Gebruikersvoorwaarden en privacyverklaring
Publicatiedatum: 15 02 2025
1. Algemeen
Het aanmeldingssysteem is een digitale toepassing die het Agentschap voor Onderwijsdiensten (AGODI) liet ontwikkelen en ter beschikking stelt van initiatiefnemers voor het aanmelden van leerlingen voorafgaand aan hun inschrijving in een school. Het aanmeldingssysteem zal de voorkeuren van leerlingen voorafgaand aan het inschrijven registreren.
De initiatiefnemer van de aanmelding zal het aanmeldingssysteem zelf instellen en beheren. De initiatiefnemer zal worden aangeduid door de deelnemende schoolbesturen.
Het doel van het aanmeldingssysteem is om elk kind toe te wijzen aan de school van zijn/haar hoogste keuze waarvoor het kind (door het aanmeldingssysteem) gunstig geordend is.
Na afsluit van de aanmeldingsperiode krijgt de aanmelder een e-mail met het resultaat van de aanmelding, op basis waarvan ze het kind kunnen inschrijven tijdens de inschrijvingsperiode voor aangemelde kinderen.
Indien de aanmelder geen e-mailadres opgeeft, dan ontvangt de aanmelder een bericht via de post.
AGODI en de schoolbesturen raden de gebruiker aan om deze gebruiksvoorwaarden en het toepasselijke beleid op vlak van gegevensverwerking en gegevensbescherming aandachtig te lezen vooraleer het gebruik van de toepassing verder te zetten.
2. Gebruikersvoorwaarden
De gebruiker van het aanmeldingssysteem aanvaardt automatisch, onherroepelijk en onvoorwaardelijk deze gebruiksvoorwaarden, evenals het beleid op vlak van gegevensverwerking en gegevensbescherming.
2.1. Bekwaamheid van gebruiker en ouderlijk gezag
Door het aanmeldingssysteem te gebruiken, verklaart de gebruiker dat hij/zij, conform het Belgisch burgerlijk recht, bekwaam is om zijn/haar rechten uit te oefenen of – indien minderjarig – dat hij/zij voorafgaande geldige toestemming heeft verkregen van ouder(s) of wettelijke vertegenwoordigers om gebonden te zijn aan deze gebruiks- en privacy voorwaarden.
De beslissingen over een minderjarige worden steeds genomen door de personen die het ouderlijk gezag uitoefenen (zie omzendbrief betreffende ouderlijk gezag in het onderwijs met nummer NO/2005/01[1]). Wanneer iemand een minderjarige wil aanmelden, heeft deze persoon steeds toestemming nodig van degene die het ouderlijk gezag uitoefent.
2.2. Oneigenlijk gebruik en juistheid van de gegevens
De gebruiker is verantwoordelijk voor de juistheid van de gegevens die geregistreerd worden in het aanmeldingssysteem.
De gebruiker maakt geen oneigenlijk gebruik van het aanmeldingssysteem. Onder oneigenlijk gebruik wordt onder andere verstaan:
· het gebruik van het aanmeldingssysteem volgens hem/haar niet toegekende rechten;
· het opzettelijk invoeren van foutieve gegevens - De persoon die het ouderlijk gezag uitoefent is verantwoordelijk voor het correct en volledig invullen van de gevraagde gegevens in de applicatie. Wanneer nadien blijkt dat een leerling een toewijzing heeft gekregen op basis van verkeerde of onvolledige informatie, kan de leerling zijn recht op inschrijving verliezen;
· het meermaals aanmelden van een leerling;
· het ongeoorloofd verspreiden van gegevens van andere gebruikers.
Bij oneigenlijk gebruik zullen de nodige juridische stappen worden ondernomen.
2.3. Aanmelden via de toepassing en geheimhouding van aanmeldgegevens
Aanmelden gebeurt bij voorkeur via het toegangsbeheer van de Vlaamse Overheid. Maar het is ook mogelijk om aan te loggen via gebruikersnaam en paswoord.
Elke gebruiker dient zorgvuldig om te gaan met zijn gebruikersnaam en paswoord en is tot geheimhouding ervan gehouden. Indien een gebruiker kennis heeft van verlies van een gebruikersnaam of paswoord of van elk ongeoorloofd gebruik door derden van een gebruikersnaam of paswoord, of een dergelijk verlies of ongeoorloofd gebruik vermoedt, neemt hij onmiddellijk alle nodige maatregelen.
Elke gebruiker blijft aansprakelijk voor alle, rechtstreekse of onrechtstreekse, schade ontstaan door het, al dan niet geoorloofd, gebruik van zijn gebruikersnaam of paswoord dat heeft plaatsgevonden vóór het tijdstip waarop de gebruikersnaam en het paswoord geïnactiveerd werden.
2.4. Kosten voor gebruik van het systeem
Voor het gebruik van het aanmeldingssysteem is de gebruiker op geen enkel moment een vergoeding verschuldigd.
2.5. Meer info nodig?
Bij vragen over (het gebruik van) de toepassing kan de gebruiker terecht bij de helpdesk via ann.moerenhout@vbs-lochristi.be
2.6. Een klacht?
Voor klachten en vaststellingen over technische fouten en zuiver materiële vergissingen voor of na de definitieve toewijzingen kan de gebruiker contact opnemen met de ombudsdienst inschrijvingen via ann.moerenhout@vbs-lochristi.be
Daarnaast kan de gebruiker en andere belanghebbenden een klacht indienen bij de Commissie inzake Leerlingenrechten bij niet akkoord van een weigering op basis van bereikte capaciteit.
3. Privacyverklaring
In deze verklaring vindt u hoe we uw persoonsgegevens verzamelen, verwerken en gebruiken wanneer u gebruik maakt van de toepassing.
We nemen uw rechten bij gegevensverwerking ernstig en verwerken uw persoonsgegevens in overeenstemming met de bepalingen zoals die zijn voorgeschreven door de AVG, desgevallend aangevuld door federale en Vlaamse regelgeving over de bescherming bij de verwerking van persoonsgegevens. In deze privacyverklaring trachten we uw vragen met betrekking tot de gegevensverwerking in het kader van het aanmeldingssysteem te beantwoorden.
Wie verwerkt uw persoonsgegevens?
AGODI en de schoolbesturen treden op als gezamenlijke verwerkingsverantwoordelijken. Ieders verantwoordelijkheden zijn vastgelegd in een onderlinge overeenkomst. De gegevens worden verwerkt op basis van het algemeen belang dat aan de verantwoordelijken is opgedragen.
FrontForce NV is verwerker voor AGODI die instaat voor ontwikkeling, beheer en onderhoud van het systeem en de software.
Als u algemene vragen hebt over de manier waarop we uw persoonsgegevens verwerken, kunt u contact opnemen met de initiatiefnemer van de aanmeldingsprocedure door te mailen naar ann.moerenhout@vbs-lochristi.be U kunt daar ook terecht met opmerkingen en suggesties.
Welke gegevens verwerken we over u en waarom?
In het aanmeldingssysteem verwerken we uw persoonsgegevens. Dat zijn de gegevens die u identificeren of die een band leggen met u als natuurlijke persoon.
Hieronder vindt u een opsomming van de categorieën van persoonsgegevens die we verwerken per categorie van betrokkenen en waarom we deze verwerken:
De ouder:
· Identificatiegegevens: nodig voor identificatie en authenticatie
· Contactgegevens: nodig om contact op te nemen in geval van vragen bij het aanmeldingsdossier, nodig om het resultaat van de toewijzing te kunnen communiceren.
Leerling die wenst aan te melden:
· Identificatiegegevens: nodig voor identificatie en authenticatie
· Aanmeldingsgegevens zoals keuze school, gegevens m.b.t. voorrang, bewijsstukken m.b.t. voorrang, gegevens voor ordening: nodig om een rangorde voor toewijzing te kunnen opmaken.
· Resultaat van rangordemotor (toewijzingslijst, toewijzingsbericht, weigeringsdocument): nodig om het resultaat van de toewijzing te kunnen communiceren.
· Inschrijvingsstatus van de leerling: nodig om een actueel zicht te hebben op het aantal geweigerde leerlingen binnen het aanmeldingsinitiatief met het oog op eventuele uitbreidingen van capaciteit. Nodig om ouders een actueel zicht te bieden op de plaats van hun kind op de weigeringslijst.
Andere personen die betrokken zijn bij de aanmeldingen zoals initiatiefnemer, schoolmedewerker, helpdeskmedewerker, additionele personen die de ouder toevoegt:
· Identificatiegegevens: nodig voor identificatie en authenticatie
Alle gegevens kunnen ook gebruikt worden in het kader van evaluatie en monitoring van het aanmeldingssysteem.
Foute gegevens
Het kan zijn dat de informatie die u terugvindt in het aanmeldingsportaal onjuist, verouderd of onvolledig is.
De aanmelder of enig ander persoon met toegang tot het dossier kan tijdens de ‘Aanmeldingsperiode’ zijn aanmeldingen wijzigen (vb. een extra school toevoegen, verwijderen of de volgorde veranderen), bijkomende personen toevoegen of andere gegevens aanpassen. Van elke wijziging in het dossier krijgt de aanmelder een bericht via e-mail.
Cookies
We verwerken bij het gebruik van het aanmeldingssysteem ook gegevens door middel van cookies. Cookies zijn kleine gegevens- of tekstbestanden die op uw computer of mobiele apparaat worden geïnstalleerd wanneer u een website bezoekt of een (mobiele) toepassing gebruikt. De cookies die gebruikt worden, zorgen voor een optimale werking van de website of toepassing en worden niet gebruikt voor andere doeleinden.
Hieronder vindt u een overzicht van de cookies die gebruikt worden binnen het aanmeldingssysteem.
1. Authenticatie Cookies
Naam
· OP_Token
· CA_Token
· Verifier_code
Doel
Deze cookies optimaliseren het authenticatieverkeer over de verschillende servers van het aanmeldportaal. Het systeem gebruikt deze cookies om de gebruiker bij de verschillende servers te kunnen authentiseren.
Type Cookie
Domein <initiatief>.aanmelden.vlaanderen
Verwerker AGODI
Geldigheid Sessie
Naam
· Vo-taalkeuze
· VOGTIANONUSER
Doel Deze cookies zijn afkomstig van het Vlaamse toegangsbeheer (ACM/IDM)
Type Cookie
Domein .vlaanderen.be
Verwerker Vlaamse overheid
Geldigheid 1 maand
2. Technische Dotnet Cookies
Naam
· .OP.Session
· .SP.Session
· .AspNetCore.Antiforgery.xxxx
Doel
Dit zijn standaard sessie-gebaseerde cookies van Microsoft dotnet om de veiligheid te garanderen en de correcte browser/eigenaar te kunnen verifiëren.
Type Cookie
Domein <initiatief>.aanmelden.vlaanderen
Scholenportaal.aanmelden.vlaanderen
Verwerker AGODI
Geldigheid Sessie
Hoelang bewaren we uw persoonsgegevens?
Volgens de algemene regel mogen we uw persoonsgegevens alleen bewaren tijdens de periode waarin ze noodzakelijk zijn om bepaalde diensten te verlenen. De persoonsgegevens worden maximaal twee jaar na de aanmelding bewaard. Deze termijn is nodig voor het ordenen, toewijzen en opvolgen van de inschrijving. Na verloop van die verjaringstermijn worden de gegevens verwijderd, tenzij ze van historisch, cultureel of algemeen belang zijn.
Wie kan uw persoonsgegevens zien?
Er zijn verschillende rollen binnen de applicatie die verschillende rechten hebben wat betreft toegang tot de persoonsgegevens. Hieronder overlopen hoe de rollen worden toegekend en welke rechten ze uitoefenen.
Beheerder:
· Wie? Alle scholen van het samenwerkingsverband duiden één of enkele personen aan die de centrale opvolging van het aanmeldsysteem op zich neemt.
· Toegang? Een beheerder kan alle leerlingendossiers inzien en heeft ook toegang tot het digitale logboek.
Helpdeskmedewerker:
· Wie? De helpdeskmedewerker wordt aangeduid door de beheerder.
· Toegang? Een helpdeskmedewerker kan alle leerlingendossiers inzien om vragen van gebruikers bij de aanmelding te kunnen beantwoorden. Het is ook mogelijk dat de helpdeskmedewerker een controle uitvoert op de gegevens mbt de voorrang.
Medewerker van een school:
· Wie? De medewerker van een school wordt aangeduid door de directeur van een school.
· Toegang? De medewerker kan een eventuele controle uitoefenen op de voorrang broer/zus en/of voorrang voor kinderen van personeel. De medewerker heeft toegang tot de toewijzingslijst op het niveau van de vestigingsplaats van de eigen school met het oog op de verdere inschrijving in de school.
De medewerker ziet niet voor welke andere scholen de leerling zich aanmeldde en welke voorkeurorde.
Directeur van een school:
· Toegang? De directeur kan zien wie beheerder is voor het samenwerkingsverband waar ze deel van uitmaken en kan een medewerker van de school aanduiden. Deze rol heeft geen toegang tot leerlingengegevens.
Applicatiebeheerder AGODI:
· Toegang? Deze rol maakt een nieuw samenwerkingsverband aan en voegt de betrokken scholen toe.
De applicatiebeheerder kan enkel de beheerder(s) per samenwerkingsverband zien, geeft feeback over de kwaliteit aan het aanmeldingsinitiatief en heeft geen toegang tot leerlingengegevens.
Het is mogelijk dat we voor bepaalde specifieke diensten een beroep doen op derden, die uw gegevens verwerken. We bezorgen uw gegevens aan die verwerkers, zodat ze de dienst in kwestie kunnen verlenen. We oefenen daar op elk moment controle uit. We sluiten met deze verwerkers een verwerkersovereenkomst af in overeenstemming met artikel 28 van de AVG (Algemene Verordening Gegevensbescherming).
Indien deze gegevens gedeeld worden met andere partijen, dan gebeurt dit enkel nadat hiervoor een protocol wordt afgesloten tussen de betrokken instanties, zoals bedoeld in artikel 8 van het decreet betreffende het elektronisch bestuurlijke gegevensverkeer van 18 juli 2018. Afgesloten protocollen zullen via deze privacyverklaring worden gepubliceerd.
Hoe worden uw persoonsgegevens beveiligd?
We nemen de passende beveiligingsmaatregelen om misbruik van en ongeautoriseerde toegang tot jouw persoonsgegevens te vermijden. Dit omvat minstens volgende beveiligingsmaatregelen: sterk uitgebouwd rollen en rechtenbeheer achter ACM/IDM die de toegang tot de gegevens tot een minimum beperkt, logging, encryptie, performance testen, pentesten, beveiliging van de netwerkinfrastructuur, fysieke beveiliging van het datacenter.
Wat zijn uw rechten?
U hebt verschillende rechten bij de verwerking van persoonsgegevens, met name:
· het recht op inzage in uw persoonsgegevens;
· het recht op verbetering van uw persoonsgegevens;
· het recht op verwijdering van uw persoonsgegevens;
· het recht om uw toestemming in te trekken en het recht om u te verzetten tegen een verwerking.
Elk verzoek dient u te richten naar de initiatiefnemer van de aanmeldingsprocedure. Dit kan per e-mail naar ann.moerenhout@vbs-lochristi.be
We vragen dan een bewijs van uw identiteit zodat uw gegevens niet worden meegedeeld aan iemand die er geen recht op heeft.
In het beginsel heeft u het recht niet te worden onderworpen aan een uitsluitend geautomatiseerd besluit waaraan rechtsgevolgen zijn verbonden of dat de betrokkene in aanmerkelijke mate treft. Het toewijzen van de leerlingen door de ROM is een soort van geautomatiseerde besluitvorming die wel is toegestaan omwille van de decretale bepaling.
Klachten
Als u het niet eens bent met de manier waarop uw gegevens worden verwerkt, kunt u verschillende acties ondernemen. U kunt hierover de initiatiefnemer aanspreken via ann.moerenhout@vbs-lochristi.be
Daarnaast kunt u ook steeds een klacht indienen bij de bevoegde toezichthoudende autoriteit, de Vlaamse Toezichtcommissie.
Algemene informatie
We hebben het recht om het beleid te wijzigen en aan te passen. Wijzigingen en aanpassingen melden we altijd via het aanmeldingsportaal.
4. Contactgegevens
Het Agentschap voor Onderwijsdiensten (‘AGODI’), ingeschreven in het KBO met nummer 0316.380.841 en met vestigingsnummer 2.199.317.226 waarvan de administratieve zetel zich bevindt te Koning Albert II laan 15, 1210 Sint-Joost-ten-Node
Contactpersoon van het aanmeldingsinitiatief: Ann Moerenhout
Aangeduid door volgende schoolbesturen:
GO! Leefschool Eikenkring, Scholengroep 22, ingeschreven in het KBO met vestigingsnummer BE 0267.383.270 waarvan de administratieve zetel zich bevindt Schoonmeersstraat 26, 9000 Gent.
GO! Openluchtschool 't Zwaluwnest, Scholengroep Dynamiek, ingeschreven in het KBO met vestigingsnummer BE 0267.383.666. waarvan de administratieve zetel zich bevindt Beukenstraat, 1 , 9900, Eeklo
VZW EDUGO SG, ingeschreven in het KBO met vestigingsnummer 0455.490.125 waarvan de administratieve zetel zich bevindt Sint-Jozefstraat 8, 9041 Gent-Oostakker
Gegevensbeschermingseffectbeoordeling (GEB/DPIA)
Gebruik aanmeldingssysteem door
Lochristi Wachtebeke
Dit document is gebaseerd op een model dat werd opgesteld door de Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens en is afgeleid van het model van het d.pia.lab van de VUB: Brussel, 2020., licentie: CC BY SA 4.0. (https://researchportal.vub.be/files/53602836/dpialab_pb2020_1_final.pdf) Zie ook www.dpialab.org en dpialab@vub.ac.be.
Inhoudstafel
0. Algemene omschrijving van de verwerking. 6
1.2 Projectwerking bij het opzetten van GEB. 7
1.3 (Her)evaluatie van GEB tijdens de verwerking. 8
2. Bronnen voor het opstellen van de GEB.. 9
2.2 Aanbevelingen van EDPB/EDPS. 10
2.3 Aanbevelingen en standpunten van toezichthouders. 10
2.4 Aanbevelingen en standpunten van rechtbanken. 10
3. Systematische beschrijving (verplicht) 12
3.1 De scope van de GEB (in functie van de verwerkingsdoelen) 12
3.2 Beschrijving van de context van de verwerkingen. 13
3.3 Systematische beschrijving van de verwerkingen (en verwerkingsdoelen) 14
3.4 Beschrijving van de betrokkenen en andere actoren. 25
4. Noodzakelijkheid en evenredigheid (verplicht) 28
4.1 De rechtmatigheid van de verwerking. 28
4.2 De basisbeginselen van de verwerking. 30
4.2.1 (Eerlijkheid) Behoorlijkheid en transparantie. 30
4.2.2 Minimale gegevensverwerking. 30
4.2.3. Juistheid en nauwkeurigheid. 32
4.2.5. Gegevensbeveiliging. 36
4.2.6. Gegevensbescherming door ontwerp en als standaardinstelling. 36
4.3. Beoordeel de noodzakelijkheid en evenredigheid (sensu strictu) 37
5. Methode voor beoordeling risico’s op rechten en vrijheden van betrokkenen. 37
5.1 Aanvaardbaarheidscriteria van negatieve effecten. 37
5.2 Risicoanalyse, -evaluatie en opvolging. 38
5.2.1 Bepalen van de impact van een risico voor betrokkene. 38
5.2.2 Bepalen van de waarschijnlijkheid van een risico voor de betrokkene. 39
6. Beoordeling risico’s op rechten en vrijheden van betrokkenen en de beoogde maatregelen. 40
7. Mening betrokkenen/vertegenwoordigers over de verwerking (verplicht) 53
8. Adviezen betreffende de GEB (verplicht) 54
8.1 Advies functionaris voor gegevensbescherming. 54
8.2 Voorafgaande raadpleging bij de toezichthouder (verplicht bij hoog restrisico) 54
9. Besluit van de verwerkingsverantwoordelijke (verplicht) 55
Aanmeldingssysteem
Naam/referentie van het initiatief:
Lochristi-Wachtebeke
Naam, contactinformatie en andere identificatiegegevens van:
Verwerkingsverantwoordelijke(n) en hun vertegenwoordigers:
AGODI
GO! Leefschool Eikenkring, Scholengroep 22,
ingeschreven in het KBO met vestigingsnummer BE 0267.383.270 waarvan de
administratieve zetel zich bevindt Schoonmeersstraat 26, 9000 Gent.
