe mbo-brede DPIA’s opstarten. We horen graag van de instellingen van welke mbo-specifieke applicatie zij een sectorale DPIA willen laten uitvoeren. Stuur me daarvoor gerust een mailtje. In de werkgroep cloudleveranciersmanagement beoordelen we vervolgens welke nieuwe assessments we vanuit het programma Cyberveiligheid oppakken.’