Rollen

De verordening binnen de schoolcontext kent een aantal rollen: er is een betrokkene, verwerkingsverantwoordelijke, verwerker, aanspreekpunt informatieveiligheid (niet te verwarren met een "functionaris voor gegevensbescherming" of "DPO") en er is een toezichthoudende autoriteit.

De betrokkene

De betrokkene is de persoon over wie de persoonsgegevens gaan. In het onderwijs verwerken we hoofdzakelijk persoonsgegevens over (oud)-leerlingen/studenten, ouders en personeelsleden.  De AVG geeft de betrokkene een aantal specifieke rechten die hij kan uitoefenen. De betrokkene moet die rechten zonder belemmering of opgave van reden kunnen uitvoeren.

Indien de betrokken jonger is dan 16 jaar oefenen de ouders/voogd deze rechten uit. (de Belgische wetgever kan deze leeftijd nog verlagen tot minimaal 13 jaar) 

De verwerkingsverantwoordelijke

De AVG stelt dat de verwerkingsverantwoordelijke "een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan is die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt".
Het gaat hier om de persoon of instantie die formeel en juridisch het initiatief neemt tot het verzamelen van persoonsgegevens. In onderwijscontext is het het schoolbestuur of centrumbestuur (of de inrichtende macht) die in de zin van de AVG de 'verwerkingsverantwoordelijke' is.

Het uitgangspunt van de AVG is dat de verwerkingsverantwoordelijke eindverantwoordelijke is voor de verwerking van de gegevens van de betrokkene. Hij stelt vast welke persoonsgegevens er verwerkt worden en wat het doel van die verwerking is.

De verordening  stelt een aantal regels vast waaraan de verwerkingsverantwoordelijke (het schoolbestuur dus) moet voldoen als ze persoonsgegevens gaat verwerken.  De AVG stelt ook dat de verwerkingsverantwoordelijke moet kunnen aantonen dat een verwerking aan de beginselen van verwerking voldoet.

Het is dus aan het schoolbestuur om goed na te denken over hoe op school persoonsgegevens worden verwerkt en beschermd en deze volgens de nieuwe regels te gaan verwerken.

De verwerker

De verwerker verwerkt de persoonsgegevens in opdracht van de verwerkingsverantwoordelijke. In het onderwijs doen wij vaak beroep op verwerkers: dit zijn de leveranciers van het leerlingenadministratiesysteem, een leerlingenvolgsysteem of een aanbieder van (digitale) leermiddelen. Die verwerker handelt in opdracht van de verwerkingsverantwoordelijke en mag alleen verwerkingen doen waarvoor hij uitdrukkelijk opdracht van de verwerkingsverantwoordelijke krijgt.

Personeelsleden die door de verwerkingsverantwoordelijke tewerkgesteld worden, worden niet tot de categorie van de ‘verwerkers’ gerekend. De school dient met de leverancier afspraken te maken over wat er met de persoonsgegevens gedaan mag worden en de leverancier moet zich daaraan houden. Deze afpraken komen te staan in een verwerkersovereenkomst. De leverancier mag bijvoorbeeld niet op eigen initiatief aan een ouder aanbiedingen doen op basis van leerlingengegevens of mag die leerlingengegevens op eigen initiatief niet aan een andere leverancier doorgeven. 

Ook de verwerkers moeten zich aan de verordening houden en afdoende garanties kunnen bieden om de privacy van de betrokkenen te waarborgen.

 

 

Het aanspreekpunt informatieveiligheid 

AIV

De school zal een aantal taken en verantwoordelijkheden moeten opnemen. Katholiek Onderwijs Vlaanderen heeft een plan ontwikkeld voor scholen rond informatieveiligheid en privacy. Om dat plan te doen slagen, is het noodzakelijk dat er per school, scholengemeenschap of schoolbestuur een ‘aanspreekpunt informatieveiligheid’ wordt aangesteld.

Dat aanspreekpunt informatieveiligheid is een personeelslid dat voldoende affiniteit heeft met ICT en met de verwerking van persoonsgegevens, maar niet noodzakelijk een ICT-opleiding gehad heeft. Het aanspreekpunt treedt onder andere op als contactpersoon voor de "data protection officer" van Katholiek Onderwijs Vlaanderen. Hij helpt ook mee aan het bewustmakingsproces over informatieveiligheid in de onderwijsinstelling(en) en hij is het eerste aanspreekpunt voor datalekken. Hij moet het schoolbestuur adviseren over de procedures voor het melden van een datalek. 

Katholiek Onderwijs Vlaanderen heeft het engagement op zich genomen om die aanspreekpunten informatieveiligheid op te leiden, zodat de school en het schoolbestuur een goed werkend informatieveiligheid- en privacybeleid kunnen voeren en zo kunnen voldoen aan de vernieuwde privacywetgeving.

 

De toezichthoudende autoriteit 

De toezichthoudende autoriteit is een door een lidstaat ingestelde onafhankelijke overheidsinstantie. Elke toezichthoudende autoriteit moet erop toezien dat de privacy bij de verwerking van persoonsgegevens wordt geëerbiedigd. Ze heeft ook de bevoegdheid tot het nemen van corrigerende maatregelen en een aantal onderzoeksbevoegdheden (zie infographic 'toezichthoudende autoriteit').

In België is de toezichthoudende autoriteit de Commissie voor de bescherming van de persoonlijke levenssfeer (kortweg de Privacycommissie). Er is een wetsontwerp hangende om de Privacycommissie te hervormen tot een nieuwe Gegevensbeschermingsautoriteit (GBA).