Gebruik FORA/Softwarecatalogus voor DPIA door onderwijsinstelling

Door toepassing van de FORA in combinatie met de Softwarecatalogus kan de Functionaris Gegevensbescherming van een onderwijsinstelling het DPIA-proceskwalitatief beter, sneller, goedkoper doorlopen.



Doel

Om te voldoen aan de privacywetgeving (AVG) moet een school onder bepaalde voorwaarden een DPIA uitvoeren, een Data Protection Impact Assessment. Door de procesbeschrijvingen in de FORA en de softwarecatalogus toe te passen op de schoolsituatie kan veel werk worden bespaard, kan werk van collega-scholen worden hergebruikt en kan een update van de DPIA ook sneller, goedkoper en kwalitatief beter worden uitgevoerd.

Betrokkenen/rollen

Uitvoering door: ict-coördinator, afdeling ict, informatiemanager of IBP-manager

Ondersteuning en beoordeling door de Functionaris Gegevensbescherming, ondersteund door proces- en informatiedeskundigen van een (overkoepelende) onderwijsinstelling

Randvoorwaarden

De onderwijsinstelling moet de eigen processen, informatiestromen en applicatielandschap in beeld hebben om de FORA en SWC toe te kunnen passen. Dat is overigens ook een randvoorwaarde als de DPIA zonder gebruik van FORA / SWC wordt uitgevoerd.

Toelichting

De FORA bevat een uitgebreide informatiekundige beschrijving van een onderwijsinstelling met oa. bedrijfsfuncties, bedrijfsprocessen, informatiestromen en referentiecomponenten (typeringen van systemen zoals een LAS) die de processen ondersteunen.

De Softwarecatalogus - in 2020 en 2021 nog in demonstratorvorm - bevat de daadwerkelijke systemen en applicaties die een instelling in gebruik heeft (ie. Magister, Som2Day, ParnasSys).

Aanleiding

Aangescherpte wetgeving mbt. AVG in 2019 / 2020.

Scenariostappen in het proces

Het DPIA-proces omvat twee stappen:

  1. Gegevensverwerkingsanalyse
  2. DPIA: de daadwerkelijke risico-afweging

In de eerste stap wordt feitelijk onderzocht hoe een proces of systeem in elkaar zit en welke gegevensstromen er plaatsvinden, en welke verwerkingsdoeleinden hiervoor zijn. In stap 1 is het gebruik van FORA / Softwarecatalogus relevant, aangezien de fora een (generieke en goed uitgewerkte) beschrijving bevat van de processen en gegevensstromen die noodzakelijk zijn voor deze fase. Wel zal iedere instelling voor zichzelf moeten kijken welke ze daadwerkelijke gebruiken en welke niet: de instelling zal het moeten aanpassen aan haar eigen specifieke situatie.

Uitkomst

Fase 1: gegevensverwerkingsanalyse die qua beschrijvingen op de FORA en de Softwarecatalogus is gebaseerd

Bron

Handreiking DPIA v09

Zie ook

Modellen voor DPIA