Samenwerking cruciaal voor het behoud van privacy en security
De bescherming van persoonsgegevens heeft voor CACI de hoogste prioriteit. Daarom liet CACI recent een Data Protection Impact Assessment (DPIA) uitvoeren op OSIRIS en de OSIRIS SaaS-dienstverlening door een onafhankelijke partij. Naar aanleiding van dit assessment werd op 16 mei 2024 het eerste DPIA-Seminar georganiseerd voor alle aangesloten onderwijsinstellingen.
Tijdens het seminar in de Jaarbeurs in Utrecht kregen de aanwezigen meer informatie over het doel van het DPIA en de toegevoegde waarde voor onderwijsinstellingen. Daarnaast werden de uitkomsten en aanbevelingen uit het assessment besproken. Ook was er ruimte voor vragen, discussies en het delen van ervaringen en inzichten vanuit de aanwezigen.
Noodzaak en maatschappelijke plicht
Susanne Zuurendonk, directeur bij CACI, trapte de middag af door alle experts van de verschillende onderwijsinstellingen van harte welkom te heten. Vervolgens deelde ze haar eigen ervaringen van de afgelopen maanden. “Als directeur van CACI heb ik het voorrecht gehad om mij te verdiepen in de complexe wereld van gegevensbescherming. De DPIA-reis heeft mijn ogen geopend voor de cruciale rol die privacy speelt in deze tijd en heeft me doen inzien hoe essentieel het is om proactieve maatregelen te nemen voor de bescherming van onze gegevens.”
Ik zie het als onze maatschappelijke plicht om bij te dragen aan privacy en security en er een proactieve rol in te hebben.
Susanne Zuurendonk, directeur CACI
Daarnaast gaf Susanne ook aan welke rol CACI volgens haar speelt in het domein van dataprivacy. “Ik zie het niet alleen als noodzaak om aan de wettelijke verplichtingen te voldoen. Ik zie het als onze maatschappelijke plicht om hieraan bij te dragen en er een proactieve rol in te hebben. CACI heeft daarom het afgelopen jaar enorm ingezet op privacy. We hebben veel geïnvesteerd in professionele expertise van buitenaf, opbouw van kennis en kunde intern en bewustwording bij alle CACI-collega’s. We nemen dit proactief mee bij de bouw van de OSIRIS-software, het leveren van onze dienstverlening, onze interne processen en uiteraard bij implementaties van OSIRIS bij onze nieuwe klanten.”
Doel van het DPIA
Na het welkomstwoord nam Haykush Hakobyan, Privacy Lead bij Cuccibu, de aanwezigen mee in het doel en de uitvoering van het DPIA. Als onafhankelijke partij voerde Cuccibu tussen september 2023 en april 2024 het assessment uit. “Een DPIA is een belangrijk instrument om privacyrisico’s in kaart te brengen bij het verwerken van persoonsgegevens. Het assessment is uitgevoerd door relevante documentatie te analyseren, belanghebbenden te interviewen en mee te kijken in een dummy-omgeving van OSIRIS. We hebben gekeken naar hoe OSIRIS ervoor zorgt dat gegevens veilig zijn, dat er goed mee wordt omgegaan en welke maatregelen genomen worden om dat te bewerkstelligen. Vervolgens ben ik tot een rapportage gekomen met aanbevelingen. Deze toetsen we aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG) en andere relevante wet- en regelgeving. In dit geval hebben we daarnaast ook gekeken naar informatiebeveiliging en security.”
Ik heb bij CACI ervaren dat gegevensbescherming serieuze aandacht krijgt en het bewustzijn in de organisatie is hoog.
