Waarover gaat de GDPR?

Waar draait het om? Welke zijn de belangrijkste begrippen en uitgangspunten? Waar moet je als onderwijsinstelling rekening mee houden?

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Vaak gebruikt men hiervoor ook de Engelse term GDPR (General Data Protection Regulation), maar het gaat over dezelfde Europese wetgeving. Deze wetgeving regelt hoe persoonsgegevens op een correcte manier verwerkt moeten worden. Ook onderwijsinstellingen moeten aan deze wetgeving voldoen. In dit themadeel staan de hoofdlijnen in van deze wetgeving, specifiek toegepast voor onderwijs. Als je daarna het stappenplan volgt, zul je al een heel eind gevorderd zijn om deze wetgeving op school goed te implementeren.

Een verordening…

sla link op in klembord

Kopieer

De AVG is een Europese verordening, kort gezegd éénzelfde wetgeving die in alle lidstaten van Europa van toepassing is. Het eerste artikel bevat de kern van deze hele wetgeving:

Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens ...

Wat zijn persoonsgegevens?

sla link op in klembord

Kopieer

De term Persoonsgegevens omvat alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon. Versta hieronder alle informatie waardoor je een leerling, cursist, intern, personeelslid … direct of indirect kunt identificeren. Het gaat dus niet alleen om een naam, adresgegevens, stamboeknummer of foto, maar kan ook gaan over locatiegegevens van een mobiel toestel die je gaat verzamelen of cookies die gebruikt worden op de website van de onderwijsinstelling … In de AVG wordt de persoon van wie je gegevens verwerkt aangeduid met de term 'betrokkene'.

Sommige persoonsgegevens zijn heel speciaal en mag je enkel maar verwerken mits speciale voorwaarden. Het gaat concreet om volgende persoonsgegevens:

  • ras of etnische afkomst;
  • politieke opvattingen;
  • religieuze of levensbeschouwelijke overtuigingen;
  • lidmaatschap van een vakbond blijken;
  • verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon;
  • gegevens over gezondheid;
  • gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

In een onderwijsinstelling verwerk je zeker gezondheidsgegevens. Dit om de betrokkene te kunnen helpen in noodsituaties (vb. bij diabetes of epilepsie) of extra zorg te kunnen geven (dyslexie …) daarnaast verwerk je ook indirect gegevens van de religieuze overtuiging (wie is afwezig op het offerfeest) en soms ook ras of ethnische herkomst (land van herkomst bij cursisten NT2). Wees dus extra alert bij het verwerken van deze gegevens.

Verwerkingen

sla link op in klembord

Kopieer

De AVG is van kracht op verwerkingen van persoonsgegevens. Maar wat valt er onder de noemer 'verwerkingen'? Verwerkingen zijn alle bewerkingen die je met persoonsgegevens doet en dit vanaf het moment dat je de gegevens gaat verzamelen tot en met het verwijderen of archiveren van deze gegevens. Het omvat dus bijvoorbeeld het bewaren, het raadplegen, wijzigen combineren en delen van de gegevens. Kortom alles wat je met persoonsgegevens doet binnen de schoolcontext valt onder de wetgeving. Een aantal voorbeelden die zeker in onderwijsinstellingen voorkomen:

  • inschrijven van de leerling in het schooladministratiesysteem;
  • opstellen van de klaslijsten;
  • registreren van leerlingen die in de refter aanwezig zijn;
  • bijhouden van een dossier in een leerlingvolgsysteem;
  • delen van leerlinggegevens met CLB en ondersteuningsnetwerk;
  • uitwisselen van cursistengegevens met diensten van het departement onderwijs;
  • aanleggen en bewaren van evaluatiegegevens van personeelsleden in een personeelsdossier;
  • archiveren van sollicitatiebrieven in een map;
  • controleren van het aantal unieke bezoekers op je website.

Basisprincipes van de AVG

sla link op in klembord

Kopieer

Nu je weet wat persoonsgegevens zijn en wat de wet met de term verwerking bedoeld, komt het belangrijkste van de AVG: hoe moet je nu als onderwijsinstelling deze persoonsgegevens verwerken. Met andere woorden wat zijn de regels waaraan je je moet houden om persoonsgegevens te verwerken. De verordening heeft de volgende basisprincipes vastgelegd waaraan iedere verwerking moet voldoen:

  • rechtmatige en transparante verwerking
  • doelgericht
  • minimale gegevensverwerking
  • juistheid
  • opslagbeperking
  • integriteit en vertrouwelijkheid

Daarnaast moet het bestuur van de instelling kunnen aantonen dat ze persoonsgegevens verwerkt volgens deze principes. Het schoolbestuur zal bijna altijd de eindverantwoordelijkheid dragen. In de AVG wordt diegene die de verantwoordelijkheid draagt aangeduid met de term 'verwerkingsverantwoordelijke'.

