Verwerken van persoonsgegevens

Wie is de betrokkene?

De betrokkene is de persoon op wie de persoonsgegevens betrekking hebben zoals een leerling, medewerker of ouder. Kinderen en jongeren worden beschouwd als een kwetsbare groep, waardoor extra beschermingsmaatregelen voor hun persoonsgegevens nodig zijn.

Betrokkenen jonger dan 13 jaar mogen zelf geen beslissingen nemen over hun persoonsgegevens. Dit valt onder de verantwoordelijkheid van hun ouders of de personen die het ouderlijk gezag uitoefenen over de jongere. Ouders of personen die het ouderlijk gezag uitoefenen blijven wel verantwoordelijk voor de jongeren zolang deze jonger is dan 18 jaar ook al mogen ze zelf beslissingen nemen over hun persoonsgegevens. Onderstaande tekst maakt geen onderscheid tussen betrokkene en personen die het ouderlijk gezag uitoefenen.

Wat is verwerken van persoonsgegevens?

Onder het verwerken van persoonsgegevens worden alle handelingen verstaan die worden uitgevoerd op de persoonsgegevens. De AVG hanteert hierbij een brede definitie: het verzamelen, registreren, bewaren, raadplegen, meedelen, organiseren, onderling verbinden, vernietigen …

Bijzondere categorieën persoonsgegevens zoals gezondheidsgegevens, seksuele gerichtheid, religieuze of levensbeschouwelijke overtuigingen, genieten een hoger beschermingsniveau. Deze persoonsgegevens mogen alleen worden verwerkt op basis van één van de uitzonderingsgronden (artikel 9 van de AVG).

De AVG onderscheidt twee manieren van gegevensinzameling:

• rechtstreekse inzameling (artikel 3 van de AVG): de persoonsgegevens worden direct van de betrokkene verkregen. Bijvoorbeeld naam, adres en geboortedatum die bij inschrijving aan de school worden bezorgd;
• onrechtstreekse inzameling (artikel 14 van de AVG): de persoonsgegevens komen van een andere bron. Bijvoorbeeld de verslagen die de leersteuncentra krijgen van het betrokken CLB.

Een verwerkingsverantwoordelijke is een natuurlijke of een rechtspersoon die het doel en de middelen voor de verwerking vaststelt. Met andere woorden de organisatie of persoon die beslist waarom en hoe je persoonsgegevens worden verwerkt. In verschillende onderwijsdecreten wordt vastgelegd wie welke persoonsgegevens mag verwerken om onderwijs te organiseren en onder welke voorwaarden dat mag gebeuren.

Het schoolbestuur is als eindverantwoordelijke voor het inrichten van onderwijs altijd de verwerkingsverantwoordelijke voor de verwerking van de school, tenzij regelgeving deze rol aan een andere entiteit toewijst.

Een verwerkingsverantwoordelijke kan samenwerken met verschillende actoren om een verwerking uit te voeren. Die andere actoren kunnen verwerkers zijn zoals softwarebedrijven. De verwerkers voeren verwerkingen uit in opdracht van de verwerkingsverantwoordelijke.

Basisprincipes

Om persoonsgegevens te mogen verwerken (artikel 5 van de AVG), moeten de volgende basisprincipes worden nageleefd:

• rechtmatigheid;
• doelbinding;
• minimale gegevensverwerking;
• transparantie;
• juistheid;
• minimale opslag;
• beveiliging, integriteit en vertrouwelijkheid.

Rechtmatigheid (grondslag)

De school kan enkel persoonsgegevens verwerken als voldaan is aan één van de volgende grondslagen(artikel 6 van de AVG):

• voldoen aan een wettelijke verplichting;
• overeenkomst;
• toestemming;
• het behartigen van een vitaal belang;
• vervullen van een taak van openbaar belang of openbaar gezag;
• voor het gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde.

Voor de meeste verwerkingen kan de school zich doorgaans alleen baseren op één van de eerste drie grondslagen.

Voldoen aan een wettelijke verplichting

De grondslag ​‘voldoen aan een wettelijke verplichting’ betekent dat de school persoonsgegevens moet verwerken als de verwerking wordt vereist door een wet- of regelgeving.

Voorbeelden:

• Het bijhouden van de administratieve gegevens van leerlingen of cursisten, zoals verplicht in onderwijsdecreten.
• Het doorgeven van de administratieve gegevens van leerlingen, cursisten of medewerkers aan de onderwijsagentschappen.
• Het registreren van de aanwezigheid van leerlingen.

