Onze thema’s Schoolorganisatie GDPR en privacy Organisatorische en technische maatregelen bij het verwerken van persoonsgegevens

Organisatorische en technische maatregelen bij het verwerken van persoonsgegevens

Volgens de AVG moeten onderwijsinstellingen passende technische en organisatorische maatregelen treffen om de veiligheid van persoonsgegevens te waarborgen. Deze maatregelen zijn essentieel om persoonsgegevens te beschermen tegen verlies, diefstal, onbevoegde toegang of andere vormen van misbruik.

Hieronder vind je een aantal voorbeelden van organisatorisch en technische maatregelen.

Voorbeelden van organisatorische en technische maatregelen

Organisatorische maatregelen

Beleid en procedures:

  • zorg voor een duidelijk informatieveiligheidsbeleid;
  • evalueer het informatieveiligheidsbeleid regelmatig en werk bij;
  • stel een functionaris gegevensbescherming aan;
  • maak een register met alle verwerkingen van persoonsgegevens en houd deze up-to-date;
  • sluit verwerkingsovereenkomsten of protocollen af.

Bewustmaking en training:

  • communiceer over de privacyrichtlijnen met alle betrokkenen door middel van een privacyverklaring;
  • verplichte training voor medewerkers over gegevensbescherming en privacy.

Toegang en autorisatie:

  • beperk toegang tot persoonsgegevens tot alleen de medewerkers die de persoonsgegevens moeten verwerken;
  • gebruik rollen en autorisaties om toegang te verlenen;
  • hou logboeken bij van wie toegang heeft tot de persoonsgegevens.

Incidentenbeheer:

  • voorzie een incidentenbeheerplan: breng risico’s in kaart, zorg voor een herstelprocedure, bereid communicatie voor …;
  • test regelmatig het incidentenbeheerplan en werk bij waar nodig;
  • voorzie een procedure datalekken en beveiligingsincidenten;
  • voorzie een procedure om datalekken te melden aan de Vlaamse Toezichtcommissie (VTC) en eventueel betrokkenen;

Technische maatregelen

Beveiliging van systemen:

  • gebruik firewalls en beveiligingssoftware om de systemen te beschermen tegen malware en cyberaanvallen;
  • zorg voor een update- en patch-beleid zodat de software en de systemen altijd up-to-date zijn;
  • zorg voor versleuteling van (gevoelige) persoonsgegevens.

Toegangsbeveiliging:

  • gebruik sterke wachtwoorden en implementeer minstens 2-factor-authenticatie;
  • vergrendel automatisch een account na inactiviteit;
  • beperk de fysieke toegang tot servers.

Data-management:

  • maak regelmatig back-ups;
  • kies een veilig opslagmedium voor de persoonsgegevens.

Monitoring en auditing:

  • bewaak de systemen op verdachte activiteiten;
  • voer regelmatig audits en beveiligingstesten uit;
  • hou logboeken bij van alle toegangen en wijzigingen aan persoonsgegevens.

Informatieveiligheidsbeleid en privacy

Het schoolbestuur ontwikkelt een informatiebeveiligings- en privacy-beleidsplan (IPB)’ waarin de richtlijnen worden uitgewerkt om te voldoen aan de AVG. Het IBP-beleidsplan geldt voor iedereen: medewerkers, leerlingen, hun ouders of voogd, cursisten, leveranciers ….

Een effectief IBP-beleid vereist de medewerking van iedereen. Sensibiliseren en opleiding spelen een cruciale rol.

Een IBP-beleid moet regelmatig worden bijgewerkt, omdat het een doorlopend proces is. Het beleid moet worden aangepast aan nieuwe uitdagingen en vereisten.

Hoewel het IBP-beleidsplan geen verplicht document is, biedt het plan een duidelijk kader voor de gegevensbescherming en het privacy-beleid binnen de school. Het helpt om afspraken en verantwoordelijkheden inzichtelijker te maken voor iedereen.

Het schoolbestuur kan het IBP-beleid afdwingbaar maken door dit op te nemen in verplichte documenten zoals het schoolreglement, het arbeidsreglement of in afsprakenkaders. Daarnaast is het belangrijk om na te gaan of er in de samenwerkingscontracten met anderen, zoals het LSC of CLB’s, voldoende beveiligingsmaatregelen zijn opgenomen.