GO! Openluchtschool 't Zwaluwnest, Scholengroep Dynamiek, ingeschreven in het KBO met vestigingsnummer BE 0267.383.666. waarvan de administratieve zetel zich bevindt Beukenstraat, 1 , 9900, Eeklo
VZW EDUGO SG, ingeschreven in het KBO met vestigingsnummer 0455.490.125 waarvan de administratieve zetel zich bevindt Sint-Jozefstraat 8, 9041 Gent-Oostakker
Verantwoordelijke(n) voor het project (business owner):
De schoolbesturen
Functionaris(sen) voor gegevensbescherming (DPO):
De preventieadviseurs van de schoolbesturen.
Versie van GEB:
Versie 2.0
Classificatie:
Vertrouwelijk
Informatieklasse [1,2,3 en 4]…
0. Algemene omschrijving van de verwerking
Het decreet basisonderwijs en de codex secundair onderwijs verplichten schoolbesturen die voor de inschrijvingen vanaf schooljaar 2023-2024 leerlingen willen kunnen weigeren op basis van capaciteit om gebruik te maken van een aanmeldingsprocedure.
Naast de beschikbare digitale aanmeldingssystemen, wenst de Vlaamse overheid ook een digitaal aanmeldingssysteem ter beschikking te stellen aan de initiatiefnemers die zelf instaan voor het beheer ervan. Het systeem is zodanig ontworpen dat elke initiatiefnemer het kan aanpassen aan zijn keuzes (parametriseren). De kenmerken en schoolvoorkeuren van de aangemelde leerlingen worden decentraal verzameld. Ook het ordenen en toewijzen gebeurt decentraal o.b.v. het gekozen algoritme.
Het digitaal aanmeldingssysteem bevat verschillende modules:
- Scholenportaal
- Aanmeldingsportaal
- Rangordemotor
Scholenportaal
In het scholenportaal worden vier rollen onderscheiden: de initiatiefnemer, de directeur of beheerder van de school, de schoolmedewerker en de helpdeskmedewerker.
In het scholenportaal bepaalt de initiatiefnemer op welke manier de aanmeldingsprocedure wordt georganiseerd. De initiatiefnemer bepaalt in het scholenportaal wie de helpdeskmedewerkers zijn. De initiatiefnemer heeft toegang tot de gegevens van de scholen en de aangemelde leerlingen.
De directeur van de school bepaalt welke vestigingen en welke capaciteitsniveaus deelnemen aan de aanmeldingsprocedure. De schoolmedewerker vult de gegevens in voor de school. De schoolmedewerker kan de voorrang voor broers en zussen en kinderen van personeel controleren en heeft toegang tot de toewijzingslijst van de school. Na de toewijzingen kan de schoolmedewerker de inschrijvingsstatus van de aangemelde leerlingen bijhouden.
Via dit portaal kan een helpdeskmedewerker ook ondersteuning bieden aan ouders, leerlingen en scholen door aanmeldingsdossiers van leerlingen over de scholen heen (maar wel binnen het initiatief) te raadplegen, corrigeren of annuleren.
In bepaalde gevallen kan de helpdeskmedewerker ook een controle uitvoeren op de ingevoerde gegevens (bv. voorrangsgroepen) in het aanmeldingsportaal.
Aanmeldingsportaal
In dit portaal melden ouders of een aanmelder (niet beperkt tot ouders) een leerling aan. Tijdens het aanmelden registreren aanmelders verschillende gegevens die nodig zijn voor het ordenen en toewijzen van de leerlingen. Indien de aangemelde leerling aanspraak wil maken op voorrang, dan wordt dit in dit portaal kenbaar gemaakt. Het is ook mogelijk dat er bewijsstukken worden opgeladen.
Via dit portaal hebben de aanmelders ook de volgende mogelijkheid.
· Samenvatting van het dossier inkijken
· Wijzigingen aan het dossier aanbrengen
· Toewijzingsresultaat raadplegen (incl. eventuele weigeringen)
· Toewijzingsstatus raadplegen
Rangordemotor
De rangordemotor (ROM) zal op basis van de verschillende ordeningscriteria leerlingen toewijzen aan de school van hoogste voorkeur waarvoor gunstig geordend. De ROM zal ook het toewijzingsbericht/weigeringsbericht aanmaken en versturen. Proefdraaien is mogelijk (tijdens de aanmeldingsperiode) op maat van de initiatiefnemer.
De ROM kan steeds inzicht geven in de manier waarop de ordening is uitgevoerd en dit laat de initiatiefnemer toe om het resultaat transparant te reconstrueren.
Aangezien er op grote schaal niet-gepseudonimiseerde gegevens van kinderen en jongeren worden ingezameld, is het uitvoeren van een GEB vereist conform de lijst waarvoor een GEB dient te worden uitgevoerd, zoals gepubliceerd door de VTC (Beslissing nr. 0/2020/01 van 14 januari 2020).
1. Projectstructuur
1.1 Deelnemers aan GEB
De schoolbesturen.
1.2 Projectwerking bij het opzetten van GEB
In oktober 2022 startte AGODI met de GEB op basis van het sjabloon van de Vlaamse Toezichtcommissie (VTC).
Eerst werd de verwerking systematisch beschreven. Daarna werden de risico’s in kaart gebracht. Daarna werden mitigerende maatregelen bepaald. De GEB werd nadien aangepast aan de reeds besliste, relevante aanpassingen aan de architectuur.
In februari 2023 werd de GEB bezorgd aan de initiatiefnemers zodat de lokale mitigerende maatregelen konden aangevuld worden.
In januari 2024 werd de GEB geactualiseerd op basis van de nieuwe versie van het aanmeldingssysteem.
In december 2024 werd de GEB geactualiseerd op basis van de nieuwe versie van het aanmeldingssysteem voor aanmeldingen schooljaar 2025-2026.
Middelen voor het uitvoeren van de GEB
Een werkgroep binnen AGODI bereidde de GEB voor. Deze GEB dient verder te worden aangevuld met de lokale maatregelen die genomen worden om de beschreven risico’s te reduceren. Na het advies van de DPO neemt de verwerkingsverantwoordelijke een besluit over de verwerking.
1.3 (Her)evaluatie van GEB tijdens de verwerking
De gegevensbeschermingseffectbeoordeling zal aangepast worden als de verwerking of de risico’s wijzigen als gevolg van aanpassingen in het inschrijvingsdecreet of andere relevante regelgeving, verbeterde en nieuwe technische mogelijkheden en/of feedback door de gebruikers van dit aanmeldingssysteem of andere aanmeldingssystemen.
Als blijkt dat de verwerking niet wordt uitgevoerd volgens de bepalingen en principes zoals beschreven in de GEB, zal dat besproken worden met de projectleiding met het oog op verbetering.
2. Bronnen voor het opstellen van de GEB
Hieronder worden de bronnen opgelijst die worden gebruikt bij het opstellen van de GEB.
2.1 Wet- en regelgeving
Beslissing tot aanmelden
Decreet Basisonderwijs art. 37/12 en art. 37/49
Codex Secundair onderwijs art. 253/7 en art. 253/38
Goedkeuring van de aanmeldingsprocedure
Decreet basisonderwijs art. 37/17
Codex Secundair onderwijs art. 253/11
Ordenen en toewijzen van de aangemelde leerlingen
Decreet basisonderwijs art. 37/23 en art. 37/59
Codex Secundair onderwijs art. 253/16 en art. 253/47
Afronden aanmeldingen
Decreet basisonderwijs art. 37/25 en art. 37/61
Codex Secundair onderwijs art. 253/17 en art. 253/48
Weigeren van een inschrijving
Decreet basisonderwijs art. 37/30 en art. 37/66
Codex Secundair onderwijs art. 253/26 en art. 253/57
Ombudsdienst inschrijvingen
Decreet basisonderwijs art.37/16 en art. 37/51
Codex Secundair onderwijs art. 253/11 en art. 253/40
Bemiddeling
Decreet basisonderwijs art. 37/31 en art. 37/67
Codex Secundair onderwijs art. 253/27 en art. 253/58
Klachtenprocedure
Decreet basisonderwijs art. 37/33 en art. 37/69
Codex Secundair onderwijs art. 253/30 en art. 253/60
2.2 Aanbevelingen van EDPB/EDPS
2.3 Aanbevelingen en standpunten van toezichthouders
Advies CBPL betreffende het gebruik van gegevens in een Lokaal OverlegPlatform Basisonderwijs – wet van 8 december 1992 (SA3/DOS-2012-00279-004-pvd) – belangrijk advies omtrent bepaling verantwoordelijkheden bij een aanmeldingssysteem en het gebruik van het INSZ-nummer.
Advies VTC nr. 2020/05 van 8 september 2020 betreffende Informatieveiligheid en GDPR-conformiteit
4 Platformen Onderwijs – Amazon Web Services (AWS) – AGODI heeft in het bestek verwezen naar dit advies en de voorwaarde gesteld dat Persoonsgegevens niet verwerkt of opgeslagen mogen worden door een opdrachtnemer of (onder-) leverancier die gevestigd is buiten de Europese Economische Ruimte en derde landen met een passend beschermingsniveau , of onderhevig is aan wetgeving van buiten de Europese Economische Ruimte en derde landen met een passend beschermingsniveau.
Advies VTC nr.2022/02 is hierop een technische aanvulling.
2.4 Aanbevelingen en standpunten van rechtbanken
Er zijn geen standpunten bekend van rechtbanken die relevant kunnen zijn voor deze verwerking.
2.5 Andere bronnen
Niet van toepassing.
3. Systematische beschrijving (verplicht)
3.1 De scope van de GEB (in functie van de verwerkingsdoelen)
Verschillende verwerkingen van persoonsgegevens worden
meegenomen in deze GEB:
1. het aanmaken van rechten en rollen bij een initiatief tot aanmelden;
2. het registreren van leerlingen en hun voorkeuren voor aanmelden en hun recht op voorrang, inclusief bewijsstukken door degenen die aanmelden;
3. het toegang geven aan additionele personen tot het
dossier van de leerling door degenen die aanmelden;
4. het raadplegen/controleren/opvolgen van de gegevens van aangemelde leerlingen door de initiatiefnemer(s), helpdeskmedewerker(s) en eventueel de schoolmedewerker(s) met het oog op het correct ordenen en toewijzen van de aangemelde leerlingen;
5. het ondersteunen van ouders en scholen d.m.v.
raadplegen, corrigeren en annuleren van dossiers door initiatiefnemer(s) en
helpdeskmedewerker(s);
6. het controleren van de toewijzingslijst en lijst van geweigerde leerlingen na proefdraaien van de rangordemotor (ROM);
7. het ordenen en toewijzen van de leerlingen op basis van de geregistreerde gegevens van de leerlingen;
8. het raadplegen en gebruiken van een toewijzingslijst door schoolmedewerker(s) voor de leerlingen die zich kunnen inschrijven in de school van de schoolmedewerker(s) en een lijst van de geweigerde leerlingen;
9. het communiceren naar degenen die aanmelden over toewijzing via een toewijzingsbericht of voor ongunstig geordende leerlingen via een weigeringsdocument;
10. het raadplegen en gebruiken van een toewijzingslijst door helpdeskmedewerker(s) om vragen van ouders te kunnen beantwoorden.
11. het handmatig aanpassen van de toewijzingsstatus (o.b.v. informatie uit Discimus (o.v.))
Niet in scope:
- werking ACM/IDM – enkel de integratie met het digitale systeem wordt in deze GEB mee opgenomen;
- werking geolocatietools;
- inschrijving van de leerling als gevolg van de aanmelding, dit zit vervat in het schoolsoftwarepakket.
3.2 Beschrijving van de context van de verwerkingen
Het decreet basisonderwijs en de codex secundair onderwijs verplichten schoolbesturen die voor de inschrijvingen vanaf schooljaar 2023-2024 leerlingen willen kunnen weigeren op basis van capaciteit om gebruik te maken van een aanmeldingsprocedure. Daarnaast is het ook mogelijk om op vrijwillige basis een aanmeldingsprocedure te organiseren.
De initiatiefnemer van een aanmeldingsprocedure kan een schoolbestuur, meerdere schoolbesturen samen of een LOP (lokaal overlegplatform) zijn. Lokale besturen en andere lokale partnerorganisaties zijn ook vaak betrokken bij de organisatie van een aanmeldingsprocedure.
Er zijn dus heel wat betrokken partijen bij de organisatie van een aanmeldingssysteem. Daarom is het belangrijk om zeer transparant te zijn over ieders verantwoordelijkheden en daarover ook goede afspraken te maken.
AGODI en de schoolbesturen treden op als gezamenlijke verwerkingsverantwoordelijke in de zin van artikel 26 van de Algemene Verordening Gegevensbescherming (AVG). Hiertoe hebben de betrokken partijen een onderlinge overeenkomst afgesloten om ieders verantwoordelijkheid met betrekking tot de verwerking van persoonsgegevens te verduidelijken.
AGODI is verantwoordelijk voor de opvolging van de ontwikkeling, het beheer en de hosting van het aanmeldingssysteem door de verwerker FrontForce. Alsook voor het correct registreren van de initiatiefnemer in het aanmeldingssysteem zoals gemeld aan AGODI.
De schoolbesturen zijn verantwoordelijk voor de lokale organisatie van de aanmeldingsprocedure en het gebruik van het aanmeldingssysteem. Bijvoorbeeld:
- het correct instellen van het aanmeldingssysteem;
- het melden aan AGODI van degene die de rol van initiatiefnemer opneemt;
- het toekennen van de rollen van helpdeskmedewerker, beheerder school en schoolmedewerker;
- de controle op de ingevoerde gegevens en het aanspraak maken op voorrang;
- de controle op de toekenning van de adrescoördinaten en de afstandsberekening;
- de controle op het proefdraaien van de rangordemotor voor het ordenen en toewijzen van de leerlingen;
- de geboden ondersteuning aan wie wenst aan te melden;
- het starten van de rangordemotor voor het ordenen en toewijzen van de leerlingen;
- het opmaken en uitsturen van communicatie (toewijzingsbericht, weigeringsdocument);
- het handmatig aanpassen van de inschrijvingsstatus;
- het publiceren van de vrije plaatsen
Indien de schoolbesturen hiervoor een beroep wensen te doen op een LOP, lokaal bestuur of andere lokale partnerorganisaties zijn zij verantwoordelijk om hierrond de nodige afspraken te maken en deze op te volgen.
Het informeren van de eindgebruikers over de afspraken met betrekking tot het gebruik van de toepassing gebeurt via de privacyverklaring en gebruikersvoorwaarden die de gebruiker moet aanvaarden voor gebruik van de toepassing.
3.3 Systematische beschrijving van de verwerkingen (en verwerkingsdoelen)
3.3.1. Scholenportaal
Per samenwerkingsverband wordt er minstens één verantwoordelijke (initiatiefnemer) aangeduid. Deze persoon kan andere mensen binnen het initiatief één of meerdere rollen toekennen. Binnen de applicatie worden er 5 rollen voorzien:
- Applicatiebeheerder AGODI: bij een nieuw samenwerkingsverband voegt de applicatiebeheerder van AGODI de betrokken scholen toe en duidt, op basis van de melding door de contactpersoon van het samenwerkingsverband, initiatiefnemer(s) aan. De applicatiebeheerder kan enkel de initiatiefnemers(s) zien en krijgt kwaliteitsrapporten op het niveau van het aanmeldingsinitiatief en heeft geen toegang tot leerlingengegevens. De applicatiebeheerder wordt enkel toegekend door een lokale beheerder van AGODI.
Daarnaast heeft de applicatiebeheerder de volgende taken.
o Schooljaar instellen
o Vork bepalen toegang
o Geboortejaren bepalen die van toepassing zijn
o Adresbestanden opladen voor Vlaanderen, Wallonië en Brussel Hoofdstedelijk Gewest
o Voorrangspercentages bepalen
o Beheer van de mailbox noreply@aanmelden.vlaanderen
o Initiatiefnemers informeren over feedback vanuit de kwaliteitscontroles
- Directeur school (beheerder school): bij aanmelding zal de directeur van de school zien wie de initiatiefnemer(s) is (zijn) voor het samenwerkingsverband waarvan ze deel uitmaken. Deze rol kan vestigingen ophalen, toevoegen en aanduiden voor welk onderwijs- en capaciteitsniveau wordt aangemeld. De directeur van de school kan ook een medewerker van de school aanduiden via het toegangsbeheer van de Vlaamse Overheid. De directeur van de school heeft geen toegang tot leerlingengegevens. De rol van de directeur wordt toegekend via het toegangsbeheer Vlaamse Overheid.
- Initiatiefnemer(s): alle scholen van een samenwerkingsverband kennen de rol van initiatiefnemer(s) toe aan één persoon of enkele centrale personen die de instellingen doet of doen van alle functionaliteiten van het aanmeldingssysteem voor het samenwerkingsverband. Enkel de initiatiefnemer(s) ka(u)n(nen) helpdeskmedewerkers aanduiden. De initiatiefnemer(s) heeft (hebben) toegang tot de dossiers van alle leerlingen en de gegevens van alle scholen. De initiatiefnemer(s) heeft (hebben) ook toegang tot het digitale logboek.
De initiatiefnemer kan in het portaal verschillende acties uitvoeren om het aanmeldingssysteem in te stellen.
- Begin- en eindduur periode(s) bepalen, kleur en logo ouderportaal aanpassen.
- Opladen en aanpassen tekst van de gebruikers- en privacyvoorwaarden.
- Invullen tekst toewijzingsbericht (= bericht dat ouders ontvangen met resultaat van aanmelding) en raadplegen toewijzingstekst ingevuld door de scholen.
- Instellen publicatie vrije plaatsen op het ouderportaal.
- Aanpassen van scholen.
- Overzicht raadplegen van de door de verschillende scholen geregistreerde gegevens met een minimale set van vereiste criteria (met exportmogelijkheid).
- Vergrendelen of ontgrendelen van de vestigingsplaatsen (dit bepaalt of scholen al dan niet aanpassingen kunnen doen aan hun gegevens).
- Helpdeskmedewerker aanmaken en rol toewijzen.
- Keuze en operationalisering van de gecombineerde ordeningscriteria.
- Instellen keuze voorrangsgroepen broers en zussen en kinderen van personeel basisonderwijs.
- Keuze van capaciteitsniveau aanmelding voor basisonderwijs (bv. voor jongste geboortejaar, voor kleuteronderwijs, leerjaar, voor kleuter en lager…).
- Keuze van capaciteitsniveau aanmelding voor secundair onderwijs: 1A en/of 1B.
- Instellen van percentages voor bepaalde voorrangsgroepen (bijvoorbeeld % Nederlands).
- Voorrang ‘’ondervertegenwoordigde groepen”: vastleggen criteria en bijhorende vragen die op leerlingniveau moeten worden ingevuld . Deze vragen kunnen binnen een samenwerkingsinitiatief per school verschillen.
Binnen het scholenportaal kan de initiatiefnemer nog de volgende functies uitvoeren.
- Bekijken en wijzigen van alle aanmeldingen van alle leerlingen en bekijken van de historiek. Dit is nodig om vragen van gebruikers bij de aanmelding te kunnen beantwoorden en om de helpdesk te organiseren (bv. toewijzen van vragen aan helpdeskmedewerkers)
- Notities bij het aanmeldingsdossier van een leerling zelf maken of raadplegen
- Opvolgen van de resultaten van de kwaliteitscontroles.
- Controle toegekende adrescoördinaten en berekende afstand.
- Opvolgen onvolledige dossiers.
- Starten van de ROM, zowel een proefdraaiing als de definitieve toewijzingen.
- Resultaten van de ROM bekijken.
- Toewijzingsberichten en weigeringsberichten versturen.
- Opvolgen van de verzonden e-mails en eventuele foutmeldingen.
- Logboek raadplegen.
- Raadplegen van de inschrijvingsstatus.
- Helpdeskmedewerker
De helpdeskmedewerker kan enkel worden aangeduid door de initiatiefnemer(s) en heeft toegang tot de volgende functies binnen de applicatie.
- Bekijken en wijzigen van alle aanmeldingen van alle leerlingen en raadplegen van de historiek. Dit is nodig om vragen van gebruikers bij de aanmelding te kunnen beantwoorden en ondersteuning te bieden tijdens het aanmelden.
- Het samenwerkingsverband kiest ervoor om afstand als ordeningscriterium toe te passen. Indien de geo-locatietool geen automatische coördinaten kan toekennen aan het opgegeven adres van de leerling, zal de helpdeskmedewerker deze coördinaten handmatig toekennen.
- Controle op dubbel aangemelde leerlingen: leerlingen aangemeld met INSZ-nummer en aanmeldingsnummer of meerdere aanmeldingsnummers.
- Toekennen van adrescoördinaten aan adressen waar dit niet automatisch kon gebeuren.
- Controle toegekende adrescoördinaten en berekende afstand.
- Opvolgen onvolledige dossiers.
- Notities bij het aanmeldingsdossier van een leerling zelf maken of raadplegen.
- Printen van toewijzingsberichten die via de post verstuurd worden.
- Medewerker van de school
De
medewerker van de school wordt aangeduid door de directeur van de school via het
gebruikersbeheer (IDM).
De medewerker van de school heeft
toegang tot de volgende functies binnen het scholenportaal.
- Registreren van de capaciteit en vrije plaatsen.
- Registreren keuzes vestigingsplaats die beschreven staan in de bovenstaande tabel.
- Controle voorrang broer/zus en/of voorrang personeel
- Toewijzingslijst raadplegen op het niveau van de vestigingsplaats (op het scherm en via export)
- Aanpassen inschrijvingsstatus van een leerling.
- Instellen schooleigen toewijzingstekst die wordt bezorgd aan de ouders in het toewijzingsbericht.
Toegang tot het scholenportaal wordt gerealiseerd via ACM/IDM-authenticatie. Het beheer van gebruikers en rollen vindt plaats in de standaard gebruikersbeheercomponent van de Vlaamse Overheid (IDM) voor de rollen applicatiebeheerder AGODI, beheerder school en medewerker school. IDM stelt beheerders van scholen in staat hun medewerkers te beheren en rechten te geven voor de aanmeldingstoepassing namens hun organisatie, m.a.w. te autoriseren. De rollen van initiatiefnemer en helpdeskmedewerker worden beheerd in het aanmeldingssysteem.
3.3.2. Aanmeldingsportaal
Toegang tot het
‘aanmeldingsportaal’ wordt standaard gerealiseerd door aanmelding via ACM/IDM. Daarnaast
kunnen aanmelders zich ook registreren door via e-mail in te loggen. Het gekozen wachtwoord moet voldoende
sterk zijn. Wachtwoorden moeten:
- minstens
12 tekens hebben;
- ten minste één niet alfanumeriek teken
hebben;
- ten minste één cijfer hebben;
- ten minste één hoofdletter hebben.
De aanmelder die een leerling aanmeldt, hoeft geen familiale band met die
leerling te hebben. Dat kan een ouder zijn, een familielid, een partner of
gewoon een derde. Behalve de naam van de aanmelder wordt geen andere informatie
van de aanmelder bijgehouden. De aanmelder krijgt een uniek nummer toegewezen
waarmee de aanmelder herkend wordt wanneer hij het aanmeldingsportaal opnieuw
bezoekt. De band met de leerling wordt evenmin beschreven, noch bijgehouden. De
aanmelder kan meerdere additionele personen definiëren die toegang krijgen tot
het dossier van de leerling. Van deze additionele personen wordt ook enkel de
naam bijgehouden. De persoon die het kind heeft toegevoegd, blijft echter
“master” en kan deze additionele personen ook terug verwijderen. De additionele
personen kunnen zelf geen extra personen aanduiden die toegang krijgen tot het
dossier van de leerling. Dit moet steeds via de “master” gebeuren.
De leerling wordt uniek geïdentificeerd op basis van het INSZ-nummer. AGODI bezorgt de initiatiefnemer een Excel-document met daarin een formule voor de aanmaak van aanmeldingsnummers voor leerlingen die niet over een INSZ-nummer beschikken. Het doel is de leerling alsnog uniek te kunnen identificeren.
Om zich te kunnen aanmelden zal de aanmelder de volgende vragen moeten beantwoorden die relevant zijn voor het ordenen en toewijzen:
- keuze school/scholen;
- gegevens m.b.t. voorrang
o broers/zus
o kind van personeel
- De initiatiefnemer kiest afstand als een criterium voor ordening en vraagt daarom ook het domicilie- en/of één werkadres op.
Ten slotte kan in dit portaal ook een e-mailadres en telefoonnummer doorgegeven waarop de aanmelder een bericht krijgt over:
- wijzigingen in het aanmeldingsdossier
- eventuele controleacties
- toewijzingsresultaat met inbegrip van eventuele weigeringen
Aanmelders kunnen te allen tijde opnieuw inloggen in het aanmeldingsportaal om hun dossier te raadplegen en te wijzigen (wijzigen enkel mogelijk gedurende de voorziene aanmeldingsperiode) of om de status te raadplegen.
Wie geen e-mailadres registreert, noteert een postadres om een toewijzingsbericht te ontvangen.
In dit portaal worden de betrokkenen ook geïnformeerd over de verwerking van hun persoonsgegevens en over de manier waarop ze hun rechten uit de AVG kunnen uitoefenen. Er wordt een ontwerptekst door AGODI voorzien. Iedere initiatiefnemer kan deze tekst zelf aanvullen/aanpassen en uploaden op het portaal.
3.3.3. Rangordemotor (ROM)
De rangordemotor is het hart van de toepassing en zal een leerling toewijzen aan een school op basis van de verschillende ordeningscriteria en de voorrangsgroepen.
Zodra de aanmeldingsperiode is gestart, kunnen de initiatiefnemers de rangordemotor laten proefdraaien. Dit laat de initiatiefnemer toe om:
- op te volgen hoeveel van de aangemelde leerlingen kunnen toegewezen worden aan een school;
- het ordenen en toewijzen van de ROM te controleren voor deze definitief zal draaien,
De resultaten van de proefdraaiing kunnen niet gecommuniceerd worden.
In de toepassing wordt een toewijzingsbericht opgemaakt en verstuurd naar de geregistreerde e-mailadressen. Als de leerling niet kan worden toegewezen aan een school, dan wordt een weigeringsdocument opgemaakt en verstuurd naar de geregistreerde e-mailadressen. Dit kan volautomatisch gebeuren aan de hand van instelbare templates.
De ROM maakt twee soorten toewijzingslijsten op.
o Op het niveau van de vestigingsplaats : lijst toewijzingsresultaat voor alle leerlingen aangemeld voor de vestigingsplaats. Deze lijst is bestemd voor de medewerkers van de school.
o Op niveau van de initiatiefnemer: lijst toewijzingsresultaat voor alle leerlingen voor alle vestigingsplaatsen. Enkel de initiatiefnemer(s) heeft (hebben) toegang tot deze lijst.
Te allen tijde heeft de initiatiefnemer zicht op de werking van de ROM via logging, met name op de
o controle leerlingen;
o hiërarchische volgorde voorrangsgroepen toepassen;
o hiërarchische volgorde en combinatie van ordeningscriteria ;
o op schoolniveau
§ Algemeen:
· Capaciteit
· Zittende leerlingen
· Ingeschreven leerlingen
· Vrije plaatsen
§ Per capaciteitsniveau (per voorrangsgroep)
· Capaciteit
· Zittende leerlingen
· Ingeschreven leerlingen
· Vrije plaatsen
o op leerlingniveau
§ Ranking per vestigingsplaats (plaats op de wachtlijst)
3.3.4. Schematische voorstelling en architecturaal schema van de software
Er wordt per initiatiefnemer een database opgezet. Een initiatiefnemer heeft enkel toegang tot de gegevens in zijn database.
Het aanmeldingssysteem bestaat uit drie lagen:
1. Applicaties
2. Services
3. Databases
Het aanmeldingssysteem biedt twee applicaties
1. Ouderportaal
2. Scholenportaal
Beide applicaties bevatten enkel de front-end (GUI) en maken gebruik van de services in de Services-laag om effectief data op te halen of te wijzigen.
Dit is de webapplicatie die ouders toelaat hun kind aan te melden. Voor elk initiatief wordt het ouderportaal onder een unieke URL ontsloten. De toegang tot deze webapplicatie is mogelijk door in te loggen via ACM/IDM of via e-mail & wachtwoord (als back-up).
Scholenportaal
Dit is de webapplicatie die de functionaliteiten bevat voor het beheer van een initiatief.
De applicatie werkt met verschillende rollen.
De toegang tot deze webapplicatie is enkel mogelijk door in te loggen via ACM/IDM.
Services
In deze laag werken verschillende services samen om de nodige functionaliteiten te voorzien.
Dit is geen aparte service, maar een library die door de verschillende services wordt gebruikt om te verifiëren of een gebruiker de juiste rechten heeft bij het uitvoeren van een actie.
Deze library zorgt ook voor de communicatie met ACM/IDM.
Biedt functionaliteiten die te maken hebben met data in de Core databank.
Biedt functionaliteiten die te maken hebben met data
in de Initiatief
databanken.
Elk initiatief heeft een eigen databank per aanmeldingsjaar.
Zet adressen om in coördinaten (geo-coding). Hiervoor maakt deze service gebruik van externe diensten:
· BOSA BeST
· Google Geolocation API: voor adressen in het buitenland
Daarnaast berekent deze service ook de afstanden in vogelvlucht of wandelafstand. Voor de berekening van de wandelafstand wordt de Service.Routing aangeroepen.
Zorgt voor berekening van de wandelafstand tussen twee coördinaten.
Dit is de RangOrde Motor (ROM) die voor alle aangemelde leerlingen de optimale verdeling berekent voor de gekozen scholen, rekening houdend met de geregistreerde vrije plaatsen per school.
De ROM gebruikt hiervoor de instellingen die door de initiatiefnemer werden ingesteld (algoritme, ordeningscriteria, voorrangsgroepen, afstanden)
Zorgt voor het samenstellen van de toewijzingsberichten nadat de ROM definitief heeft gedraaid.
Zorgt voor het uitsturen van e-mails.
Deze databank bevat initiatief-overschrijdende instellingen en toegangsconfiguratie.
Elk initiatief heeft een eigen databank per aanmeldingsjaar.
Deze databank bevat alle instellingen van het initiatief, de vestigingsplaatsen en de aanmeldingen. Ook de toewijzingsresultaten worden hierin opgeslagen.
3.4 Beschrijving van de betrokkenen en andere actoren
<Lijst alle betrokken actoren op (minimaal alle type van betrokkenen) en hun mate van betrokkenheid/rol in de verwerking of hun belang daarin>
1. AGODI
Het Agentschap voor Onderwijsdiensten (AGODI) is ingeschreven in het KBO met nummer 316380841 (vestigingseenheid 2.199.317.226) waarvan de administratieve zetel zich bevindt te Koning Albert II laan 15, 1210 Brussel.
Aangezien AGODI bepaalde keuzes heeft gemaakt bij het ontwikkelen van het systeem zoals de keuze van het algoritme, de geolocatietool, de hosting,… kunnen we stellen dat AGODI een groot aandeel heeft in het bepalen van het doel en de middelen van de verwerking. Daarom treedt AGODI op als gezamenlijke verwerkingsverantwoordelijke samen met de betrokken schoolbesturen van het samenwerkingsverband.
De applicatiebeheerder is een werknemer van AGODI. Initiatiefnemers/beheerders kunnen met al hun vragen terecht bij AGODI. AGODI doet voor technische ondersteuning een beroep op FrontForce NV.
AGODI stelt een standaard privacyverklaring op die moet worden aangevuld door de initiatiefnemer.
2. Schoolbesturen
Schoolbesturen zijn de inrichtende macht zoals bedoeld in artikel 24, § 4, van de Grondwet, dit is de rechtspersoon of de natuurlijke persoon die verantwoordelijk is voor één of meer scholen.
De betrokken schoolbesturen zijn verantwoordelijk voor de
inschrijving van een leerling. In de mate dat de inschrijving onlosmakelijk
verbonden is met de aanmelding (bij een beperking van de capaciteit kan er geen
inschrijving zijn zonder aanmelding), houdt dit in dat de schoolbesturen ook
verantwoordelijk zijn voor de organisatie van de aanmeldingsprocedure.
De betrokken schoolbesturen treden samen met AGODI op als gezamenlijke
verwerkingsverantwoordelijke.
De schoolbesturen maken gezamenlijke afspraken over de organisatie van de aanmeldingen zoals de voorrangscriteria, ordeningscriteria, organisatie van de helpdesk, …
3. FrontForce NV
Frontforce is ingeschreven in het KBO met nummer 736767161 waarvan de administratieve zetel zich bevindt te Romeynsweel 7, 2030 Antwerpen.
FrontForce NV is verwerker voor AGODI die instaat voor ontwikkeling, beheer en onderhoud van het systeem en de software. In die functie behandelt FrontForce aangemelde incidenten, voert zij het preventief en correctief onderhoud uit en neemt ze requests aan. Deze verwerker is gekozen op basis van een mededingingsprocedure met onderhandeling voor diensten (besteknummer AGODI/AOP/2020/01) waarbij de gunningsbeslissing op 23 mei 2022 werd gecommuniceerd.
4. Digitaal Vlaanderen
Digitaal Vlaanderen is ingeschreven in het KBO met nummer 316380841 (vestigingseenheid 2.256.180.804) waarvan de administratieve zetel zich bevindt te Havenlaan 88/b, 1000 Brussel.
Digitaal Vlaanderen staat in voor het toegangs- en gebruikersbeheer (ACM/IDM) van de Vlaamse Overheid.
5. Combell
Combell is ingeschreven in het KBO met nummer 541977701 waarvan de administratieve zetel zich bevindt te Skaldenstraat 121, 9042 Gent.
Combell is een subverwerker van FrontForce en is de hosting partij die de onderliggende infrastructuur levert en beheert.
Er zijn geen ontvangers van de persoonsgegevens anders dan de verwerkingsverantwoordelijken, verwerkers of de gebruikers van het platform. Er is geen doorgifte naar derde landen. De gegevens worden in de Europese Economische Ruimte verwerkt. Dat is contractueel afgesproken met de verwerkers. Afhankelijk van de keuze van de aanmelder kunnen er wel berichten via e-mail worden gestuurd. Indien de aanmelder dit niet wenst, hoeft de aanmelder geen e-mailadres te registreren. Het toewijzingsresultaat wordt dan per post verstuurd.
De aanmelder kan de status
van het dossier ook steeds raadplegen in de beveiligde omgeving van het
aanmeldingsportaal. Op de roadmap voor
verdere ontwikkeling van de toepassing staat de integratie met het
Burgerprofiel zodat de aanmelder daar berichten kan ontvangen.
4. Noodzakelijkheid en evenredigheid (verplicht)
4.1 De rechtmatigheid van de verwerking
De verwerkingen zijn nodig om te voldoen aan de wettelijke verplichting die door het decreet wordt opgelegd om een digitale aanmelding te organiseren. De systematische verwerkingen zijn daarom gebaseerd op: Art. 6(c) AVG: de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
Het schoolbestuur is niet verplicht een aanmeldingsprocedure te organiseren, maar wenst dit toch te doen om te garanderen dat aanmeldingen en nadien inschrijvingen op een gestructureerde, transparante en eerlijke manier verlopen. De verwerking is daarom gebaseerd op: Art. 6(e) AVG: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
Het toewijzen van de leerlingen door de ROM kan als een vorm van geautomatiseerde besluitvorming gezien worden. In het beginsel heeft een betrokkene het recht niet te worden onderworpen aan een uitsluitend geautomatiseerd besluit waaraan rechtsgevolgen zijn verbonden of dat de betrokkene in aanmerkelijke mate treft. Het geautomatiseerd toewijzen van de leerlingen is in dit geval bij wetgeving toegestaan. De betrokkenen worden hiervan op de hoogte gebracht via de gebruikersvoorwaarden en privacyverklaring.
In zoverre het hier gaat om bijzondere categorieën van persoonsgegevens worden de gegevens verwerkt op basis van de uitzondering in artikel 9, lid 2, g), van de Algemene Verordening gegevensbescherming: de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.
De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Op wetenschappelijk onderzoek en statistieken bestaat er een uitzondering dat deze verwerkingen niet als onverenigbaar worden beschouwd met de oorspronkelijke doeleinden.
Scholen zijn gemachtigd om intern het INSZ-nummer van een leerling te gebruiken in het kader van inschrijvingen volgens het KB van 5 februari 1994. In de mate dat de inschrijving onlosmakelijk verbonden is met de aanmelding, zijn de scholen derhalve ook gemachtigd om het INSZ-nummer te gebruiken in het kader van aanmelden.
4.2 De basisbeginselen van de verwerking
4.2.1 (Eerlijkheid) Behoorlijkheid en transparantie
Een verwerking is slechts behoorlijk voor zover die met de redelijke verwachtingen van de betrokkene overeenstemt. Hoewel het voor de betrokkene te verwachten is dat dienstverleningen steeds meer digitaliseren, is het van groot belang dat de betrokkene goed geïnformeerd wordt over de verwerking van de persoonsgegevens binnen dit project. Alsook waar betrokkenen terecht kunnen voor de uitvoering van hun rechten. Daartoe zal AGODI een privacyverklaring voorzien op de website(s) van de verschillende aanmeldingsinitiatieven. Deze standaardtekst kan door de initiatiefnemer aangepast worden naar gelang de lokale context.
Daarnaast voorziet het systeem dat bij elke wijziging aan de aanmeldingsgegevens de aanmelders een bericht via e-mail ontvangen met een overzicht van de wijzigingen.
Lochristi-Wachtebeke heeft beslist om de betrokkene als volgt te informeren:
- Via de algemene informatie en privacyverklaring gepubliceerd door AGODI en door op de aanmeldingswebsite;
4.2.2 Minimale gegevensverwerking
Organisaties mogen alleen persoonsgegevens verwerken als dit noodzakelijk is voor een specifiek verwerkingsdoel.
In de portalen van het aanmeldingssysteem worden enkel de gegevens verwerkt die nodig, relevant en toereikend zijn om de rol van een gebruiker te kunnen vaststellen, om leerlingen te kunnen ordenen in functie van aanmelden en om toewijzingsberichten te kunnen versturen. Met een correcte toewijzing van rechten en rollen wordt ook gewaarborgd dat enkel de strikt noodzakelijke personen toegang hebben tot de persoonsgegevens voor de uitoefening van hun taken.
De persoonsgegevens die verwerkt worden tijdens de aanmeldingsprocedure zijn de volgende.
categorieën persoonsgegevens
EDPB-gevoelige gegevens (WP29)
doel van de verwerking
categorieën van de betrokkenen
bewaartermijn
Identificatiegegevens van betrokkenen bij het initiatief
Neen
Nodig voor identificatie en authenticatie
Initiatiefnemer, schoolbeheerder, schoolmedewerker, helpdeskmedewerker
maximaal tot 2 jaar na aanmelden
Identificatiegegevens van de aanmelder en eventueel back-up aanmelder.
Neen
Nodig voor identificatie en authenticatie
Ouders, intermediairs, leerlingen
maximaal tot 2 jaar na aanmelden
Identificatiegegevens leerling (incl. INSZ)
neen, maar INSZ is wel bijzondere categorie persoonsgegeven.
Unieke identificatie van de leerling voor aanmelding
Leerlingen die wensen aan te melden
maximaal tot 2 jaar na aanmelden
Contactgegevens aanmelder en eventueel back-up aanmelder.
Neen
Nodig om het resultaat van de toewijzing te communiceren of contact op te nemen in geval van vragen bij het aanmeldingsdossier
Ouders, intermediairs, leerlingen
maximaal tot 2 jaar na aanmelden
Aanmeldingsgegevens (keuze school, gegevens m.b.t. voorrang, bewijsstukken m.b.t. voorrang, gegevens voor ordening, notities m.b.t. de opvolging van de aanmelding)
Ja, kenmerken betreffende profielbepaling en persoonlijke voorkeuren en interesses van minderjarigen.
Nodig om een rangorde voor toewijzing te kunnen opmaken
Leerlingen en hun ouders die wensen aan te melden
maximaal tot 2 jaar na aanmelden
Resultaat van de rangordemotor (toewijzingslijst, toewijzingsbericht, weigeringsdocument)
Ja, kenmerken betreffende profielbepaling en persoonlijke voorkeuren en interesses van minderjarigen.
Nodig om het resultaat van de toewijzing te kunnen communiceren
Leerlingen die wensen aan te melden
maximaal tot 2 jaar na aanmelden
Inschrijvingsstatus van de leerling
Ja, kenmerken betreffende profielbepaling en persoonlijke voorkeuren en interesses van minderjarigen.
Nodig om een actueel zicht te hebben op het aantal geweigerde
leerlingen binnen het aanmeldingsinitiatief met het oog op eventuele
uitbreidingen van de capaciteit.
Ouders een actueel zicht bieden op de plaats van hun
kind op de weigeringslijst
Leerlingen die aangemeld zijn
Maximaal tot 2 jaar na aanmelden.
4.2.3. Juistheid en nauwkeurigheid
In de context van deze verwerking verlangt het juistheidsbeginsel dat de kwaliteit en juistheid van de verwerking gegarandeerd kan worden en dat er voorzien wordt in een gepast proces dat alle redelijke maatregelen voorziet om gegevens onverwijld te wissen of te verbeteren.
Wanneer de aanmelder een straatnaam registreert, moet de aanmelder kiezen uit een lijst met voorgestelde straatnamen uit de gemeente. Wanneer de straat niet tussen deze lijst staat, heeft de aanmelder de mogelijkheid om de straatnaam manueel te registreren. In de toepassing wordt duidelijk vermeld wanneer een straatnaam manueel geregistreerd is. Deze functionaliteit is toegevoegd om de kwaliteit van de door de aanmelders geregistreerde straatnamen te verhogen.
Wanneer de flow van het aanmelden is doorlopen, krijgt de gebruiker een overzicht van de geregistreerde gegevens met de vraag deze te controleren en te bevestigen.
De aanmelder kan op het aanmeldingsportaal steeds een overzicht terugvinden van alle volledige en niet-volledige aanmeldingen. Op die manier is het onmiddellijk duidelijk welke aanmelding nog niet compleet is en nog moet vervolledigd worden.
De aanmelder of enig ander persoon met toegang tot het dossier kan tijdens de ‘Aanmeldingsperiode’ zijn aanmeldingen wijzigen (een extra school toevoegen, verwijderen of de volgorde veranderen), bijkomende personen toevoegen of andere gegevens aanpassen. Van elke wijziging in het dossier, dit kan zowel door een aanmelder als een helpdeskmedewerker zijn, krijgt de aanmelder een bericht.
Wanneer de aanmelder in een volledig dossier een extra school toevoegt, moeten de nieuwe voorrangsvragen worden beantwoord.
Het samenwerkingsinitiatief voorziet dat een helpdeskmedewerker dossiers van leerlingen kan raadplegen met het oog op controle op juistheid, nauwkeurigheid en volledigheid.
Het systeem voorziet ook automatische controles met een melding bij controle op de leeftijd, volledigheid beantwoorden van de voorrangsvragen, bij dossiers zonder schoolkeuze.
Het systeem geeft de initiatiefnemer en helpdeskmedewerker daarnaast ook de mogelijkheid om een overzicht te raadplegen van:
· adressen waar niet automatisch coördinaten aan toegekend kunnen worden, of met verdachte coördinaten,
· dossiers waarin er zich problemen stellen met de afstandsberekening;
· dossiers zonder communicatiegegevens;
· dossiers zonder schoolkeuze;
· dubbele aanmeldingen;
· onvolledige dossiers;
· volledigheid van beantwoorden van de voorrangsvragen.
Het systeem voorziet in een proefdraai van de rangordemotor.
De applicatiebeheerder krijgt kwaliteitsrapporten over de geregistreerde gegevens op het niveau van het aanmeldingsinitiatief.
4.2.4. Opslagbeperking
De persoonsgegevens worden maximaal twee jaar na de aanmelding bewaard in de toepassing. Deze termijn is nodig voor het ordenen, toewijzen en opvolgen van de inschrijving. Deze termijn is contractueel vastgelegd met de verwerker.
De loggings die de initiatiefnemer kan raadplegen
blijven ook twee jaar na de aanmelding bewaard in de toepassing. Deze logging
laat toe om op elk moment te traceren wie welke wijziging heeft uitgevoerd en
ook welke acties tot welke resultaten hebben geleid. Dit noemen we de
transactionele/functionele logs.
De technische en infrastructurele logs worden
automatisch opgeschoond om problemen met beschikbare schijfruimte te vermijden
en worden maximaal 30 dagen bijgehouden.
Voorbeelden van technische en infrastructurele
logs:
· logbestanden van de verschillende softwaremodules die deel uitmaken van de applicatie;
· logbestanden van de infrastructuurcomponenten;
· de webserver die alle inkomende requests logt;
· de databankserver die technische informatie logt over acties die plaatsvinden .
4.2.5. Gegevensbeveiliging
Zie hoofdstuk 6 voor een overzicht van technische en organisatorische maatregelen per geïdentificeerd risico.
4.2.6. Gegevensbescherming door ontwerp en als standaardinstelling
Het aanmeldingssysteem volgt voor de initiële inrichting de principes van security en privacy by design.
De uitgangspunten hierbij zijn de volgende.
- Elk samenwerkingsinitiatief krijgt zijn eigen afgeschermde omgeving waarin het het volledige eigenaarschap over zijn gegevens heeft.
- Elke gebruiker dient in te loggen via het toegangsbeheer van de Vlaamse Overheid
- Alle acties van elke gebruiker worden gelogd.
- Door een sterk uitgebouwd rollensysteem wordt de toegang tot persoonsgegevens beperkt tot wat strikt noodzakelijk is bij de uitvoering van de taken.
- Automatisch ingebouwde controles moeten gebruikersfouten kunnen opvangen.
4.3. Beoordeel de noodzakelijkheid en
evenredigheid (sensu strictu)
4.2.3 Noodzaak
Aanmelden is het digitaal kenbaar maken van een intentie tot inschrijving. De regelgeving verplicht scholen die leerlingen willen kunnen weigeren op basis van capaciteit om gebruik te maken van een aanmeldingsprocedure.
Alle beoogde verwerkingen zijn in functie van de goede organisatie van de aanmeldingsprocedure.
4.2.4 Evenredigheid
Het uitgangspunt bij de ontwikkeling van het aanmeldingssysteem was om enkel de gegevens op te vragen die nodig zijn voor het ordenen en toewijzen van de leerlingen of voor het contacteren van de aanmelders.
Daarin is het project geslaagd, er wordt bijvoorbeeld niet bijgehouden wat de relationele band is tussen de aanmelder en de leerling.
5. Methode voor beoordeling risico’s op rechten en vrijheden van betrokkenen
5.1 Aanvaardbaarheidscriteria van negatieve effecten
De aanvaardbaarheidscriteria zijn gekoppeld aan de score die wordt toegekend aan een risico op basis van een combinatie van twee aspecten: de impact van het risico en de waarschijnlijkheid van het risico.
Risico’s met een score “hoog” of “zeer hoog” kunnen niet geaccepteerd worden zonder bijkomende risicomaatregelen.
Risico’s met een score “gemiddeld” worden idealiter nog verder behandeld. Het is mogelijk (en in bepaalde gevallen aangewezen) om hier nog bijkomende risicomaatregelen te nemen. Indien geen mogelijke aanvullende maatregelen voorhanden zijn, of bv. de kost van de maatregel niet in proportie tot het risico staat, kunnen deze risico’s geaccepteerd worden mits duidelijke en grondige motivatie.
Risico’s met een score “laag” en “zeer laag” kunnen zonder bijkomende motivering geaccepteerd worden.
De cijferscores in het document dienen als volgt gelezen te worden.
1-4: zeer laag
5-7: laag
8-11: gemiddeld
12-15: hoog
16+: zeer hoog
5.2 Risicoanalyse, -evaluatie en opvolging
De noodzaak voor de uitvoering van een GEB insinueert een context waarbinnen een verwerking gelet op de aard, de omvang, de context en de doeleinden waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In het verdere verloop van deze GEB wordt telkens een risico besproken, welke aanvullende maatregelen er genomen worden, alsook welke beoordeling geleid heeft tot een score van het restrisico.
5.2.1 Bepalen van de impact van een risico voor betrokkene
Om het impactniveau op de betrokkene te bepalen moet rekening gehouden worden met de rechten en vrijheden van de betrokkene, alsook met de gerechtvaardigde belangen zowel op economisch, fysiek of psychologisch vlak, zoals onder meer de volgende.
- Een mogelijk verlies aan zelfstandigheid (potentiële handelingen kunnen niet meer worden uitgevoerd);
- Vrij kunnen blijven van stigmatisering (hoe de betrokkene behandeld wordt op basis van bepaalde kenmerken)
- Gelijkheid (het op dezelfde wijze benaderen van de betrokkene);
- Bewegingsvrijheid (beperken van toegang tot bepaalde ruimtes of locaties);
- Vrij kunnen blijven van manipulatie (beïnvloeden van het gedrag op basis van de geschonden informatie);
- Integriteit (bv. door aanbieden van geschenken)
- Ongestoord leven (onaangenaam afbreken van rust en stilte)
- Eigenwaarde (afbreuk aan eigen persoonlijkheid)
- Autonomie (beperking van de vrijheid om eigen regels te volgen)
- Lichamelijke schade en bedreigingen
- Identiteitsfraude
- …
5.2.2 Bepalen van de waarschijnlijkheid van een risico voor de betrokkene.
Bij het bepalen van de waarschijnlijkheid van een risico baseren we ons op de ervaring van gebruikers van reeds 10 jaar aanmelden in verschillende bestaande systemen.
6. Beoordeling risico’s op rechten en vrijheden van betrokkenen en de beoogde maatregelen
2.1. Gebruikers lopen de kans mis om (tijdig) aan te melden – onbeschikbaarheid van de applicatie
2.1.1. Risico
Gebruikers kunnen tijdens de aanmeldingsperiode één of meerdere leerlingen
aanmelden. Indien ze dit niet tijdig kunnen doen, door de onbeschikbaarheid van
de applicatie, kan een leerling zich niet aanmelden voor een school naar
voorkeur en kan de leerling het recht op inschrijving in een school naar
voorkeur niet uitoefenen. De vrije schoolkeuze komt in gevaar.
2.1.2. Maatregelen
- Technische maatregelen
· De uitgebouwde softwareoplossing schaalt in functie van de belasting van het systeem. Het automatisch schalen van de web- en appcomponenten is gebaseerd op Cubernetes en containers.
· FrontForce gebruikt performancetesten om performance bottlenecks te detecteren, om te bepalen wat de beste metric is voor het automatische schalen en ook om de performance te controleren bij nieuwe releases. Via performancetesten en -tuning bij elke release zorgt Frontforce ervoor dat de applicatie optimaal gebruik blijft maken van de ICT-infrastructuur.
De test werd uitgevoerd op donderdag 15 december 2022 (FAT) op de Low set up en woensdag 4 januari 2023 (SAT) + her-test op 10 januari 2023 op de High set up.
· Combell monitort continu volautomatisch de volledige infrastructuur en verwittigt hun engineers en het supportteam bij FrontForce ruimschoots op tijd zodat eventuele performantieproblemen kunnen voorkomen worden.
· Combell beschikt over meerdere ruimtes in verschillende datacentra in België. Al deze datacentra zijn uitgerust met: UPS (Uninterruptable Power Supply), airconditioning, branddetectie, temperatuurcontrole en andere beveiligingssystemen. Combell hanteert het ‘datacenter in datacenter’ principe. Binnen het primary datacenter heeft Combell ook verschillende eigen ruimtes. Deze ruimtes maken gebruik van meerdere backup systemen (generatoren, UPS, koeling, …). Binnen het primary datacenter heeft Combell ook 2 backbone routers geplaatst zodat bij het falen van een room (wat in principe niet mogelijk is gezien alle veiligheidsmaatregelen) het datacenter volledig verder draait zonder impact voor de klanten. Het primary datacenter is ook uitgerust met 24/7 onsite security.
· Combell garandeert een beschikbaarheid van 99,999% gedurende 24/7 voor de volledige infrastructuur. Daarnaast is er op elke component van de infrastructuur een ‘SLA Plus contract’ voorzien bij Combell. Dit omvat o.a. incident management, hersteltijd bij bedrijfskritische incidenten (< 30 min 24/7), patch management, monitoring, prestatie monitoring & trends, back-up beheer, firewall en DDoS beveiliging. Met deze maatregelen garandeert FrontForce een RTO (recovery time object) van 1 uur na failure en 24 uur na disaster.
· Geo-blocking.
- Organisatorische maatregelen:
· AGODI voorziet een foutpagina en verstuurt communicatie naar alle initiatiefnemers bij onbereikbaarheid van de toepassing.
· AGODI monitort de starturen van aanmelden van de verschillende initiatieven met het oog op de verwachte load.
· Initiatiefnemers communiceren verder naar helpdeskmedewerkers en de gebruikers.
- Juridische maatregelen:
· AGODI heeft met Frontforce een Service Level Agreement (SLA) afgesloten waarin KPI’s zijn afgesproken rond de beschikbaarheid van het systeem.
2.1.3. Restrisicoscore
De aanmeldingsperiode is vastgelegd in het BVR. De initiatiefnemer bepaalt het start- en einduur. Gelet op de periode om een succesvolle aanmelding te voltooien en de garanties van FrontForce schatten we de kans dat een aanmelder geen correcte aanmelding kan uitvoeren omwille van de onbeschikbaarheid van de applicatie laag in. Het tijdstip van de aanmelding binnen de aanmeldingsperiode is immers niet van belang voor een succesvolle aanmelding. De impact van een niet-succesvolle aanmelding schatten we gemiddeld in.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
2.2. Gebruikers lopen de kans mis om (tijdig) aan te melden – geen technische oorzaak
2.2.1. Risico
Gebruikers kunnen tijdens de aanmeldingsperiode één of
meerdere leerlingen aanmelden. Indien ze dit niet tijdig doen, kan een leerling
zich niet aanmelden voor een school naar voorkeur en kan de leerling het recht
op inschrijving in een school naar voorkeur niet uitoefenen. De vrije
schoolkeuze komt in gevaar.
Er zijn meerdere redenen waarom een gebruiker niet tijdig zou kunnen aanmelden.
- De gebruiker weet niet waar en wanneer hij een leerling kan aanmelden.
- De gebruiker heeft niet de technische vaardigheden en/of middelen om aan te melden.
- De helpdesk is niet bereikbaar.
2.2.2. Maatregelen
- Technische maatregelen
· Bij het aanmeldingsportaal garanderen we een zo breed mogelijke ondersteuning in browsers (zelfs ouder dan recentste versie -1) en gebruiken we geen fancy features om zo de kans op problemen te minimaliseren. We passen zoveel mogelijk progressive enhancement toe: dit betekent dat we features die het gebruiksgemak verhogen, enkel activeren wanneer de browser van de gebruiker die features ook ondersteunt. Zonder die features, werkt de applicatie ook, maar net iets minder gebruiksvriendelijk.
· Bij het ontwerp en de ontwikkeling van de portalen maken we gebruik van responsive webdesign. Dit betekent dat we ervoor zorgen dat ze ook handig te gebruiken zijn op mobiele toestellen, zoals een smartphone of tablet.
· Bij de opzet van de applicaties kijkt een UX-expert mee naar het ontwerp en de ontwikkeling om op die manier de gebruiksvriendelijkheid van de webapplicatie voor gebruikers te verhogen.
- Organisatorische maatregelen:
· Communicatie via de websites en de communicatiekanalen van de scholen.
· De schooldirecties zorgen voor opvolging door de medewerkers die aangeduid worden.
· De schooldirecties zorgen voor ondersteuning bij aanmelding indien nodig.
2.2.3. Restrisicoscore
De impact van een niet-succesvolle aanmelding schatten we gemiddeld in.
2.3. Onbewuste fouten door aanmelders
2.3.1. Risico
We bedenken verschillende gebruikersfouten die kunnen leiden tot een mogelijk verkeerde toewijzing van plaatsen.
- Gebruiker meldt een kind aan met een gegarandeerde loopbaan.
- Gebruiker meldt aan voor verkeerd capaciteitsniveau, verkeerde voorrangsgroep.
- Gebruiker laadt verkeerde bewijsstukken op.
- Gebruiker vult een verkeerd adres in.
- Door wijziging van schoolkeuze, ziet de gebruiker niet dat er mogelijk nieuwe OVG-vragen worden gesteld. Het dossier staat ten onrechte op volledig.
Als gevolg hiervan kan de toewijzing verkeerd gebeuren waardoor de leerling, maar ook andere leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt.
- Er worden verschillende kinderen in éénzelfde browser met meerdere tabs aangemeld. En de ouder vergeet uit te loggen.
Als gevolg hiervan kan een kind aan de verkeerde aanmelder gekoppeld zijn. De gegevens van het kind zijn toegankelijk voor verkeerde personen. De correcte aanmelder kan het dossier van het kind niet meer opvolgen.
2.3.2. Maatregelen
- Technische maatregelen
· Er gebeurt een controle op de structuur van het Rijksregisternummer van het kind.
· Er gebeurt een controle op de geboortedatum op basis van het Rijksregisternummer.
· Er gebeurt een controle op dubbel aangemelde leerlingen.
· Bij het invullen van een domicilieadres van het kind en het werkadres van een ouder krijg je als gebruiker een lijst met straatnamen waaruit je moet kiezen, na het invullen van de gemeente.
· De lijst van de postcodes wordt geoptimaliseerd: volgorde van de postcodes wordt aangepast om gebruikersfouten op te vangen.
· De straatnaam is enkel manueel aan te passen indien de gebruiker bevestigt dat de straatnaam niet in de lijst met suggesties voorkomt.
· Er gebeurt een controle op de structuur van een telefoonnummer en het e-mailadres.
· Kleuters worden op basis van hun geboortejaar automatisch toegewezen aan een aanmelding voor het kleuteronderwijs.
· Leerlingen lager onderwijs worden op basis van hun geboortejaar automatisch toegewezen aan een leerjaar. Bij afwijking, maar binnen de bepaalde vork, wordt de aanmelder geattendeerd op de afwijking. Bij afwijking, maar buiten de bepaalde vork, is het niet mogelijk om verder aan te melden en wordt gevraagd om contact op te nemen met de helpdesk.
· Het is verplicht om minstens één ouder en zijn/haar telefoonnummer te registreren.
· De aanmelder krijgt via e-mail een overzicht van de registreerde gegevens.
· De aanmelder kan steeds via de applicatie een overzicht terugvinden van de registraties en kan die indien nodig ook wijzigen gedurende de aanmeldingsperiode.
· De naam van de ingelogde gebruiker verschijnt nu zowel op het dashboard als in de header. Op die manier is het altijd duidelijk voor de gebruiker onder welke naam hij/zij aan het aanmelden is.
