Driestar College aan het woord

“Henk heeft veel kennis van de wet- en regelgeving en zette die kennis met gemak om in wat wij als organisatie nodig hadden. Ook luisterde hij aandachtig en vroeg hij goed door.” Het zijn woorden van Hans Krijger, controller bij het Driestar College – een christelijke middelbare school met locaties in Gouda, Leiden en Lekkerkerk.

Data Protection Impact Assessment (DPIA) op de to do-lijst

“We zijn met Henk in contact gekomen omdat hij business partner is van de privacy management software DPOrganizer”, vertelt Krijger. “Ruim voordat de AVG in mei 2018 van kracht werd hebben we dat pakket bestudeerd, maar toen hebben we besloten om het niet aan te schaffen. Ik wilde namelijk toch liever in ons eigen systeem iets ontwikkelen. We hebben daarom alles om aan de AVG te voldoen in ons eigen AFAS gebouwd. Alleen een Data Protection Impact Assessment (DPIA)* stond nog op onze to do-lijst. Omdat we zelf niet de kennis in huis hadden om die te ontwikkelen, hebben we Henk gevraagd om ons daarbij te ondersteunen.”

Een DPIA-formulier dat voldoet aan alle eisen én dat eenvoudig is in gebruik

Krijger vertelt verder: “Als middelbare school verwerken we natuurlijk persoonsgegevens van leerlingen en hun ouders. Zijn die persoonsgegevens in onze computersystemen en software goed beschermd? Kunnen we leerlingen en hun ouders díe bescherming bieden waar ze vanuit de AVG recht op hebben? Kortom: kunnen we onze verantwoordelijkheden waarmaken? Een DPIA maakt dat duidelijk. Henk heeft goed geluisterd naar wat wij nodig hadden en heeft op basis daarvan een voorstel gemaakt voor een formulier waarmee we DPIA’s kunnen uitvoeren. Onze grootste wens was dat dit formulier begrijpelijk zou worden – en dat is Henk gelukt. Hij heeft een formulier ontwikkeld dat voldoet aan alle eisen, maar dat tóch eenvoudig te gebruiken is.”

Een fijne en prettige samenwerking

Het inbouwen van het formulier in AFAS ging op basis van ‘trial and error’, geeft Krijger aan. “Henk en ik hebben een dag of drie samengewerkt om het formulier optimaal in ons systeem te krijgen. Die samenwerking was fijn en prettig. Als ik dingen inbracht of vragen stelde zei Henk soms eerlijk: ‘Daar moet ik even over nadenken, ik kom er op terug’. Hij nam dan de tijd om tot een goed antwoord te komen, en dat vond ik fijn, Af en toe nam hij ook even een stap terug en zei hij eerlijk: ‘De richting die ik bedacht had gaat niet werken, dit is mijn nieuwe voorstel’. Ook die eerlijkheid waardeerde ik erg.”

Een werkbare DPIA

“Na die drie dagen hebben we het formulier laten testen door iemand in de organisatie, met als belangrijkste vraag: is het werkbaar?”, vervolgt Krijger. “Er wordt binnen onze organisatie namelijk regelmatig nieuwe software aangeschaft, en bij elke aanschaf moet er eerst een DPIA worden uitgevoerd. Het DPIA-formulier móest dus werkbaar zijn – en volgens de tester is dat ook zo. Vanwege de fusie met het Wartburg College en het vele werk dat daaruit voortvloeit hebben we nog geen officiële DPIA uitgevoerd, maar we hebben nu al wel dat gewenste formulier. En omdat Henk heeft aangeboden dat we altijd een beroep op hem kunnen doen als we ergens tegenaan lopen, komt het met die DPIA’s zéker goed.”

*Een DPIA is een instrument om de privacyrisico’s van een gegevensverwerking in kaart te brengen, om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.