Binnen de onderwijsinstelling worden heel wat persoonsgegevens verwerkt. De GDPR/AVG eist dat de verwerkingsverantwoordelijke gepaste maatregelen neemt om de persoonsgegevens te beschermen (art. 24 en 25 GDPR/AVG). Een risicoanalyse of checklist vertelt welke maatregelen de verwerkingsverantwoordelijke moet nemen.

Een verwerkingsverantwoordelijke is verplicht een gegevensbeschermingseffectbeoordeling (GEB) uit te voeren bij gegevensverwerkingen die een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen (art. 35, lid 1 GDPR/AVG).

Een GEB beschrijft de verwerking van persoonsgegevens, beoordeelt de noodzaak en evenredigheid ervan, de daaraan verbonden risico's en bepaalt de maatregelen om de risico’s aan te pakken (aanbeveling GBA 01/2018).

Artikel 35(3) GDPR/AVG somt drie situaties op waarin het uitvoeren van een GEB steeds vereist is:

• ingeval van een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen;
• ingeval van grootschalige verwerking van bijzondere categorieën van persoonsgegevens;
• ingeval van stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Voor onderwijsinstellingen is een GEB verplicht voor een leerlingvolgsysteem en e-learning-systemen (advies 2/2018 EDPB en aanbeveling GBA 01/2018).

Bij elke nieuwe of gewijzigde manier van de verwerking van persoonsgegevens die een hoog risico oplevert, moet je opnieuw een GEB doen (aanbeveling GBA 01/2018).

Schoolbestuur
De verplichting tot de uitvoering van een risicoanalyse of GEB rust in eerste instantie op de verwerkingsverantwoordelijke. Het schoolbestuur als verwerkingsverantwoordelijke is diegene die de eindverantwoordelijkheid draagt en aanspreekbaar is indien de risicoanalyse of GEB niet (of niet naar behoren) wordt uitgevoerd.

Verwerker
De verwerker dient, afhankelijk van de aard van de verwerking, aan de verwerkingsverantwoordelijke bijstand te verlenen bij het uitvoeren van een GEB.

Data Protection Officer
De Data Protection Officer (DPO) of functionaris voor gegevensbescherming adviseert de verwerkingsverantwoordelijke bij het uitvoeren van een GEB (art. 35, lid 2 GDPR/AVG).

Aanspreekpunt informatieveiligheid
Het aanspreekpunt informatieveiligheid (AIV) informeert en adviseert de verwerkingsverantwoordelijke.

ICT-coördinator
De ICT-coördinator helpt mee bij het uitvoeren van de risicoanalyse of GEB.

Personeelsleden
De verwerkingsverantwoordelijke zorgt ervoor dat de juiste personen binnen de organisatie worden betrokken bij het risicobeoordelingsproces. Dit om te vermijden dat het proces van risicobeoordeling herleid zou worden tot een louter schriftelijke oefening. Denk hierbij aan administratieve medewerkers, leerkrachten, directieleden, ontwikkelaars, analisten …

Betrokkenen
Betrokkenen kunnen gevraagd worden naar hun mening over de verwerking. Bijvoorbeeld in verband met de beveiliging van de verwerking.

De uitvoering van een risicoanalyse kost tijd en vereist de nodige kennis. Met andere woorden, er hangt een kostenplaatje aan. Er bestaan ook manieren om een aantal beveiligingsmaatregelen te bepalen zonder het uitvoeren van een risicoanalyse. Dit is mogeijk met een:

• BIV-classificatie: door een classificatie van persoonsgegevens te maken, kun je binnen de organisatie op een gestructureerde manier de beveiliging van deze gegevens vorm geven. De classificatie gebeurt op basis van de aspecten beschikbaarheid, integriteit en vertrouwelijkheid.
• Quick Scan: je maakt gebruik van een externe standaard checklist. Het uitgangspunt is om aan algemene aanvaarde normen te voldoen (bijvoorbeeld de geboden voor informatiebeveiliging). 
• Baseline checklist: je verifieert aan de hand van een checklist of er aan een aantal (eigen of overgenomen) beveiligingsmaatregelen (de baseline) wordt voldaan. Een baseline checklist biedt meer diepgang dan een quick scan.

