Waar draait het om? Welke zijn de belangrijkste begrippen en uitgangspunten? Waar moet je als onderwijsinstelling rekening mee houden?
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Vaak gebruikt men hiervoor ook de Engelse term GDPR (General Data Protection Regulation), maar het gaat over dezelfde Europese wetgeving. Deze wetgeving regelt hoe persoonsgegevens op een correcte manier verwerkt moeten worden. Ook onderwijsinstellingen moeten aan deze wetgeving voldoen. In dit themadeel staan de hoofdlijnen in van deze wetgeving, specifiek toegepast voor onderwijs. Als je daarna het stappenplan volgt, zul je al een heel eind gevorderd zijn om deze wetgeving op school goed te implementeren.
De AVG is een Europese verordening, kort gezegd éénzelfde wetgeving die in alle lidstaten van Europa van toepassing is. Het eerste artikel bevat de kern van deze hele wetgeving:
Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens ...
De term Persoonsgegevens omvat alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon. Versta hieronder alle informatie waardoor je een leerling, cursist, intern, personeelslid … direct of indirect kunt identificeren. Het gaat dus niet alleen om een naam, adresgegevens, stamboeknummer of foto, maar kan ook gaan over locatiegegevens van een mobiel toestel die je gaat verzamelen of cookies die gebruikt worden op de website van de onderwijsinstelling … In de AVG wordt de persoon van wie je gegevens verwerkt aangeduid met de term 'betrokkene'.
Sommige persoonsgegevens zijn heel speciaal en mag je enkel maar verwerken mits speciale voorwaarden. Het gaat concreet om volgende persoonsgegevens:
In een onderwijsinstelling verwerk je zeker gezondheidsgegevens. Dit om de betrokkene te kunnen helpen in noodsituaties (vb. bij diabetes of epilepsie) of extra zorg te kunnen geven (dyslexie …) daarnaast verwerk je ook indirect gegevens van de religieuze overtuiging (wie is afwezig op het offerfeest) en soms ook ras of ethnische herkomst (land van herkomst bij cursisten NT2). Wees dus extra alert bij het verwerken van deze gegevens.
De AVG is van kracht op verwerkingen van persoonsgegevens. Maar wat valt er onder de noemer 'verwerkingen'? Verwerkingen zijn alle bewerkingen die je met persoonsgegevens doet en dit vanaf het moment dat je de gegevens gaat verzamelen tot en met het verwijderen of archiveren van deze gegevens. Het omvat dus bijvoorbeeld het bewaren, het raadplegen, wijzigen combineren en delen van de gegevens. Kortom alles wat je met persoonsgegevens doet binnen de schoolcontext valt onder de wetgeving. Een aantal voorbeelden die zeker in onderwijsinstellingen voorkomen:
Nu je weet wat persoonsgegevens zijn en wat de wet met de term verwerking bedoeld, komt het belangrijkste van de AVG: hoe moet je nu als onderwijsinstelling deze persoonsgegevens verwerken. Met andere woorden wat zijn de regels waaraan je je moet houden om persoonsgegevens te verwerken. De verordening heeft de volgende basisprincipes vastgelegd waaraan iedere verwerking moet voldoen:
Daarnaast moet het bestuur van de instelling kunnen aantonen dat ze persoonsgegevens verwerkt volgens deze principes. Het schoolbestuur zal bijna altijd de eindverantwoordelijkheid dragen. In de AVG wordt diegene die de verantwoordelijkheid draagt aangeduid met de term 'verwerkingsverantwoordelijke'.
De AVG stelt dat persoonsgegevens moeten verwerkt worden op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk, eerlijk en transparant is. Persoonsgegevens mag je dus niet zomaar verwerken er moet volgens dit principe minstens een rechtmatigheid zijn. Dit wil zeggen dat de onderwijsinstelling enkel persoonsgegevens mag verwerken als ze aan minstens aan een van de volgende voorwaarden voldoet:
Daarnaast moet je ook transparant zijn naar de betrokken toe. Je kunt dit doen door een privacyverklaring op de schoolwebsite te plaatsen waarin je duidelijk zegt welke gegevens je gebruikt en waarvoor. Dit is ook meteen de eerste stap in het voorgestelde stappenplan: een privacyverklaring waarin je zegt welke persoonsgegevens je gaat verzamelen, wat je ermee gaat doen, hoe lang je ze gaat bijhouden, wie de verantwoordelijke is en welke rechten de betrokkene heeft.
Dit principe wordt ook wel eens het finaliteitsprincipe genoemd. Persoonsgegevens mogen enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.
Je verwerkt bij de leerlingenadministratie ook de mailadressen van de ouders. Het is niet omdat je deze adressen hebt, dat je die zomaar kunt doorgeven aan bijvoorbeeld een handelaar vlakbij de school omdat die een interessante aanbieding wil promoten.
Wel zou je in bepaalde gevallen deze mailadressen kunnen doorgeven aan het CLB, omdat het CLB de ouders moet kunnen contacteren en er in de onderwijswetgeving staat dat scholen actief moeten meewerken bij het organiseren van systematische contactmomenten met het CLB.
Het proportionaliteitsprincipe: persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Vraag niet meer gegevens op dan deze die noodzakelijk zijn voor het doel waarvoor je gegevens nodig hebt. Bij een inschrijving is het dus niet noodzakelijk dat ouders hun beroep of geboortedatum moeten opgeven om hun kind te kunnen inschrijven. Onder het motto less is more noteer je enkel deze gegevens die je echt nodig hebt om een leerling goed te kunnen begeleiden.
Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Bijvoorbeeld als een cursist een adreswijziging komt melden, moet je het oude adres aanpassen.
Let zeker op welke informatie leerkrachten, leerlingbegeleiders in het leerlingvolgsysteem gaan noteren. Betrokkenen hebben immers recht op informatie en inzage in hun eigen dossier.
Bewaar persoonsgegevens niet langer dan noodzakelijk! Je zult dus op school periodiek bepaalde gegevens moeten wissen. Denk maar aan de informatie die in het leerlingenvolgsysteem zit. Indien de leerling de school verlaten heeft, heb je dat stuk informatie immers niet meer nodig.
Op bepaalde persoonsgegevens staat een wettelijke bewaartermijn, die gegevens mag je dus niet verwijderen. Na het verstrijken van deze wettelijke minimale bewaartermijn heb je de gegevens meestal niet meer nodig en indien er geen andere rechtsgrond is om ze te nog verder te bewaren kan je ze ook best vernietigen of archiveren.
Door het nemen van passende technische of organisatorische maatregelen moet je de persoonsgegevens op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is zegt de AVG. Verder moeten de gegevens onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Onder de technische maatregelen verstaan we onder meer de beveiliging van de computersystemen door bijvoorbeeld encryptie van gegevens of door het werken met pseudoniemen. Ook de manier van aanmelden om toegang te krijgen tot persoonsgegevens is een technische maatregel die je moet nemen.
Daarnaast moet je ook organisatorische maatregelen nemen zoals het opstellen van privacy en security policies, sensibilisering en opleiding van werknemers, juiste contracten afsluiten zowel met werknemers als met firma’s die in jouw opdracht persoonsgegevens verwerken.
