GDPR training voor personeelsleden van onderwijsinstellingen

1. Inleiding

Deze GDPR-training legt uit hoe we met persoonsgegevens moeten omgaan. We doen het niet enkel omwille van de privacywet, maar ook om het juiste te doen. Niemand wilt dat zijn persoonsgegevens worden gedeeld met bedrijven of organisaties waar hij of zij niets mee te maken heeft.
 
We vragen aan je om deze training te doorlopen. Zo leer je de nodige vaardigheden om de persoonsgegevens binnen de onderwijsinstelling te beschermen.
 
Tijdens deze training komen de beginselen van de GDPR aan bod, de rechten van de betrokkenen en goede praktijken. De training duurt 30 minuten. Na elk onderdeel worden er een aantal vragen gesteld. Op het einde van de training is er een eindquiz.
 
De inhoud wordt aangeboden als tekst en als video. Er zijn mensen die liever lezen, anderen bekijken liever filmpjes. Hoe je de inhoud doorloopt is jouw keuze. De video's vind je telkens onder de tekst.
 
Veel plezier met de training toegewenst.
 

2. De GDPR

De General Data Protection Regulation of de GDPR is een Europese privacywet die Europese burgers meer controle geven over de verwerking van hun persoonsgegevens. Het regelt ook het vrij verkeer van persoonsgegevens in de Europese Unie.
 
Vanaf 25 mei 2018 vervangt de GDPR de oude Belgische privacywet ter bescherming van persoonsgegevens van 1992.
 
Het niet voldoen aan de GDPR kan leiden tot reputatieschade, boetes en gerechtelijke procedures.
 
Onderwijsinstellingen verwerken heel wat persoonsgegevens en moeten daarom voldoen aan de regels van de GDPR.
 

Materieel toepassingsgebied

De GDPR is van toepassing op elk bedrijf of organisatie die persoonsgegevens verwerkt. Het bijhouden van een lijst van klanten is daarvoor al voldoende. Het verwerken van persoonsgegevens voor persoonlijke of huishoudelijke activiteiten valt daarbuiten.
 

Territoriaal toepassingsgebied

Alle bedrijven of organisaties binnen de EU die persoonsgegevens verwerken moeten de GDPR naleven. Maar ook bedrijven of organisaties buiten de EU, die persoonsgegevens verwerken van EU-burgers, moet voldoen aan de GDPR.
 

Quiz

Laten we even kijken of je tot nu toe alles hebt begrepen. Beantwoord deze vragen voordat je verder gaat.
 
 

3. Vertrouwen, daar gaat het om

Dagelijks verstrekken wij bewust (bv. via webformulieren) of onbewust (bv. via cookies) persoonsgegevens aan bedrijven en organisaties.
 
Als persoonsgegevens in verkeerde handen vallen kan er misbruik van worden gemaakt. Denk aan identiteitsfraude, discriminatie of pesten.
 
We blijven echter persoonsgegevens verstrekken omdat we erop vertrouwen dat bedrijven en organisaties de persoonsgegevens correct zullen gebruiken en beschermen.
 
Leerlingen, ouders, personeelsleden of derden van onderwijsinstellingen hebben dezelfde verwachtingen. Privacywetten zoals de GDPR moeten ervoor zorgen dat er wordt voldaan aan deze verwachtingen.
 

4. Definities en rollen

De GDPR bevat een aantal definities en rollen. We sommen de belangrijkste voor je op.
 

Persoonsgegevens

Persoonsgegevens zijn alle gegevens die terug te leiden zijn naar een persoon. Het gaat bijvoorbeeld om naam, adres en woonplaats, maar ook om een foto, bankrekeningnummer en telefoonnummer. Gegevens zoals IP-adressen en MAC-adressen zijn in bepaalde gevallen ook persoonsgegevens. Dit is het geval wanneer iemand kan worden geïdentificeerd op basis van deze gegevens, al dan niet in combinatie met andere gegevens.
 

