Het AIV betrekt iedereen in het bewustmakingsproces. Personeelsleden moeten beseffen dat ze elke dag met persoonsgegevens in aanraking komen:

• foto’s van het laatste eetfeest;
• de website;
• cv’s;
• leerlingenvolgsystemen;
• verslagen van evaluaties;
• e-mails;
• alle mogelijke lijsten;
• logbestanden …

Ze weten ook hoe ze de risico’s beperken, bijvoorbeeld door:

• deuren te sluiten;
• zorgvuldig om te gaan met persoonsgegevens op papier;
• geen phishing-mails te openen;
• beveiligingsincidenten te melden;
• uit te loggen op de computers …

Het AIV, directie, schoolbestuur ... informeert de personeelsleden over de GDPR. Wat wel kan en wat niet kan.

De geautoriseerde toezichthouders brengen regelmatig aanbevelingen, richtlijnen en adviezen uit. De DPO van de onderwijskoepel brengt de onderwijsinstellingen hiervan op de hoogte die ze op hun beurt kunnen meedelen aan de personeelsleden.

Elke verwerking met persoonsgegevens moet voldoen aan een aantal beginselen. Het schoolbestuur moet ook gepaste beveiligingsmaatregelen treffen. Opleidingen en trainingen helpen de personeelsleden correct om te gaan met de GDPR.

De onderwijsinstelling en het schoolbestuur kan best alle datastromen en de hoeveelheid persoonsgegevens in kaart brengen. Dan kun je per onderdeel een verantwoordelijke aanduiden. Deze informatie komt ook van pas bij het register van verwerkingsactiviteiten. Voorbeelden van zulke onderdelen zijn bijvoorbeeld foto’s, camerabeelden en gevoelige medische persoonsgegevens.

Artikel 5 van de GDPR-verordening omschrijft het regelgevend kader om persoonsgegevens van een betrokkene zo goed mogelijk te beschermen:

• Voor welk doel gebruik je de personeelsgegevens, welke gegevens heb je hier strikt noodzakelijk voor nodig , zomaar persoonlijke informatie verzamelen zonder doelbinding mag niet. Denk ook aan data van minderjarigen.
• Zich bewust zijn van de wettelijke grond om de data te verwerken en hoe veilig je die verwerkt, verzamelt, bijhoudt, opslaat, wist, of laat vernietigen. Met andere woorden is er toestemming nodig of is er een wettelijke verplichting of zijn de gegevens aantoonbaar noodzakelijk voor een dienstverlening, een rechtszaak, een politieonderzoek, of in het kader van een algemeen belang.
• Het beschikbaarheid, integriteit en vertrouwelijkheid-principe (BIV):
  • Vertrouwelijkheid: personeelsleden dienen er dus ook voor te zorgen dat ze de nodige geheimhouding inzake persoonsgegevens naleven en zorg dragen over de veiligheid en het niet zomaar publiek verspreiden of doorgeven van die gegevens.
  • Integriteit: de data mag niet zomaar geraadpleegd, gewijzigd of gewist worden. Laat staan valselijk bekomen of gewijzigd.
  • Beschikbaarheid: ICT maatregelen als back-ups, disaster recovery plan… het beletten dat data ongewenst zou verloren gaan of niet beschikbaar zou zijn op een ogenblik waarop ze nodig is. Bijvoorbeeld een verloren USB stick met examenpunten.
• Transparant zijn over de persoonsgegevens die je in de onderwijsinstelling bijhoudt en verwerkt. Bijvoorbeeld transparant zijn over de data in het leerlingvolgsysteem.
• De rechten van de betrokken vrijwaren.
• Als personeelslid GDPR bewust werken.
• De personeelsleden melden beveiligingsincidenten bij het aanspreekpunt informatieveiligheid …