Functionaris gegevensbescherming

Het schoolbestuur is verplicht een functionaris voor gegevensbescherming (FG) of DPO aan te stellen. In overleg met de Vlaamse Toezichtcommissie (VTC) is afgesproken dat voor het gemeentelijk onderwijs de DPO van het lokaal bestuur deze rol vervult voor alle gemeentelijke onderwijsinstellingen binnen het lokaal bestuur.

Bij samenwerkingsverbanden zoals een LSC (ILOV) kan de DPO van één of meerdere deelnemende lokale besturen deze taak op zich nemen. De betrokken lokale besturen bepalen zelf hoe ze dit organiseren.

Het schoolbestuur wijst per school een aanspreekpunt informatieveiligheid aan. Het aanspreekpunt is de contactpersoon voor de DPO. Het aanspreekpunt moet kennis hebben van de datastromen binnen de school.

Taken van een DPO

  • adviseren en informeren: de DPO informeert en adviseert het schoolbestuur en de medewerkers van de school over de verplichtingen uit de AVG en andere relevante wet- en regelgeving op gebied van gegevensbescherming;
  • toezicht houden op de naleving van de AVG en andere regelgeving met betrekking tot de bescherming van persoonsgegevens;
  • Gegevensbeschermingseffectbeoordeling (GEB/DPIA): adviseren over de noodzaak van een DPIA, het proces begeleiden en advies geven;
  • Samenwerken met de toezichthoudende autoriteiten.
  • Contactpunt voor de betrokkenen.

Register van verwerkingsactiviteiten

Het schoolbestuur is verplicht om een register van verwerkingsactiviteiten bij te houden (artikel 30 van de AVG).

Het register biedt een overzicht van alle verwerkingsactiviteiten van persoonsgegevens binnen de school. Het register moet ten minste de volgende informatie bevatten:

  • contactgegevens verwerkingsverantwoordelijke: naam en contactinformatie van het schoolbestuur als verwerkingsverantwoordelijke;
  • contactgegevens DPO: naam en contactinformatie van de DPO(‘s) en het intern aanspreekpunt;
  • verwerkers: een lijst van alle verwerkers die persoonsgegevens namens het schoolbestuur verwerken;
  • categorieën van persoonsgegevens: een beschrijving van de categorieën van betrokkenen zoals leerlingen, cursisten, medewerkers en ouders, en de categorieën van persoonsgegevens die worden verwerkt. Bijzondere categorieën zoals gezondheidsgegevens moeten apart worden vermeld;
  • doeleinden van de verwerking: beschrijf nauwkeurig de doeleinden waarvoor de persoonsgegevens worden verwerkt;
  • ontvangers van persoonsgegevens: maak een overzicht van wie persoonsgegevens ontvangt. Mogelijke ontvangers zijn overheidsinstanties, externe dienstverleners …. Vermeld of de persoonsgegevens worden doorgegeven aan derde landen of een internationale organisaties, en welke passende waarborgen hiervoor getroffen zijn;
  • bewaartermijnen: vermeld de bewaartermijnen voor de verschillende categorieën van persoonsgegevens (minimale opslag);
  • beveiligingsmaatregelen: geef een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn genomen voor de beveiliging van persoonsgegevens, afgestemd op het risico.

Het register verwerkingsactiviteiten dat terug te vinden is op de website www​.pri​va​cyin​on​der​wijs​.be kan dienen als inspiratiebron om een register aan te maken als het schoolbestuur geen eigen model beschikbaar heeft. Raadpleeg hiervoor de DPO van het schoolbestuur.

Verwerkersovereenkomst

Wanneer het schoolbestuur voor de verwerking van persoonsgegevens een beroep doet op een verwerker (of meerdere verwerkers), werkt ze uitsluitend samen met verwerkers die voldoende garanties bieden. Deze garanties moeten aantonen dat de verwerker passende technische en organisatorische maatregelen neemt om te voldoen aan de eisen van de AVG. Het schoolbestuur sluit met elke verwerker een verwerkersovereenkomst af (artikel 28 van de AVG).

In een verwerkersovereenkomst wordt contractueel vastgelegd dat de verwerker de betrokken persoonsgegevens alleen mag verwerken volgens de schriftelijke instructies van het schoolbestuur.