Betrokkene

De betrokkene is de natuurlijke persoon op wie de gegevens betrekking hebben. De betrokkenen voor een onderwijsinstelling zijn de leerlingen, ouders, personeelsleden en derden.
 

Verwerking

In de GDPR valt bijna elke bewerking met betrekking tot persoonsgegevens onder de term verwerken, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, combineren, afschermen of vernietigen van persoonsgegevens.
 

Verwerkingsverantwoordelijke

Een verwerkingsverantwoordelijke bepaalt het doel en de middelen van de gegevensverwerking. Een onderwijsinstelling is een verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke moet de GDPR naleven en dit ook kunnen aantonen. Men noemt dit de verantwoordingsplicht.
 

Verwerker

Een verwerker verwerkt in opdracht van de verwerkingsverantwoordelijke persoonsgegevens. Een verwerker is een derde die niet onder onmiddellijk gezag staat van de verwerkingsverantwoordelijke. Aanbieders van administratiesystemen, leerlingvolgsystemen, boekhoudpakketten zijn voorbeelden van verwerkers.
 

Ontvanger

Een ontvanger is een persoon, bedrijf, organisatie of overheidsinstantie aan wie de persoonsgegevens worden verstrekt. Voorbeelden van ontvangers van onderwijsinstellingen zijn AgODi, CLB’s, schoolgemeenschappen en stageplaatsen.
 

Gegevenslek

Misbruik van de persoonsgegevens of een gegevenslek zal het vertrouwen in de onderwijsinstelling schenden.
 
Er wordt gesproken over een gegevenslek in situaties waarin persoonsgegevens dreigen ongeoorloofd te worden openbaar gemaakt, verloren te gaan, vernietigd of gewijzigd te worden. Het speelt geen rol of het per ongeluk of op onrechtmatige wijze gebeurt. Dit is niet alleen het geval bij een inbraak in een gegevensbestand, ook een kwijtgeraakte USB-stick, een gestolen laptop, een verloren geraakte smartphone zijn voorbeelden van gegevenslekken.
 
Een gegevenslek kan op elk moment gebeuren. Een onderwijsinstelling is er niet immuun voor. Het niet correct omgaan met persoonsgegevens is meestal de oorzaak van een gegevenslek. Dit kan bij de slachtoffers heel wat leed veroorzaken. Denk aan discriminatie, identiteitsdiefstal, financiële verliezen of reputatieschade. Goede afspraken en procedures binnen de onderwijsinstelling kunnen gegevenslekken voorkomen.
 

Quiz

Laten we even kijken of je tot nu toe alles hebt begrepen. Beantwoord deze vragen voordat je verder gaat.
Quiz deel 2 GDPR training: https://www.educaplay.com/en/learningresources/4116547/quiz_deel_2_gdpr_training.htm
 
 

5. De GDPR-beginselen

Zes beginselen vormen de GDPR. We bespreken ze eens kort één voor één. 
 

Rechtmatigheid, behoorlijkheid en transparantie

Dit betekent dat onderwijsinstellingen er moeten voor zorgen dat ze de wet niet overtreden en dat ze niets verbergen voor de betrokkenen.

Een verwerking kan enkel gebeuren mits de toestemming van de betrokkene of omdat de verwerking noodzakelijk is. Een verwerking kan noodzakelijk zijn in de volgende gevallen: 

  • om een overeenkomst te kunnen uitvoeren; 
  • om aan wettelijke verplichtingen te voldoen; 
  • in het kader van vitaal belang;
  • in het kader van het vervullen van een algemeen, maatschappelijk belang; 
  • en voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke. 

Om transparant te zijn moet een onderwijsinstelling in zijn privacyverklaring vertellen welke persoonsgegevens er worden verwerkt en de reden waarom. De privacyverklaring moet beknopt, toegankelijk en gemakkelijk begrijpbaar zijn.  

Doelbinding

Onderwijsinstellingen mogen enkel persoonsgegevens verwerken voor welbepaalde en gerechtvaardigde doeleinden. Een onderwijsinstelling moet duidelijk aangeven wat het doel is en alleen persoonsgegevens verwerken die noodzakelijk zijn om dat doel te bereiken. 
 

