Waar ben je naar op zoek?

Meest gezocht:

Meest gezocht:

Verbeterde toegankelijkheid modus

SURF streeft naar een website die voor iedereen toegankelijk is. We werken aan een volledig toegankelijke modus.
Hal van hogeschool windesheim waar studenten werken en lopen
Magazine

DPIA: onderwijs en leverancier werken aan privacy

Onderwijsinstellingen zijn vanuit de privacywet (AVG) verplicht DPIA’s (Data Protection Impact Assessments) uit te voeren. Samen optrekken met SURF biedt daarbij veel voordelen. Tot verrassing van SURF klopte Xedule, een roostersoftwareleverancier die breed wordt ingezet in het mbo, zelf aan met het verzoek om een DPIA te organiseren. De leverancier initieerde daarmee een brede samenwerking en meer bewustwording over privacy en informatiebeveiliging.

DPIA’s geven onderwijsinstellingen, softwareleveranciers en de overheid inzicht in privacyrisico’s bij de verwerking van persoonsgegevens. Komen er punten van zorg uit de rapportage? Dan moet de betrokken instelling maatregelen nemen om de risico’s te minimaliseren. Het initiatief voor de DPIA’s ligt bij de onderwijsinstellingen, maar een belangrijk probleem is dat er vaak weinig capaciteit en specialistische kennis beschikbaar is om de tijdrovende klus te klaren.

Profiteren van ervaringen

Niels Dutij

Niels Dutij

“Eigenlijk is iedereen steeds opnieuw bezig het wiel uit te vinden,” zegt Niels Dutij, adviseur bij programma Cyberveiligheid van MBO Digitaal en functionaris gegevensbescherming bij verschillende mbo-scholen. “Dat kan veel efficiënter. Daarom is het super waardevol dat dit soort trajecten sectoraal worden opgepakt.”    

Op basis van die vraag vanuit het onderwijs ontwikkelde SURF de Vendor Compliance-dienst. Inmiddels is er veel ervaring met het uitvoeren van DPIA’s. In lijn met de ervaringen van Dutij publiceert SURF het constateringsrapport – dat tegelijk een adviesrapport is – openbaar. Zo kunnen andere organisaties er ook van profiteren. 

“Door een DPIA gezamenlijk te doen, kun je de leverancier één meetlat geven voor wat je verwacht als sector”
Niels Dutij

Eén meetlat voor verwachtingen

Het rapport dient als advies voor instellingen, waarbij zij zelf verantwoordelijk blijven voor een organisatiespecifieke DPIA. Volgens Dutij zet SURF met de Vendor Compliance-dienst niet alleen een DPIA neer. Ook geeft het een invulling aan veel open normen uit de AVG, en daarmee advies voor passende beveiliging. Een voorbeeld is de aanbeveling om de controle op leesrechten via logging als standaard op te nemen.

Een bijkomend voordeel voor de softwareleveranciers is dat hun afnemers met één mond spreken, vindt Dutij. “Als alle instellingen afzonderlijk hun eisen en wensen aan een leverancier doorgeven vanuit hun eigen invulling van de AVG, dan is dat best lastig. Want wie geef je dan gelijk? Juist door het gezamenlijk te doen kun je de leverancier één meetlat geven voor wat je verwacht als sector. Zo weten leveranciers beter waar ze aan toe zijn, én geeft het de scholen duidelijkheid over wat er wel of juist niet aanwezig is.” 

Leverancier vraagt zelf om sectoroverstijgende DPIA

Karin Kuster

Karin Kuster

Hoewel de DPIA-aanvragen doorgaans van de instellingen komen, stapte roostermaker Xedule zelf op SURF af met de vraag om een sectoroverstijgende DPIA uit te voeren. “Mijn ervaring is dat onderwijsinstellingen vaak niet toekomen aan een DPIA,” zegt Karin Kuster, Managing Director van Xedule, een onderdeel van de Noorse software holding Visma. “Maar het is jammer als zo’n DPIA niet goed wordt uitgevoerd.” Zij legt uit dat bij het moederbedrijf privacy en informatiebeveiliging al jarenlang een topprioriteit zijn, waarin veel wordt geïnvesteerd.    

Vanuit die achtergrond vond Xedule het een logische stap om zelf een DPIA aan te vragen. Kuster voegt eraan toe: “De verantwoordelijkheid ligt bij de scholen, maar ook bij ons als leverancier. Dus pakken we dat graag samen op.” Bij de start van het DPIA-traject met SURF verwachtte Kuster dat er concrete verbeterpunten naar voren zouden komen. Uiteindelijk werden er 18 risico’s geconstateerd, waarvan 17 met de kwalificatie ‘hoog’ en één ‘medium’. Op basis van deze bevindingen zijn maatregelen geïdentificeerd om de risico’s te mitigeren en afspraken gemaakt over de implementatie daarvan.

