Google DPIA

Wat is een DPIA?

Een Data Protection Impact Assessment (DPIA) is een middel om privacyrisico’s van gegevensverwerking in kaart te brengen. Het beoordeelt de mogelijke gevolgen van het gebruik van persoonsgegevens om daarmee de risico’s te verkleinen of volledig weg te nemen. In een DPIA beschrijf je de verschillende risico’s en welke maatregelen je vaststelt om de risico’s te verminderen of weg te nemen.

Wanneer is dit voor jouw school relevant?

Als jouw school gebruikmaakt van Google accounts en aanvullende Google diensten, dan is het verstandig om regelmatig een DPIA uit te voeren. Wanneer scholen primair met Microsoft accounts werken kan het zijn dat er alsnog gebruik gemaakt wordt van de Google accounts. Bij veel scholen wordt op de achtergrond van ZuluConnect een Google account aangemaakt zodat de leerlingen over volledige functionaliteit van een Chromebook beschikt. Denk aan Playstore apps zoals Minecraft of andere lokale applicaties en services van Google. Weet je niet zeker of jouw leerlingen ook Google accounts hebben? Neem dan contact op met onze Infodesk.

Normenkader scan

Enkele verplichtingen vanuit het normenkader zijn relevant voor het verantwoorden van het gebruik van beheeromgevingen en data. Deze punten zijn:

Domein	Norm	Toelichting
Bestuur	GO.01 Strategie informatiebeveiliging	Het is essentieel dat het schoolbestuur een duidelijke strategie voor informatiebeveiliging vaststelt, waarin het gebruik van platforms zoals Google Workspace en ChromeOS wordt meegenomen.
Bestuur	GO.02 Beleid informatiebeveiliging	Er dient een formeel beleid te zijn dat de kaders stelt voor veilig gebruik van digitale leermiddelen en -omgevingen.
Bestuur	GO.03 Planning/roadmap informatiebeveiliging	Een planmatige aanpak is nodig om de implementatie en naleving van informatiebeveiligingsmaatregelen te waarborgen.
Securitymanagement	SM.01 Beveiligingsbaselines	Het vaststellen van minimale beveiligingseisen voor IT-infrastructuur, zoals de configuratie van Google Workspace en ChromeOS, is cruciaal om ongeoorloofde toegang te voorkomen.
Securitymanagement	SM.02 Authenticatiemechanismes	Zorg voor sterke authenticatiemethoden bij het gebruik van Google-accounts om de toegang tot gevoelige informatie te beschermen.
Securitymanagement	SM.06 Patchmanagement	Het is belangrijk om ervoor te zorgen dat alle systemen, inclusief die van Google Workspace en ChromeOS, up-to-date zijn met de laatste beveiligingsupdates.
Datamanagement	DM.01 Data- en systeemeigenaarschap	Wijs duidelijk eigenaarschap toe voor de data en systemen binnen de organisatie, zodat verantwoordelijkheden helder zijn.
Datamanagement	DM.02 Dataclassificatie	Classificeer de gegevens die binnen Google Workspace en ChromeOS worden verwerkt op basis van gevoeligheid en bepaal passende beveiligingsmaatregelen.
Beleid (privacy)	BL.01 Privacybeleid	Stel een privacybeleid op dat beschrijft hoe persoonsgegevens binnen platforms zoals Google Workspace en ChromeOS worden beschermd en verwerkt.
Beleid (privacy)	BL.02 Rollen, taken en verantwoordelijkheden	Definieer duidelijk de rollen en verantwoordelijkheden met betrekking tot privacy en gegevensbescherming binnen de organisatie.

Onze aanpak

Analyse van de beheeromgeving
Wij vergelijken de inrichting van Google Workspace en ChromeOS binnen de Google Workspace met de richtlijnen uit het DPIA-advies van Sivon.
Duidelijk rapport
We verwerken de bevindingen in een helder overzicht waarin duidelijk staat aangegeven welke onderdelen voldoen en welke nog aandacht vereisen.
Overleg met FG en ICT’er
Het rapport wordt besproken met de Functionaris Gegevensbescherming (FG) en ICT-verantwoordelijke binnen de school. Op basis van deze analyse kunnen er verdere aanpassingen worden doorgevoerd om de privacy en beveiliging te optimaliseren.
Rapport
Onze aanpak resulteert in een overzichtelijk rapport, waarmee scholen direct inzicht krijgen in de mate waarin hun omgeving voldoet aan de gestelde privacy- en beveiligingsrichtlijnen. Daarin beschrijven we waar jouw school en voldoet en welke keuzes je hebt gemaakt.