· Na het afmelden krijgt de gebruiker vanaf nu een pagina te zien met de boodschap: “je bent uitgelogd”. Indien de gebruiker deze pagina nog niet ziet, weet hij/zij zeker dat hij/zij nog niet is uitgelogd.
· De initiatiefnemer krijgt een overzicht in het scholenportaal van alle uitgevoerde kwaliteitscontroles zoals adressen zonder coördinaten, verdachte coördinaten, dossiers zonder schoolkeuze,...
· De applicatiebeheerder krijgt een overzicht van het aantal aanmeldingen waar zich mogelijk een probleem voordoet. De applicatiebeheerder neemt in dit geval contact op met de initiatiefnemer om verder op te volgen.
· Controle op aanmelding van kinderen met gegarandeerde schoolloopbaan o.b.v. uitwisseling met Discimus (o.v.).
· Als aanmelders de schoolkeuze wijzigen in het dossier van een reeds aangemeld kind, dan moeten de voorrangsvragen opnieuw beantwoord worden.
- Organisatorische en juridische maatregelen
De initiatiefnemer maakt afspraken over de volgende items.
· De controle op dubbel aangemelde leerlingen
· De opvolging van onvolledige dossiers
· De controle op de OVG-vragen die zijn ingevuld voor volledige dossiers waar nadien nog een schoolkeuze is gewijzigd.
· Controle voorrangsgroepen
· Proefdraaien ROM
· Steekproef toekennen coördinaten en controle berekende afstanden
· Het gebruik van eventuele toekomstige domicilieadressen.
2.3.3. Restrisico
Gebruikersfouten zijn nooit uit te sluiten, maar op basis
van de uitgebreide technische controles en de mogelijkheid om de helpdesk extra
manuele controles te laten uitvoeren, schatten we de kans dat het risico zich
voordoet laag in. De impact van een onbewuste fout tijdens de aanmelding
schatten we gemiddeld in.
Het restrisico wordt bijgevolg als laag ingeschaald.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
2.4. Onbewuste fouten door scholen, initiatiefnemer(s), helpdesk
2.4.1. Risico
Naast de gebruiker kunnen scholen en/of beheerders ook onbewust fouten
maken. Dit kan in elke fase van de aanmelding gebeuren: bij de initialisatie en
parametrisering van het systeem of later bij behandelingen van individuele dossiers.
Een school kan door omstandigheden (bv. door verbouwing/bouwdossier) een
verkeerde berekening van de capaciteit en/of vrije plaatsen doorgeven. Een
beheerder kan een verkeerde registratie doen, die afwijkt van de gemaakte
afspraken. Een beheerder kan een verkeerd adres registreren. De medewerkers van
de helpdesk kunnen fouten maken bij controle of behandeling van dossiers.
We spreken hier over menselijke fouten, zonder kwaadaardige opzet.
Als gevolg hiervan kan de toewijzing verkeerd gebeuren waardoor leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt.
2.4.2. Maatregelen
- Technische maatregelen
· De beheerder van de school, de schoolmedewerker en de initiatiefnemer kunnen in de applicatie controleren via het scholenportaal of het systeem ingesteld is volgens de gemaakte afspraken.
· Indien een medewerker een wijziging doet aan een registratie van een leerling, wordt de oorspronkelijke aanmelder van de leerling steeds via e-mail op de hoogte gebracht van de wijziging.
· Het is mogelijk om de rangordemotor te laten proefdraaien. Bij een verkeerde registratie van bv. de capaciteit of vrije plaatsen, komt dit naar boven bij de controle van de resultaten van de proefdraaiing.
· Adressen van de school worden rechtstreeks uit het schoolaanbod opgeladen om fouten in registraties te vermijden. Het is wel steeds mogelijk om dit manueel te overschrijven.
· Fouten zullen door helpdesk gemakkelijker opgespoord worden dankzij het extra scherm kwaliteitscontroles (in ontwikkeling).
· De applicatiebeheerder heeft een scherm kwaliteitscontroles waar kan opgevolgd worden of het aanmeldingsinitiatief klaar is voor de start van de aanmeldingen (bv. Zijn de vestigingsplaatsen, capaciteiten, voorrangsgroepen en ordeningscriteria ingesteld?)
- Organisatorische maatregelen
· AGODI organiseert informatiesessies over het gebruik van de toepassing voor scholen, initiatiefnemers en helpdeskmedewerkers.
· Er is een gebruikershandleiding, inclusief checklist, voor scholen, helpdesk en initiatiefnemers.
· Elk aanmeldingsinitiatief moet een ombudsdienst inschrijvingen oprichten.
· De schooldirectie duidt de helpdeskmedewerker aan en hulp wordt geboden na afspraak.
2.4.3. Restrisico
Gebruikersfouten zijn moeilijk uit te sluiten. Maar op basis van technische en organisatorische maatregelen, en ook op basis van de geruime tijd van aanmelden waardoor er voldoende tijd is om fouten te ontdekken en recht te zetten, schatten we de kans dat het risico zich voordoet laag in. De impact van een onbewuste fout tijdens de aanmelding schatten we gemiddeld in. Het restrisico wordt bijgevolg als laag ingeschaald.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
2.5. Ongeoorloofde toegang – kwetsbaarheden in de applicatie worden uitgebuit
2.5.1. Risico
Gekende of ongekende kwetsbaarheden in de applicatie kunnen door externen uitgebuit worden om toegang te krijgen tot de gegevens (hacking). Daarnaast is het ook mogelijk dat niet vooraf gekende kwetsbaarheden worden uitgebuit. In beide gevallen zou het om een schending van de vertrouwelijkheid van de gegevens gaan die gepaard gaat met verschillende risico’s voor de betrokkene zoals identiteitsdiefstal, financiële fraude (bv. scamming, phishing, smishing), afpersing, enz.
2.5.2. Maatregelen
- Technische maatregelen
· Encryptie - Voor de volledige verwerkingsketting in de toepassing is er encryptie toegepast voor de data-at-rest (opslag). Dit betekent dat de gegevens die op schijf bewaard worden, versleuteld zijn en dus onleesbaar voor derden. Voor alle transportlagen passen we de meest recente versie van TLS en forward secrecy toe, zodat ook alle verkeer tussen de verschillende modules versleuteld verloopt.
· Logging - In onze App-laag werken we met een Audit-API die elke actie logt in de auditlog, samen met wie, langs welke weg en wanneer. Op die manier kan op elk moment getraceerd worden wie welke wijziging heeft uitgevoerd en ook welke acties tot welke resultaten hebben geleid. De logs zelf zijn eveneens geëncrypteerd.
· Back-up - Alle databases worden standaard elke 4 uur geback-upt. Het is ook mogelijk om de back-up frequentie te verhogen indien dit nodig zou blijken. Indien een back-up niet slaagt, zal de Combell monitor hier een melding van maken en worden zowel de Combell engineers als het FrontForce support team op de hoogte gebracht.
· Pentesten - Voor de lancering van de toepassing in 2023 werd deze door gecertificeerde testers aan een “grey box”-pentest onderworpen met speciale aandacht voor OWASP kwetsbaarheden, credential hunting en privilege escalation. De pentest resulteerde in slechts een aantal minor issues die werden weggewerkt voor de lancering. In 2024 werd een tweede pentest uitgevoerd naar aanleiding van de nieuwe release.
· Ethical hacking: de websites van het aanmeldingssysteem maakten deel uit van het VO-programma voor ethical hacking.
· Geo-blocking.
- Organisatorische en juridische maatregelen
· Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.
2.5.3. Restrisicoscore
Op basis van technische maatregelen schatten we de kans dat het risico zich voordoet laag in. De impact van een ongeoorloofde toegang, vaak met kwaadwillige opzet, schatten we hoog in. Het restrisico wordt bijgevolg als gemiddeld ingeschaald..
Kans
Laag
Impact
Hoog
Risico score:
Gemiddeld (8)
2.6. Ongeoorloofde toegang – correct toekennen van rollen en actueel houden
2.6.1. Risico
Het gebruikersbeheer voor de toegangen tot de software verloopt via het Vlaams toegangsbeheer ACM en binnen de toepassing zelf. Elke organisatie moet er zelf voor zorgen dat de gebruikersrechten actueel en op orde blijven. Het is echter mogelijk dat er ofwel bij AGODI ofwel bij Lochristi-Wachtebeke, foutieve of niet-proportionele toegangsrechten zijn toegekend. Daardoor zouden de medewerkers potentieel te veel rechten krijgen in de applicatie en meer gegevens te zien krijgen dan strikt noodzakelijk voor hun werk. Zo wordt de vertrouwelijkheid van de informatie geschonden.
Afhankelijk van de informatie kan een mogelijke schending van de vertrouwelijkheid voor de betrokkene verschillende gevolgen betekenen: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie...
2.6.2. Maatregelen
- Technische maatregelen
· Het beheer van gebruikers en rollen vindt plaats in de standaard gebruikersbeheer component van de Vlaamse Overheid (IDM) voor de rollen applicatiebeheerder AGODI, beheerder school en medewerker school. Het beheer van de rollen initiatiefnemer en helpdeskmedewerker gebeurt in de aanmeldingstoepassing. Dit zorgt ervoor dat als een persoon uit dienst treedt of van organisatie verandert, de organisatie dit eenvoudig zelf kan aanpassen. Het is echter aan de organisatie zelf om dit op orde te houden. Indien de initiatiefnemer niet meer de centrale rol in de aanmeldingsprocedure opneemt, moet minstens één van de deelnemende schoolbesturen dit melden aan AGODI door een mail te sturen naar aanmeldingssysteem.onderwijs@vlaanderen.be
· Elk initiatief beschikt over een afgescheiden omgeving waardoor een gebruiker steeds enkel toegang heeft tot de data die bestemd zijn voor de eigen organisatie.
· Logging in logboek van wie wordt toegevoegd als initiatiefnemer.
- Organisatorische en juridische maatregelen
· AGODI verduidelijkt de verschillende rollen en toegangsrechten op haar website en in de handleiding.
· Bij afwijkend aantal initiatiefnemers, zal AGODI de initiatiefnemers wijzen op de risico’s.
· Elke rol kan in de toepassing een overzicht raadplegen van wie de rol als initiatiefnemer opneemt.
· Elke medewerker heeft een vertrouwelijkheidsovereenkomst ondertekend of is reeds door een wettelijke of contractuele vertrouwelijkheidsverplichting gebonden.
· Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.
2.6.3. Restrisicoscore
Gezien het kan voorkomen dat iemand een andere functie gaat uitvoeren en er vergeten wordt rechten weg te nemen, wordt de kans op gemiddeld geschat. De impact wordt echter laag ingeschat gezien elke medewerker gehouden is tot vertrouwelijkheid via een ondertekende vertrouwelijkheidsovereenkomst of via een wettelijke of contractuele verplichting.
Kans
Gemiddeld
Impact
Laag
Risico score:
Laag (6)
2.7. Onethisch gebruik door personen met geoorloofde toegang – verspreiden van informatie, verdere verwerking voor niet toegestane doeleinden, verkeerd gebruik van de toepassing
2.7.1. Risico
Personen met geoorloofde toegang nemen kennis van informatie en verspreiden deze informatie publiek of intern. Als gevolg hiervan wordt er kennisgenomen van persoonsgegevens van de betrokkene door een onbevoegde wat kan leiden tot misbruik van gegevens door derden met schade voor de betrokkene tot gevolg.
Het is ook mogelijk dat personen met geoorloofde toegang de persoonsgegevens verder verwerken voor niet-toegestane doeleinden (bv. de contactgegevens worden gebruikt om het gemeentelijke sportaanbod te promoten) De mogelijke gevolgen voor de betrokkene zijn gelijkaardig aan vorige vertrouwelijkheidsrisico’s: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie enz.
Ten slotte is het ook mogelijk dat gebruikers de toepassing op een oneigenlijke manier gebruiken om op deze manier kun kansen in de aanmeldingsprocedure te vergroten (bv. verkeerde informatie registreren, meerdere kinderen registreren,…). Hierdoor kan de toewijzing verkeerd gebeuren waardoor leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt.
2.7.2. Maatregelen
- Technische maatregelen
· Op basis van de toewijzing van rechten en rollen wordt gewaarborgd dat enkel de strikt noodzakelijke personen toegang hebben tot de persoonsgegevens voor de uitoefening van hun taken. De toegang tot persoonsgegevens voor de medewerkers zit steeds achter het beveiligde toegangsbeheer van de Vlaamse Overheid.
· Door middel van de toepassing van logging (zie maatregel 2.5.2.) is te achterhalen wie welke gegevens heeft geraadpleegd. Deze maatregel helpt niet alleen misbruik op te sporen, maar heeft ook een afschrikkende werking.
- Organisatorische en juridische maatregelen
· Medewerkers zijn gesensibiliseerd rond de vertrouwelijkheid van de gegevens.
Elke medewerker heeft een vertrouwelijkheidsovereenkomst ondertekend of is reeds door een wettelijke of contractuele vertrouwelijksheidsverplichting gebonden.
· Gebruikers aanvaarden de gebruikersvoorwaarden. Daarin staat beschreven wat oneigenlijk gebruik van de toepassing inhoudt. Wanneer nadien blijkt dat een leerling een toewijzing heeft gekregen op basis van verkeerde of onvolledige informatie, kan de leerling zijn recht op inschrijving verliezen.
· Met verwerkers die toegang hebben tot persoonsgegevens werden de nodige contractuele afspraken gemaakt.
· Bij toegang tot de lijsten staat een duidelijke disclaimer waarvoor de gegevens al dan niet mogen gebruikt worden. Deze disclaimer is verschillend per lijst en per rol.
· Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.
2.7.3. Restrisicoscore
Onethisch gebruik blijft een menselijk aspect dat je met
technische, organisatorische en juridische maatregelen kan verkleinen, maar
daarom niet helemaal uitsluiten. Daarom wordt de kans op dit risico als
gemiddeld ingeschat. De impact van een onbewuste fout tijdens de aanmelding
schatten we gemiddeld in. Bijgevolg wordt de risico score ingeschaald als
gemiddeld.
Kans
Gemiddeld
Impact
Gemiddeld
Risico score:
Gemiddeld (9)
2.8. De toewijzing gebeurt verkeerd door fouten in de programmatie van de rangordemotor
2.8.1. Risico
Door fouten in de programmatie van de rangordemotor kan de toewijzing verkeerd gebeuren waardoor leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt. Deze fouten kunnen te wijten zijn aan een technische verkeerde programmering. Maar ook door de complexe regelgeving rond het inschrijvingsrecht is het mogelijk dat de regelgeving verkeerd wordt geïnterpreteerd en vertaald bij het voeden van de rangordemotor.
2.8.2 Maatregelen
- Technische maatregelen
· De applicatie werd grondig getest onder andere op basis van pair programming: twee personen (waaronder een algoritmespecialist) hebben onafhankelijk van elkaar exact hetzelfde geprogrammeerd en de resultaten vergeleken.
· Het is steeds mogelijk om de rangordemotor te laten proefdraaien.
· AGODI voorziet een stappenplan rond de controle van de proefdraaiing van de ROM.
· De rangordemotor kan steeds inzicht geven op welke manier de ordening is uitgevoerd en dit opnieuw transparant reconstrueren.
- Organisatorische en juridische maatregelen
· In de projectgroep van de ontwikkeling van het aanmeldingssysteem is er ook een vertegenwoordiging van het Departement Onderwijs en Vorming waardoor er extra aandacht gaat naar de correcte uitvoering van de regelgeving zoals deze werd opgemaakt.
· Elk aanmeldingsinitiatief moet een ombudsdienst inschrijvingen oprichten.
2.8.2. Restrisicoscore
De focus bij de ontwikkeling van het aanmeldingssysteem lag op de rangordemotor, zijnde het hart van de toepassing. Alle mogelijke maatregelen zijn genomen om fouten in de ontwikkeling te vermijden. Bijgevolg schatten we de kans op fouten in de programmering van de rangordemotor laag in.
De impact van een programmatiefout bij de rangordemotor schatten we gemiddeld in. Bijgevolg wordt de risico score ingeschaald als laag.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
2.9. Toewijzingsbericht naar de aanmelder is verkeerd
2.9.1. Risico
Ouders krijgen een foutief toewijzingsbericht (bv. verkeerde informatie, bericht van een ander kind, resultaten van de proefdraaiing) of krijgen geen bericht over toewijzing. Het mogelijke gevolg is dat leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt. Indien ouders een toewijzingsbericht krijgen van een andere leerling is dit een schending van de vertrouwelijkheid voor de betrokkene. Dit kan verschillende gevolgen betekenen: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie...
2.9.2. Maatregelen
- Technische maatregelen
· Het is niet mogelijk om de resultaten van de proefdraaiing te communiceren.
· Wanneer een verzonden e-mail bouncet omwille van een verkeerd e-mail adres, kan de initiatiefnemer dit opvolgen binnen het portaal en opnieuw verzenden
· Het toewijzingsbericht is ook te raadplegen op het aanmeldingsportaal.
- Organisatorische en juridische maatregelen
· Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.
2.9.3. Restrisicoscore
Op basis van de uitgevoerde testen en de mitigerende maatregelen schatten we de kans dat dit risico zich voordoet laag in. De impact van een verkeerd toewijzingsbericht schatten we gemiddeld is. Bijgevolg wordt de score ingeschaald als laag.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
2.10. Toewijzingslijst naar scholen is verkeerd
2.10.1. Risico
Net zoals bij ouders kunnen ook de scholen die nadien wensen over te gaan tot inschrijving een foutieve lijst krijgen van leerlingen die aan hun school zijn toegewezen. Dit kan zowel over een lijst gaat met foutieve gegevens als een lijst bestemd voor een andere school. Het mogelijke gevolg is dat leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt. Indien de school een toewijzingslijst krijgt van een andere school is dit een schending van de vertrouwelijkheid voor de betrokkene. Dit kan verschillende gevolgen betekenen: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie...
2.10.2. Maatregelen
- Technische maatregelen
· Om de toewijzingslijsten te raadplegen, moet je steeds inloggen via ACM/IDM.
- Organisatorische en juridische maatregelen
· Bij toegang tot de lijsten staat een duidelijke disclaimer waarvoor de gegevens al dan niet mogen gebruikt worden.
· Elke medewerker heeft een vertrouwelijkheidsovereenkomst ondertekend of is reeds door een wettelijke of contractuele vertrouwelijkheidsverplichting gebonden. Medewerkers zijn gesensibiliseerd rond de vertrouwelijkheid van de gegevens.
· Zowel AGODI als de initiatiefnemer beschikt over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.
2.10.3. Restrisicoscore
Op basis van de uitgevoerde testen en de mitigerende maatregelen schatten we de kans dat dit risico zich voordoet laag in. De impact van een verkeerde toewijzingslijst schatten we gemiddeld is. Bijgevolg wordt de score ingeschaald als laag.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
7. Mening betrokkenen/vertegenwoordigers over de verwerking (verplicht)
<Zoals vermeld in artikel 35 lid 9 vraagt de verwerkingsverantwoordelijke in beginsel de betrokkenen of vertegenwoordigers naar hun mening over de voorgenomen verwerking>
In het kader van de voorbereiding van de decreten rond
het inschrijvingsrecht vindt een ruime consultatie plaats in verschillende
organen, waaronder organen waar de betrokkenen vertegenwoordigd zijn zoals de
Vlaamse Onderwijsraad.
Daarnaast bestond er ook een externe gebruikersgroep die bestond o.a. uit vertegenwoordigers van de lokale besturen van Gent, Antwerpen, Leuven, Brussel en hun respectievelijke LOP’s. Deze gebruikersgroep kwam zes keer samen tussen 16 september 2023 en 2 december 2023. Twee samenkomsten waren enkel met de gebruikers van LOP Brussel. Ook in 2024 werden de gebruikersgroepen samengebracht om wensen en wijzigingen aan het aanmeldingssysteem te bespreken.
