Bij CACI hebben we de afgelopen maanden een belangrijke stap gezet in ons streven naar optimale gegevensbescherming. Dat hebben we gedaan door een Data Protection Impact Assessment (DPIA) uit te laten voeren op OSIRIS en de OSIRIS SaaS-dienstverlening. Dit onderzoek is uitgevoerd door een onafhankelijke partij aangesloten bij Privacy First en ondersteunt onderwijsinstellingen bij het uitvoeren van hun eigen DPIA op OSIRIS.
Bij CACI vinden we het belangrijk om zorgvuldig om te gaan met persoonsgegevens. Daarom zijn we graag transparant over hoe we gegevens verwerken in OSIRIS. Een DPIA is een belangrijk instrument om privacyrisico’s in kaart te brengen voordat persoonsgegevens verwerkt worden. Het onderzoek omvat een grondige analyse van alle relevante documentatie en interviews met belanghebbenden. Alle bevindingen zijn vervolgens getoetst aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG) en andere relevante wet- en regelgeving.
Positieve beoordeling
De bevindingen uit het onderzoeken worden vertaald naar duidelijke aandachts- en actiepunten om mogelijke risico’s binnen OSIRIS te mitigeren. Dit helpt ons om processen binnen OSIRIS te verbeteren. De onafhankelijke partij beoordeelde OSIRIS en de SaaS-dienstverlening als zeer positief, waarbij vooral onze bereidheid om direct actie te ondernemen op bevindingen van de DPIA wordt benadrukt. Uit de DPIA zijn ook enkele aanbevelingen naar voren gekomen. Deze aanbevelingen nemen we erg serieus en pakken we zo spoedig mogelijk op.
Wat levert de DPIA op voor onderwijsinstellingen?
De afronding van de DPIA staat gepland voor eind april. We stellen de DPIA binnenkort beschikbaar aan alle onderwijsinstellingen die OSIRIS gebruiken. Het is belangrijk om te weten dat de specifieke processen, functionele inrichting en gebruik van OSIRIS bij de onderwijsinstellingen niet is meegenomen in deze DPIA.
Een volledige DPIA bij de onderwijsinstelling bestaat uit twee bouwstenen. Als eerste bouwsteen zal de onderwijsinstellingen zelf een DPIA moeten uitvoeren op de eigen processen binnen OSIRIS. Samen met de OSIRIS DPIA als tweede bouwsteen, ontstaat dan een compleet beeld.
We zien de OSIRIS DPIA als een belangrijke mijlpaal voor ons streven naar adequate gegevensbescherming. Met grondige analyses en actieve betrokkenheid bij privacykwesties, willen we graag een voorbeeld zijn en onze best practices delen op het gebied van gegevensbescherming.
Heb je vragen over de DPIA? Neem gerust contact met ons op via privacy@caci.nl.
Op donderdagmiddag 16 mei organiseert CACI een OSIRIS DPIA-Seminar voor de PO’s, SO’s, FG’s en OSIRIS verantwoordelijken van onze klanten. Behoor je tot de doelgroep, schrijf je in via deze link!