Het schoolbestuur kan gebruik maken van het model verwerkersovereenkomst’ opgesteld door alle onderwijsverstrekkers en een aantal leveranciers van producten en diensten voor het onderwijs. Raadpleeg hiervoor de DPO van het schoolbestuur.

Waar zijn de persoonsgegevens gelokaliseerd?

Als het schoolbestuur een beroep doet op een verwerker is het essentieel om na te gaan waar de persoonsgegevens zullen worden opgeslagen. Alle persoonsgegevens moeten worden bewaard op een locatie binnen de Europese Unie (EU).

Als persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, zijn passende waarborgen nodig (artikel 49.1, tweede alinea van de AVG). Raadpleeg hiervoor altijd je DPO.

Het gebruik van een publieke cloud bij een niet-Europese leverancier is in principe niet toegestaan voor grootschalige verwerking. Voor risicogevoelige persoonsgegevens is een publieke cloud nooit een optie. Voor meer informatie kan je terecht op de website van de Vlaamse Toezichtcommissie (VTC).

Protocol gegevensuitwisseling

Bij elke elektronische uitwisseling van persoonsgegevens tussen Vlaamse instanties onderling of met een externe overheid is het verplicht om een protocol op te stellen (Artikel 8, §1 van het decreet van 18 juli 2008 over het elektronische bestuurlijke gegevensverkeer of kort e-gov-decreet).

Voorbeelden van dergelijke instanties zijn alle schoolbesturen, AGODI …

Met mededeling van persoonsgegevens wordt bedoeld dat de persoonsgegevens die door een instantie, bijvoorbeeld een leerplichtschool, zijn verzameld voor een specifiek doel, bijvoorbeeld worden bezorgd aan een CLB, dat de persoonsgegevens verder zal verwerken voor een ander doeleinde. De uitwisseling moet systematisch zijn. Let op: een éénmalige overdracht van een grote hoeveelheid persoonsgegevens wordt beschouwd als een systematische uitwisseling en vereist dus een protocol.

Een protocol is niet verplicht wanneer de persoonsgegevens worden uitgewisseld binnen eenzelfde instantie. Bijvoorbeeld als het schoolbestuur en het centrumbestuur CLB hetzelfde lokaal bestuur is, dan is er gen protocol nodig.

Een protocol voor de elektronische uitwisseling van persoonsgegevens bevat volgens de Vlaamse Toezichtcommissie (VTC) minstens de volgende elementen:

  • de identificatie van de verwerkingsverantwoordelijken die betrokken zijn bij de mededeling;
  • de doeleinden waarvoor de persoonsgegevens worden medegedeeld;
  • de categorieën en omvang van de medegedeelde persoonsgegevens in overeenstemming met het proportionaliteitsbeginsel;
  • de categorieën van ontvangers en de eventuele derden die toegang krijgen tot de persoonsgegevens;
  • de wettelijke basis van zowel de mededeling als de oorspronkelijke inzameling van de persoonsgegevens;
  • een beschrijving van de oorspronkelijke doeleinden waarvoor de persoonsgegevens werden ingezameld;
  • een verenigbaarheidsanalyse van het nieuwe doeleinde met het oorspronkelijke doeleinde;
  • de periodiciteit en duur van de mededeling;
  • de beveiligingsmaatregelen die worden toegepast, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de verwerkingsdoeleinden en waarschijnlijkheid en ernst van de risico’s voor de rechten en vrijheden van de betrokkenen;
  • afspraken over het formaat van de mededeling (hoe bezorgen?);
  • afspraken over de garantie van de gegevenskwaliteit en, indien van toepassing, de naleving van het wettelijk kader voor toegang tot de authentieke gegevensbron;
  • afspraken over logging van de toegangen zodat kan worden gecontroleerd wie toegang had tot welke persoonsgegevens en waarom;
  • de invoering van een verwijzingsrepertorium bij automatische mededeling van de wijzigingen aan de persoonsgegevens.
  • de sancties bij niet-naleving van het protocol;

De DPO’s van alle betrokken instanties moeten advies geven. Een bijkomend advies kan worden gevraagd aan de Vlaamse Toezichtcommissie (VTC).

Het protocol moet worden gepubliceerd op de websites van de betrokken instanties.

