Mediawijs.be

Ook in het onderwijs moeten de schooldirectie en leerkrachten de privacy van elke leerling beschermen en dus aan de nieuwe privacywet voldoen. Maar hoe doe je dit? En waarop moet je letten als school? Volg deze 7 stappen:

#1 Informeer en sensibiliseer

Organiseer één of meerdere bewustmakingsmomenten (in klas, op de ouderraad, personeelsvergaderingen ...), zodanig dat iedereen op school op de hoogte is van de nieuwe regelgeving. Opgelet ! Pas ook eigen reglementen of beleidsdocumenten op school aan, vb. het schoolreglement, het communicatie- en/of mediabeleid.

#2 Verantwoordelijke aanduiden

Deze persoon zorgt er mee voor dat de school als organisatie voldoet aan de nieuwe regelgeving. * Voor gemeentelijk/provinciaal onderwijs neemt de informatieveiligheidsconsulent of DPO (Data Protection Officer) van de gemeente/provincie deze taak op zich.

#3 Modelregister gebruiken

De onderwijsverstrekkers hebben samen een elektronisch modelregister van verwerkingsactiviteiten voor onderwijsinstellingen gemaakt. Als je als school gebruik maakt van dit model, hoef je enkel nog de specifieke eigen gegevensverwerkingen toe te voegen.

Opgelet ! Stel volgende vragen als school:

• Welke persoonsgegevens verwerken we?
• Waarvoor gebruiken we deze?
• Waar en hoelang bewaren we deze gegevens?
• Wie heeft toegang en op welke manier?
• Met welke internen en externen delen we dit?

#4 Check overeenkomst partners

Sommige scholen doen een beroep op externe partijen, zoals bepaalde softwareleveranciers, apps en websites, die persoonsgegevens van de leerlingen bijhouden. Deze contracten moeten scholen conform de nieuwe privacywet herzien.

Wist je dat? Leveranciers kunnen intekenen op de intentieverklaring ‘privacy in onderwijsmiddelen’? Daarmee engageren ze zichzelf om te voldoen aan de nieuwe regelgeving.

#5 Toestemming vragen

Met het modelregister van verwerkingsactiviteiten kan een school controleren of ze extra toestemming van leerlingen of ouders nodig hebben. 

• Checklist voor het vragen van toestemming:
• Gebruik klare taal en geen kleine letters.
• Vermeld waarom je de persoonsgegevens gebruikt en wat ermee zal gebeuren.
• Vermeld hoe anderen de persoonsgegevens kunnen raadplegen of wijzigen.
• Vermeld ook het recht om vergeten te worden.

In sommige gevallen, mag/kan je de informatie van een persoon niet verwijderen omdat het wettelijk niet mag. Neem dit ook op in je tekst. 

• Er moet sprake zijn van een actieve handeling, het vakje mag m.a.w. niet automatisch aangevinkt staan.
• Als de toestemming niet wordt gegeven, mag het geen negatieve gevolgen hebben voor de betrokkene.

#6 Beveiliging ICT-infrastructuur

De plaats of ruimtes waar de persoonsgegevens van de leerlingen zich bevinden, moeten afgesloten kunnen worden, zowel fysiek als digitaal.

#7 Inbreuk melden

Als persoonsgegevens (dreigen) openbaar (te) worden gemaakt, verloren (te) gaan, vernietigd of gewijzigd (te) worden, dan moet dit gemeld worden aan je DPO die binnen de 72 uur de Gegevensbeschermingsautoriteit moet verwittigen. Meld dit ook aan de betrokkenen bij een hoog risico voor de rechten en de vrijheden. Voorzie hiervoor een interne procedure.

Bron: In 7 stappen naar gegevensbescherming in het onderwijs is een brochure waarin staat hoe je als onderwijsinstelling kan voldoen aan de nieuwe AVG privacywet.