Regelmatige updates van verbeterpunten

Kuster: “Het stopt niet bij dit rapport. We hebben ons gecommitteerd aan regelmatige updates over de voortgang van de verbeterpunten. Privacy is een continu proces waarin we onze klanten proactief meenemen.”

Walter van Hest

Walter van Hest

Walter van Hest, Informatie & Security Manager bij Xedule, zegt hierover: “Juist doordat we zélf om dit onderzoek vroegen, konden we de resultaten direct integreren in onze ontwikkelingscyclus. Veel van de administratieve punten zijn direct opgelost. De technische verbeteringen vormen nu de kern van onze roadmap. We doen dit niet achter de schermen, maar in nauw overleg met de instellingen.” 

De DPIA viel dus voor Xedule gunstig uit. Er kwamen wel risico’s naar voren, maar die konden worden gemitigeerd. Waren er risico’s gevonden die niet te mitigeren waren, zou dat grote problemen hebben veroorzaakt. Vooral binnen het mbo wordt de roostersoftware veel gebruikt. Dutij: “Daarmee is het zo’n grote leverancier geworden die bijna too big to fail is.”

“Door in alle openheid samen te werken aan privacy en security merk je dat het bewustzijn op dit vlak omhooggaat, voor andere leveranciers én voor de scholen”
Karin Kuster

Privacy en security: prioriteit voor iedereen

Een overstap op een alternatief tijdens een lopend schooljaar zou bijvoorbeeld veel overhoop hebben gehaald, benadrukt Dutij. Toch maakt hij zich niet zo’n zorgen. “Ik probeer het altijd positief te zien. Ik werk liever met een partij waarbij ik weet wat de risico’s zijn, dan dat ik volledig in het duister tast omdat een aanbieder niet mee wil werken aan de DPIA waardoor risico’s onbekend blijven.”

Voor Xedule is de samenwerking met SURF rond de DPIA vooral een manier om prioriteiten te stellen. “Door in alle openheid samen te werken aan privacy en security merk je dat het bewustzijn op dit vlak omhooggaat, voor andere leveranciers én voor de scholen. Dat is een goede ontwikkeling.” Dat Xedule ook mogelijk profiteert van de resultaten van de DPIA, ziet Dutij niet als een probleem. “Een DPIA is een instrument dat scholen verplicht moeten inzetten bij een hoog-risicoverwerking. We zouden dat eigenlijk met nog meer leveranciers moeten doen. Je wil gewoon gezamenlijk AVG-compliant gaan werken.”

Maatregelen voor alle instellingen

De actie van Xedule zette ook bij SURF een aantal zaken op scherp. Zo was op het moment dat Van Hest in november 2023 aanklopte bij SURF, de organisatie nog niet klaar met de ontwikkeling van een DPIA-traject. Daardoor kon dit onderzoek pas een half jaar later van start gaan. Ook kwam door het initiatief vanuit het mbo de aandacht van SURF voor deze onderwijssector extra in de schijnwerpers te staan. “Er wordt bijvoorbeeld periodiek aan de SURF-leden om input voor nieuwe onderzoeken gevraagd. Ik krijg vaak terug van mbo-instellingen dat hun voorstellen niet altijd worden gehoord, bijvoorbeeld bij het bepalen voor welke applicaties een DPIA wordt uitgevoerd. Daarom is het goed dat mbo-scholen hun voorkeuren duidelijk kenbaar maken bij SURF.”

Dutij ziet dat er sectoroverstijgend al een goede structurele aanpak van dit type vraagstukken is ontstaan. “Wat ik goed vind is dat er twee verschillende aanbevelingen komen; één voor de onderwijsinstellingen en één voor de leverancier. SURF pakt de aanbeveling voor de leverancier zelf met het bedrijf op.” Hij vindt het belangrijk om ook de maatregelen voor specifieke instellingen goed te borgen. “Het is fijn dat via de SURF Vendor Compliance-dienst veel werk wordt verricht, maar elke DPIA kent ook nog huiswerk voor de eigen school.”

Tekst: Thijs Doorenbosch 

DPIA: onderwijs en leverancier werken aan privacy is een artikel van SURF Magazine. 

Terug naar SURF Magazine

Vragen naar aanleiding van dit artikel? Mail naar magazine@surf.nl.

Gerelateerde onderwerpen: