E-leren en GDPR: van databeheer tot monsterboete

Laten we om te beginnen de term ontleden. GDPR staat voor General Data Protection Regulation. Of, in het Nederlands: de Algemene Verordening Gegevensbescherming (AVG). AVG wordt in de praktijk weinig gebruikt, zowat iedereen spreekt van GDPR.  

GDPR is het geheel aan regels om de gegevens van Europese burgers te beschermen. Door die privacywetgeving vallen alle Europese lidstaten onder dezelfde privacybeschermingswet. De GDPR is geen richtlijn, maar een verordening: de tekst wordt overal op exact dezelfde wijze toegepast.  

De GDPR garandeert een betere bescherming aan natuurlijke personen bij de verwerking van hun persoonlijke gegevens.  

Concreet moeten alle overheden, bedrijven en andere organisaties die persoonsgegevens verzamelen (en dat gebeurt al snel), voldoen aan de nieuwe set regels van de GDPR. Ook niet-Europese bedrijven die, bijvoorbeeld, verkopen in Europa. Zo hebben alle Europese burgers meer controle over hun persoonsgegevens.  

Die set regels bepaalt dat:  

• de persoonlijke gegevens van alle Europese burgers beschermd zijn; 
• er maatregelen bestaan tegen hackers en datalekken; 
• er procedures zijn voor dataverzameling en -opslag;  
• je toestemming moet vragen om gegevens te verzamelen en te gebruiken; 
• burgers het recht hebben om ‘vergeten’ te worden; 
• verhoogde beveiligingsmaatregelen mogelijk zijn; 
• een datalek binnen 72u gemeld moet worden; 
• toezichthoudende autoriteiten boetes kunnen opleggen; 
• je een een Data Protection Officer (DPO) moet aanstellen, een verwerkingsregister moet bijhouden… Een duidelijk informatieveiligheidsbeleid voeren, eigenlijk. 

Maar waarop is de GDPR van toepassing? En waarmee houd jij als opleidingsverstrekker best rekening? 

GDPR is van toepassing op alle automatische en digitale verwerkingen van persoonsgegevens.  

Maar wat verstaat men precies onder persoonsgegevens? Simpel, alle informatie die betrekking heeft op een persoon: de naam, het adres, e-mailadressen en foto’s. Maar tevens bankgegevens, posts op sociale media, locatiegegevens, medische info, IP-adressen... Ook bijvoorbeeld voorkeuren (eet vegetarisch, werkt van thuis uit…) vallen onder GDPR.  

Er bestaat trouwens geen onderscheid tussen persoonsgegevens van privépersonen, personen bij bedrijven of publieke personen. Ook achter zakelijke communicatie tussen bedrijven zit een mens van vlees en bloed. Dus bij B2B geldt eveneens de GDPR.  

Elk bedrijf moet bijzonder transparant zijn over GDPR. Zo moet je duidelijk aantonen hoe je gegevens verzamelt en verwerkt. Daarnaast ben je verplicht om binnen de 72 uur een datalek te melden en moet je klanten autonomie geven over hun gegevens. Wil een klant dat er gegevens gewist of overgedragen worden, dan mag je dat niet weigeren.  

Wil je conform de GDPR werken, dan heb je je aan een aantal principes te houden: 

• Verwerk alleen persoonsgegevens voor welbepaalde, gerechtvaardigde doelen. Het is niet omdat je administratie het thuisadres kent van alle cursisten, dat je dat adres zomaar kan doorspelen aan anderen. Je hebt hun toestemming nodig om die gegevens te verspreiden.  
• Wees transparant. Leg duidelijk en volledig uit wat er met de persoonsgegevens zal gebeuren. Waarvoor worden ze gebruikt? Hoe lang worden ze bijgehouden? Welke rechten heeft de cursist? Stel daarvoor eventueel een privacyverklaring op. 
• Zorg dat je verwerking aan ten minste een van de wettelijke grondslagen voldoet. De belangrijkste grondslagen voor onderwijs zijn de overeenkomst en de toestemming. Onder de overeenkomst verstaan we dat de gegevens van cursisten (en lesgevers!) verwerkt mogen worden als ze noodzakelijk zijn voor het uitvoeren van de overeenkomst. Als iemand inschrijvingsgeld betaalt, heb je bijvoorbeeld automatisch het rekeningnummer. De cursisten moeten je ook de expliciete toestemming geven om gegevens te verwerken. Als je foto’s van cursisten wilt publiceren op je website, heb je de toestemming nodig.  
• Verwerk niet meer gegevens dan nodig. Vraag alleen de noodzakelijke gegevens om je doel te bereiken. Je hoeft de schoenmaat van een cursist niet te kennen om hem in te schrijven.  
• Zorg dat gegevens correct zijn en indien nodig gecorrigeerd kunnen worden. Pas bijvoorbeeld het adres aan van een cursist die verhuist. Verwijder het oude adres.  
• Bewaar gegevens niet langer dan nodig. Op sommige persoonsgegevens staat een wettelijke bewaartermijn. Respecteer die. Als die er niet is, leg hem dan zelf vast. Bijvoorbeeld ‘voor de duur van de lessenreeks’.  
• Neem veiligheidsmaatregelen tegen ongeoorloofde verwerking. Jij bent verantwoordelijk voor de naleving van deze principes. Zorg dat je in orde bent. Er kan namelijk een uitgebreid kostenplaatje aan vasthangen als je dat niet bent… 

Je wuift GDPR beter niet weg als fait divers. Als je eraan verzuimt, kunnen de gevolgen zwaar zijn. Wanneer je data niet correct beheert of een datalek niet op tijd meldt, kan de boete oplopen tot twee procent van de jaarlijkse omzet. Voor ernstige misstappen zelf tot vier procent. Er is wel een maximum van 20 miljoen euro. 

Maak dus van GDPR een prioriteit. Hoe je dat doet, lees je in de volgende artikels:  

• Wat doet de Data Protection Officer? (link toevoegen)
• Wat zijn algemene voorwaarden en de privacy policy? (link toevoegen)
• GDPR en learning analytics (link toevoegen)