Verslag vergadering Commissie voor Onderwijs
Verslag
Mevrouw Krekels heeft het woord.
Voorzitter, dit is een vraag om uitleg over de beruchte General Data Protection Regulation (GDPR), ook AVG genoemd. Vanaf 25 mei 2018 treedt die AVG in werking. Dat is een nieuwe Europese verordening die regels oplegt om een betere bescherming te waarborgen voor burgers bij het verwerken van hun persoonsgegevens. Ook in het onderwijs zijn er tal van informatiebronnen die persoonsgegevens bevatten, zoals het leerlingvolgsysteem, rapporten en zo meer. De nieuwe regelgeving betekent een grotere verantwoordingsplicht van diegenen die de persoonsgegevens verwerken. De wetgeving legt op dat onderwijsinstellingen een aanspreekpunt moeten aanduiden en een register van verwerkingsactiviteiten moeten bijhouden, en dat scholen een meldplicht hebben bij gegevenslekken. Er zijn nog andere verplichtingen, maar dat zijn enkele ervan.
Minister, hoe schat u de impact in op de onderwijsinstellingen? Zijn de scholen genoeg voorbereid op de nieuwe wetgeving? Welke invloed zal de nieuwe wetgeving hebben op de taakbelasting van schooldirecteurs? Welke maatregelen werden genomen en welke moeten nog worden genomen om de scholen voldoende voor te bereiden op de nieuwe wetgeving? Welke middelen staan er tegenover de uitrol van de nieuwe wetgeving in de onderwijsinstellingen? Hebben alle onderwijsinstellingen een aanspreekpunt aangeduid?
Minister Crevits heeft het woord.
Collega Krekels, de concrete impact verschilt naargelang de concrete situatie. Onderwijsinstellingen die al conform de bestaande wetgeving op de verwerking van persoonsgegevens werkten, hebben een voorsprong. Onderwijsinstellingen verwerken persoonsgegevens van leerlingen en personeelsleden soms op verschillende manieren of via andere applicaties. Nu wordt veel sterker de nadruk gelegd op verantwoording: onderwijsinstellingen moeten kunnen aantonen dat ze gedaan hebben wat redelijkerwijze mogelijk is en dat ze de mogelijke risico’s juist kunnen inschatten.
Via de nieuwsbrief ‘Schooldirect’ heeft mijn administratie een brochure speciaal voor onderwijs rondgestuurd, met als titel ‘In 7 stappen naar gegevensbescherming in het onderwijs’. Die brochure is ook terug te vinden op de website van de onderwijsadministratie, van KlasCement en van de Privacycommissie. Bij de nieuwsbrief was er ook een brief van de voorzitter van de Privacycommissie aan de directies toegevoegd, waarin hij meedeelt dat het niet de bedoeling is om scholen onmiddellijk, vanaf de inwerkingtreding van de nieuwe wetgeving, op tekortkomingen te wijzen. De brochure maakt deel uit van een reeks initiatieven afgesproken met de onderwijskoepels ter ondersteuning van onderwijsinstellingen, naast generieke initiatieven die voor alle organisaties bruikbaar zijn. Tijdens de Ronde van Vlaanderen voor schooldirecties zal de voorzitter van de Privacycommissie toelichting geven over de privacywetgeving omdat we het zeer belangrijk vinden dat iedereen daar zeer goed van op de hoogte is. Er zijn ook lespakketten beschikbaar gesteld voor kinderen en scholen, via het jongerenplatform ‘ik beslis’ van de Privacycommissie. Deze educatieve pakketten laten jongeren spelenderwijs kennismaken met de basisprincipes van de nieuwe Databeschermingswet.
Met de lopende initiatieven kunnen scholen zich voldoende voorbereiden op de nieuwe wetgeving. Het is wel belangrijk dat onderwijsinstellingen ook na mei 2018 continu werken aan de bescherming van soms gevoelige gegevens over leerlingen en personeelsleden. De realiteit bewijst dat informatieveiligheid geen overbodige luxe is.
Naast bovengenoemde sensibilisering en ondersteuning is er ook nog ondersteuning door onder meer de Privacycommissie, zoals de brochure ‘Bereid je voor in 13 stappen’ en het modelregister. Deze ondersteuning stelt de onderwijsinstellingen in staat om te bepalen welke maatregelen concreet worden genomen en om zich voor te bereiden. Nieuwe punten uit de Algemene Verordening Gegevensbescherming zijn in ieder geval het register, de aanstelling van een ‘data protection officer’, de verwerkersovereenkomst, de behandeling van datalekken, de gegevensbescherming door ontwerp en de gegevensbeschermingseffectbeoordeling. Naarmate er meer duidelijkheid komt, bijvoorbeeld door federale wetgeving en andere initiatieven, kunnen we indien nodig nog bijkomende maatregelen nemen.