Een BIV-classificatie, quick scan en baseline checklist is geen risicoanalyses. Een risicoanalyse is kortweg een overzicht van alle mogelijke risico's die de werking van een organisatie of project kunnen beïnvloeden. Er wordt aangegeven wat de impact zou zijn als het risico zich voordoet, welke maatregelen de risico’s verkleinen en wie deze maatregelen het beste kan nemen.

In risicoanalyses zijn er soorten en maten. Er bestaan twee belangrijkste soorten, een kwalitatieve en een kwantitatieve risicoanalyse. Bij beiden is er sprake van het analyseren van risico’s om op basis daarvan te bepalen welke maatregelen er nodig zijn.

In een kwalitatieve risicoanalyse worden de risico’s geschat. Een kwalitatieve analyse vergt minder gegevens en is minder nauwkeurig, maar daardoor wel eenvoudiger uit te voeren dan een kwantitatieve analyse.

Een sterk vereenvoudigde variant van de kwalitatieve risicoanalyse is de kroonjuwelenanalyse. Het doel is om relatief snel tot een eerste overzicht te komen van de meest belangrijke processen en de daarmee samenhangende risico's. De kroonjuwelenanalyse kan worden gebruikt door organisaties die niet gewoon zijn om een risicoanalyse uit te voeren.

De website https://www.ravib.nl biedt een gratis hulpmiddel aan voor de uitvoering van een risicoanalyse voor informatiebeveiliging (niet procesbeveiliging). Met de tool kun je zelfstandig een kroonjuwelenanalyse uitvoeren. Met behulp van de rapportage die de tool je biedt, kun je zelf een plan van aanpak opstellen om de informatiebeveiliging binnen jouw organisatie te verbeteren.

Een kwalitatieve risicoanalyse geeft een organisatie vaak al voldoende inzicht.

In een kwantitatieve risicoanalyse worden de risico’s waar mogelijk gekwantificeerd in meetbare criteria. Kwantitatieve risicoanalyse is de meest vergaande vorm van risicoanalyse. De methode is vergelijkbaar met de kwalitatieve risicoanalyse.

Bij een kwantitatieve risicoanalyse streeft men op belangrijke punten kwantificering na. Het is dus nodig dat alle dreigingen die op een object kunnen inwerken bekend zijn. Alsook welke de kans is dat ze optreden, hoe waarschijnlijk het is dat daardoor schade optreedt en hoe groot de desbetreffende schade zal zijn. Een hele boterham dus. In de praktijk zal een kwantitatieve risicoanalyse maar uitgevoerd worden voor de meest kritische bedrijfsprocessen.

Een gegevensbeschermingseffectbeoordeling (GEB) voert de verwerkingsverantwoordelijke uit voor verwerkingen met persoonsgegevens die een hoog risico inhouden. Het is aan de verwerkingsverantwoordelijke om een methode te kiezen, maar de gekozen methode moet voldoen aan een aantal criteria. De verwerkingsverantwoordelijk moet indien nodig de GEB actualiseren. Het uitvoeren van een gegevensbeschermingseffectbeoordeling is een continu proces, niet een eenmalige oefening.

De Franse toezichthouder voor gegevensbescherming (CNIL) heeft een tool ontworpen om een GEB uit te voeren: PIA (Privacy Impact Assessment). Het programma is gratis en open source. De broncode van de toepassing kun je downloaden van Github, wijzigen en delen met de community. De PIA software is beschikbaar in 18 talen.

De GEB van de PIA-tool (CNIL) bestaat uit vier delen: context, fundamentele principes, risico’s en validatie. Het is verplicht om alle velden in te vullen, te laten beoordelen/evalueren (reviewen) en te valideren.

Een GEB-rapport moet de volgende onderdelen bevatten (art. 35(7) GDPR/AVG en WP 248 rev.01 WP29):

• een systematische beschrijving van de beoogde verwerkingen;
• de verwerkingsdoeleinden en indien van toepassing de gerechtvaardigde belangen;
• een beoordeling van de noodzaak en de proportionaliteit van de verwerkingen met betrekking tot de doeleinden;
• een beoordeling van de bedoelde risico's voor de rechten en vrijheden van betrokkenen;
• de beoogde maatregelen om de risico's aan te pakken.

Katholiek Onderwijs Vlaanderen biedt de module “Risicoanalyse en GEB” aan waar de PIA-tool wordt uitgelegd. Raadpleeg https://nascholing.be/ voor meer informatie.