Overeenkomst

Een school mag persoonsgegevens verwerken als dat nodig is om een overeenkomst te kunnen aangaan en uitvoeren. Bijvoorbeeld als een schoolbestuur een raamcontract voor softwarelicenties afsluit voor zijn scholen, dan zal het bepaalde persoonsgegevens van medewerkers van de softwareleverancier verwerken en vice versa.

Toestemming

De school kan persoonsgegevens verwerken als de betrokkene hierin toestemt. Hierbij moet de toestemming (artikel 4.11 van de AVG):

• vrij zijn: de betrokkene moet een echte keuze kunnen maken zonder dat er druk is of met mogelijke negatieve gevolgen voor de betrokkene als een toestemming niet wordt gegeven;
• specifiek zijn: een globale toestemming kan niet. Voor elke verwerking en doeleinde moet een betrokkene toestemming geven. Enkel hiervoor mogen de persoonsgegevens van de betrokkene worden gebruikt. Als bijvoorbeeld een schoolde de toestemming van een ouder (of voogd) krijgt om een foto van zijn kind toe te voegen aan het leerlingendossier betekent dit niet dat deze foto ook gebruikt mag worden op de schoolwebsite;
• geïnformeerd zijn: in duidelijke en begrijpelijke taal moet de school aan betrokkene uitleggen waarvoor de persoonsgegevens gebruikt zullen worden;
• berusten op een positieve actie. Zo mag het vakje voor akkoord niet standaard aangevinkt staan;
• aantoonbaar zijn: de school moet kunnen bewijzen dat ze toestemming heeft om de persoonsgegevens te gebruiken;
• te allen tijde door de betrokkene kunnen worden ingetrokken.

Doelbinding

Persoonsgegevens die voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel worden verwerkt, mogen enkel voor dit doel of ermee verenigbare doelen verder worden verwerkt.

Gerechtvaardigde doelen waarvoor een school persoonsgegevens mag verwerken:

• organisatie van de school;
• personeelsadministratie en -beheer van de school;
• het bieden van onderwijs;
• alle verwerkingen die de regelgeving nog voorschrijft op voorwaarde dat het doel duidelijk blijkt uit de regelgeving.

Persoonsgegevens die de school bijvoorbeeld verwerkt voor zijn personeelsadministratie, kunnen niet zomaar worden gebruikt voor een ander doel. Tenzij de school kan aantonen dat het nieuwe doeleinde verenigbaar is met de doeleinden waarvoor ze verzameld zijn. Zo kan het rekeningnummer van de medewerker ook gebruikt worden voor de terugbetaling van onkosten.

Het is aan de school om te oordelen en aan te tonen dat een nieuw doeleinde verenigbaar is.

Minimale gegevensverwerking

Minimale gegevensverwerking (dataminimalisatie) houdt in dat:

• alleen persoonsgegevens verwerkt mogen worden die strikt noodzakelijk zijn: hanteer het principe ​‘need to know’ versus ​‘nice to know’. Voorbeeld: van een medewerker zijn de naam en adresgegevens noodzakelijke persoonsgegevens. Gegevens zoals de hobby van de medewerker zijn niet relevant voor de personeelsadministratie en mogen niet worden verwerkt;
• anonimiseer waar mogelijk: anonimiseren betekent dat de persoonsgegevens niet meer direct of indirect te herleiden zijn tot een individu, zelfs niet met aanvullende informatie. Geanonimiseerde persoonsgegevens vallen niet onder de AVG.
  Het proces moet onomkeerbaar zijn: het moet onmogelijk zijn de oorspronkelijke persoonsgegevens te reconstrueren.
  Let op: als een kenmerk uniek is (bijvoorbeeld: als maar één kind een bepaald kenmerk heeft), kunnen geanonimiseerde gegevens toch nog tot herkenning leiden.
• pseudonimiseer als anonimiseren niet mogelijk is: pseudonimiseren betekent dat de persoonsgegevens niet direct herleidbaar zijn naar een individu. Om te identificeren is een unieke sleutel nodig.
  Gespeudonimiseerde gegevens blijven persoonsgegeven en verwerkingen ervan moeten voldoen aan de AVG.

Als de school geen geldige reden kan geven waarom een persoonsgegeven nodig is voor het doel, mogen deze persoonsgegevens niet worden verwerkt. Als de persoonsgegevens al zijn verzameld, moeten ze gewist worden.