Privacyverklaring

Een privacyverklaring helpt het schoolbestuur als verwerkingsverantwoordelijke om te voldoen aan het transparantiebeginsel uit de AVG. Met dit document informeert de school de betrokkenen duidelijk over de verwerking van hun persoonsgegevens.

Een privacyverklaring is een overzichtelijk document, geschreven in eenvoudige taal, waarin alle verwerkingen van persoonsgegevens zijn opgenomen. Maak een onderscheid tussen de verschillende typen betrokkenen zoals leerlingen, cursisten of medewerkers. Om transparantie te waarborgen, neemt de school in haar communicatie met betrokkenen een verwijzing op naar de privacyverklaring, zodat deze gemakkelijk kan worden geraadpleegd. Publiceer het document ook op de website van de school of het schoolbestuur.

een privacyverklaring is vrij makkelijk aan te passen omdat het geen personeelsmaterie betreft en dus niet onderworpen is aan syndicale inspraak. Verwijs in het arbeidsreglement en andere reglementen of overeenkomsten naar de privacyverklaring. Het schoolbestuur moet elke wijziging communiceren aan de betrokkenen.

Een privacyverklaring dient ten minste de volgende elementen te bevatten:

  • naam- en contactgegevens van de school en het schoolbestuur;
  • contactgegevens van de functionaris gegevensbescherming;
  • doeleinden en rechtsgrond van de verwerking van persoonsgegevens;
  • de categorieën van de verwerkte persoonsgegevens;
  • overzicht van de verwerkers die namens het schoolbestuur persoonsgegevens verwerken;
  • bij doorgifte buiten de EU: het bestaan van een adequaatheidsbesluit of passende waarborgen.

Gegevensbeschermingseffectbeoordeling

Een gegevensbeschermingseffectbeoordeling (GEB of DPIA) is verplicht als een verwerking een waarschijnlijk hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen (artikel 35 van de AVG). Een DPIA is een proces waarbij de risico’s voor de rechten en vrijheden van de betrokkenen bij de verwerking van hun persoonsgegevens in kaart wordt gebracht.

Een DPIA moet zeker worden overwogen in de volgende situaties:

  • een grootschalige verwerking van bijzondere categorieën persoonsgegevens zoals gezondheidsgegevens, strafrechtelijke veroordelingen en strafbare feiten of gegevens van zeer persoonlijke aard zoals financiële gegevens en gegevens over inkomen en vermogen, werkloosheid, betrokkenheid van jeugdzorg of maatschappelijk werk, gegevens over huishoudelijke en privé-activiteiten en locatiegegevens;
  • systematische monitoring van betrokkenen zoals bij het gebruik van bewakingscamera’s in de school of monitoringsoftware voor computers van leerlingen;
  • automatische besluitvorming met grote impact zoals het weigeren van een dienst op basis van geautomatiseerde profielen zonder tussenkomst van een persoon of waarbij de betrokkene geen inspraak heeft;
  • verwerking van persoonsgegevens van kwetsbare personen zoals kinderen en jongeren.

De Vlaamse Toezichtcommissie (VTC) heeft een lijst opgesteld van het soort verwerkingen waarvoor een DPIA verplicht is.

Om schoolbesturen te ondersteunen, is er een expertenwerkgroep gegevensbescherming in onderwijs opgericht, bestaande uit vertegenwoordigers van de verschillende onderwijsverstrekkers en koepels. Deze werkgroep coördineert de ontwikkeling van generieke DPIA’s’. Het Agentschap Digitaal Vlaanderen levert de expertise en het Kenniscentrum Digisprong volgt de werking op.

Een generieke DPIA is een sjabloon waarin een aantal onderdelen zijn ingevuld. Het schoolbestuur voert een DPIA uit en kan hiervoor gebruik maken van de generieke DPIA. Het schoolbestuur kan deze DPIA aanpassen of verder invullen om aan de specifieke situatie te voldoen. De lijst van de uitgevoerde of in uitvoering zijnde generieke DPIA’s kan je op de website van de expertenwerkgroep terugvinden.

Het schoolbestuur is altijd verantwoordelijk voor het uitvoeren van alle vereiste DPIA’s, ook al er (nog) geen generieke DPIA beschikbaar is.