Wat is de invloed daarvan op de taakbelasting van de schooldirecteurs? Op zich zal de schooldirecteur daar eerder een beperkte invloed van ondervinden. We verwachten dat de schooldirecteur ontlast wordt door enerzijds bovenstaande ondersteuning en anderzijds door de ondersteuning door personeelsleden met meer kennis van informatieveiligheid, zoals de ICT-coördinator of het aanspreekpunt. Het aanspreekpunt zou idealiter de aard van de data waarover een onderwijsinstelling beschikt en de datastromen binnen de onderwijsinstelling moeten kennen. Het aanspreekpunt treedt op als contactpersoon voor de functionaris voor gegevensbescherming van de onderwijskoepels. Onderwijsinstellingen kunnen dus terecht bij de ‘data protection officer’ van hun onderwijsnet, die daar een bijzondere bevoegdheid in heeft. Onderwijsinstellingen van het gemeentelijk en provinciaal onderwijs kunnen terecht bij de informatieveiligheidsconsulent of de ‘data protection officer’ van de gemeente of provincie.
Enkele onderwijskoepels bieden ook specifieke opleidingstrajecten aan voor de aanspreekpunten. Naast informatieverschaffing en opleidingen werken de onderwijskoepels in samenwerking met de Privacycommissie en de Vlaamse Toezichtcommissie aan verschillende initiatieven om de taakbelasting van schooldirecteurs zo veel mogelijk te verlichten. Ik geef daar een paar voorbeelden van: er komt een modelregister van verwerkingsactiviteiten; er lopen onderhandelingen met softwareleveranciers om een model van verwerkersovereenkomst op te stellen; scholen kunnen ook steeds terecht bij hun onderwijskoepels voor allerlei voorbeelddocumenten.
Welke middelen staan daartegenover? Er komen geen bijkomende financiële middelen voor de toepassing van de Algemene Verordening Gegevensbescherming, net zo min als voor andere non-profitorganisaties of voor andere verplichtingen uit onderwijsvreemde regelgeving.
De onderwijsadministratie houdt niet bij hoeveel scholen al een aanspreekpunt hebben aangeduid. Maar nog eens, u weet dat wij in mei alle directeurs zien. Dat is traditioneel elk jaar zo. Dan zal daar heel specifiek aandacht aan worden besteed. We zijn ook een traject aan het lopen met de koepels en het net om te zorgen dat ze zo veel mogelijk ondersteuning bieden aan de scholen.
Mevrouw Krekels heeft het woord.
Ik zal deze evolutie al zeker verder afwachten. Vanuit de ondersteuningsnetwerken kreeg ik naar aanleiding van het stellen van de vraag een bijkomende bezorgdheid. Zij vergaren ook heel veel gegevens vanuit verschillende scholen. Wie zal de verantwoordelijkheid nemen over de hele organisatie rond die persoonsgegevens? Krijgt de contactschool dat erbij? Zal dat het aanspreekpunt zijn van de buitengewoononderwijsschool waarmee de school verbonden is? Wie zal daar de eindverantwoordelijke zijn? Wat met de termijnen? Er moet nu heel duidelijk worden gesteld over welke termijn men de persoonsgegevens bijhoudt. Men vraagt hoe men dat gaat bepalen binnen die ondersteuningsnetwerken. Het is heel flexibel. Men kan hulp krijgen. Die kan worden stopgezet na een of twee jaar. Als die hulp nodig is, dan kan men opnieuw ondersteuning krijgen. Zijn die gegevens dan nog beschikbaar of niet? Hoe gaat men dat organiseren?
De heer Daniëls heeft het woord.
De vragen van collega Krekels zijn echt heel terecht. De mensen op het terrein zijn daarmee bezig. We zitten met een kwestie wat de General Data Protection Regulation (GDPR) voorschrijft enerzijds en de operationele werking met gezond boerenverstand anderzijds. Is er door de administratie een vertaling van de GDPR voor de scholen gemaakt om te weten hoe ze dat moeten interpreteren? Als iedereen dat zelf moet gaan doen … (Opmerkingen van minister Hilde Crevits)
U hebt dat beantwoord, maar ik stel vast dat scholen daar niet goed van op de hoogte zijn en dat er toch nog hiaten in zitten. Wordt dat bijgewerkt naar de laatste stand van zaken?