Rechtmatige en transparante verwerking

sla link op in klembord

Kopieer

De AVG stelt dat persoonsgegevens moeten verwerkt worden op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk, eerlijk en transparant is. Persoonsgegevens mag je dus niet zomaar verwerken er moet volgens dit principe minstens een rechtmatigheid zijn. Dit wil zeggen dat de onderwijsinstelling enkel persoonsgegevens mag verwerken als ze aan minstens aan een van de volgende voorwaarden voldoet:

  • de verwerking is noodzakelijk voor de uitvoering van een overeenkomst;
    • ouders schrijven de leerling in in de school en je moet de ouders kunnen contacteren. Daarom is het noodzakelijk om ook de contactgegevens van de ouders te vragen;
  • de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
    • in decreet basisonderwijs en codex secundair onderwijs legt de school een aantal wettelijke verplichtingen op onder andere rond leerlingenbegeleiding;
    • in dezelfde decreten staat ook dat scholen extra middelen kunnen krijgen op basis van het opleidingsniveau van de moeder. Vandaar dat je ook deze gegevens kunt vragen;
  • de betrokkene heeft toestemming gegeven;
    • indien de betrokkene toestemming geeft om bepaalde persoonsgegevens te verwerken, mag je die ook verwerken. Let wel op vooraleer je toestemming mag vragen moet de betrokkene goed geïnformeerd zijn, de toestemming moet vrij gegeven kunnen worden. De betrokkene moet dit doen door een ondubbelzinnige actieve handeling of verklaring. De verwerkingsverantwoordelijke kan aantonen dat er toestemming gegeven is;
    • een voorbeeld waarbij toestemming gevraagd moet worden is het gebruik van beeldmateriaal van leerlingen op de website van de instelling, of het gebruik van alle niet-noodzakelijke cookies op de website van de school.

Daarnaast moet je ook transparant zijn naar de betrokken toe. Je kunt dit doen door een privacyverklaring op de schoolwebsite te plaatsen waarin je duidelijk zegt welke gegevens je gebruikt en waarvoor. Dit is ook meteen de eerste stap in het voorgestelde stappenplan: een privacyverklaring waarin je zegt welke persoonsgegevens je gaat verzamelen, wat je ermee gaat doen, hoe lang je ze gaat bijhouden, wie de verantwoordelijke is en welke rechten de betrokkene heeft.

Doelgericht

sla link op in klembord

Kopieer

Dit principe wordt ook wel eens het finaliteitsprincipe genoemd. Persoonsgegevens mogen enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.

Je verwerkt bij de leerlingenadministratie ook de mailadressen van de ouders. Het is niet omdat je deze adressen hebt, dat je die zomaar kunt doorgeven aan bijvoorbeeld een handelaar vlakbij de school omdat die een interessante aanbieding wil promoten.

Wel zou je in bepaalde gevallen deze mailadressen kunnen doorgeven aan het CLB, omdat het CLB de ouders moet kunnen contacteren en er in de onderwijswetgeving staat dat scholen actief moeten meewerken bij het organiseren van systematische contactmomenten met het CLB.

Minimale gegevensverwerking

sla link op in klembord

Kopieer

Het proportionaliteitsprincipe: persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

Vraag niet meer gegevens op dan deze die noodzakelijk zijn voor het doel waarvoor je gegevens nodig hebt. Bij een inschrijving is het dus niet noodzakelijk dat ouders hun beroep of geboortedatum moeten opgeven om hun kind te kunnen inschrijven. Onder het motto less is more noteer je enkel deze gegevens die je echt nodig hebt om een leerling goed te kunnen begeleiden.

Juistheid

sla link op in klembord

Kopieer

Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Bijvoorbeeld als een cursist een adreswijziging komt melden, moet je het oude adres aanpassen.

Let zeker op welke informatie leerkrachten, leerlingbegeleiders in het leerlingvolgsysteem gaan noteren. Betrokkenen hebben immers recht op informatie en inzage in hun eigen dossier.

Opslagbeperking

sla link op in klembord

Kopieer

Bewaar persoonsgegevens niet langer dan noodzakelijk! Je zult dus op school periodiek bepaalde gegevens moeten wissen. Denk maar aan de informatie die in het leerlingenvolgsysteem zit. Indien de leerling de school verlaten heeft, heb je dat stuk informatie immers niet meer nodig.

Op bepaalde persoonsgegevens staat een wettelijke bewaartermijn, die gegevens mag je dus niet verwijderen. Na het verstrijken van deze wettelijke minimale bewaartermijn heb je de gegevens meestal niet meer nodig en indien er geen andere rechtsgrond is om ze te nog verder te bewaren kan je ze ook best vernietigen of archiveren.

Integriteit en vertrouwelijkheid

sla link op in klembord

Kopieer

Door het nemen van passende technische of organisatorische maatregelen moet je de persoonsgegevens op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is zegt de AVG. Verder moeten de gegevens onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Onder de technische maatregelen verstaan we onder meer de beveiliging van de computersystemen door bijvoorbeeld encryptie van gegevens of door het werken met pseudoniemen. Ook de manier van aanmelden om toegang te krijgen tot persoonsgegevens is een technische maatregel die je moet nemen.

Daarnaast moet je ook organisatorische maatregelen nemen zoals het opstellen van privacy en security policies, sensibilisering en opleiding van werknemers, juiste contracten afsluiten zowel met werknemers als met firma’s die in jouw opdracht persoonsgegevens verwerken.

×
Kijkt als...
Niveau
Regio