Hoe wisselen twee afzonderlijke vzw's onderling personeels- en eventueel leerlinggegevens uit, met het oog op een mogelijk fusie?

Voor de privacywetgeving wordt het vzw-schoolbestuur als rechtspersoon verantwoordelijk gesteld voor de verwerking van persoonsgegevens en voor het beleid inzake informatieveiligheid. Zij (de raad van bestuur) zijn verwerkingsverantwoordelijke voor alle instellingen onder hun bestuur.

Wanneer, al dan niet in het kader van 'BOS' (bestuurlijke optimalisatie door schaalvergroting), afzonderlijke schoolbesturen een samenwerking willen omzetten in een volledige vzw-fusie, wil dit zeggen dat er informatieuitwisseling van persoonsgegevens nodig zal zijn tussen verschillende verwerkingsverantwoordelijken. Tot het moment dat de fusie voltooid is, en de nieuwe (vzw) structuur in voege treedt, blijven de vzw's immers afzonderlijke rechtspersonen.

Om de nodige afspraken en plannen op te stellen voor een mogelijke fusie, is een goed overzicht en een vergelijking van de personeelsbestanden noodzakelijk. Dit betekent echter niet dat lijsten, overzichten of dossiers van personeelsleden zomaar tussen leden van raad van bestuur, directies, ... mogen gedeeld of verspreid worden. Voor het vooropgestelde doel (het voorbereiden van een fusie van de vzw's) is het immers zelden of nooit nodig om geïdentificeerde of identificeerbare personeelsgegevens te delen. Totaaloverzichten (aantal FTE, verlofstelsels, uurverdeling, ...) volstaan in het algemeen. Wanneer een meer gedetailleerde analyse zich opdringt, kan men desgevallend individuele(re) overzichten of informatie delen, maar dan dient deze geanonimiseerd of op zijn minst gepseudonimiseerd te worden. Deze laatste optie kan enkel gekozen worden, indien er na het overleg en de analyse, binnen het bestuur waartoe privacy van de personeelsleden behoort, verder geïdentificeerd verwerkt moeten kunnen worden. Hoofdzaak is dat leden van of verbonden aan (instellingen van) een bepaald bestuur, geen toegang krijgen tot geïdentificeerde of identificeerbare persoonsgegevens van een ander bestuur. Teneinde niet identificeerbaar te zijn, gelden er duidelijke voorwaarden op de methode van anonimiseren of pseudonimiseren, juist om te zorgen dat personeelsleden niet onrechtstreeks kunnen "herkend" worden.

Voor leerlingengegevens geldt een soortgelijke redenering, maar meestal zijn er hier minder analyses of afspraken - op individueel niveau - nodig om een fusie voor te bereiden of te bewerkstellen.

Van zodra de nieuwe (vzw) structuur effectief van start gaat, draagt deze de verantwoordelijkheid inzake privacy en informatieveiligheid voor alle onderliggende instellingen, en neemt dan a.h.w. "de plaats in" van de voorheen afzonderlijke verwerkingsverantwoordelijken. Bij de fusie dient men desgevallend afspraken vast te leggen inzake het informatieveiligheid- en privacybeleid na de fusie, het bijhouden van registers van verwerkingsactiviteiten en alle andere verplichtingen die voortvloeien uit de privacywetgeving.

(Nagekeken op 15/01/19)