Doorheen het volledige ontwikkelingsproces heeft AGODI uitgebreid beroep gedaan
op de expertise van de LOP-deskundigen die reeds 10 jaar ervaring hadden met de
bestaande aanmeldingssystemen op de private markt.
Gegevensbeschermingseffectbeoordeling (GEB/DPIA)
Gebruik aanmeldingssysteem door
Lochristi Wachtebeke
Dit document is gebaseerd op een model dat werd opgesteld door de Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens en is afgeleid van het model van het d.pia.lab van de VUB: Brussel, 2020., licentie: CC BY SA 4.0. (https://researchportal.vub.be/files/53602836/dpialab_pb2020_1_final.pdf) Zie ook www.dpialab.org en dpialab@vub.ac.be.
Inhoudstafel
0. Algemene omschrijving van de verwerking. 6
1.2 Projectwerking bij het opzetten van GEB. 7
1.3 (Her)evaluatie van GEB tijdens de verwerking. 8
2. Bronnen voor het opstellen van de GEB.. 9
2.2 Aanbevelingen van EDPB/EDPS. 10
2.3 Aanbevelingen en standpunten van toezichthouders. 10
2.4 Aanbevelingen en standpunten van rechtbanken. 10
3. Systematische beschrijving (verplicht) 12
3.1 De scope van de GEB (in functie van de verwerkingsdoelen) 12
3.2 Beschrijving van de context van de verwerkingen. 13
3.3 Systematische beschrijving van de verwerkingen (en verwerkingsdoelen) 14
3.4 Beschrijving van de betrokkenen en andere actoren. 25
4. Noodzakelijkheid en evenredigheid (verplicht) 28
4.1 De rechtmatigheid van de verwerking. 28
4.2 De basisbeginselen van de verwerking. 30
4.2.1 (Eerlijkheid) Behoorlijkheid en transparantie. 30
4.2.2 Minimale gegevensverwerking. 30
4.2.3. Juistheid en nauwkeurigheid. 32
4.2.5. Gegevensbeveiliging. 36
4.2.6. Gegevensbescherming door ontwerp en als standaardinstelling. 36
4.3. Beoordeel de noodzakelijkheid en evenredigheid (sensu strictu) 37
5. Methode voor beoordeling risico’s op rechten en vrijheden van betrokkenen. 37
5.1 Aanvaardbaarheidscriteria van negatieve effecten. 37
5.2 Risicoanalyse, -evaluatie en opvolging. 38
5.2.1 Bepalen van de impact van een risico voor betrokkene. 38
5.2.2 Bepalen van de waarschijnlijkheid van een risico voor de betrokkene. 39
6. Beoordeling risico’s op rechten en vrijheden van betrokkenen en de beoogde maatregelen. 40
7. Mening betrokkenen/vertegenwoordigers over de verwerking (verplicht) 53
8. Adviezen betreffende de GEB (verplicht) 54
8.1 Advies functionaris voor gegevensbescherming. 54
8.2 Voorafgaande raadpleging bij de toezichthouder (verplicht bij hoog restrisico) 54
9. Besluit van de verwerkingsverantwoordelijke (verplicht) 55
Aanmeldingssysteem
Naam/referentie van het initiatief:
Lochristi-Wachtebeke
Naam, contactinformatie en andere identificatiegegevens van:
Verwerkingsverantwoordelijke(n) en hun vertegenwoordigers:
AGODI
GO! Leefschool Eikenkring, Scholengroep 22,
ingeschreven in het KBO met vestigingsnummer BE 0267.383.270 waarvan de
administratieve zetel zich bevindt Schoonmeersstraat 26, 9000 Gent.
GO! Openluchtschool 't Zwaluwnest, Scholengroep Dynamiek, ingeschreven in het KBO met vestigingsnummer BE 0267.383.666. waarvan de administratieve zetel zich bevindt Beukenstraat, 1 , 9900, Eeklo
VZW EDUGO SG, ingeschreven in het KBO met vestigingsnummer 0455.490.125 waarvan de administratieve zetel zich bevindt Sint-Jozefstraat 8, 9041 Gent-Oostakker
Verantwoordelijke(n) voor het project (business owner):
De schoolbesturen
Functionaris(sen) voor gegevensbescherming (DPO)
De preventieadviseurs van de schoolbesturen.
Versie van GEB:
Versie 2.0
Classificatie:
Vertrouwelijk
Informatieklasse [1,2,3 en 4]…
0. Algemene omschrijving van de verwerking
<Beschrijf in algemene woorden de verwerking en de verwerkingsdoelen (max 1 A4) >
Het decreet basisonderwijs en de codex secundair onderwijs verplichten schoolbesturen die voor de inschrijvingen vanaf schooljaar 2023-2024 leerlingen willen kunnen weigeren op basis van capaciteit om gebruik te maken van een aanmeldingsprocedure.
Naast de beschikbare digitale aanmeldingssystemen, wenst de Vlaamse overheid ook een digitaal aanmeldingssysteem ter beschikking te stellen aan de initiatiefnemers die zelf instaan voor het beheer ervan. Het systeem is zodanig ontworpen dat elke initiatiefnemer het kan aanpassen aan zijn keuzes (parametriseren). De kenmerken en schoolvoorkeuren van de aangemelde leerlingen worden decentraal verzameld. Ook het ordenen en toewijzen gebeurt decentraal o.b.v. het gekozen algoritme.
Het digitaal aanmeldingssysteem bevat verschillende modules:
- Scholenportaal
- Aanmeldingsportaal
- Rangordemotor
Scholenportaal
In het scholenportaal worden vier rollen onderscheiden: de initiatiefnemer, de directeur of beheerder van de school, de schoolmedewerker en de helpdeskmedewerker.
In het scholenportaal bepaalt de initiatiefnemer op welke manier de aanmeldingsprocedure wordt georganiseerd. De initiatiefnemer bepaalt in het scholenportaal wie de helpdeskmedewerkers zijn. De initiatiefnemer heeft toegang tot de gegevens van de scholen en de aangemelde leerlingen.
De directeur van de school bepaalt welke vestigingen en welke capaciteitsniveaus deelnemen aan de aanmeldingsprocedure. De schoolmedewerker vult de gegevens in voor de school. De schoolmedewerker kan de voorrang voor broers en zussen en kinderen van personeel controleren en heeft toegang tot de toewijzingslijst van de school. Na de toewijzingen kan de schoolmedewerker de inschrijvingsstatus van de aangemelde leerlingen bijhouden.
Via dit portaal kan een helpdeskmedewerker ook ondersteuning bieden aan ouders, leerlingen en scholen door aanmeldingsdossiers van leerlingen over de scholen heen (maar wel binnen het initiatief) te raadplegen, corrigeren of annuleren.
In bepaalde gevallen kan de helpdeskmedewerker ook een controle uitvoeren op de ingevoerde gegevens (bv. voorrangsgroepen) in het aanmeldingsportaal.
Aanmeldingsportaal
In dit portaal melden ouders of een aanmelder (niet beperkt tot ouders) een leerling aan. Tijdens het aanmelden registreren aanmelders verschillende gegevens die nodig zijn voor het ordenen en toewijzen van de leerlingen. Indien de aangemelde leerling aanspraak wil maken op voorrang, dan wordt dit in dit portaal kenbaar gemaakt. Het is ook mogelijk dat er bewijsstukken worden opgeladen.
Via dit portaal hebben de aanmelders ook de volgende mogelijkheid.
· Samenvatting van het dossier inkijken
· Wijzigingen aan het dossier aanbrengen
· Toewijzingsresultaat raadplegen (incl. eventuele weigeringen)
· Toewijzingsstatus raadplegen
Rangordemotor
De rangordemotor (ROM) zal op basis van de verschillende ordeningscriteria leerlingen toewijzen aan de school van hoogste voorkeur waarvoor gunstig geordend. De ROM zal ook het toewijzingsbericht/weigeringsbericht aanmaken en versturen. Proefdraaien is mogelijk (tijdens de aanmeldingsperiode) op maat van de initiatiefnemer.
De ROM kan steeds inzicht geven in de manier waarop de ordening is uitgevoerd en dit laat de initiatiefnemer toe om het resultaat transparant te reconstrueren.
Aangezien er op grote schaal niet-gepseudonimiseerde gegevens van kinderen en jongeren worden ingezameld, is het uitvoeren van een GEB vereist conform de lijst waarvoor een GEB dient te worden uitgevoerd, zoals gepubliceerd door de VTC (Beslissing nr. 0/2020/01 van 14 januari 2020).
1. Projectstructuur
1.1 Deelnemers aan GEB
De schoolbesturen.
1.2 Projectwerking bij het opzetten van GEB
In oktober 2022 startte AGODI met de GEB op basis van het sjabloon van de Vlaamse Toezichtcommissie (VTC).
Eerst werd de verwerking systematisch beschreven. Daarna werden de risico’s in kaart gebracht. Daarna werden mitigerende maatregelen bepaald. De GEB werd nadien aangepast aan de reeds besliste, relevante aanpassingen aan de architectuur.
In februari 2023 werd de GEB bezorgd aan de initiatiefnemers zodat de lokale mitigerende maatregelen konden aangevuld worden.
In januari 2024 werd de GEB geactualiseerd op basis van de nieuwe versie van het aanmeldingssysteem.
In december 2024 werd de GEB geactualiseerd op basis van de nieuwe versie van het aanmeldingssysteem voor aanmeldingen schooljaar 2025-2026.
Middelen voor het uitvoeren van de GEB
Een werkgroep binnen AGODI bereidde de GEB voor. Deze GEB dient verder te worden aangevuld met de lokale maatregelen die genomen worden om de beschreven risico’s te reduceren. Na het advies van de DPO neemt de verwerkingsverantwoordelijke een besluit over de verwerking.
1.3 (Her)evaluatie van GEB tijdens de verwerking
De gegevensbeschermingseffectbeoordeling zal aangepast worden als de verwerking of de risico’s wijzigen als gevolg van aanpassingen in het inschrijvingsdecreet of andere relevante regelgeving, verbeterde en nieuwe technische mogelijkheden en/of feedback door de gebruikers van dit aanmeldingssysteem of andere aanmeldingssystemen.
Als blijkt dat de verwerking niet wordt uitgevoerd volgens de bepalingen en principes zoals beschreven in de GEB, zal dat besproken worden met de projectleiding met het oog op verbetering.
2. Bronnen voor het opstellen van de GEB
Hieronder worden de bronnen opgelijst die worden gebruikt bij het opstellen van de GEB.
2.1 Wet- en regelgeving
Beslissing tot aanmelden
Decreet Basisonderwijs art. 37/12 en art. 37/49
Codex Secundair onderwijs art. 253/7 en art. 253/38
Goedkeuring van de aanmeldingsprocedure
Decreet basisonderwijs art. 37/17
Codex Secundair onderwijs art. 253/11
Ordenen en toewijzen van de aangemelde leerlingen
Decreet basisonderwijs art. 37/23 en art. 37/59
Codex Secundair onderwijs art. 253/16 en art. 253/47
Afronden aanmeldingen
Decreet basisonderwijs art. 37/25 en art. 37/61
Codex Secundair onderwijs art. 253/17 en art. 253/48
Weigeren van een inschrijving
Decreet basisonderwijs art. 37/30 en art. 37/66
Codex Secundair onderwijs art. 253/26 en art. 253/57
Ombudsdienst inschrijvingen
Decreet basisonderwijs art.37/16 en art. 37/51
Codex Secundair onderwijs art. 253/11 en art. 253/40
Bemiddeling
Decreet basisonderwijs art. 37/31 en art. 37/67
Codex Secundair onderwijs art. 253/27 en art. 253/58
Klachtenprocedure
Decreet basisonderwijs art. 37/33 en art. 37/69
Codex Secundair onderwijs art. 253/30 en art. 253/60
2.2 Aanbevelingen van EDPB/EDPS
2.3 Aanbevelingen en standpunten van toezichthouders
Advies CBPL betreffende het gebruik van gegevens in een Lokaal OverlegPlatform Basisonderwijs – wet van 8 december 1992 (SA3/DOS-2012-00279-004-pvd) – belangrijk advies omtrent bepaling verantwoordelijkheden bij een aanmeldingssysteem en het gebruik van het INSZ-nummer.
Advies VTC nr. 2020/05 van 8 september 2020 betreffende Informatieveiligheid en GDPR-conformiteit
4 Platformen Onderwijs – Amazon Web Services (AWS) – AGODI heeft in het bestek verwezen naar dit advies en de voorwaarde gesteld dat Persoonsgegevens niet verwerkt of opgeslagen mogen worden door een opdrachtnemer of (onder-) leverancier die gevestigd is buiten de Europese Economische Ruimte en derde landen met een passend beschermingsniveau , of onderhevig is aan wetgeving van buiten de Europese Economische Ruimte en derde landen met een passend beschermingsniveau.
Advies VTC nr.2022/02 is hierop een technische aanvulling.
2.4 Aanbevelingen en standpunten van rechtbanken
Er zijn geen standpunten bekend van rechtbanken die relevant kunnen zijn voor deze verwerking.
2.5 Andere bronnen
Niet van toepassing.
3. Systematische beschrijving (verplicht)
3.1 De scope van de GEB (in functie van de verwerkingsdoelen)
Verschillende verwerkingen van persoonsgegevens worden
meegenomen in deze GEB:
1. het aanmaken van rechten en rollen bij een initiatief tot aanmelden;
2. het registreren van leerlingen en hun voorkeuren voor aanmelden en hun recht op voorrang, inclusief bewijsstukken door degenen die aanmelden;
3. het toegang geven aan additionele personen tot het
dossier van de leerling door degenen die aanmelden;
4. het raadplegen/controleren/opvolgen van de gegevens van aangemelde leerlingen door de initiatiefnemer(s), helpdeskmedewerker(s) en eventueel de schoolmedewerker(s) met het oog op het correct ordenen en toewijzen van de aangemelde leerlingen;
5. het ondersteunen van ouders en scholen d.m.v.
raadplegen, corrigeren en annuleren van dossiers door initiatiefnemer(s) en
helpdeskmedewerker(s);
6. het controleren van de toewijzingslijst en lijst van geweigerde leerlingen na proefdraaien van de rangordemotor (ROM);
7. het ordenen en toewijzen van de leerlingen op basis van de geregistreerde gegevens van de leerlingen;
8. het raadplegen en gebruiken van een toewijzingslijst door schoolmedewerker(s) voor de leerlingen die zich kunnen inschrijven in de school van de schoolmedewerker(s) en een lijst van de geweigerde leerlingen;
9. het communiceren naar degenen die aanmelden over toewijzing via een toewijzingsbericht of voor ongunstig geordende leerlingen via een weigeringsdocument;
10. het raadplegen en gebruiken van een toewijzingslijst door helpdeskmedewerker(s) om vragen van ouders te kunnen beantwoorden.
11. het handmatig aanpassen van de toewijzingsstatus (o.b.v. informatie uit Discimus (o.v.))
Niet in scope:
- werking ACM/IDM – enkel de integratie met het digitale systeem wordt in deze GEB mee opgenomen;
- werking geolocatietools;
- inschrijving van de leerling als gevolg van de aanmelding, dit zit vervat in het schoolsoftwarepakket
3.2 Beschrijving van de context van de verwerkingen
Het decreet basisonderwijs en de codex secundair onderwijs verplichten schoolbesturen die voor de inschrijvingen vanaf schooljaar 2023-2024 leerlingen willen kunnen weigeren op basis van capaciteit om gebruik te maken van een aanmeldingsprocedure. Daarnaast is het ook mogelijk om op vrijwillige basis een aanmeldingsprocedure te organiseren.
De initiatiefnemer van een aanmeldingsprocedure kan een schoolbestuur, meerdere schoolbesturen samen of een LOP (lokaal overlegplatform) zijn. Lokale besturen en andere lokale partnerorganisaties zijn ook vaak betrokken bij de organisatie van een aanmeldingsprocedure.
Er zijn dus heel wat betrokken partijen bij de organisatie van een aanmeldingssysteem. Daarom is het belangrijk om zeer transparant te zijn over ieders verantwoordelijkheden en daarover ook goede afspraken te maken.
AGODI en de schoolbesturen treden op als gezamenlijke verwerkingsverantwoordelijke in de zin van artikel 26 van de Algemene Verordening Gegevensbescherming (AVG). Hiertoe hebben de betrokken partijen een onderlinge overeenkomst afgesloten om ieders verantwoordelijkheid met betrekking tot de verwerking van persoonsgegevens te verduidelijken.
AGODI is verantwoordelijk voor de opvolging van de ontwikkeling, het beheer en de hosting van het aanmeldingssysteem door de verwerker FrontForce. Alsook voor het correct registreren van de initiatiefnemer in het aanmeldingssysteem zoals gemeld aan AGODI.
De schoolbesturen zijn verantwoordelijk voor de lokale organisatie van de aanmeldingsprocedure en het gebruik van het aanmeldingssysteem. Bijvoorbeeld:
- het correct instellen van het aanmeldingssysteem;
- het melden aan AGODI van degene die de rol van initiatiefnemer opneemt;
- het toekennen van de rollen van helpdeskmedewerker, beheerder school en schoolmedewerker;
- de controle op de ingevoerde gegevens en het aanspraak maken op voorrang;
- de controle op de toekenning van de adrescoördinaten en de afstandsberekening;
- de controle op het proefdraaien van de rangordemotor voor het ordenen en toewijzen van de leerlingen;
- de geboden ondersteuning aan wie wenst aan te melden;
- het starten van de rangordemotor voor het ordenen en toewijzen van de leerlingen;
- het opmaken en uitsturen van communicatie (toewijzingsbericht, weigeringsdocument);
- het handmatig aanpassen van de inschrijvingsstatus;
- het publiceren van de vrije plaatsen
Indien de schoolbesturen hiervoor een beroep wensen te doen op een LOP, lokaal bestuur of andere lokale partnerorganisaties zijn zij verantwoordelijk om hierrond de nodige afspraken te maken en deze op te volgen.
Het informeren van de eindgebruikers over de afspraken met betrekking tot het gebruik van de toepassing gebeurt via de privacyverklaring en gebruikersvoorwaarden die de gebruiker moet aanvaarden voor gebruik van de toepassing.
3.3 Systematische beschrijving van de verwerkingen (en verwerkingsdoelen)
3.3.1. Scholenportaal
Per samenwerkingsverband wordt er minstens één verantwoordelijke (initiatiefnemer) aangeduid. Deze persoon kan andere mensen binnen het initiatief één of meerdere rollen toekennen. Binnen de applicatie worden er 5 rollen voorzien:
- Applicatiebeheerder AGODI: bij een nieuw samenwerkingsverband voegt de applicatiebeheerder van AGODI de betrokken scholen toe en duidt, op basis van de melding door de contactpersoon van het samenwerkingsverband, initiatiefnemer(s) aan. De applicatiebeheerder kan enkel de initiatiefnemers(s) zien en krijgt kwaliteitsrapporten op het niveau van het aanmeldingsinitiatief en heeft geen toegang tot leerlingengegevens. De applicatiebeheerder wordt enkel toegekend door een lokale beheerder van AGODI.
Daarnaast heeft de applicatiebeheerder de volgende taken.
o Schooljaar instellen
o Vork bepalen toegang
o Geboortejaren bepalen die van toepassing zijn
o Adresbestanden opladen voor Vlaanderen, Wallonië en Brussel Hoofdstedelijk Gewest
o Voorrangspercentages bepalen
o Beheer van de mailbox noreply@aanmelden.vlaanderen
o Initiatiefnemers informeren over feedback vanuit de kwaliteitscontroles
- Directeur school (beheerder school): bij aanmelding zal de directeur van de school zien wie de initiatiefnemer(s) is (zijn) voor het samenwerkingsverband waarvan ze deel uitmaken. Deze rol kan vestigingen ophalen, toevoegen en aanduiden voor welk onderwijs- en capaciteitsniveau wordt aangemeld. De directeur van de school kan ook een medewerker van de school aanduiden via het toegangsbeheer van de Vlaamse Overheid. De directeur van de school heeft geen toegang tot leerlingengegevens. De rol van de directeur wordt toegekend via het toegangsbeheer Vlaamse Overheid.
