Privacy benchmark voor onderwijsinstellingen: bewust van uw privacyrisico's

Bewustwording van databeveiliging en privacy is de laatste jaren gegroeid in de onderwijssector. Maar zijn onderwijsinstellingen zich bewust van de gevaren van datalekken, of incorrecte verwerkingen van persoonsgegevens? Door COVID-19 zijn onderwijsprocessen versneld gedigitaliseerd. Hierdoor is het nog belangrijker geworden om de databeveiliging en privacy van de onderwijsinstelling op orde te hebben en hackers buiten te sluiten.

Bewustwording van privacyrisico’s begint bij het verkrijgen van inzicht. Daarom heeft Mazars in 2020 een OSINT benchmark opgezet gericht op cybersecurity in het onderwijs. Als aanvulling hierop publiceren wij nu deze privacy benchmark, om hiermee het inzicht in de privacy compliance van onderwijsinstellingen te vergroten. Lees onder andere in deze benchmark welke stappen onderwijsinstellingen reeds hebben gemaakt op het gebied van gegevensprivacy, maar ook welke privacyrisico’s er nog zijn.

De belangrijkste bevindingen uit onze benchmark zijn:

AVG

• De meeste onderwijsinstellingen beschikken over de basisdocumenten omtrent privacy, zoals een register van verwerkingsactiviteiten en privacyverklaring op de website.

• 29% van de onderzochte onderwijsinstellingen heeft geen informatiebeveiligingsbeleid opgesteld.

• Onderwijsinstellingen vinden het lastig om inzicht te verkrijgen in alle gegevensverwerkingen. Zo is het moeilijk om grip te krijgen op docenten en andere medewerkers die gebruikmaken van privé e-mail en niet-goedgekeurde applicaties voor lesmateriaal.

• De onderzochte onderwijsinstellingen hebben de cookies en het eventuele gebruik van Google Analytics onvoldoende AVG-compliant ingesteld. 76% van de onderwijsinstellingen hanteert een werkwijze voor het gebruik van cookies die formeel niet voldoet aan de AVG.

Data Protection Impact Assessment (DPIA)

• Slechts 14% van de onderzochte onderwijsinstellingen heeft afgelopen jaar een Data Protection Impact Assessment (DPIA) voor nieuwe gegevensverwerkingen uitgevoerd.
• Het merendeel van de onderzochte onderwijsinstellingen heeft geen verplichte DPIA uitgevoerd om risico’s van gevoelige gegevensverwerkende applicaties zoals videobellen of online proctoring tooling (waarmee digitaal gesurveilleerd kan worden) in kaart te brengen.

Ervaring in het onderwijs

Mazars richt zich binnen de sector onderwijs op primair, voortgezet en hoger onderwijs en andere onderwijs gerelateerde organisaties. Onze jarenlange ervaring in de sector onderwijs heeft ons specifieke kennis van deze sector opgeleverd. Hierdoor zijn we in staat om dienstverlening op maat te leveren en mee te denken met de uitdagingen waar onderwijsorganisaties mee te maken hebben.

Privacyrisico’s verminderen

Mazars helpt onderwijsinstellingen graag bij het verminderen van privacyrisico’s. Een belangrijke eerste stap is het beschikken over basisdocumenten omtrent privacy, zoals een register van verwerkingsactiviteiten of een privacyverklaring op de website. Mazars bekijkt voor u welke documenten nog ontbreken en aangevuld dienen te worden. Wist u dat door nieuwe digitale processen tijdens de COVID-19 pandemie het nu nóg belangrijker is om een DPIA uit te voeren? Met deze analyse brengt u gevoelige gegevensverwerkingen in kaart waardoor er passende maatregelen gehanteerd kunnen worden. Mazars kan u helpen bij het uitvoeren van een DPIA.

Meer weten?

Wilt u meer weten over deze privacy benchmark? Neem dan contact op met Jan Matto, Partner IT Audit & Advisory, per e-mail of per telefoon: +31 (0)88 277 13 99 of met Ivar Brouwer, Sectorleider Onderwijs en Senior manager Audit, per e-mail of per telefoon: +31 (0)88 277 21 21. Zij helpen u graag verder.