Minimale gegevensverwerking

Enkel de persoonsgegevens die strikt noodzakelijk zijn voor de vastgelegde doeleinden mogen verwerkt worden. Door enkel de persoonsgegevens te bewaren die essentieel zijn is het eenvoudiger om de gegevens steeds accuraat en correct te houden.
 

Juistheid

Een onderwijsinstelling moet alle redelijke maatregelen treffen om onnauwkeurige of onvolledige gegevens te wissen of te verbeteren. Dit betekent dat persoonsgegevens alleen mogen verwerkt worden als ze correct zijn. 
 

Opslagbeperking

De persoonsgegevens mogen niet langer bewaard worden dan nodig. Eenmaal het doeleinde is verwezenlijkt moeten de persoonsgegevens worden verwijderd. In een aantal gevallen mogen de persoonsgegevens wel langer bewaard worden. We denken aan gegevens die verwerkt worden voor wetenschappelijk onderzoek of statistische doeleinden. In deze gevallen moet er voldaan worden aan een aantal voorwaarden, bijvoorbeeld het anonimiseren van de persoonsgegevens. 
 

Integriteit en vertrouwelijkheid 

Een onderwijsinstelling moet de gepaste technische en organisatorische maatregelen nemen om de persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Hiervoor moet er rekening worden gehouden met de stand van de technologie, de uitvoeringskosten, de aard, omvang, doeleinden en context van de verwerking.  
 

Besluit

De beginselen van de GDPR maken duidelijk dat persoonsgegevens belangrijke data zijn. Ga er op een gepaste manier mee om. Een onderwijsinstelling moet niet alleen maar de GDPR naleven, de onderwijsinstelling moet dit ook kunnen aantonen. Men noemt dit de verantwoordingsplicht. 
 

Quiz

Laten we even kijken of je tot nu toe alles hebt begrepen. Beantwoord deze vragen voordat je verder gaat.
Quiz deel 3 GDPR training: https://www.educaplay.com/en/learningresources/4136617/html5/quiz_deel_3_gdpr_training.htm
 
 

6. De rechten van de betrokkene

De GDPR beschrijft een aantal rechten van de betrokkenen. Sommige rechten kwamen al aan bod in de oude wetgeving. Zoals het recht op informatie of het recht op rectificatie. De nieuwe Europese verordening voert nog een aantal nieuwe rechten in.

Betrokkenen worden door de onderwijsinstelling via een privacyverklaring geïnformeerd over de verwerking van hun persoonsgegevens en over de rechten die ze daarbij hebben. Vuistregel is dat als een betrokkene een beroep doet op een van zijn rechten, de school dat verzoek binnen één maand moet afhandelen. Als dat niet lukt, mag deze maand mits motivatie verlengd worden met twee maanden.

Alle verzoeken van een betrokkene i.v.m. zijn rechten moeten gratis worden afgehandeld. Wanneer de verzoeken ongegrond of buitensporig zijn kan de onderwijsinstelling kosten aanreken of weigeren aan het verzoek gevolg te geven. De onderwijsinstelling moet dan wel kunnen aantonen dat de aanvraag ongegrond of buitensporig is.

Is de betrokkene minderjarig, dan oefenen de ouders of voogd de rechten uit. Is de betrokkene meerderjarig, dan oefent de betrokkene zelf zijn rechten uit.

We geven beknopt een overzicht van de verschillende rechten van de betrokkene.

Recht op informatie

Elke betrokkene wiens persoonsgegevens verwerkt wordt, heeft het recht om geïnformeerd te worden. De informatie vertelt over welke persoonsgegevens het gaat en hoe deze verwerkt worden. Het verstrekken van de informatie wordt meestal gedaan met een privacyverklaring. De privacyverklaring moet in een duidelijke en eenvoudige taal worden opgesteld en makkelijk toegankelijk zijn.   