Minister, het is vrij logisch dat directies en schoolbesturen minder vertrouwd zijn met onderwijsvreemde wetgeving. Dat is veelal een bijkomende zorg en soms ook bijkomende planlast in het algemeen. Mijn vraag is of de gewijzigde wetgeving in verband met de gegevensbescherming inderdaad zorgt voor zoveel extra planlast. Ik heb met een schoolbestuur gesproken om dit eventjes af te toetsen. Mensen die in het verleden reeds regelgeving ter zake volgden, wijzen mij erop dat deze nieuwe regelgeving niet onmiddellijk zorgt voor zo heel veel bijkomende planlast. Is dit een juiste inschatting of hebben ze dit verkeerd geïnterpreteerd?
Minister Crevits heeft het woord.
Ik verwijs nog eens naar wat ik daarnet heb gezegd. De Algemene Verordening Gegevensbescherming bekommert mij zeer ten aanzien van de scholen omdat dit opnieuw onderwijsvreemde regelgeving is waar scholen mee moeten omgaan. Dat is de reden waarom we op onze ronde in mei dit punt prioritair bespreken. Alle scholen van basis- en secundair onderwijs zullen uitleg krijgen. We hebben de modeldocumenten al en we gaan ze dan nog eens meegeven over wat wel en wat niet moet. Ik heb gezegd dat ook de koepels daar een bijzondere verantwoordelijkheid in hebben en ook het net en de provinciale en gemeentelijke aanknopingspunten.
Wat collega Daniëls zegt, klopt. Niet elke directeur is daarmee vertrouwd. Maar wij voorzien echt wel in heel veel mogelijkheden om ermee vertrouwd te worden. De vis moet ook willen bijten. Je mag niet zomaar zeggen dat dit extra planlast is. U hebt dat ook niet gezegd. Het is een kans om orde op zaken te stellen en goed af te bakenen wat je moet doen.
Voorzitter, uw opmerking is terecht. We zijn die oefening echt wel aan het doen. Er zijn publicaties. Collega Krekels, u hebt er ook naar verwezen. Als er nog extra duiding mogelijk is, zal die ook komen. Ik kan die wetgeving natuurlijk niet afschaffen. Het is ook noodzakelijk. Het is een heel gevoelig thema.
Ik heb nog een uitsmijter. Ik heb de mensen van het Agentschap voor Infrastructuur in het Onderwijs (AGION), eens een oefening laten maken om te bekijken waar de knelpunten zitten als bijvoorbeeld Welzijn en Onderwijs samen zouden willen bouwen. Wij hebben eens te meer vastgesteld dat de onderwijsregelgeving voor niets een knelpunt is. Ook al zijn er veel regels in onderwijs, we zijn regelluw als men samen wil bouwen. De knelpunten zitten meestal elders. We moeten daar heel veel zorg voor dragen, want dat bezwaart scholen heel fel.
Denk aan de regelgeving in onze beroepsscholen inzake veiligheid op het werk. Het is echt van belang. We nemen initiatieven om te bekijken of we daar niet tot wat regelluwte kunnen komen zonder dat de veiligheid in het gedrang komt. Hier kan ik dat niet doen, we moeten die verordening correct en zo sober mogelijk interpreteren. Ik vind wel dat onze administratie daar heel goed rond werkt en scholen daarin goed zal begeleiden. We zijn ook op voorhand gestart.
Weet – ik ben daar mijn antwoord ook mee begonnen – dat het niet de bedoeling is om onmiddellijk scholen te pakken. We willen er een geleidelijke evolutie van maken, maar het is wel van belang natuurlijk dat scholen er bewust mee omgaan.
De reden voor mijn vraag was natuurlijk een beetje de angst voor de reikwijdte van de wet en, inderdaad, wat dat met zich meebrengt. We hebben al dikwijls gediscussieerd over de privacy en het doorgeven van gegevens vanuit de school naar het CLB en dan de netwerken erbij. Wie mag wat doorgeven? Wat mag niet? Ik ben een beetje bang dat men nu door deze extra druk opnieuw een beetje gaat twijfelen of men bepaalde gegevens vanuit het CLB naar de school of omgekeerd mag doorgeven. Laat ons erover waken dat we geen stap achteruit zetten inzake het doorgeven van gegevens die echt wel belangrijk zijn voor de schoolcarrière van het kind.
Omtrent de bijeenkomst in mei, minister, wil ik u vragen om de nodige aandacht te besteden aan de aanpak hiervan door de netwerken.
De vraag om uitleg is afgehandeld.