Programma Cyberveiligheid mbo
Sectorale DPIA van Topicus Eduarte: ‘Samenwerken maakt een DPIA sterker’
Er zijn weinig mensen binnen het mbo die Eduarte niet kennen. De modulaire applicatie is het meest gebruikte studentinformatiesysteem in het middelbaar beroepsonderwijs. Het geeft studenten overzicht in planning, huiswerk en studievoortgang. Het helpt instellingen de bekostiging op orde te houden. En het voorziet het management van relevante stuurinformatie. Voor al deze functies verwerkt de applicatie persoonsgegevens van onder meer studenten, docenten en ondersteunend personeel. Met mogelijk hoge privacyrisico’s tot gevolg. Daarom is elke instelling die gebruikmaakt van Eduarte wettelijk verplicht om een data protection impact assessment, oftewel een DPIA, van de software uit te voeren.
DPIA voor het hele mbo
Zonde van de tijd en energie als alle mbo-instellingen hun eigen DPIA moeten uitvoeren, vinden we vanuit het programma Cyberveiligheid. ‘Daarom hebben we de DPIA uit naam van de hele mbo-sector laten uitvoeren’, vertelt Niels. ‘Omdat niet iedere school zelf een DPIA hoeft te organiseren, besparen alle partijen veel tijd en inspanning. Instellingen hoeven alleen nog maar de aanbevelingen die uit de DPIA naar voren komen te implementeren. En bij Topicus Eduarte kloppen niet tientallen scholen aan met vragen die voor hun DPIA’s nodig zijn.’
Kwaliteitsslag
Met de mbo-brede DPIA maken we ook een kwaliteitsslag in de samenwerking met ketenleveranciers. Niet elke mbo-instelling heeft immers de kennis paraat om zelf een DPIA te organiseren. Of heeft moeite er tijd voor vrij te maken. Niels: ‘Vanuit het programma Cyberveiligheid begeleiden we de DPIA ook inhoudelijk, als vertegenwoordiger van de instellingen. Wij hebben de kennis, knowhow en budgetten om de DPIA in goede banen te leiden.’
Hoor en wederhoor
De managing director van Topicus Eduarte ziet nog meer voordelen van de sectorale DPIA. ‘We hebben veel ervaring met DPIA’s, en soms komt zo’n assessment tot stand zonder dat een leverancier erbij betrokken is geweest. Dan kan het gebeuren dat er onjuistheden in staan of dat bepaalde nuances niet goed zijn geïnterpreteerd. Maar deze mbo-brede DPIA hebben we juist in gezamenlijk overleg en onder regie van Niels uitgevoerd. De onderzoekers van ICTRecht pasten hoor en wederhoor toe, waardoor wij onduidelijkheden konden toelichten. Natuurlijk zijn er altijd discussiepunten, maar in een goed gesprek kwamen we er altijd samen uit. Dat maakt deze mbo-brede DPIA zo sterk.’
Omgaan met gevoeligheden
‘Het doel van een DPIA is om probleempunten boven water te krijgen, zodat je die kunt aanpakken’, licht Niels toe. ‘Dat is niet altijd in het belang van een leverancier. Bovendien spelen er meer gevoeligheden rondom een DPIA. Leveranciers zijn veel tijd kwijt om documentatie aan te leveren en daar toelichtingen op te geven. En dan moeten ze ook nog een onbekende partij een kijkje in hun keuken geven. Je wilt dus goed afbakenen welke gegevens de onderzoekers mogen inzien. Bij dit soort gevoeligheden heb ik vanuit het programma Cyberveiligheid een faciliterende rol. Maar zowel ICTRecht als Topicus Eduarte hadden een heel open en constructieve houding bij deze DPIA.’
‘Natuurlijk wil je als leverancier graag een DPIA hebben; het bewijst dat je een goede dienst levert’, aldus Gerben. ‘En het past bij de openheid waar ons bedrijf voor staat. Maar voordat je een ander bedrijf inzage geeft in je gegevens, wil je wel zeker weten dat het daarmee zorgvuldig omgaat.
DPIA biedt geen garanties
Een DPIA is deels beschrijvend van aard. Het beschrijft bijvoorbeeld de processen die er zijn, welke gegevens daarbij worden verwerkt, wie erbij kunnen en hoe mensen gegevens in de applicatie kunnen delen. Vervolgens controleert de uitvoerder van de DPIA of dit allemaal in lijn is met de richtlijnen van de Algemene verordening gegevensbescherming (AVG). Toch is de scope van een DPIA altijd beperkt, volgens Gerben. ‘Ook van belang is hoe een school de applicatie heeft ingericht en ermee omgaat. Wij kunnen het delen van gegevens in Eduarte nog zo goed beveiligen, iemand kan de geëxporteerde data altijd onveilig per mail versturen. Ook de houding ten opzichte van veilig werken in een instelling speelt dus een rol bij de privacyrisico’s.’
Acties voor mbo-instellingen
Nu de eerste mbo-brede DPIA is afgerond, hebben de mbo-instellingen dan ook nog huiswerk te doen. Gerben: ‘ICTRecht beschrijft in een whitepaper hoe instellingen risico’s kunnen verkleinen. Bijvoorbeeld op het gebied van autorisatiebeheer, dataminimalisatie en bewaartermijnen. Hoeveel tijd ze daarmee kwijt zijn, zal voor elke school anders zijn. Eduarte kent bijvoorbeeld standaard processen die aansluiten op de processen van een groot deel van de scholen. Maar als een instelling een proces anders heeft ingericht, kost het de IPB-functionarissen meer tijd om aan de aanbevelingen van de whitepaper te voldoen.’ En ook Topicus doet zijn huiswerk: het blijft Eduarte doorontwikkelen om aan alle eisen te voldoen.
Tijd en werk bespaard
Terugkijkend concluderen beiden dat de eerste mbo-brede DPIA alle partijen inderdaad veel tijd en inspanning heeft bespaard. ‘Scholen hoeven niet eerst een eigen DPIA uit te voeren, maar kunnen nu direct aan de slag met de bevindingen in de whitepaper’, vertelt Niels. Gerben vult aan: ‘En wij hebben met deze sectorale DPIA veel minder schoolspecifieke vragen hoeven te beantwoorden. Dat heeft ons veel overleg en correspondentie gescheeld. Een DPIA is altijd veel werk. Maar omdat we het in goed overleg hebben aangepakt, hebben we allemaal veel minder werk gehad én een kwaliteitsslag gemaakt.’