GDPR op school

Hoofdstuk 1
Inleiding 13
1.1 Opzet van dit boek 13
1.2 Interessante websites en bronnen 14
1.3 Algemene begrippen 15
1.4 Dankwoord 17

Hoofdstuk 2
De uitrol van de GDPR 19
2.1 Voor de GDPR was er … 19
2.2 Uitrol in Europa 20
2.3 Uitrol in België 22
2.3.1 Gegevensbeschermingsautoriteit 22
2.3.2 GDPR kaderwet 23
2.3.3 Vlaamse toezichtcommissie (VTC) 23
2.4 Uitrol in Vlaamse scholen 24
2.4.1 Zeven stappen 24
2.4.2 DPO versus aanspreekpunt 26
2.4.3 Andere ‘overkoepelende’ initiatieven 27

Hoofdstuk 3
Basisprincipes van de GDPR 29
3.1 Verwerking van persoonsgegevens 29
3.1.1 Wat zijn persoonsgegevens? 29
3.1.2 Wanneer vallen persoonsgegevens niet onder het bereik van de GDPR? 30
3.1.3 Bijzondere categorieën van persoonsgegevens 32
3.1.4 Rijksregisternummer 34
3.1.5 Wat is een verwerking? 35
3.1.6 Persoonlijk en huishoudelijk gebruik 36
3.2 De verschillende rollen 37
3.2.1 Betrokkene en verwerkingsverantwoordelijke 37
3.2.2 Verwerkers 38
3.2.3 Ontvangers en gegevensuitwisseling 39
3.2.4 Rol van de scholengemeenschap 40
3.3 Doelbinding en grondslag 40
3.3.1 Wettelijke verplichting 41
3.3.2 Overeenkomst met de betrokkene 43
3.3.3 Toestemming van de betrokkene 45
3.3.4 Andere grondslagen en gerechtvaardigd belang 46
3.4 Dataminimalisatie en opslagbeperking 48
3.5 Transparantie 49
3.6 Juistheid, integriteit en vertrouwelijkheid 49
3.7 Enkele belangrijke ‘nieuwigheden’ in de GDPR 50
3.7.1 Meldplicht gegevenslekken 50
3.7.2 Sancties 51
3.7.3 Schadevergoeding 52

Hoofdstuk 4
Inschrijvingen en aanwervingen 53
4.1 Wat moet je wel of niet vragen bij het inschrijven? 53
4.1.1 Wel of niet verplicht te verstrekken gegevens 53
4.1.2 Rijksregisternummer en kopie identiteitskaart 54
4.1.3 Volwassenenonderwijs en centra voor basiseducatie 55
4.2 Leerlingengegevens ontvangen van een vorige school en de BaSO-fiche 56
4.3 Direct marketing en leerlingenrekrutering 57
4.4 Sollicitanten en personeelsrekrutering 58
4.5 Informatie verstrekken aan een ‘nieuwe’ betrokkene 59
4.6 Hoe verwerk en beheer je toestemmingen? 60
4.6.1 Specifiek doeleinde 60
4.6.2 Actieve handeling 60
4.6.3 Vrijelijk 61
4.6.4 Personeelsleden 61
4.6.5 Recht om toestemming in te trekken 61
4.6.6 Aantoonbaarheid en toestemmingen digitaal vragen 61

Hoofdstuk 5
Beeldmateriaal 63
5.1 Algemene principes en portretrecht 63
5.1.1 Identificeerbaarheid 63
5.1.2 Gericht versus niet-gericht beeldmateriaal 64
5.1.3 Recht op afbeelding 65
5.1.4 Uitzonderingen 66
5.1.5 Hoe toestemming vragen 67
5.1.6 Leerlingen die beeldmateriaal maken 69
5.1.7 Beeldmateriaal voor public relations 69
5.1.8 Opnames voor radio- of tv-programma’s 70
5.2 Pasfoto’s voor intern administratief gebruik 71
5.3 Beeldmateriaal in het kader van een school/ lesopdracht 72
5.4 Lesmomenten filmen 74
5.4.1 Stagelessen 74
5.4.2 Instructievideo’s maken 76
5.4.3 Publicatie of verspreiding 76
5.4.4 Bednet 77
5.5 Cameratoezicht op school 78
5.5.1 Rechtsgronden en doeleinde 78
5.5.2 Voorwaarden voor camerabewaking 80
5.5.3 Toegang tot de beelden 81
5.6 Het opnemen van gesprekken 82
5.6.1 Een leerling maakt een geluidsopname in de klas 82
5.6.2 Heeft een ouder het recht om een oudercontact heimelijk op te nemen? 83
5.6.3 Personeelsleden die vergaderingen of klassenraden opnemen 85