Haykush Hakobyan, Privacy Lead bij Cuccibu
Haykush benadrukte dat ze zeer tevreden is over het verloop en de uitkomsten van het DPIA. “Ik heb bij CACI ervaren dat gegevensbescherming serieuze aandacht krijgt. Vanuit de directie is er commitment, de basisdocumentatie is op orde en zaken, belangrijke functies zijn ingevuld en het bewustzijn in de organisatie is hoog. Bovendien werden tijdens het uitvoeren van het DPIA zaken al proactief aangepakt. Dat toont aan hoe serieus CACI gegevensbescherming neemt.” Tot slot deelde Haykush de uitkomsten en aanbevelingen uit het assessment die van toepassing zijn op CACI, het product Osiris en onderwijsinstellingen. Allemaal met als doel om ervoor te zorgen dat onderwijsinstellingen straks zelf eenvoudiger een DPIA uit kunnen laten voeren op OSIRIS. “We hebben bij dit DPIA niet gekeken naar de specifieke functionele inrichting en gebruik van OSIRIS bij onderwijsinstellingen. Dat zullen de onderwijsinstellingen echt individueel moeten doen in een eigen DPIA. Samen met het DPIA van CACI ontstaat dan een compleet beeld.”
Iteratief proces
Na een korte pauze was het woord aan Jacco Zwarst, Coördinator Privacy, Security en Kwaliteit bij CACI. Hij benadrukte dat CACI met dit DPIA een belangrijke stap zet in het streven naar het continu verbeteren van de gegevensbescherming. “We zien dat onderwijsinstellingen grote stappen zetten op het gebied van privacy en security. Met grondige analyses en actieve betrokkenheid bij privacykwesties willen we graag een voorbeeld zijn en onze best practices delen op het gebied van gegevensbescherming. We willen graag open en transparant zijn over hoe wij binnen OSIRIS omgaan met persoonlijke gegevens en welke mogelijkheden we jullie bieden op het gebied van dataprivacy”, aldus Jacco.
Daarna gaf hij een korte update over de stand van zaken en de roadmap naar aanleiding van het DPIA. “Uit het assessment zijn 22 aanbevelingen en 68 mitigerende maatregelen gekomen. Uiteraard pakken we eerst de zaken op die een hogere prioriteit hebben en de eventuele quick wins. Uiteindelijk willen we op termijn alle maatregelen hebben ingevoerd en daarna weer opnieuw evalueren. We zien het als een iteratief proces en bij het volgende DPIA komen we ongetwijfeld weer nieuwe zaken tegen. Belangrijk is dat we de vinger aan de pols houden en alle onderwijsinstellingen daarin meenemen. Samenwerking op dit gebied is wat ons betreft cruciaal!”
Afgelopen jaar is, naast dit DPIA dat CACI heeft laten uitvoeren, ook een DPIA uitgevoerd door Privacy Company in opdracht van vijf hogescholen. In dat DPIA-rapport zijn 29 maatregelen geadviseerd om risico’s te beperken, waarvan tien betrekking hebben op CACI. Van deze tien maatregelen heeft CACI er acht reeds doorgevoerd. De overige twee maatregelen kunnen alleen worden doorgevoerd in nauwe samenwerking met de Osiris-instellingen. De opvolging van maatregelen uit beide DPIA’s vindt plaats in nauw overleg met het Osiris Strategisch Overleg (hoger onderwijs) en Osiris Directie Overleg (middelbaar beroepsonderwijs).
‘Wisselwerking medium voor succes’
Kees Codée, die de instellingen onder de Radiantgroep vertegenwoordigt, antwoordde positief op de vraag of het seminar als waardevol was ervaren: “Ik ervaar het als erg prettig dat CACI open en transparant communiceert. Het is goed om te horen en te zien dat ze bezig zijn om verbeteringen door te voeren op het gebied van gegevensbescherming. Natuurlijk zijn we als onderwijsinstellingen kritisch, maar ik heb het gevoel dat er goed naar ons wordt geluisterd. Wat ik vooral krachtig vond was dat er uit het assessment niet alleen verbeteringen naar voren kwamen voor CACI, maar ook voor ons als onderwijsinstellingen. Want wij als klanten moeten onze spullen ook op orde hebben. Uiteindelijk is de wisselwerking tussen CACI en de onderwijsinstellingen het medium voor succes.”