U bent hier

Strenger controles verwacht: hebt u privacyrisico’s in beeld?

De Autoriteit Persoonsgegevens gaat naar verwachting strenger toetsen of organisaties wel aan hun zogeheten DPIA-verplichting voldoen. Een Zweedse school kreeg al een boete opgelegd van € 18.500,- omdat ze de boel niet op orde had…

Binnen onderwijsinstellingen worden zowel gewone als bijzondere persoonsgegevens verwerkt. Binnen de AVG moeten de persoonsgegevens van kinderen (met name jonger dan 16 jaar) extra beschermd worden.

Verwacht wordt dat Autoriteit Persoonsgegevens (AP) strenger gaat toetsen of organisaties wel aan hun zogeheten DPIA-verplichting voldoen. Zo’n data protection impact assessment is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

Boete voor de school

Wat de (financiële) gevolgen kunnen zijn van deze toetsing werd vorig jaar duidelijk in Zweden: de Zweedse toezichthouder legde een boete op aan een school omdat deze geen DPIA had uitgevoerd voordat gezichtsherkenningssoftware in gebruik werd genomen. De school kon niet aantonen dat de privacyrisico’s van de verwerking goed beschreven waren, en dus ook niet dat er passende en afdoende maatregelen waren genomen om deze risico’s te elimineren of te verkleinen tot acceptabel niveau.

Met een DPIA zorgt u ervoor dat u:

  • Kunt aantonen dat aan de eisen van bescherming van persoonsgegevens wordt voldaan;
  • Belangrijke kenmerken van de verwerking goed beschrijft;
  • De manier waarop de persoonsgegevens beschermd worden, duidelijk beschrijft.

Pas daarná is het geoorloofd om met de voorgenomen verwerking te beginnen, of de bestaande verwerking te continueren.

Bescherming van persoonsgegevens is niet hetzelfde als beveiliging van persoonsgegevens. De manier waarop toetsing plaatsvindt is wezenlijk anders. Voor bescherming is het van belang een DPIA uit te voeren.

Software voor scholen

Organisaties ervaren de uitvoering van een DPIA als een complexe aangelegenheid. PrivacyTeam assisteerde al verschillende zorg- en onderwijsorganisaties bij een DPIA en breidt het privacy management software EasyPrivacy® voor scholen vanaf april 2020 uit met de normen uit het toetsingskader IBP/PO-VO. Zo hebt u op een makkelijke en begrijpelijke manier inzicht in de mate waarin u voldoet aan relevante informatiebeveiligingsnormen voor het onderwijs, en kunt u ook snel inschatten wat er nog moet gebeuren om op een (nog) betere manier aantoonbaar te voldoen.

Nog geen gebruiker van EasyPrivacy®? Als Verus-lid maakt u kennis met deze software door een gratis proeflicentie. Wilt u aan het eind van die proeflicentie de software blijven gebruiken, dan kunt u deze met 15% Verus-korting aanschaffen.

PO | VO | MBO | HBO | WO

Aanmelden voor de Verus nieuwsbrief

Iedere week het laatste nieuws uit het onderwijs