Hoofdstuk 6
Digitale leermiddelen, schoolsoftware en monitoring 87
6.1 Digitale leermiddelen en schoolsoftware 87
6.1.1 (School)softwareleveranciers 87
6.1.2 Kan je de keuze voor of het gebruik van een bepaald platform verplichten? 90
6.1.3 Afstandsonderwijs, videoconferencing, enz. 93
6.1.4 Niet-Europese aanbieders 93
6.2 Digitale gegevensuitwisseling met andere instellingen en/of overheidsinstanties 94
6.2.1 Voorbeelden 94
6.2.2 Protocollen 97
6.3 Communicatieplatformen 97
6.3.1 Berichtensystemen en e-mailaccounts 97
6.3.2 Algemene, privé- en professionele accounts 98
6.4 Controle op telecommunicatie 99
6.4.1 Wat is het? 99
6.4.2 Wanneer mag het (niet)? 100
6.4.3 Voorwaarden 100
6.4.4 Mogelijke toegang tot de inhoud van berichten 101

Hoofdstuk 7
De rechten die men heeft en hoe men deze kan uitoefenen 103
7.1 Privacyrechten 103
7.1.1 Recht op informatie 103
7.1.2 Recht op inzage 103
7.1.3 Recht op verbetering 104
7.1.4 Recht op gegevenswissing (recht om ‘vergeten te worden’) 104
7.1.5 Recht op verzet en op de beperking van de verwerking 105
7.1.6 Andere rechten 105
7.2 Informatieplicht en procedures 106
7.3 Vragen en klachten 107
7.3.1 Wat moet een onderwijsinstelling doen als een betrokkene een vraag stelt of een klacht formuleert? 107
7.3.2 Klacht indienen bij de toezichthoudende autoriteit 108
7.3.3 Casus: bevraging welbevinden eerste jaar secundair 109
7.4 Burgerlijke aansprakelijkheid 110
7.5 Wie kan de privacyrechten uitoefenen? 111
7.5.1 Kinderen: een kwetsbare groep 111
7.5.2 Wanneer kunnen kinderen (mee) beslissen over hun privacy? 111
7.5.3 De ouder van een minderjarig kind maakt een andere keuze 113
7.5.4 Gescheiden ouders 114
7.5.5 De rol van stiefouders 115
7.5.6 Volwassenenonderwijs: wat zijn de rechten van een partner? 115

Hoofdstuk 8
Het individuele begeleidingsdossier 117
8.1 Verwerkingen in kader van de individuele begeleiding 117
8.1.1 Algemeen 117
8.1.2 Beleid 118
8.1.3 Uitwisselen van bijzondere / gevoelige persoonsgegevens 119
8.1.4 Addendum: financiële gegevens 119
8.2 Toegangsrechten 120
8.3 Inzage in het dossier 121
8.3.1 Algemeen 121
8.3.2 Enkele uitzonderingen of specifieke situaties 123
8.4 Onderwijsinspectie en de individuele begeleidingsdossiers 125

Hoofdstuk 9
Personeelsdossiers 127
9.1 Persoonsgegevens van personeelsleden 127
9.1.1 Algemeen 127
9.1.2 Contactgegevens 128
9.2 Aanvangsbegeleiding en functionerings- en evaluatiegesprekken 129
9.3 Uitwisselen van personeelsgegevens 129

Hoofdstuk 10
Verantwoordingsplicht en passende maatregelen 131
10.1 Verantwoordingsplicht 131
10.1.1 ‘Accountability’ 131
10.1.2 Een privacyverklaring 132
10.1.3 Een (informatieveiligheids- en) privacybeleid 133
10.1.4 Het register van verwerkingsactiviteiten 134
10.1.5 Gegevensbeschermingseffectbeoordeling(en) 135
10.1.6 Logboek voor privacygerelateerde meldingen 136
10.1.7 Procedures uitschrijven 137
10.1.8 Sensibiliseren 137
10.1.9 Evalueren en bijsturen 138
10.2 Organisatorische maatregelen 138
10.2.1 Algemeen 138
10.2.2 Ruimtes/lokalen waar persoonsgegevens ‘bewaard’ worden 139
10.2.3 Procedures en afspraken 141
10.2.4 Papieren dragers 141
10.2.5 Bewaartermijnen 142
10.3 Technische maatregelen 143
10.3.1 Verband tussen privacy(wetgeving) en informatieveiligheid 143
10.3.2 Beschikbaarheid – Integriteit – Vertrouwelijkheid en Controle 144
10.3.3 Centraal beheer van platformen en diensten 145
10.3.4 Authenticatie: wachtwoordbeleid 145
10.3.5 Multifactor authenticatie 146
10.3.6 Versleuteling (encryptie) 147
10.3.7 Pseudonimiseren 147
10.4 Meldplicht voor gegevenslekken 148
10.4.1 Wat is een gegevenslek? 148
10.4.2 Wanneer moet een gegevenslek gemeld worden aan de toezichthoudende autoriteit? 149
10.4.3 Wanneer moet een gegevenslek gemeld worden aan de betrokkene(n)? 150
10.5 ‘Cybersecurity’ verzekeringen 150

Hoofdstuk 11
Time will tell 153
11.1 Strategisch plan GBA 153
11.2 GBA versus VTC 153
11.3 Boetes voor scholen, of toch niet 154
11.4 Cloud Act en niet-Europese verwerkers 155
11.5 Europese cybersecurity certificaten 157
11.6 Wat wordt er (in de toekomst) verwacht van scholen? 158

Index 161