Recht van inzage

De betrokkene heeft het recht om zijn eigen persoonsgegevens in te zien. Hier hoeft geen reden voor te worden gegeven. Het uitgangspunt is dat de betrokkene een (gratis) kopie krijgt van de persoonsgegevens. Een onderwijsinstelling mag de betrokkene ook inzage geven in de systemen (bv. het leerlingvolgsysteem).  
 

Recht op rectificatie

Een betrokkene kan eisen dat zijn onjuiste of niet volledige persoonsgegevens gecorrigeerd worden.
 

Recht op vergetelheid

Een betrokkene kan eisen dat zijn persoonsgegevens worden verwijderd uit de bestanden van de onderwijsinstelling. Er mogen geen persoonsgegevens worden verwijderd die wettelijk moeten worden bijgehouden. Een onderwijsinstelling is wel verplicht om persoonsgegevens te wissen die niet meer noodzakelijk zijn voor de doeleinden, waarvan de rechtsgrond ontbreekt of onrechtmatig zijn verwerkt.  
 

Recht op beperking van de verwerking

Betrokkenen hebben het recht de verwerking van persoonsgegevens te blokkeren of te beperken. De verwerking mag dan alleen nog maar in bepaalde gevallen. Dit kan voorkomen wanneer iemand niet eens is met het gebruik van bepaalde gegevens en een beroep heeft gedaan op rectificatie van die gegevens. De betwiste persoonsgegevens worden dan niet gebruikt door de onderwijsinstelling tot daarover is beslist.
 

Recht op overdraagbaarheid van persoonsgegevens 

Het recht op overdraagbaarheid houdt in dat een betrokkene zijn persoonsgegevens kan meenemen of laten overdragen naar een andere onderwijsinstelling. Het recht geldt enkel voor digitale persoonsgegevens en niet een papieren dossier. Het gaat enkel om gegevens die de betrokkene zelf heeft verstrekt. De betrokkene heeft een recht op een kopie in een gangbare en machine leesbare vorm (bijvoorbeeld CSV, JSON en XML). Daarmee kan een betrokkene naar een andere onderwijsinstelling stappen om zijn gegevens in te laten lezen.   
 

Recht van bezwaar  

Een betrokkene kan bezwaar maken tegen verdere verwerking van persoonsgegevens. Er moet dan wel sprake zijn van omstandigheden die zwaarder wegen dan het belang van de onderwijsinstelling om dpersoonsgegevens van de betrokkene toch te gebruiken. Totdat deze afweging is gemaakt, mag de onderwijsinstelling geen gebruik maken van de persoonsgegevens van de betrokkene. Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, moet de onderwijsinstelling onmiddellijk stoppen met de verwerking.
 

Recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming  

Bij geautomatiseerde besluitvorming neemt een computersysteem een beslissing op basis van een geautomatiseerde verwerking. Betrokkenen hebben het recht om niet te worden onderworpen aan automatische besluitvorming wanneer dit rechtsgevolgen heeft of hen op een andere wijze in aanzienlijke mate treft. 
 

Besluit

Elke onderwijsinstelling heeft een aanspreekpunt informatieveiligheid (AIV). Contacteer het aanspreekpunt indien een betrokkene één van zijn rechten wilt uitoefenen.  
 

Quiz

Laten we even kijken of je tot nu toe alles hebt begrepen. Beantwoord deze vragen voordat je verder gaat.
Quiz deel 4 GDPR training: https://www.educaplay.com/en/learningresources/4167666/html5/quiz_deel_4_gdpr_training.htm
 
 

7. Goede praktijken

De GDPR bepaalt niet alleen onder welke voorwaarden persoonsgegevens mogen worden gebruikt, maar geeft ook aan dat er passende technische en organisatorische maatregelen moeten worden genomen om de persoonsgegevens te beschermen.

Beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens zijn essentiële principes voor informatiebeveiliging.

Alle beveiligingsmaatregelen worden geïmplementeerd om één of meer van deze principes in te vullen. We sommen een aantal goede praktijken op i.v.m. informatieveiligheid.

