Wanneer onderwijsinstellingen, centra of internaten persoonsgegevens uitwisselen met andere Vlaamse instanties zoals het Ministerie van Onderwijs en Vorming, De Lijn enz. is men als schoolbestuur wettelijk verplicht om een protocol af te sluiten met die instantie. Dergelijke uitwisselingen gebeuren veelvuldig. Bijgevolg zou telkens moeten onderhandeld worden over het af te sluiten protocol voor steeds dezelfde of gelijkaardige uitwisselingen. Om deze planlast te reduceren, heeft OVSG in samenwerking met de andere onderwijsverstrekkers en de VTC (Vlaamse toezichtcommissie voor verwerking van persoonsgegevens) een vereenvoudigde procedure met algemene protocollen uitgewerkt.
Elke elektronische mededeling van persoonsgegevens door een instantie naar een andere instantie of naar een externe overheid vereist een protocol, gesloten tussen de betreffende instanties.
De gemeente als schoolbestuur en onze gemeentelijke basisscholen doen veelvuldig dergelijke mededelingen naar instanties zoals het Ministerie van Onderwijs en Vorming (bv. AGODI), onderwijsinspectie, CLB, ondersteuningsnetwerk, scholengemeenschap, LOP, De Lijn… en vice versa.
Deze mededelingen vloeien hoofdzakelijk voort uit reglementaire bepalingen en hebben aldus een wettelijke grondslag.
Het Ministerie van Onderwijs en Vorming, de onderwijskoepels en het GO! hebben in samenwerking met de Vlaamse toezichtcommissie voor de verwerking van persoonsgegevens, omwille van administratieve vereenvoudiging en planlastvermindering, algemene protocollen ontwikkeld die voor alle onderwijsinstellingen gelden.
Omwille van dezelfde redenen wordt voorzien in een vereenvoudigde procedure waarbij de onderwijskoepels kunnen worden gemandateerd om na de onderhandelingen zowel hun DPO het advies te laten verlenen als het algemeen protocol te ondertekenen, in naam en voor rekening van de schoolbesturen.
Als schoolbestuur hebben we na de ondertekening door de (gemandateerde) partijen drie maanden de tijd om alsnog het algemeen protocol te verwerpen na een negatief advies van de eigen DPO (opt-out).
OVSG stelde een brief en document op (zie bijlage en online beschikbaar op www.ovsg.be) waarin alle principes van deze vereenvoudigde procedure en mandatering worden uiteengezet, met inbegrip van de mogelijkheid tot opt-out.
In de brieven van de VTC (advies ref. VTC/O/2019/01 en ref. VTC/O/2019/07) wordt de werkwijze met een vereenvoudigde procedure voor de totstandkoming van algemene protocollen en bijbehorende mandatering aan OVSG bevestigd.
Deze werkwijze werd tevens goedgekeurd in de Werkgroep Informatieveiligheid VVSG van 25 november 2019.
Het schoolbestuur blijft als verwerkingsverantwoordelijke van de onderwijsinstelling gebonden door de bepalingen opgenomen in het protocol, inclusief de beveiligingsmaatregelen.
Het schoolbestuur moet beschikken over een functionaris voor gegevensbescherming (DPO) die aangemeld is bij de VTC en beschikt over een goedgekeurd informatieveiligheidsplan.
Het vermelde advies VTC ref. VTC/O/2019/07 wijst er op dat de betreffende gegevensuitwisseling expliciet opgenomen moet worden in het register van verwerkingsactiviteiten, met verwijzing naar de maatregelen die worden voorzien in het algemeen protocol.
Het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer, artikel 8.
De gemeenteraad verklaart zich akkoord met het principe van de mandatering en de verklaring op eer.
De gemeenteraad machtigt OVSG om te onderhandelen over het algemeen protocol.
De gemeenteraad machtigt de DPO van OVSG, de Onderwijsvereniging van Steden en Gemeenten, om het verplicht advies te verlenen.
De gemeenteraad machtigt de algemeen directeur van OVSG, de Onderwijskoepel van Steden en Gemeenten, om het protocol in naam en voor rekening van het schoolbestuur te ondertekenen.
De gemeenteraad belast het college van burgemeester en schepenen met de beslissing over het al dan niet goedkeuren van het algemene protocol en de verdere uitvoering indien van toepassing.