Privacy-assessment Praktijkbeoordelen afgerond: dit zijn de lessen en winst voor mbo-instellingen 

Vanuit het programma Cyberveiligheid voeren we in het mbo steeds meer sectorale DPIA’s van veelgebruikte systemen uit. Recent is ook het privacy-assessment van Praktijkbeoordelen afgerond, een platform voor digitale examinering van praktijkvaardigheden. Niels Dutij, adviseur Privacy en Security van het programma, en Hans van Vulpen van softwareontwikkelaar Examenservices lichten de toegevoegde waarde van de sectorale aanpak toe.

Instellingen gebruiken Praktijkbeoordelen behalve voor digitale examinering vaak ook om de ontwikkeling van een student bij te houden, bijvoorbeeld tijdens een stageperiode. Dit soort toepassingen verwerken persoonsgegevens van heel veel studenten, wat een hoog privacyrisico betekent. In dergelijke gevallen is het wettelijk verplicht om een Data Protection Impact Assessment uit te voeren, oftewel een DPIA. Scholen hoeven deze bij Praktijkbeoordelen echter niet zelfstandig uit te voeren, dankzij de sectorale aanpak vanuit het programma Cyberveiligheid. Dit scheelt zowel mbo-instellingen als de leverancier veel tijd, middelen en energie.

Aanbevelingen voor verbetering

Een DPIA geeft inzicht in risico’s bij gebruik van een bepaald product of dienst. ‘Dat levert aanbevelingen op voor verbetering van een proces of applicatie’, vertelt Niels. Bijvoorbeeld, als blijkt dat de gegevensverwerking niet aan alle eisen van de AVG voldoet, kan het advies zijn om andere bewaartermijnen in acht te nemen. Of om gevoelige gegevens alleen voor specifieke personen toegankelijk te maken.

Niet alleen de leveranciers zijn gebaat bij deze aanbevelingen, maar vooral ook de mbo-instellingen. Hans: ‘Instellingen kunnen in onze applicatie zelf accounts beheren, maar dat vraagt wel om alertheid en het op orde hebben van eigen processen. Mensen die al vier jaar uit dienst zijn, mogen natuurlijk niet nog kunnen inloggen. Veel instellingen hebben de verantwoordelijkheid voor het gebruik van deze applicatie niet centraal belegd. Het is beter om dit wel te doen, zodat je uniforme en consistente toepassing van privacy-maatregelen kunt waarborgen.’

Afspraken over gebruik

Uit het DPIA van Praktijkbeoordelen bleek onder meer dat de mogelijkheid om opmerkingen op het platform te plaatsen een risico vormt. Gebruikers geven daarin soms gevoelige informatie prijs. Hans: ‘Dat vraagt om afspraken over wie deze opmerkingen mag inzien. En om bewustwording bij gebruikers. Is het echt nodig om op die plek persoonlijke gegevens te delen?’

Hans voegt toe dat in de nieuwe versie van Praktijkbeoordelen scholen zelf bewaartermijnen kunnen beheren. Nu neemt het platform dit nog voor zijn rekening. Deze verandering vraagt van mbo-instellingen dat ze dit beheer goed inrichten. ‘Het DPIA helpt scholen om te zien welke risico’s ze lopen als ze dat niet doen.’

Geüpdatete verwerkersovereenkomst 

Bij een DPIA hoort ook het toetsen van verwerkersovereenkomsten op juistheid. In zo’n overeenkomst leggen samenwerkende partijen onder meer vast hoe ze de beveiliging van gegevens hebben geregeld. Ook staat hierin welke afspraken ze hebben gemaakt over de verwerking van gegevens. ‘Deze DPIA gaf aanleiding om de inhoud van de verwerkersovereenkomst aan te passen, zodat deze volledig voldoet’, zegt Hans.

Meer over sectorbrede DPIA’s

De DPIA van studenteninformatiesysteem Eduarte was in het najaar van 2023 het eerste sectorbrede DPIA dat vanuit het programma Cyberveiligheid werd afgerond. Inmiddels zijn ook DPIA’s van onder meer ESS, PortalPlus en Remindo gepubliceerd. Niels: ‘Instellingen hoeven alleen de aanbevelingen uit deze DPIA’s te implementeren en de leveranciers hoefden niet te overleggen met tientallen scholen. Zo hebben de mbo-brede DPIA’s alle betrokken partijen veel tijd en inspanning bespaard.’ Voor de uitvoering van de DPIA van Praktijkbeoordelen werkten MBO Digitaal, Examenservices en ontwikkelaar WebEdu nauw samen. De Privacy Company voerde de DPIA feitelijk uit. Alle afgeronde DPIA’s zijn te vinden in de Teams-omgeving van het netwerk IBP van MBO Digitaal.

Contactpersoon

Neem contact op met Niels Dutij voor meer informatie.

Reacties (0)
Geef een reactie