Rechten en plichten van betrokkene

Betrokkenen kunnen hun rechten en plichten alleen uitoefenen als ze weten welke persoonsgegevens de school van hen verwerkt. Transparante communicatie is essentieel.

Welke rechten hebben de betrokkenen?

• Recht op informatie: de school moet in elk geval duidelijk communiceren over:
  • waarom de persoonsgegevens nodig zijn (doel);
  • waarom de school de persoonsgegevens mag verwerken (grondslag);
  • hoelang de persoonsgegevens worden bijgehouden (bewaartermijn)
  • aan wie de persoonsgegevens worden doorgegeven (indien nodig);
  • …
• Recht op inzage: een betrokkene kan op elk moment aan de school vragen welke persoonsgegevens ze bijhoudt, tenzij een wettelijke verplichting dit verbiedt.
• Recht op correctie: als de persoonsgegevens niet juist zijn, kan de betrokkene vragen om dit aan te passen.
• Recht op dataportabiliteit: een betrokkene kan aan de school vragen om zijn persoonsgegevens over te dragen naar een andere school.
• Recht op intrekking van toestemming: een betrokkene kan zonder opgave van een reden een eerdere gegeven toestemming voor het verwerken van een persoonsgegeven intrekken.
• Recht om ​‘vergeten’ te worden: een betrokkene kan vragen om zijn persoonsgegevens te schrappen uit de systemen van de school. De school moet hieraan voldoen tenzij er een wettelijke verplichting is om dit niet te doen.
• Recht op bezwaar: een betrokkene kan vragen dat een school de persoonsgegevens niet meer gebruikt en dat de persoonsgegevens geen deel mogen uitmaken van uitsluitend automatische besluitvorming.
• Recht op beperking van verwerking: dit recht geldt als een betrokkene de juistheid van de persoonsgegevens betwist, als de persoonsgegevens onrechtmatig zijn verkregen, of als de school de persoonsgegevens niet meer nodig heeft.

Een betrokkene kan altijd gebruik maken van zijn rechten, tenzij andere wetgeving dit verhindert. Het schoolbestuur moet binnen één maand reageren op het verzoek. Bij complexe opzoekingen kan de termijn met één maand worden verlengd. De betrokkene moet hiervan binnen de eerste maand op de hoogte worden gebracht. Een buitensporig of ongegrond verzoek, zoals het wekelijks opvragen door een ouder van alle persoonsgegevens van zijn kind waarover de school beschikt, mag worden geweigerd.

Als het schoolbestuur hier toch wenst op in te gaan kan het een redelijke vergoeding vragen voor de administratieve kosten. Het schoolbestuur moet kunnen aantonen dat het verzoek ongegrond of buitensporig is. In alle andere gevallen mag er geen vergoeding worden gevraagd voor het behandelen van een verzoek.

Als het schoolbestuur twijfelt aan de identiteit van de verzoeker, kan zij om een identiteitsbewijs vragen. De termijn voor behandeling van het verzoek wordt dan opgeschort totdat het bewijs is ontvangen.

Als een betrokkene meent dat de AVG niet wordt nageleefd, kan hij zich wenden tot de functionaris gegevensbescherming (DPO) van het schoolbestuur. De betrokkene kan ook klacht indienen bij de Vlaamse Toezichtcommissie (VTC), de toezichthoudende autoriteit. Het schoolbestuur moet de klachtprocedure duidelijk communiceren aan de betrokkenen.

Het schoolbestuur is verplicht om betrokkenen te informeren over de verwerking van hun persoonsgegevens. De informatie kan worden opgenomen in de privacyverklaring van de school.

Juistheid

Persoonsgegevens moeten altijd correct en actueel zijn. Het schoolbestuur voorziet hiervoor een duidelijke procedure zodat dat medewerkers en leerlingen of cursisten weten hoe ze hun persoonsgegevens kunnen controleren en, indien nodig, laten aanpassen. De procedure kan worden opgenomen in de privacyverklaring van de school.

Minimale opslag

Een school mag persoonsgegevens nooit langer bewaren dan strikt noodzakelijk. Zodra het doel van de verwerking is bereikt of niet langer relevant is, moeten de persoonsgegevens direct worden verwijderd. In bepaalde gevallen is de school verplicht om de persoonsgegevens te wissen, tenzij er wettelijke bewaartermijnen van toepassing zijn. Deze termijnen bepalen hoelang de specifieke persoonsgegevens moeten worden bewaard.