- Initiatiefnemer(s): alle scholen van een samenwerkingsverband kennen de rol van initiatiefnemer(s) toe aan één persoon of enkele centrale personen die de instellingen doet of doen van alle functionaliteiten van het aanmeldingssysteem voor het samenwerkingsverband. Enkel de initiatiefnemer(s) ka(u)n(nen) helpdeskmedewerkers aanduiden. De initiatiefnemer(s) heeft (hebben) toegang tot de dossiers van alle leerlingen en de gegevens van alle scholen. De initiatiefnemer(s) heeft (hebben) ook toegang tot het digitale logboek.
De initiatiefnemer kan in het portaal verschillende acties uitvoeren om het aanmeldingssysteem in te stellen.
- Begin- en eindduur periode(s) bepalen, kleur en logo ouderportaal aanpassen.
- Opladen en aanpassen tekst van de gebruikers- en privacyvoorwaarden.
- Invullen tekst toewijzingsbericht (= bericht dat ouders ontvangen met resultaat van aanmelding) en raadplegen toewijzingstekst ingevuld door de scholen.
- Instellen publicatie vrije plaatsen op het ouderportaal.
- Aanpassen van scholen.
- Overzicht raadplegen van de door de verschillende scholen geregistreerde gegevens met een minimale set van vereiste criteria (met exportmogelijkheid).
- Vergrendelen of ontgrendelen van de vestigingsplaatsen (dit bepaalt of scholen al dan niet aanpassingen kunnen doen aan hun gegevens).
- Helpdeskmedewerker aanmaken en rol toewijzen.
- Keuze en operationalisering van de gecombineerde ordeningscriteria.
- Instellen keuze voorrangsgroepen broers en zussen en kinderen van personeel basisonderwijs.
- Keuze van capaciteitsniveau aanmelding voor basisonderwijs (bv. voor jongste geboortejaar, voor kleuteronderwijs, leerjaar, voor kleuter en lager…).
- Keuze van capaciteitsniveau aanmelding voor secundair onderwijs: 1A en/of 1B.
- Instellen van percentages voor bepaalde voorrangsgroepen (bijvoorbeeld % Nederlands).
- Voorrang ‘’ondervertegenwoordigde groepen”: vastleggen criteria en bijhorende vragen die op leerlingniveau moeten worden ingevuld . Deze vragen kunnen binnen een samenwerkingsinitiatief per school verschillen.
Binnen het scholenportaal kan de initiatiefnemer nog de volgende functies uitvoeren.
- Bekijken en wijzigen alle aanmeldingen van alle leerlingen en bekijken van de historiek. Dit is nodig om vragen van gebruikers bij de aanmelding te kunnen beantwoorden en om de helpdesk te organiseren (bv. toewijzen van vragen aan helpdeskmedewerkers)
- Notities bij het aanmeldingsdossier van een leerling zelf maken of raadplegen
- Opvolgen van de resultaten van de kwaliteitscontroles.
- Controle toegekende adrescoördinaten en berekende afstand.
- Opvolgen onvolledige dossiers.
- Starten van de ROM, zowel een proefdraaiing als de definitieve toewijzingen.
- Resultaten van de ROM bekijken.
- Toewijzingsberichten en weigeringsberichten versturen.
- Opvolgen van de verzonden e-mails en eventuele foutmeldingen.
- Logboek raadplegen.
- Raadplegen van de inschrijvingsstatus.
- Helpdeskmedewerker
De helpdeskmedewerker kan enkel worden aangeduid door de initiatiefnemer(s) en heeft toegang tot de volgende functies binnen de applicatie.
- Bekijken en wijzigen van alle aanmeldingen van alle leerlingen en raadplegen van de historiek. Dit is nodig om vragen van gebruikers bij de aanmelding te kunnen beantwoorden en ondersteuning te bieden tijdens het aanmelden.
- Het samenwerkingsverband kiest ervoor om afstand als ordeningscriterium toe te passen. Indien de geo-locatietool geen automatische coördinaten kan toekennen aan het opgegeven adres van de leerling, zal de helpdeskmedewerker deze coördinaten handmatig toekennen.
- Controle op dubbel aangemelde leerlingen: leerlingen aangemeld met INSZ-nummer en aanmeldingsnummer of meerdere aanmeldingsnummers.
- Toekennen van adrescoördinaten aan adressen waar dit niet automatisch kon gebeuren.
- Controle toegekende adrescoördinaten en berekende afstand.
- Opvolgen onvolledige dossiers.
- Notities bij het aanmeldingsdossier van een leerling zelf maken of raadplegen.
- Printen van toewijzingsberichten die via de post verstuurd worden.
- Medewerker van de school
De
medewerker van de school wordt aangeduid door de directeur van de school via het
gebruikersbeheer (IDM).
De medewerker van de school heeft
toegang tot de volgende functies binnen het scholenportaal.
- Registreren van de capaciteit en vrije plaatsen.
- Registreren keuzes vestigingsplaats die beschreven staan in de bovenstaande tabel.
- Controle voorrang broer/zus en/of voorrang personeel
- Toewijzingslijst raadplegen op het niveau van de vestigingsplaats (op het scherm en via export)
- Aanpassen inschrijvingsstatus van een leerling.
- Instellen schooleigen toewijzingstekst die wordt bezorgd aan de ouders in het toewijzingsbericht.
Toegang tot het scholenportaal wordt gerealiseerd via ACM/IDM-authenticatie. Het beheer van gebruikers en rollen vindt plaats in de standaard gebruikersbeheercomponent van de Vlaamse Overheid (IDM) voor de rollen applicatiebeheerder AGODI, beheerder school en medewerker school. IDM stelt beheerders van scholen in staat hun medewerkers te beheren en rechten te geven voor de aanmeldingstoepassing namens hun organisatie, m.a.w. te autoriseren. De rollen van initiatiefnemer en helpdeskmedewerker worden beheerd in het aanmeldingssysteem.
3.3.2. Aanmeldingsportaal
Toegang tot het
‘aanmeldingsportaal’ wordt standaard gerealiseerd door aanmelding via ACM/IDM. Daarnaast
kunnen aanmelders zich ook registreren door via e-mail in te loggen. Het gekozen wachtwoord moet voldoende
sterk zijn. Wachtwoorden moeten:
- minstens
12 tekens hebben;
- ten minste één niet alfanumeriek teken
hebben;
- ten minste één cijfer hebben;
- ten minste één hoofdletter hebben.
De aanmelder die een leerling aanmeldt, hoeft geen familiale band met die
leerling te hebben. Dat kan een ouder zijn, een familielid, een partner of
gewoon een derde. Behalve de naam van de aanmelder wordt geen andere informatie
van de aanmelder bijgehouden. De aanmelder krijgt een uniek nummer toegewezen
waarmee de aanmelder herkend wordt wanneer hij het aanmeldingsportaal opnieuw
bezoekt. De band met de leerling wordt evenmin beschreven, noch bijgehouden. De
aanmelder kan meerdere additionele personen definiëren die toegang krijgen tot
het dossier van de leerling. Van deze additionele personen wordt ook enkel de
naam bijgehouden. De persoon die het kind heeft toegevoegd, blijft echter
“master” en kan deze additionele personen ook terug verwijderen. De additionele
personen kunnen zelf geen extra personen aanduiden die toegang krijgen tot het
dossier van de leerling. Dit moet steeds via de “master” gebeuren.
De leerling wordt uniek geïdentificeerd op basis van het INSZ-nummer. AGODI bezorgt de initiatiefnemer een Excel-document met daarin een formule voor de aanmaak van aanmeldingsnummers voor leerlingen die niet over een INSZ-nummer beschikken. Het doel is de leerling alsnog uniek te kunnen identificeren.
Om zich te kunnen aanmelden zal de aanmelder de volgende vragen moeten beantwoorden die relevant zijn voor het ordenen en toewijzen:
- keuze school/scholen;
- gegevens m.b.t. voorrang
o broers/zus
o kind van personeel
- De initiatiefnemer kiest afstand als een criterium voor ordening en vraagt daarom ook het domicilie- en/of één werkadres op.
Ten slotte kan in dit portaal ook een e-mailadres en telefoonnummer doorgegeven waarop de aanmelder een bericht krijgt over:
- wijzigingen in het aanmeldingsdossier
- eventuele controleacties
- toewijzingsresultaat met inbegrip van eventuele weigeringen
Aanmelders kunnen te allen tijde opnieuw inloggen in het aanmeldingsportaal om hun dossier te raadplegen en te wijzigen (wijzigen enkel mogelijk gedurende de voorziene aanmeldingsperiode) of om de status te raadplegen.
Wie geen e-mailadres registreert, noteert een postadres om een toewijzingsbericht te ontvangen.
In dit portaal worden de betrokkenen ook geïnformeerd over de verwerking van hun persoonsgegevens en over de manier waarop ze hun rechten uit de AVG kunnen uitoefenen. Er wordt een ontwerptekst door AGODI voorzien. Iedere initiatiefnemer kan deze tekst zelf aanvullen/aanpassen en uploaden op het portaal.
3.3.3. Rangordemotor (ROM)
De rangordemotor is het hart van de toepassing en zal een leerling toewijzen aan een school op basis van de verschillende ordeningscriteria en de voorrangsgroepen.
Zodra de aanmeldingsperiode is gestart, kunnen de initiatiefnemers de rangordemotor laten proefdraaien. Dit laat de initiatiefnemer toe om:
- op te volgen hoeveel van de aangemelde leerlingen kunnen toegewezen worden aan een school;
- het ordenen en toewijzen van de ROM te controleren voor deze definitief zal draaien,
De resultaten van de proefdraaiing kunnen niet gecommuniceerd worden.
In de toepassing wordt een toewijzingsbericht opgemaakt en verstuurd naar de geregistreerde e-mailadressen. Als de leerling niet kan worden toegewezen aan een school, dan wordt een weigeringsdocument opgemaakt en verstuurd naar de geregistreerde e-mailadressen. Dit kan volautomatisch gebeuren aan de hand van instelbare templates.
De ROM maakt twee soorten toewijzingslijsten op.
o Op het niveau van de vestigingsplaats : lijst toewijzingsresultaat voor alle leerlingen aangemeld voor de vestigingsplaats. Deze lijst is bestemd voor de medewerkers van de school.
o Op niveau van de initiatiefnemer: lijst toewijzingsresultaat voor alle leerlingen voor alle vestigingsplaatsen. Enkel de initiatiefnemer(s) heeft (hebben) toegang tot deze lijst.
Te allen tijde heeft de initiatiefnemer zicht op de werking van de ROM via logging, met name op de
o controle leerlingen;
o hiërarchische volgorde voorrangsgroepen toepassen;
o hiërarchische volgorde en combinatie van ordeningscriteria ;
o op schoolniveau
§ Algemeen:
· Capaciteit
· Zittende leerlingen
· Ingeschreven leerlingen
· Vrije plaatsen
§ Per capaciteitsniveau (per voorrangsgroep)
· Capaciteit
· Zittende leerlingen
· Ingeschreven leerlingen
· Vrije plaatsen
o op leerlingniveau
§ Ranking per vestigingsplaats (plaats op de wachtlijst)
3.3.4. Schematische voorstelling en architecturaal schema van de software
Er wordt per initiatiefnemer een database opgezet. Een initiatiefnemer heeft enkel toegang tot de gegevens in zijn database.
Het aanmeldingssysteem bestaat uit drie lagen:
1. Applicaties
2. Services
3. Databases
Het aanmeldingssysteem biedt twee applicaties
1. Ouderportaal
2. Scholenportaal
Beide applicaties bevatten enkel de front-end (GUI) en maken gebruik van de services in de Services-laag om effectief data op te halen of te wijzigen.
Dit is de webapplicatie die ouders toelaat hun kind aan te melden. Voor elk initiatief wordt het ouderportaal onder een unieke URL ontsloten. De toegang tot deze webapplicatie is mogelijk door in te loggen via ACM/IDM of via e-mail & wachtwoord (als back-up).
Scholenportaal
Dit is de webapplicatie die de functionaliteiten bevat voor het beheer van een initiatief.
De applicatie werkt met verschillende rollen.
De toegang tot deze webapplicatie is enkel mogelijk door in te loggen via ACM/IDM.
Services
In deze laag werken verschillende services samen om de nodige functionaliteiten te voorzien.
Dit is geen aparte service, maar een library die door de verschillende services wordt gebruikt om te verifiëren of een gebruiker de juiste rechten heeft bij het uitvoeren van een actie.
Deze library zorgt ook voor de communicatie met ACM/IDM.
Biedt functionaliteiten die te maken hebben met data in de Core databank.
Biedt functionaliteiten die te maken hebben met data
in de Initiatief
databanken.
Elk initiatief heeft een eigen databank per aanmeldingsjaar.
Zet adressen om in coördinaten (geo-coding). Hiervoor maakt deze service gebruik van externe diensten:
· BOSA BeST
· Google Geolocation API: voor adressen in het buitenland
Daarnaast berekent deze service ook de afstanden in vogelvlucht of wandelafstand. Voor de berekening van de wandelafstand wordt de Service.Routing aangeroepen.
Zorgt voor berekening van de wandelafstand tussen twee coördinaten.
Dit is de RangOrde Motor (ROM) die voor alle aangemelde leerlingen de optimale verdeling berekent voor de gekozen scholen, rekening houdend met de geregistreerde vrije plaatsen per school.
De ROM gebruikt hiervoor de instellingen die door de initiatiefnemer werden ingesteld (algoritme, ordeningscriteria, voorrangsgroepen, afstanden)
Zorgt voor het samenstellen van de toewijzingsberichten nadat de ROM definitief heeft gedraaid.
Zorgt voor het uitsturen van e-mails.
Deze databank bevat initiatief-overschrijdende instellingen en toegangsconfiguratie.
Elk initiatief heeft een eigen databank per aanmeldingsjaar.
Deze databank bevat alle instellingen van het initiatief, de vestigingsplaatsen en de aanmeldingen. Ook de toewijzingsresultaten worden hierin opgeslagen.
3.4 Beschrijving van de betrokkenen en andere actoren
<Lijst alle betrokken actoren op (minimaal alle type van betrokkenen) en hun mate van betrokkenheid/rol in de verwerking of hun belang daarin>
1. AGODI
Het Agentschap voor Onderwijsdiensten (AGODI) is ingeschreven in het KBO met nummer 316380841 (vestigingseenheid 2.199.317.226) waarvan de administratieve zetel zich bevindt te Koning Albert II laan 15, 1210 Brussel.
Aangezien AGODI bepaalde keuzes heeft gemaakt bij het ontwikkelen van het systeem zoals de keuze van het algoritme, de geolocatietool, de hosting,… kunnen we stellen dat AGODI een groot aandeel heeft in het bepalen van het doel en de middelen van de verwerking. Daarom treedt AGODI op als gezamenlijke verwerkingsverantwoordelijke samen met de betrokken schoolbesturen van het samenwerkingsverband.
De applicatiebeheerder is een werknemer van AGODI. Initiatiefnemers/beheerders kunnen met al hun vragen terecht bij AGODI. AGODI doet voor technische ondersteuning een beroep op FrontForce NV.
AGODI stelt een standaard privacyverklaring op die moet worden aangevuld door de initiatiefnemer.
2. Schoolbesturen
Schoolbesturen zijn de inrichtende macht zoals bedoeld in artikel 24, § 4, van de Grondwet, dit is de rechtspersoon of de natuurlijke persoon die verantwoordelijk is voor één of meer scholen.
De betrokken schoolbesturen zijn verantwoordelijk voor de
inschrijving van een leerling. In de mate dat de inschrijving onlosmakelijk
verbonden is met de aanmelding (bij een beperking van de capaciteit kan er geen
inschrijving zijn zonder aanmelding), houdt dit in dat de schoolbesturen ook
verantwoordelijk zijn voor de organisatie van de aanmeldingsprocedure.
De betrokken schoolbesturen treden samen met AGODI op als gezamenlijke
verwerkingsverantwoordelijke.
De schoolbesturen maken gezamenlijke afspraken over de organisatie van de aanmeldingen zoals de voorrangscriteria, ordeningscriteria, organisatie van de helpdesk, …
3. FrontForce NV
Frontforce is ingeschreven in het KBO met nummer 736767161 waarvan de administratieve zetel zich bevindt te Romeynsweel 7, 2030 Antwerpen.
FrontForce NV is verwerker voor AGODI die instaat voor ontwikkeling, beheer en onderhoud van het systeem en de software. In die functie behandelt FrontForce aangemelde incidenten, voert zij het preventief en correctief onderhoud uit en neemt ze requests aan. Deze verwerker is gekozen op basis van een mededingingsprocedure met onderhandeling voor diensten (besteknummer AGODI/AOP/2020/01) waarbij de gunningsbeslissing op 23 mei 2022 werd gecommuniceerd.
4. Digitaal Vlaanderen
Digitaal Vlaanderen is ingeschreven in het KBO met nummer 316380841 (vestigingseenheid 2.256.180.804) waarvan de administratieve zetel zich bevindt te Havenlaan 88/b, 1000 Brussel.
Digitaal Vlaanderen staat in voor het toegangs- en gebruikersbeheer (ACM/IDM) van de Vlaamse Overheid.
5. Combell
Combell is ingeschreven in het KBO met nummer 541977701 waarvan de administratieve zetel zich bevindt te Skaldenstraat 121, 9042 Gent.
Combell is een subverwerker van FrontForce en is de hosting partij die de onderliggende infrastructuur levert en beheert.
Er zijn geen ontvangers van de persoonsgegevens anders dan de verwerkingsverantwoordelijken, verwerkers of de gebruikers van het platform. Er is geen doorgifte naar derde landen. De gegevens worden in de Europese Economische Ruimte verwerkt. Dat is contractueel afgesproken met de verwerkers. Afhankelijk van de keuze van de aanmelder kunnen er wel berichten via e-mail worden gestuurd. Indien de aanmelder dit niet wenst, hoeft de aanmelder geen e-mailadres te registreren. Het toewijzingsresultaat wordt dan per post verstuurd.
De aanmelder kan de status
van het dossier ook steeds raadplegen in de beveiligde omgeving van het
aanmeldingsportaal. Op de roadmap voor
verdere ontwikkeling van de toepassing staat de integratie met het
Burgerprofiel zodat de aanmelder daar berichten kan ontvangen.
4. Noodzakelijkheid en evenredigheid (verplicht)
4.1 De rechtmatigheid van de verwerking
De verwerkingen zijn nodig om te voldoen aan de wettelijke verplichting die door het decreet wordt opgelegd om een digitale aanmelding te organiseren. De systematische verwerkingen zijn daarom gebaseerd op: Art. 6(c) AVG: de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
Het schoolbestuur is niet verplicht een aanmeldingsprocedure te organiseren, maar wenst dit toch te doen om te garanderen dat aanmeldingen en nadien inschrijvingen op een gestructureerde, transparante en eerlijke manier verlopen. De verwerking is daarom gebaseerd op: Art. 6(e) AVG: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
Het toewijzen van de leerlingen door de ROM kan als een vorm van geautomatiseerde besluitvorming gezien worden. In het beginsel heeft een betrokkene het recht niet te worden onderworpen aan een uitsluitend geautomatiseerd besluit waaraan rechtsgevolgen zijn verbonden of dat de betrokkene in aanmerkelijke mate treft. Het geautomatiseerd toewijzen van de leerlingen is in dit geval bij wetgeving toegestaan. De betrokkenen worden hiervan op de hoogte gebracht via de gebruikersvoorwaarden en privacyverklaring.
In zoverre het hier gaat om bijzondere categorieën van persoonsgegevens worden de gegevens verwerkt op basis van de uitzondering in artikel 9, lid 2, g), van de Algemene Verordening gegevensbescherming: de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.
De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Op wetenschappelijk onderzoek en statistieken bestaat er een uitzondering dat deze verwerkingen niet als onverenigbaar worden beschouwd met de oorspronkelijke doeleinden.
