De AVG stelt dat persoonsgegevens moeten verwerkt worden op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk, eerlijk en transparant is. Persoonsgegevens mag je dus niet zomaar verwerken er moet volgens dit principe minstens een rechtmatigheid zijn. Dit wil zeggen dat de onderwijsinstelling enkel persoonsgegevens mag verwerken als ze aan minstens aan een van de volgende voorwaarden voldoet:

• de verwerking is noodzakelijk voor de uitvoering van een overeenkomst;
  • ouders schrijven de leerling in in de school en je moet de ouders kunnen contacteren. Daarom is het noodzakelijk om ook de contactgegevens van de ouders te vragen;
• de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • in decreet basisonderwijs en codex secundair onderwijs legt de school een aantal wettelijke verplichtingen op onder andere rond leerlingenbegeleiding;
  • in dezelfde decreten staat ook dat scholen extra middelen kunnen krijgen op basis van het opleidingsniveau van de moeder. Vandaar dat je ook deze gegevens kunt vragen;
• de betrokkene heeft toestemming gegeven;
  • indien de betrokkene toestemming geeft om bepaalde persoonsgegevens te verwerken, mag je die ook verwerken. Let wel op vooraleer je toestemming mag vragen moet de betrokkene goed geïnformeerd zijn, de toestemming moet vrij gegeven kunnen worden. De betrokkene moet dit doen door een ondubbelzinnige actieve handeling of verklaring. De verwerkingsverantwoordelijke kan aantonen dat er toestemming gegeven is;
  • een voorbeeld waarbij toestemming gevraagd moet worden is het gebruik van beeldmateriaal van leerlingen op de website van de instelling, of het gebruik van alle niet-noodzakelijke cookies op de website van de school.

Daarnaast moet je ook transparant zijn naar de betrokken toe. Je kunt dit doen door een privacyverklaring op de schoolwebsite te plaatsen waarin je duidelijk zegt welke gegevens je gebruikt en waarvoor. Dit is ook meteen de eerste stap in het voorgestelde stappenplan: een privacyverklaring waarin je zegt welke persoonsgegevens je gaat verzamelen, wat je ermee gaat doen, hoe lang je ze gaat bijhouden, wie de verantwoordelijke is en welke rechten de betrokkene heeft.

Dit principe wordt ook wel eens het finaliteitsprincipe genoemd. Persoonsgegevens mogen enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.

Je verwerkt bij de leerlingenadministratie ook de mailadressen van de ouders. Het is niet omdat je deze adressen hebt, dat je die zomaar kunt doorgeven aan bijvoorbeeld een handelaar vlakbij de school omdat die een interessante aanbieding wil promoten.

Wel zou je in bepaalde gevallen deze mailadressen kunnen doorgeven aan het CLB, omdat het CLB de ouders moet kunnen contacteren en er in de onderwijswetgeving staat dat scholen actief moeten meewerken bij het organiseren van systematische contactmomenten met het CLB.

Het proportionaliteitsprincipe: persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

Vraag niet meer gegevens op dan deze die noodzakelijk zijn voor het doel waarvoor je gegevens nodig hebt. Bij een inschrijving is het dus niet noodzakelijk dat ouders hun beroep of geboortedatum moeten opgeven om hun kind te kunnen inschrijven. Onder het motto less is more noteer je enkel deze gegevens die je echt nodig hebt om een leerling goed te kunnen begeleiden.

Persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Bijvoorbeeld als een cursist een adreswijziging komt melden, moet je het oude adres aanpassen.

Let zeker op welke informatie leerkrachten, leerlingbegeleiders in het leerlingvolgsysteem gaan noteren. Betrokkenen hebben immers recht op informatie en inzage in hun eigen dossier.

Bewaar persoonsgegevens niet langer dan noodzakelijk! Je zult dus op school periodiek bepaalde gegevens moeten wissen. Denk maar aan de informatie die in het leerlingenvolgsysteem zit. Indien de leerling de school verlaten heeft, heb je dat stuk informatie immers niet meer nodig.

Op bepaalde persoonsgegevens staat een wettelijke bewaartermijn, die gegevens mag je dus niet verwijderen. Na het verstrijken van deze wettelijke minimale bewaartermijn heb je de gegevens meestal niet meer nodig en indien er geen andere rechtsgrond is om ze te nog verder te bewaren kan je ze ook best vernietigen of archiveren.

Door het nemen van passende technische of organisatorische maatregelen moet je de persoonsgegevens op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is zegt de AVG. Verder moeten de gegevens onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Onder de technische maatregelen verstaan we onder meer de beveiliging van de computersystemen door bijvoorbeeld encryptie van gegevens of door het werken met pseudoniemen. Ook de manier van aanmelden om toegang te krijgen tot persoonsgegevens is een technische maatregel die je moet nemen.

Daarnaast moet je ook organisatorische maatregelen nemen zoals het opstellen van privacy en security policies, sensibilisering en opleiding van werknemers, juiste contracten afsluiten zowel met werknemers als met firma’s die in jouw opdracht persoonsgegevens verwerken.