Programma Cyberveiligheid mbo

Sectorale DPIA’s

Een DPIA (data protection impact assessment of gegevensbeschermingseffectbeoordeling) is wettelijk verplicht als een organisatie persoonsgegevens verwerkt en dat mogelijk een hoog privacyrisico oplevert. Alle mbo-instellingen verwerken persoonsgegevens (bijvoorbeeld van leerlingen en docenten) en hebben dus te maken met intensieve DPIA-trajecten. Om te voorkomen dat instellingen dubbel werk doen, voeren we vanuit het programma Cyberveiligheid mbo-brede DPIA’s uit. Op die manier besparen zowel scholen als cloudleveranciers veel tijd en energie.

Elke organisatie die persoonsgegevens verwerkt is verplicht om een DPIA uit te (laten) voeren, als die verwerking waarschijnlijk een hoog privacyrisico heeft. Daarbij wordt de gegevensverwerking – vaak een (cloud)applicatie – getoetst aan de eisen die de Algemene verordening gegevensbescherming (AVG) stelt. Met de DPIA brengt de organisatie zo de privacyrisico’s van de verwerking van persoonsgegevens in kaart. Zodat ze maatregelen kan nemen om de risico’s te verkleinen.

DPIA’s en het mbo

Mbo-scholen verwerken op verschillende manieren gegevens van personen. Denk aan (cloud)software om de ontwikkeling van studenten te volgen, een studentenbegeleidingsyteem of een personeelvolgsysteem. Voor elk van deze applicaties moet een school een DPIA (laten) uitvoeren om te controleren welke privacyrisico’s de persoonsgegevensverwerking met zich meebrengt. Dat houdt in dat de school – of de partij die DPIA’s in opdracht uitvoert – met meerdere applicatieontwikkelaars in overleg moet over hoe de software met persoonsgegevens omgaat. Andersom geldt ook: cloudleveranciers die hun software en diensten leveren aan meerdere scholen, zijn veel tijd kwijt aan het beantwoorden van vragen van scholen die een DPIA (laten) uitvoeren.

Mbo-brede DPIA’s vanuit programma Cyberveiligheid

Omdat de assessments veel tijd, middelen en energie kosten van zowel scholen als leveranciers, laten we vanuit het programma Cyberveiligheid namens mbo-instellingen DPIA’s voor de hele mbo-sector uitvoeren. Voor scholen heeft dit het voordeel dat zij zelf geen volledige DPIA’s meer hoeven uit te voeren. Ze hoeven alleen nog de aanbevelingen van de sectorale DPIA te verwerken in hun eigen IT-beleid. Ook voor softwareleveranciers leveren mbo-brede DPIA’s een groot efficiëntievoordeel op. Zij hoeven enkel vragen van één toetsende partij te beantwoorden, waar ze anders met meerdere scholen in gesprek zouden moeten.

Eerste sectorale DPIA’s

De eerste mbo-brede DPIA onder regie van het programma Cyberveiligheid is in het najaar van 2023 afgerond. ICTRecht inventariseerde de privacyrisico’s van het door veel mbo-instellingen gebruikte studenteninformatiesysteem Eduarte van Topicus. In dit artikel vertellen Gerben Hilberink, managing director van de cloudleverancier, en Niels Dutij, expert leveranciersmanagement bij het programma Cyberveiligheid mbo, hoe zij de totstandkoming van de DPIA hebben ervaren. Inmiddels zijn ook de assessments van ESS en PortalPlus afgerond en bevinden meerdere DPIA’s zich in de eindfase. Die worden in september van 2024 afgerond.

Proces sectorale DPIA’s

Mbo-instellingen kunnen verzoeken om een sectorale DPIA te laten uitvoeren als er meerdere mbo-instellingen gebruikmaken van de diensten van een bepaalde cloudleverancier. Vanuit het programma Cyberveiligheid laten we de DPIA uitvoeren als dit een sectoraal belang dient of als dit een meerwaarde is voor meerdere mbo-instellingen. We maken hiervoor gebruik van externe partijen, maar we houden vanuit het programma wel de regie over de DPIA. Ook de kosten van de inzet van de externe partij vergoeden we vanuit het programma. We leggen daarnaast contacten met de cloudleveranciers met het verzoek tot medewerking aan de sectorale DPIA namens alle mbo-instellingen.

DPIA is geen verwerkersovereenkomst

Er is vaak onduidelijkheid over het verschil tussen een DPIA en een verwerkersovereenkomst. De verwerkersovereenkomst bevat afspraken over de dienstverlening tussen de mbo-instelling en de verwerker, vaak een cloudleverancier. Hierin leggen de samenwerkende partijen onder meer vast hoe de dienst werkt, hoe ze de beveiliging van gegevens hebben geregeld en welke afspraken over de verwerking van gegevens ze hebben gemaakt. De verwerkersovereenkomst is weliswaar een verplichting vanuit de AVG, maar geen volledige privacy-toets. Ze is dus geen alternatief voor de DPIA. Waar een verwerkersovereenkomst vooral diensten beschrijft, is het doel van een DPIA juist de risico’s daarvan in kaart te brengen. Tijdens een DPIA wordt een verwerkersovereenkomst wel getoetst op juistheid.

Samenwerking SURF

Vanuit het programma Cyberveiligheid werken we ook samen met SURF aan sectorale DPIA’s. Voor het mbo en het hoger onderwijs voert SURF vanaf het eerste kwartaal van 2024 met de nieuwe Leveranciers Compliance Dienstverlening (LCD) sectorale DPIA’s uit. Vanuit het programma dragen we namens de mbo-instellingen bij aan de kosten hiervan. Omdat het bij de LCD gaat om zeer omvangrijke DPIA-trajecten (voor grote cloudleveranciers als Microsoft, Google en Adobe), en de prioriteiten in overleg met het ho worden bepaald, blijven we vanuit het programma daarnaast onze mbo-specifieke DPIA’s uitvoeren. Het voornemen is om de uitvoering en de borging van deze DPIA’s op termijn onder te brengen in de LCD van SURF.

Contactpersoon

Neem contact op met Niels Dutij voor meer informatie.