De GDPR in de ouderwerking

Zoeken

Dit document is enkel zichtbaar voor leden van de VCOV.
Word nu lid
De GDPR in de ouderwerking

De GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) is de wetgeving rond de bescherming van persoonsgegevens in ruime zin. 

De regels zijn van toepassing op iedereen die persoonsgegevens verwerkt. Onder 'persoonsgegevens' valt elk stuk informatie dat toelaat om rechtstreeks of onrechtstreeks een persoon te identificeren. Onder 'verwerken' valt verzamelen, opslaan, raadplegen, verspreiden… Kortom: alles wat je met gegevens doet.

Ook de ouderwerking wordt gevat door de GDPR! Een officiële ouderraad valt juridisch onder het schoolbestuur. Overleg met schoolbestuur en/of directie om de verwerking van gegevens op elkaar af te stemmen is dus zeker aangewezen. Een feitelijke vereniging (bijv. een oudercomité) is zelf verantwoordelijk.


Is er reden tot paniek?

Er is geen reden tot paniek, maar de GDPR vraagt toch wel de nodige aandacht en brengt extra werk met zich mee.

De belangrijkste doelstelling is dat je bewust omgaat met gegevens, mensen informeert en sensibiliseert. Het is een oefening waarbij je de verwerking van persoonsgegevens in vraag moet stellen: hoe zou je zelf willen dat iemand anders met jouw gegevens zou omgaan? Wees ook transparant naar de personen wiens gegevens je verwerkt. Ze moeten weten wat je met hun gegevens doet, waarom je ze verwerkt en wat hun rechten zijn.


Volstaat een standaarddocument?

Helaas bestaat er geen standaarddocument dat ieder kan invullen en klaar is kees. Iedere vereniging of organisatie is anders, werkt met een ander soort gegevens, heeft andere IT en verschilt wat financiële mogelijkheden betreft. Daarom is het belangrijk dat je nadenkt over de manier waarop je gegevens verwerkt, dat je bekijkt of het niet beter kan, dat je anderen informeert en sensibiliseert.


De GDPR-start-up

Belangrijk is om op papier te kunnen bewijzen dat je er alles aan gedaan hebt om zorgvuldig met data om te gaan als er problemen zouden ontstaan:

  • logboek: wat en wanneer je iets gedaan hebt in het kader van de GDPR
  • dataregister met beschrijving van al de data
  • privacyverklaring (is vooral voor externen)
  • informatienota naar eigen vrijwilligers (vooral intern)
  • policies (interne regels en adviezen over de manier waarop je ouderwerking omgaat met data)
  • stappenplan datalek

Hoe gedocumenteerd dit moet zijn, is vooral afhankelijk van de hoeveelheid data.

Verschillende van deze documenten zijn ook niet nieuw. Ze moeten nu vooral transparanter en gedetailleerder.

Deze denkoefening is niet éénmalig. Het zou een continu proces moeten worden.

Het is belangrijk dat je altijd kan bewijzen dat je alle moeite hebt gedaan om zorgvuldig met persoonsgegevens om te gaan.

Wat we je zeker afraden is het verwerken van privacy gevoelige gegevens: etniciteit, religie, seksuele voorkeur, burgerlijke staat, medische gegevens, gegevens van minderjarigen…

Als je gevoelige gegevens bijhoudt, moet je een DPO (Data Protection Officer) aanstellen. Deze is verplicht een opleiding te volgen.


Potentiële risico's

Misschien vraag je je af of deze nieuwe regels nu allemaal wel nodig zijn... We bekijken het omgaan met andermans gegevens nu eenmaal (nog) niet op dezelfde manier als het gebruiken van iemands auto. Het onzorgvuldig verwerken van gegevens kan echter zware gevolgen hebben.

Enkele voorbeelden:

  • Op een vergadering van de ouderwerking komt het thema pesten aan bod. Een ouder vertelt dat het eigen kind gepest wordt. Je verwijst de ouder dan best naar de klasleraar, zorgcoördinator of directeur. In het verslag worden in ieder geval geen namen vermeld!
  • In het leraarslokaal wordt een foto genomen van de ouderwerking. Toevallig wordt het bord op de achtergrond mee gefotografeerd. Hierop staat genoteerd dat een bepaalde leerling enkel afgehaald mag worden door mama omdat de ouders in een vechtscheiding verwikkeld zijn.
  • Alle verslagen en documenten van de ouderwerking worden bewaard op een USB-stick. Ook de ledenlijst, lijst met helpende handen, leden van de verschillende werkgroepen... Als er geen versleuteling of wachtwoord op de stick staat, heeft ieder die de stick in handen zou krijgen toegang tot de contactgegevens van de leden, foto's van activiteiten...
  • De inschrijvingslijst voor een eetfestijn ligt bij het onthaal zodat kan nagegaan worden wie wat bestelde. Als hier ook de mailadressen op vermeld zijn, is dit een interessante lijst voor de reclamesector! Met een smartphone is een foto vlug gemaakt.
  • De ouderwerking maakt jaarlijks een lijst op met de contactgegevens van de ouders per klas. Heel handig als je kind een werkboek op school vergeten is of als je wil afspreken voor een groepswerk, maar deze info mag niet verspreid worden zonder uitdrukkelijke toestemming.
  • Ook voor het gebruiken van foto's op de website, in de nieuwsbrief, op facebook... is de uitdrukkelijke toestemming nodig.

Sommige voorbeelden lijken misschien vergezocht of onrealistisch, maar voorkomen is beter dan genezen! Als er zich een probleem zou voordoen en je kan niet bewijzen dat je zorgvuldig met de data bent omgegaan, volgen er mogelijk sancties en boetes. De eventuele persoonlijke gevolgen voor de betrokkenen zijn vaak niet gering. Misbruik van persoonlijke gegevens moet voorkomen worden, hoe klein het risico ook lijkt.