Mediawijs onderwijs #4

Privacy … hoe worden onze gegevens beschermd? Hoe moeten wij gegevens van anderen beschermen?

Heb jij al gehoord van de GDPR? GDPR staat voor General Data Protection Regulation (of AVG in het Nederlands: Algemene Verordening Gegevensbescherming). Je kan het kort samenvatten als de nieuwe Europese regelgeving rond het beschermen van persoonlijke gegevens. Vanaf 25 mei 2018 gaat ze effectief in voege. Maar wat betekent dit voor jouw klas of school?

Eerst even meegeven dat de GDPR geen totaal nieuwe wetgeving is, het is een herziening van de wetgeving uit 1995, aangepast aan de nieuwe technologieën en onze huidige samenleving. Er zal wel veel strenger toegekeken worden op de uitvoering van deze nieuwe wetgeving. Ook nieuw is dat alle organisaties (van overheden, tot vzw’s, dus zeker ook scholen) onder deze wetgeving vallen en zelf verantwoordelijk zijn voor de uitvoering hiervan. 

Hoe pak je het aan?

1. Een data protection officer (DPO)

De DPO is een persoon die verantwoordelijk is voor het privacybeleid. Alle organisaties moeten een DPO aanstellen. Binnen de verschillende onderwijskoepels wordt gekeken hoe dit aangepakt zal worden. Vraag dus zeker na of dit iemand zal zijn die regionaal werkt, per scholengemeenschap, of per school … Het privacybeleid moet samen met deze DPO uitgezet worden. Zorg ervoor dat iedereen weet wie de DPO voor jouw school is, zodat hij/zij aangesproken kan worden als er vragen zijn.

2. Bewustmaking

Zorg ervoor dat iedereen op de hoogte is van de GDPR: plan een informatiemoment op een algemene vergadering. Elk personeelslid moet weten welke invloed de GDPR heeft op het privacybeleid van jouw school en zich ook bewust zijn van het privacybeleid. Dit kan door het privacybeleid zo transparant mogelijk te maken. 

3. Maak een inventaris

Maak een duidelijk overzicht over wie welke gegevens hoe, waar en voor hoe lang verwerkt. Is het echt nodig om al deze gegevens te bewaren? Hou gegevens niet langer bij dan noodzakelijk. De GDPR stelt dat enkel het minimum aan gegevens bewaard mag worden, het is aan de organisatie zelf om verantwoord op te stellen wat het minimum is. Beschrijf ook hoe je de persoonsgegevens deelt tussen collega’s, met andere organisaties … 

4. Omschrijf de doeleindes

Beschrijf waarom je persoonsgegevens verzamelt. Schrap de gegevens die je eigenlijk niet nodig hebt voor het uitvoeren van je activiteiten. 

5. Wettelijke basis

De GDPR somt 6 doeleinden op die de verwerking van persoonsgegevens kunnen rechtvaardigen:

  1. Contractuele basis
  2. Wettelijke verplichting
  3. Algemeen belang of openbaar gezag
  4. Vitaal belang (bv. dringende medische reden)
  5. Gerechtvaardigd belang (de activiteit is anders niet uitvoerbaar) 
  6. Ondubbelzinnige toestemming

De eerste drie zijn de meest voorkomende. Vallen je doeleinden hier niet onder? Dan moet je ALTIJD toestemming vragen.

6. Beveiliging

Voorzie organisatorische én technische maatregelen om de gegevens te beschermen.  Een voorbeeld van een organisatorische maatregel is een degelijk paswoordenbeleid: hang de paswoorden niet naast de pc. Zorg ook dat gegevens, bv. klaslijsten nergens rondslingeren. De ICT beveiliging (een veilig netwerk e.d.) kan best door een specialist opgezet worden. Zorg ervoor dat partners met wie je persoonsgegevens deelt ook de GDPR toepassen

7. Rechten van de betrokkenen

Schrijf in korte procedures uit hoe je omgaat met de rechten van de betrokkenen. Zij kunnen steeds informatie vragen, of inzage, aanpassing, vergetelheid, hun toestemming intrekken en profilering weigeren. Schrijf dit uit in de privacyverklaring. 

8. De privacyverklaring

Informeer de betrokkenen duidelijk en zonder ze er om moesten vragen. Laat weten waarom je de gegevens vraagt, hoelang je ze bijhoudt en of je ze doorgeeft aan derden. Laat ook weten waar ze met hun vragen, of opmerkingen terecht kunnen (zie punt 7). Geef de privacyverklaring mee bij het eerste contact, zodat ze hiermee akkoord kunnen gaan.

9. Een register

Heb je alle bovenstaande stappen uitgevoerd? Dan heb je een start om je register bij te houden. Elke verandering die je doorvoert op het vlak van privacy moet je bijhouden. Of het nu om een nieuw ICT systeem gaat, of om een verandering in de privacyverklaring. Dit register is het eerste document de dat privacycomissie zal opvragen bij klacht of controle

10. Toch een datalek?

Als er een verlies van data is (hacking, verlies van laptop … ) moet je weten wie je moet informeren. Je bent namelijk verplicht dit binnen de 72 uur te melden aan de privacycommissie. Als het risico voor de betrokkenen personen ook groot is, moet je hen ook op de hoogte brengen. Zo kunnen de nodige voorzorgsmaatregelen genomen worden. 

12. Portretrecht en auteursrecht

Deze rechten zijn net zoals de GDPR verbonden aan privacy. Kort door de bocht komt het hier op neer: 

  1. Alle uitgevoerde ideeën (foto’s, teksten, werkblaadjes …) zijn automatisch beschermd door auteursrecht. Gebruik je iets van iets dat iemand anders bedacht? Vraag altijd toestemming, of betaal ervoor om het te gebruiken! 
  2. Je mag geen foto’s nemen zonder de toestemming van de personen die op de foto staan. Voor kinderen zijn het de ouders, of wettelijke voogd die die toestemming moet geven. Voor het publiceren heb je zelfs een extra toestemming nodig. Hoe moet je dit aanpakken?
    1. Vraag toestemming om de foto te maken
    2. Vraag toestemming om de foto te publiceren (zeg altijd op welke kanalen je de foto wil publiceren (Facebook, website, foldertje …)
    3. Voor elke kanaal moet afzonderlijk toestemming gevraagd worden
    4. Laten aanvinken dat je niet akkoord gaat mag niet. Je moet uitdrukkelijk aanduiden dat er wel foto’s genomen mogen worden, anders mag het niet.

 

11. Als je je niet aan de GDPR houdt?

Als je, al dan niet bewust, een inbreuk pleegt tegen de GDPR wordt er een onderzoek ingesteld en kan je strafrechtelijk vervolgd worden. Dit resulteert in boetes die kunnen oplopen tot € 10 miljoen. 

Conclusie

Er komt een hele brok op je organisatie af, maar laat je hierdoor niet afschrikken. Maak een goed overzicht van de verwerking van je persoonsgegevens, denk erover welke je echt nodig hebt en welke niet. Tref maatregelen waar nodig om deze goed te beschermen. Maak een goede privacyverklaring en hou je register bij.

Veel succes met de GDPR!

Lees hier de vorige blogpost over Mediawijs onderwijs. 

Afbeeldingsresultaat voor mediacoach


Deel op...


Lees verder...

Mediawijs onderwijs #6

Adobe Spark Adobe Spark is een goede tool om digitaal verhalen te vertellen. In de praktijk is het dan ook…

Lees meer

App in de kijker: ErfgoedApp

Ga jij er wel eens op uit in Vlaanderen of Brussel? Hou jij van citytripjes in eigen land? Dan is…

Lees meer