School veroordeeld tot het nemen van beleidsmaatregelen in het kader van de GDPR (Mr. Franklin)

Privacy & Gegevensbescherming | 11 september 2023

Auteurs: Jade Claessens en Olivier Sustronck (Mr. Franklin)

Met het nieuwe schooljaar voor de deur sprak de Gegevensbeschermingsautoriteit (GBA) zich op 9 augustus 2023 uit over een klacht die was neergelegd tegen een gemeentelijke secundaire school. Bepaalde documenten die gevoelige persoonsgegevens bevatten, namelijk tuchtverslagen en een leerlingenbevraging, waren ongevraagd op het online schoolplatform geplaatst. De GBA sprak zich uit over de conformiteit hiervan met de Algemene Verordening Gegevensbescherming (GDPR).

De feiten

In juni 2018 werd er een klacht ingediend tegen de school door twee afzonderlijke klagers. De klacht betrof twee incidenten, waarbij persoonsgegevens waren vrijgegeven op Smartschool zonder toestemming van de klagers. Volgens hen was er dan ook sprake van een schending van de GDPR. De gemeente werd hiervoor aangesproken omwille van de inrichtende macht over de school, wat de gemeente tot verwerkingsverantwoordelijke van de betrokken persoonsgegevens maakt (artikel 4, 7) GDPR).

Het eerste incident betrof het publiceren van tuchtverslagen uit 2015 met betrekking tot een leerkracht, één van de klagers. Aangezien deze verslagen belastende verklaringen bevatten, is er sprake van gevoelige informatie over de leerkracht in kwestie. Hoewel deze tuchtbeslissing later vernietigd werd, heeft er geen publicatie plaatsgevonden van de vernietigingsbeslissing.

Het tweede incident betrof een leerlingenbevraging uit 2017 die op Smartschool werd geplaatst in januari 2018. Een leerling merkte onmiddellijk de publicatie van deze persoonlijke bevraging op en meldde dit aan de school, waarop de enquête diezelfde dag nog offline werd gehaald.

Beide klagers hebben de school aangesproken via een aangetekend schrijven. Hierin wensen ze een compensatie voor de geleden schade en de verwijdering van de tuchtverslagen. De school bracht de gemeente hiervan op de hoogte en verwijderde de tuchtverslagen van Smartschool, zonder verdere erkenning van de nadelige gevolgen. Als reactie hierop dienden de klagers een klacht in bij de GBA om de vordering tot schadevergoeding vervuld te zien.

Toepassing van de GDPR op de incidenten

Nadat de Inspectiedienst van de GBA een grondig onderzoek had uitgevoerd, besloot de GBA akkoord te gaan met het argument van de gemeente dat stelt dat de GDPR niet van toepassing is op de twee incidenten. Namelijk, de gegevensverwerkingen van beide incidenten dateren van voor 25 mei 2018, ofwel de inwerkingtreding van de GDPR. Deze klacht zal hierdoor geseponeerd worden.

Schendingen van de GDPR

Buiten de klacht zijn er wel enkele vaststellingen gedaan door de Inspectiedienst met betrekking tot het GDPR-conform handelen van de school. Verscheidene schendingen hebben zich voorgedaan tussen de inwerkingtreding van de GDPR en het indienen van de klacht.

Vooreerst is er onduidelijkheid over de identiteit van de data protection officer of functionaris voor gegevensbescherming (hierne DPO) binnen de school: er is dan ook geen aanstelling gebeurd bij de bevoegde autoriteit, wat wel verplicht is gesteld in de GDPR (artikel 37, lid 1, a en 37, lid 7 GDPR). Ook de opvolging van de taken van de DPO wordt niet adequaat gedaan (artikel 39, lid 1 GDPR,).

Verder is er onvoldoende registratie van incidenten door de school, wat de verantwoordingsplicht schendt (artikel 5, lid 2 GDPR). Deze registratieplicht is zeker van belang in het geval van een educatieve instelling met veel omvang, waarvan de leerlingen minderjarig zijn en als kwetsbare personen moeten worden beschouwd volgens de GDPR (artikel 9, lid 1 GDPR).

Ten laatste is er nog een schending van de informatieplicht vastgesteld (artikel 13 GDPR), aangezien er geen duidelijke verwijzing naar de gegevens van de verwerkingsverantwoordelijke opgenomen was in de privacyverklaring. Hoewel dit werd rechtgezet door de school in november 2019, blijft de eerdere inbreuk bestaan.

Om deze schendingen aan te pakken, beveelt de Geschillenkamer van de GBA het opstellen van een actieplan aan de school, waarbij rekening gehouden moet worden met enkele aspecten: de correcte aanstelling van een DPO, de goede monitoring van de taken van de DPO, het opstellen van interne beleidsmaatregelen en de naleving van de informatieplicht. De school moet het concreet actieplan voorleggen aan de GBA binnen drie maanden na mededeling van deze beslissing.

Conclusie

In het geval van de twee genoemde incidenten was er geen sprake van een schending van de GDPR, aangezien de toepasselijke bepalingen nog niet in werking waren getreden op het moment van de betwiste gegevensverwerkingen. Echter, het is toch relevant om als school stil te staan bij de naleving van de GDPR op vlak van dagelijkse activiteiten.

De besproken beslissing van de GBA wijst op het belang van de aanstelling van een DPO. Bovendien is het vereist om voldoende interne beleidsmaatregelen op te stellen als school, waaronder het bijhouden van een incidentenregister, een procedure rond rechten van betrokkenen en een veiligheidsbeleid, doordat scholen een grote hoeveelheid persoonsgegevens verwerken van minderjarige leerlingen en er veel gegevens intern en extern gedeeld worden. Ten slotte moet steeds open en duidelijk gecommuniceerd worden omtrent het gevoerde beleid, om zo de informatieplicht correct na te leven.