Programma Cyberveiligheid mbo

Mbo-brede DPIA van Intergrip voorkomt dubbel werk en zorgt voor rust en duidelijkheid

Sinds het privacy-assessment van de modules van Intergrip is afgerond, kunnen mbo-instellingen deze software meer dan ooit met een gerust hart gebruiken. Dankzij de sectorbrede aanpak vanuit het programma Cyberveiligheid is de DPIA grondig én efficiënt uitgevoerd. ‘Deze beoordeling door onafhankelijke experts van de Privacy Company bevestigt dat we gevoelige persoonsgegevens goed beschermen’, zegt Jos van Rijthoven, projectleider bij de softwareontwikkelaar.

Organisaties die veel persoonsgegevens verwerken, verzamelen of delen, zijn op grond van de AVG verplicht om een data protection impact assessment (DPIA) uit te voeren als er grote privacyrisico’s kunnen ontstaan. Dit is het geval voor mbo-instellingen die gebruikmaken van de software van Intergrip, omdat die gegevens van gemeenten, onderwijs, arbeidsmarkt en zorg verwerkt om jongeren te begeleiden naar een passende werkplek.

Risico’s en nodige maatregelen in kaart brengen

Een DPIA brengt in kaart waar privacyrisico’s ontstaan en waar maatregelen nodig zijn om deze te verkleinen of voorkomen. Zo’n onderzoek kost veel tijd, middelen en energie – zowel voor scholen als voor een leverancier. Toen Niels Dutij namens het programma Cyberveiligheid contact opnam voor een sectorbrede DPIA, was de projectleider van Intergrip dan ook snel overtuigd.

‘Dit is niet alleen voor ons efficiënt. Alle partijen die nu niet individueel een beoordeling hoeven uit te voeren, profiteren van deze assessment. Dat overstijgt zelfs het mbo: omdat wij een zogenaamd ketenpartnersysteem leveren, is de DPIA tegelijkertijd uitgevoerd voor de systeemrollen van de jongeren zelf, scholen in het voortgezet onderwijs, gemeenten en regio’s.’

Tijd en energie besparen in een intensief traject

Volgens Jos duurde het assessment bij Intergrip bijna een jaar. ‘Een DPIA is een intensief traject dat je er als softwareontwikkelaar of individuele school niet zomaar even bij doet. De experts kregen bij ons toegang tot alle modules en trainingsmaterialen. Het is veel werk om al die inhoud tot op detailniveau te toetsen op mogelijke risico’s, daarover te rapporteren en advies te geven over hoe we risico’s kunnen beperken.’

Niels vult aan: ‘Dit is een belangrijke reden om de DPIA uit naam van de hele mbo-sector te laten uitvoeren. We besparen veel tijd en inspanning als niet iedere school zelf een DPIA hoeft te organiseren. Scholen hoeven nu alleen nog maar de aanbevelingen te implementeren. En leveranciers zoals Intergrip zijn blij omdat ze niet met vragen van tientallen scholen afzonderlijk te maken krijgen.’

Kwaliteitsslag

De mbo-brede DPIA’s zorgen ook voor een kwaliteitsslag in het assessmentproces. Niet alle mbo-instellingen hebben immers de expertise in huis om zelf een DPIA te starten, of kunnen er tijd voor vrij maken. Niels: ‘Vanuit het programma Cyberveiligheid begeleiden we de trajecten ook inhoudelijk, als vertegenwoordiger van de mbo-scholen. Wij zorgen voor voldoende kennis, expertise en budgetten om de DPIA’s goed te laten verlopen.’

Jos erkent de meerwaarde van die ondersteuning. ‘Het is geen traject dat je makkelijk maandelijks opstart. Goede begeleiding is noodzakelijk, zodat dat je zeker weet dat gegevens van jongeren optimaal beschermd zijn. Die inhoudelijke kennis geeft echt rust en duidelijkheid.’

Waardevolle onafhankelijke blik

Bij het toetsen kijken de experts onder meer naar de grondslagen van de AVG. Zo mogen organisaties bijvoorbeeld alleen gegevens verwerken wanneer er toestemming is, of wanneer sprake is van een gerechtvaardigd belang. ‘Dat laatste levert altijd discussie op, dus is het fijn als een derde hiernaar kijkt.’ Die derde is in dit geval Privacy Company, de partij die de DPIA uitvoerde.

Het maakt het traject extra waardevol, vindt Jos. ‘Het zijn echte kenners van het privacyvak, die al veel platforms hebben beoordeeld. Ze werken grondig en kunnen leunen op diverse landelijke netwerken rondom informatiebeveiliging. Als zij een uitspraak doen over de veiligheid van software, dan is die leidend voor de hele sector.’

Alle Intergrip-modules voldoen nu aan de AVG

Uit de DPIA bleek dat de modules van Intergrip aan alle eisen van de AVG voldoen, op één na. Dat betrof een toepassing die scholen inzicht geeft in hoe het gaat met oud-leerlingen. ‘Hiervoor ontbrak de grondslag en we hebben de module inmiddels stopgezet’.

Terugkijkend ziet Jos duidelijk de meerwaarde van de sectorbrede aanpak: leveranciers en scholen besparen tijd en energie, én ontvangen een onafhankelijk oordeel van ervaren experts. ‘We hoeven niet met duizenden gebruikers afzonderlijk in gesprek, maar kunnen één duidelijk signaal afgeven: “jongens, het zit goed met onze informatiebescherming.” Dat wisten we zelf al, maar voor de 200.000 jongeren van wie wij gegevens verwerken is dit een waardevolle onafhankelijke bevestiging.’

Wensen voor de volgende DPIA’s

Inmiddels zijn via het programma Cyberveiligheid vijftien DPIA’s afgerond. Niels: ‘De komende maanden starten we nieuwe mbo-brede DPIA’s op. Stuur me gerust een mailtje als je voor een mbo-specifieke applicatie een sectorale DPIA wilt laten uitvoeren. In de werkgroep cloudleveranciersmanagement beoordelen we welke assessments we als volgende oppakken.’

Contactpersoon

Neem contact op met Niels Dutij voor meer informatie.