Verwerkers

Elke externe partij die (rechtstreeks of onrechtstreeks) persoonsgegevens voor de instelling verwerkt, noemt men een verwerker. Het schoolbestuur is de eindverantwoordelijke voor alle verwerkingen, ook indien deze door een externe partij uitgevoerd of gefaciliteerd worden (artikel 28 AVG).

Indien de instantie of persoon die de verwerkingen uitvoert, onder het gezag van de verwerkingsverantwoordelijke (het schoolbestuur) valt, is dit geen verwerker. In dit geval bindt het schoolbestuur deze instantie of persoon aan de interne afspraken en regelgeving, door middel van een (voor iedereen bindend) IVP-beleid.

Een ontvanger is een externe partij waar de instelling persoonsgegevens aan doorgeeft, maar zij verwerken deze niet in opdracht van de onderwijsinstelling of het schoolbestuur. Eenmaal de externe partij de gegevens verkrijgt, zijn zij zelf verantwoordelijk voor de verdere verwerking ervan. De instelling moet wel een grondslag hebben voor de transactie, bindt de ontvanger aan duidelijke doeleinden voor de verwerking en dient in feite ook na te gaan of de ontvanger volgens de AVG-principes met de gegevens omgaat (proportionaliteit, doelbinding, vertrouwelijkheid, beveiliging, ...).

Zowel ontvangers (die geen verwerkingen in opdracht van het schoolbestuur uitvoeren of faciliteren) als verwerkers dienen in het register van verwerkingsactiviteiten gedocumenteerd te worden.

Verwerkersovereenkomsten

De verwerkingsverantwoordelijke blijft eindverantwoordelijk voor de zorgvuldige verwerking van de persoonsgegevens indien deze verwerking door een verwerker gebeurt. Om dit te kunnen garanderen zijn goede afspraken met de verwerkers noodzakelijk.

Katholiek Onderwijs Vlaanderen verzamelt zo veel mogelijk schoolautomatiseerders in een intentieverklaring. De onderschrijvers van deze intentieverklaring handelen volgens de juiste afspraken. Het schoolbestuur dient wel steeds een eigen verwerkersovereenkomst met elke verwerker af te sluiten. Indien een verwerker (nog) niet tot onderstaande onderschrijvers behoort, dient men zelf de afspraken met de verwerker op te nemen, of men kan via het formulier op deze website contact opnemen met de informatieveiligheidsconsulent van Katholiek Onderwijs Vlaanderen.

Gegevensbeschermingseffectbeoordeling (GEB)

Indien de verwerking een hoog risico oplevert voor de rechten en vrijheden van de betrokkenen, moet de verwerkingverantwoordelijke hiervoor een gegevensbeschermingseffectbeoordeling (GEB) opstellen. Hierin wordt bepaald of er voldoende maatregelen genomen zijn om de bescherming van de gegevens te garanderen.

Voor onderwijsinstellingen is een GEB verplicht voor het leerlingvolgsysteem (LVS).

Documentatie

Hiervoor verwijzen we naar de overkoepelende website: http://privacyinonderwijs.be/

  • Ter info: tekst intentieverklaring (link
  • Ter info: toetredingsverklaring (link)
  • Lijst onderschrijvers intentieverklaring (link
  • Sjabloon: model verwerkersovereenkomst (MS Word-bestand; pdf-bestand
  • Tekst gegevensbeschermingseffectbeoordeling (pdf-bestand)
  • Presentatie gegevensbeschermingseffectbeoordeling (pdf-bestand)