Privacy benchmark voor onderwijsinstellingen: bewust van uw privacyrisico's

21 april 2021 – Niet eerder was er zoveel interesse van hackers voor persoonsgegevens bij onderwijsinstellingen. Deze vergrote interesse komt mede door COVID-19, waardoor de onderwijssector van de een op andere dag hoofdzakelijk was aangewezen op digitale middelen. Het is hierdoor voor onderwijsinstellingen extra belangrijk geworden om de vele persoonsgegevens die worden verzameld op een juiste manier te verwerken en te beveiligen. Met een benchmark waarin we de privacyrisico’s bij onderwijsinstellingen blootleggen, wil Mazars een bijdrage leveren aan deze maatschappelijke uitdaging in de onderwijssector.

Bewustwording van databeveiliging en privacy is de laatste jaren gegroeid in de onderwijssector. Maar zijn onderwijsinstellingen zich bewust van de gevaren van datalekken, of incorrecte verwerkingen van persoonsgegevens? Door COVID-19 zijn onderwijsprocessen versneld gedigitaliseerd. Hierdoor is het nog belangrijker geworden om de databeveiliging en privacy van de onderwijsinstelling op orde te hebben en hackers buiten te sluiten.

Bewustwording van privacyrisico’s begint bij het verkrijgen van inzicht. Daarom heeft Mazars in 2020 een OSINT benchmark opgezet gericht op cybersecurity in het onderwijs. Als aanvulling hierop publiceren wij nu deze privacy benchmark, om hiermee het inzicht in de privacy compliance van onderwijsinstellingen te vergroten. Lees onder andere in deze benchmark welke stappen onderwijsinstellingen reeds hebben gemaakt op het gebied van gegevensprivacy, maar ook welke privacyrisico’s er nog zijn.

De belangrijkste bevindingen uit onze benchmark zijn:

AVG

  • De meeste onderwijsinstellingen beschikken over de basisdocumenten omtrent privacy, zoals een register van verwerkingsactiviteiten en privacyverklaring op de website.
  • 29% van de onderzochte onderwijsinstellingen heeft geen informatiebeveiligingsbeleid opgesteld.
  • Onderwijsinstellingen vinden het lastig om inzicht te verkrijgen in alle gegevensverwerkingen. Zo is het moeilijk om grip te krijgen op docenten en andere medewerkers die gebruikmaken van privé e-mail en niet-goedgekeurde applicaties voor lesmateriaal.
  • De onderzochte onderwijsinstellingen hebben de cookies en het eventuele gebruik van Google Analytics onvoldoende AVG-compliant ingesteld. 76% van de onderwijsinstellingen hanteert een werkwijze voor het gebruik van cookies die formeel niet voldoet aan de AVG.

Data Protection Impact Assessment (DPIA)

  • Slechts 14% van de onderzochte onderwijsinstellingen heeft afgelopen jaar een Data Protection Impact Assessment (DPIA) voor nieuwe gegevensverwerkingen uitgevoerd.
  • Het merendeel van de onderzochte onderwijsinstellingen heeft geen verplichte DPIA uitgevoerd om risico’s van gevoelige gegevensverwerkende applicaties zoals videobellen of online proctoring tooling (waarmee digitaal gesurveilleerd kan worden) in kaart te brengen.

Ervaring in het onderwijs

Mazars richt zich binnen de sector onderwijs op primair, voortgezet en hoger onderwijs en andere onderwijs gerelateerde organisaties. Onze jarenlange ervaring in de sector onderwijs heeft ons specifieke kennis van deze sector opgeleverd. Hierdoor zijn we in staat om dienstverlening op maat te leveren en mee te denken met de uitdagingen waar onderwijsorganisaties mee te maken hebben.

Privacyrisico’s verminderen

Mazars helpt onderwijsinstellingen graag bij het verminderen van privacyrisico’s. Een belangrijke eerste stap is het beschikken over basisdocumenten omtrent privacy, zoals een register van verwerkingsactiviteiten of een privacyverklaring op de website. Mazars bekijkt voor u welke documenten nog ontbreken en aangevuld dienen te worden. Wist u dat door nieuwe digitale processen tijdens de COVID-19 pandemie het nu nóg belangrijker is om een DPIA uit te voeren? Met deze analyse brengt u gevoelige gegevensverwerkingen in kaart waardoor er passende maatregelen gehanteerd kunnen worden. Mazars kan u helpen bij het uitvoeren van een DPIA.

Meer weten?

Wilt u meer weten over deze privacy benchmark? Neem dan contact op met Jan Matto, Partner IT Audit & Advisory, per e-mail of per telefoon: +31 (0)88 277 13 99, Marissa de Beeld, Privacy and Compliance Specialist, per e-mail of per telefoon +31 (0)88 277 16 16 of Ivar Brouwer, Sectorleider Onderwijs en Senior manager Audit, per e-mail of per telefoon: +31 (0)88 277 21 21. Zij helpen u graag verder.

Document

Privacy benchmark voor onderwijsinstellingen.pdf
Privacy benchmark voor onderwijsinstellingen.pdf