Laat geen persoonsgegevens rondslingeren

Druk gevoelige persoonsgegevens niet zomaar af. Iedereen kan ze zien en mogelijks misbruiken. Laat geen gevoelige persoonsgegevens op je bureau, in het klaslokaal of in de refter rondslingeren. Stop de gevoelige persoonsgegevens in een map of berg ze op in een kast wanneer je ze niet meer nodig hebt.    

Bescherm je wachtwoord

Schrijf het wachtwoord niet op om het vervolgens op je computerscherm te plakken of ergens in je bureau te verstoppen. Neem in elk wachtwoord kleine letters, hoofdletters, cijfers en speciale karakters op. Hoe langer een wachtwoord, hoe beter. Gebruik een wachtwoordzin om lange wachtwoorden te onthouden.
 

Vergrendel je computer

Als je niet wilt dat iemand bij de bestanden en persoonsgegevens op jouw computer kan, dan is het van belang dat je de computer vergrendelt telkens als je even weggaat. Op een Windows machine kan dit met de toetsencombinatie Windows-logo + L. Op een Mac met Control + Command + Q.
 

Beveilig je mobiele toestellen

Laat je mobiele toestellen nooit achter zonder toezicht. Stel een vergrendeling in. Gebruik bij voorkeur je mobiel toestel niet om gevoelige persoonsgegevens te verzenden.  
 

Versleutel gevoelige persoonsgegevens

Heb je veel gevoelige persoonsgegevens op je computer staan of op een ander apparaat, denk dan aan versleuteling. Zonder de sleutel kan niemand de gegevens lezen. Op een Windows machine kan je versleutelen met BitLocker. Op een Mac met FileVault.
 

Transporteer persoonsgegevens op een veilige manier  

Gebruik bij voorkeur een centraal inlogsysteem om gevoelige persoonsgegevens uit te wisselen. Verstuur nooit persoonsgegevens zomaar naar derden, breng het aanspreekpunt informatieveiligheid hiervan op de hoogte. Het aanspreekpunt kan dan nagaan of de derde de persoonsgegevens wel mag ontvangen.  
 

Verwijder gevoelige persoonsgegevens op de juiste manier  

Gevoelige persoonsgegevens in gedrukte vorm moeten altijd worden versnipperd. Gooi deze nooit simpelweg in een prullenbak. Werp USB-sticks, harde schijven of andere dragers met persoonsgegevens erop nooit weg zonder te controleren of de persoonsgegevens zijn verwijderd.
 

Meld verdachte activiteiten of gegevenslekken  

Ben je op de hoogte van verdachte activiteiten of gegevenslekken, meld dit dan aan het aanspreekpunt informatieveiligheid. De onderwijsinstelling heeft 72 uren de tijd om een gegevenslek te melden aan de toezichthouder. Het is daarom belangrijk dat je iets ongewoons meteen meldt. Bij twijfel, roep het uit!
 

Samenvatting

Help mee de persoonsgegevens van de betrokkenen te beschermen door deze eenvoudige regels na te leven:

  • Gebruik een sterk wachtwoord en deel nooit je wachtwoord.
  • Laat geen gevoelige persoonsgegevens rondslingeren.
  • Versleutel gevoelige persoonsgegevens.
  • Transporteer gevoelige persoonsgegevens op een veilige manier.
  • Verwijder persoonsgegevens op een correcte manier.
  • Meld verdachte activiteiten aan het aanspreekpunt informatieveiligheid.
 

Quiz

Laten we even kijken of je tot nu toe alles hebt begrepen. Beantwoord deze vragen voordat je verder gaat.
Quiz deel 5 GDPR training: https://www.educaplay.com/en/learningresources/4187083/html5/quiz_deel_5_gdpr_training.htm
 
 

8. De GDPR eindquiz

De GDPR eindquiz bestaat uit 15 vragen. Je hebt 10 minuten de tijd om een antwoord te geven op de meerkeuzevragen. Je bent geslaagd als je 70% of meer hebt. Veel plezier met de eindquiz!

De eindquiz: https://www.educaplay.com/en/learningresources/4188769/html5/de_eindquiz.htm