Scholen zijn gemachtigd om intern het INSZ-nummer van een leerling te gebruiken in het kader van inschrijvingen volgens het KB van 5 februari 1994. In de mate dat de inschrijving onlosmakelijk verbonden is met de aanmelding, zijn de scholen derhalve ook gemachtigd om het INSZ-nummer te gebruiken in het kader van aanmelden.
4.2 De basisbeginselen van de verwerking
4.2.1 (Eerlijkheid) Behoorlijkheid en transparantie
Een verwerking is slechts behoorlijk voor zover die met de redelijke verwachtingen van de betrokkene overeenstemt. Hoewel het voor de betrokkene te verwachten is dat dienstverleningen steeds meer digitaliseren, is het van groot belang dat de betrokkene goed geïnformeerd wordt over de verwerking van de persoonsgegevens binnen dit project. Alsook waar betrokkenen terecht kunnen voor de uitvoering van hun rechten. Daartoe zal AGODI een privacyverklaring voorzien op de website(s) van de verschillende aanmeldingsinitiatieven. Deze standaardtekst kan door de initiatiefnemer aangepast worden naar gelang de lokale context.
Daarnaast voorziet het systeem dat bij elke wijziging aan de aanmeldingsgegevens de aanmelders een bericht via e-mail ontvangen met een overzicht van de wijzigingen.
Lochristi-Wachtebeke heeft beslist om de betrokkene als volgt te informeren:
- Via de algemene informatie en privacyverklaring gepubliceerd door AGODI en door op de aanmeldingswebsite;
4.2.2 Minimale gegevensverwerking
Organisaties mogen alleen persoonsgegevens verwerken als dit noodzakelijk is voor een specifiek verwerkingsdoel.
In de portalen van het aanmeldingssysteem worden enkel de gegevens verwerkt die nodig, relevant en toereikend zijn om de rol van een gebruiker te kunnen vaststellen, om leerlingen te kunnen ordenen in functie van aanmelden en om toewijzingsberichten te kunnen versturen. Met een correcte toewijzing van rechten en rollen wordt ook gewaarborgd dat enkel de strikt noodzakelijke personen toegang hebben tot de persoonsgegevens voor de uitoefening van hun taken.
De persoonsgegevens die verwerkt worden tijdens de aanmeldingsprocedure zijn de volgende.
categorieën persoonsgegevens
EDPB-gevoelige gegevens (WP29)
doel van de verwerking
categorieën van de betrokkenen
bewaartermijn
Identificatiegegevens van betrokkenen bij het initiatief
Neen
Nodig voor identificatie en authenticatie
Initiatiefnemer, schoolbeheerder, schoolmedewerker, helpdeskmedewerker
maximaal tot 2 jaar na aanmelden
Identificatiegegevens van de aanmelder en eventueel back-up aanmelder.
Neen
Nodig voor identificatie en authenticatie
Ouders, intermediairs, leerlingen
maximaal tot 2 jaar na aanmelden
Identificatiegegevens leerling (incl. INSZ)
neen, maar INSZ is wel bijzondere categorie persoonsgegeven.
Unieke identificatie van de leerling voor aanmelding
Leerlingen die wensen aan te melden
maximaal tot 2 jaar na aanmelden
Contactgegevens aanmelder en eventueel back-up aanmelder.
Neen
Nodig om het resultaat van de toewijzing te communiceren of contact op te nemen in geval van vragen bij het aanmeldingsdossier
Ouders, intermediairs, leerlingen
maximaal tot 2 jaar na aanmelden
Aanmeldingsgegevens (keuze school, gegevens m.b.t. voorrang, bewijsstukken m.b.t. voorrang, gegevens voor ordening, notities m.b.t. de opvolging van de aanmelding)
Ja, kenmerken betreffende profielbepaling en persoonlijke voorkeuren en interesses van minderjarigen.
Nodig om een rangorde voor toewijzing te kunnen opmaken
Leerlingen en hun ouders die wensen aan te melden
maximaal tot 2 jaar na aanmelden
Resultaat van de rangordemotor (toewijzingslijst, toewijzingsbericht, weigeringsdocument)
Ja, kenmerken betreffende profielbepaling en persoonlijke voorkeuren en interesses van minderjarigen.
Nodig om het resultaat van de toewijzing te kunnen communiceren
Leerlingen die wensen aan te melden
maximaal tot 2 jaar na aanmelden
Inschrijvingsstatus van de leerling
Ja, kenmerken betreffende profielbepaling en persoonlijke voorkeuren en interesses van minderjarigen.
Nodig om een actueel zicht te hebben op het aantal geweigerde
leerlingen binnen het aanmeldingsinitiatief met het oog op eventuele
uitbreidingen van de capaciteit.
Ouders een actueel zicht bieden op de plaats van hun
kind op de weigeringslijst
Leerlingen die aangemeld zijn
Maximaal tot 2 jaar na aanmelden.
4.2.3. Juistheid en nauwkeurigheid
In de context van deze verwerking verlangt het juistheidsbeginsel dat de kwaliteit en juistheid van de verwerking gegarandeerd kan worden en dat er voorzien wordt in een gepast proces dat alle redelijke maatregelen voorziet om gegevens onverwijld te wissen of te verbeteren.
Wanneer de aanmelder een straatnaam registreert, moet de aanmelder kiezen uit een lijst met voorgestelde straatnamen uit de gemeente. Wanneer de straat niet tussen deze lijst staat, heeft de aanmelder de mogelijkheid om de straatnaam manueel te registreren. In de toepassing wordt duidelijk vermeld wanneer een straatnaam manueel geregistreerd is. Deze functionaliteit is toegevoegd om de kwaliteit van de door de aanmelders geregistreerde straatnamen te verhogen.
Wanneer de flow van het aanmelden is doorlopen, krijgt de gebruiker een overzicht van de geregistreerde gegevens met de vraag deze te controleren en te bevestigen.
De aanmelder kan op het aanmeldingsportaal steeds een overzicht terugvinden van alle volledige en niet-volledige aanmeldingen. Op die manier is het onmiddellijk duidelijk welke aanmelding nog niet compleet is en nog moet vervolledigd worden.
De aanmelder of enig ander persoon met toegang tot het dossier kan tijdens de ‘Aanmeldingsperiode’ zijn aanmeldingen wijzigen (een extra school toevoegen, verwijderen of de volgorde veranderen), bijkomende personen toevoegen of andere gegevens aanpassen. Van elke wijziging in het dossier, dit kan zowel door een aanmelder als een helpdeskmedewerker zijn, krijgt de aanmelder een bericht.
Wanneer de aanmelder in een volledig dossier een extra school toevoegt, moeten de nieuwe voorrangsvragen worden beantwoord.
Het samenwerkingsinitiatief voorziet dat een helpdeskmedewerker dossiers van leerlingen kan raadplegen met het oog op controle op juistheid, nauwkeurigheid en volledigheid.
Het systeem voorziet ook automatische controles met een melding bij controle op de leeftijd, volledigheid beantwoorden van de voorrangsvragen, bij dossiers zonder schoolkeuze.
Het systeem geeft de initiatiefnemer en helpdeskmedewerker daarnaast ook de mogelijkheid om een overzicht te raadplegen van:
· adressen waar niet automatisch coördinaten aan toegekend kunnen worden, of met verdachte coördinaten,
· dossiers waarin er zich problemen stellen met de afstandsberekening;
· dossiers zonder communicatiegegevens;
· dossiers zonder schoolkeuze;
· dubbele aanmeldingen;
· onvolledige dossiers;
· volledigheid van beantwoorden van de voorrangsvragen.
Het systeem voorziet in een proefdraai van de rangordemotor.
De applicatiebeheerder krijgt kwaliteitsrapporten over de geregistreerde gegevens op het niveau van het aanmeldingsinitiatief.
4.2.4. Opslagbeperking
De persoonsgegevens worden maximaal twee jaar na de aanmelding bewaard in de toepassing. Deze termijn is nodig voor het ordenen, toewijzen en opvolgen van de inschrijving. Deze termijn is contractueel vastgelegd met de verwerker.
De loggings die de initiatiefnemer kan raadplegen
blijven ook twee jaar na de aanmelding bewaard in de toepassing. Deze logging
laat toe om op elk moment te traceren wie welke wijziging heeft uitgevoerd en
ook welke acties tot welke resultaten hebben geleid. Dit noemen we de
transactionele/functionele logs.
De technische en infrastructurele logs worden
automatisch opgeschoond om problemen met beschikbare schijfruimte te vermijden
en worden maximaal 30 dagen bijgehouden.
Voorbeelden van technische en infrastructurele
logs:
· logbestanden van de verschillende softwaremodules die deel uitmaken van de applicatie;
· logbestanden van de infrastructuurcomponenten;
· de webserver die alle inkomende requests logt;
· de databankserver die technische informatie logt over acties die plaatsvinden .
4.2.5. Gegevensbeveiliging
Zie hoofdstuk 6 voor een overzicht van technische en organisatorische maatregelen per geïdentificeerd risico.
4.2.6. Gegevensbescherming door ontwerp en als standaardinstelling
Het aanmeldingssysteem volgt voor de initiële inrichting de principes van security en privacy by design.
De uitgangspunten hierbij zijn de volgende.
- Elk samenwerkingsinitiatief krijgt zijn eigen afgeschermde omgeving waarin het het volledige eigenaarschap over zijn gegevens heeft.
- Elke gebruiker dient in te loggen via het toegangsbeheer van de Vlaamse Overheid
- Alle acties van elke gebruiker worden gelogd.
- Door een sterk uitgebouwd rollensysteem wordt de toegang tot persoonsgegevens beperkt tot wat strikt noodzakelijk is bij de uitvoering van de taken.
- Automatisch ingebouwde controles moeten gebruikersfouten kunnen opvangen.
4.3. Beoordeel de noodzakelijkheid en
evenredigheid (sensu strictu)
4.2.3 Noodzaak
Aanmelden is het digitaal kenbaar maken van een intentie tot inschrijving. De regelgeving verplicht scholen die leerlingen willen kunnen weigeren op basis van capaciteit om gebruik te maken van een aanmeldingsprocedure.
Alle beoogde verwerkingen zijn in functie van de goede organisatie van de aanmeldingsprocedure.
4.2.4 Evenredigheid
Het uitgangspunt bij de ontwikkeling van het aanmeldingssysteem was om enkel de gegevens op te vragen die nodig zijn voor het ordenen en toewijzen van de leerlingen of voor het contacteren van de aanmelders.
Daarin is het project geslaagd, er wordt bijvoorbeeld niet bijgehouden wat de relationele band is tussen de aanmelder en de leerling.
5. Methode voor beoordeling risico’s op rechten en vrijheden van betrokkenen
5.1 Aanvaardbaarheidscriteria van negatieve effecten
De aanvaardbaarheidscriteria zijn gekoppeld aan de score die wordt toegekend aan een risico op basis van een combinatie van twee aspecten: de impact van het risico en de waarschijnlijkheid van het risico.
Risico’s met een score “hoog” of “zeer hoog” kunnen niet geaccepteerd worden zonder bijkomende risicomaatregelen.
Risico’s met een score “gemiddeld” worden idealiter nog verder behandeld. Het is mogelijk (en in bepaalde gevallen aangewezen) om hier nog bijkomende risicomaatregelen te nemen. Indien geen mogelijke aanvullende maatregelen voorhanden zijn, of bv. de kost van de maatregel niet in proportie tot het risico staat, kunnen deze risico’s geaccepteerd worden mits duidelijke en grondige motivatie.
Risico’s met een score “laag” en “zeer laag” kunnen zonder bijkomende motivering geaccepteerd worden.
De cijferscores in het document dienen als volgt gelezen te worden.
1-4: zeer laag
5-7: laag
8-11: gemiddeld
12-15: hoog
16+: zeer hoog
5.2 Risicoanalyse, -evaluatie en opvolging
De noodzaak voor de uitvoering van een GEB insinueert een context waarbinnen een verwerking gelet op de aard, de omvang, de context en de doeleinden waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In het verdere verloop van deze GEB wordt telkens een risico besproken, welke aanvullende maatregelen er genomen worden, alsook welke beoordeling geleid heeft tot een score van het restrisico.
5.2.1 Bepalen van de impact van een risico voor betrokkene
Om het impactniveau op de betrokkene te bepalen moet rekening gehouden worden met de rechten en vrijheden van de betrokkene, alsook met de gerechtvaardigde belangen zowel op economisch, fysiek of psychologisch vlak, zoals onder meer de volgende.
- Een mogelijk verlies aan zelfstandigheid (potentiële handelingen kunnen niet meer worden uitgevoerd);
- Vrij kunnen blijven van stigmatisering (hoe de betrokkene behandeld wordt op basis van bepaalde kenmerken)
- Gelijkheid (het op dezelfde wijze benaderen van de betrokkene);
- Bewegingsvrijheid (beperken van toegang tot bepaalde ruimtes of locaties);
- Vrij kunnen blijven van manipulatie (beïnvloeden van het gedrag op basis van de geschonden informatie);
- Integriteit (bv. door aanbieden van geschenken)
- Ongestoord leven (onaangenaam afbreken van rust en stilte)
- Eigenwaarde (afbreuk aan eigen persoonlijkheid)
- Autonomie (beperking van de vrijheid om eigen regels te volgen)
- Lichamelijke schade en bedreigingen
- Identiteitsfraude
- …
5.2.2 Bepalen van de waarschijnlijkheid van een risico voor de betrokkene.
Bij het bepalen van de waarschijnlijkheid van een risico baseren we ons op de ervaring van gebruikers van reeds 10 jaar aanmelden in verschillende bestaande systemen.
6. Beoordeling risico’s op rechten en vrijheden van betrokkenen en de beoogde maatregelen
2.1. Gebruikers lopen de kans mis om (tijdig) aan te melden – onbeschikbaarheid van de applicatie
2.1.1. Risico
Gebruikers kunnen tijdens de aanmeldingsperiode één of meerdere leerlingen
aanmelden. Indien ze dit niet tijdig kunnen doen, door de onbeschikbaarheid van
de applicatie, kan een leerling zich niet aanmelden voor een school naar
voorkeur en kan de leerling het recht op inschrijving in een school naar
voorkeur niet uitoefenen. De vrije schoolkeuze komt in gevaar.
2.1.2. Maatregelen
- Technische maatregelen
· De uitgebouwde softwareoplossing schaalt in functie van de belasting van het systeem. Het automatisch schalen van de web- en appcomponenten is gebaseerd op Cubernetes en containers.
· FrontForce gebruikt performancetesten om performance bottlenecks te detecteren, om te bepalen wat de beste metric is voor het automatische schalen en ook om de performance te controleren bij nieuwe releases. Via performancetesten en -tuning bij elke release zorgt Frontforce ervoor dat de applicatie optimaal gebruik blijft maken van de ICT-infrastructuur.
De test werd uitgevoerd op donderdag 15 december 2022 (FAT) op de Low set up en woensdag 4 januari 2023 (SAT) + her-test op 10 januari 2023 op de High set up.
· Combell monitort continu volautomatisch de volledige infrastructuur en verwittigt hun engineers en het supportteam bij FrontForce ruimschoots op tijd zodat eventuele performantieproblemen kunnen voorkomen worden.
· Combell beschikt over meerdere ruimtes in verschillende datacentra in België. Al deze datacentra zijn uitgerust met: UPS (Uninterruptable Power Supply), airconditioning, branddetectie, temperatuurcontrole en andere beveiligingssystemen. Combell hanteert het ‘datacenter in datacenter’ principe. Binnen het primary datacenter heeft Combell ook verschillende eigen ruimtes. Deze ruimtes maken gebruik van meerdere backup systemen (generatoren, UPS, koeling, …). Binnen het primary datacenter heeft Combell ook 2 backbone routers geplaatst zodat bij het falen van een room (wat in principe niet mogelijk is gezien alle veiligheidsmaatregelen) het datacenter volledig verder draait zonder impact voor de klanten. Het primary datacenter is ook uitgerust met 24/7 onsite security.
· Combell garandeert een beschikbaarheid van 99,999% gedurende 24/7 voor de volledige infrastructuur. Daarnaast is er op elke component van de infrastructuur een ‘SLA Plus contract’ voorzien bij Combell. Dit omvat o.a. incident management, hersteltijd bij bedrijfskritische incidenten (< 30 min 24/7), patch management, monitoring, prestatie monitoring & trends, back-up beheer, firewall en DDoS beveiliging. Met deze maatregelen garandeert FrontForce een RTO (recovery time object) van 1 uur na failure en 24 uur na disaster.
· Geo-blocking.
- Organisatorische maatregelen:
· AGODI voorziet een foutpagina en verstuurt communicatie naar alle initiatiefnemers bij onbereikbaarheid van de toepassing.
· AGODI monitort de starturen van aanmelden van de verschillende initiatieven met het oog op de verwachte load.
· Initiatiefnemers communiceren verder naar helpdeskmedewerkers en de gebruikers.
- Juridische maatregelen:
· AGODI heeft met Frontforce een Service Level Agreement (SLA) afgesloten waarin KPI’s zijn afgesproken rond de beschikbaarheid van het systeem.
2.1.3. Restrisicoscore
De aanmeldingsperiode is vastgelegd in het BVR. De initiatiefnemer bepaalt het start- en einduur. Gelet op de periode om een succesvolle aanmelding te voltooien en de garanties van FrontForce schatten we de kans dat een aanmelder geen correcte aanmelding kan uitvoeren omwille van de onbeschikbaarheid van de applicatie laag in. Het tijdstip van de aanmelding binnen de aanmeldingsperiode is immers niet van belang voor een succesvolle aanmelding. De impact van een niet-succesvolle aanmelding schatten we gemiddeld in.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
2.2. Gebruikers lopen de kans mis om (tijdig) aan te melden – geen technische oorzaak
2.2.1. Risico
Gebruikers kunnen tijdens de aanmeldingsperiode één of
meerdere leerlingen aanmelden. Indien ze dit niet tijdig doen, kan een leerling
zich niet aanmelden voor een school naar voorkeur en kan de leerling het recht
op inschrijving in een school naar voorkeur niet uitoefenen. De vrije
schoolkeuze komt in gevaar.
Er zijn meerdere redenen waarom een gebruiker niet tijdig zou kunnen aanmelden.
- De gebruiker weet niet waar en wanneer hij een leerling kan aanmelden.
- De gebruiker heeft niet de technische vaardigheden en/of middelen om aan te melden.
- De helpdesk is niet bereikbaar.
2.2.2. Maatregelen
- Technische maatregelen
· Bij het aanmeldingsportaal garanderen we een zo breed mogelijke ondersteuning in browsers (zelfs ouder dan recentste versie -1) en gebruiken we geen fancy features om zo de kans op problemen te minimaliseren. We passen zoveel mogelijk progressive enhancement toe: dit betekent dat we features die het gebruiksgemak verhogen, enkel activeren wanneer de browser van de gebruiker die features ook ondersteunt. Zonder die features, werkt de applicatie ook, maar net iets minder gebruiksvriendelijk.
· Bij het ontwerp en de ontwikkeling van de portalen maken we gebruik van responsive webdesign. Dit betekent dat we ervoor zorgen dat ze ook handig te gebruiken zijn op mobiele toestellen, zoals een smartphone of tablet.
· Bij de opzet van de applicaties kijkt een UX-expert mee naar het ontwerp en de ontwikkeling om op die manier de gebruiksvriendelijkheid van de webapplicatie voor gebruikers te verhogen.
- Organisatorische maatregelen:
· Communicatie via de websites en de communicatiekanalen van de scholen.
· De schooldirecties zorgen voor opvolging door de medewerkers die aangeduid worden.
· De schooldirecties zorgen voor ondersteuning bij aanmelding indien nodig.
2.2.3. Restrisicoscore
De impact van een niet-succesvolle aanmelding schatten we gemiddeld in.
2.3. Onbewuste fouten door aanmelders
2.3.1. Risico
We bedenken verschillende gebruikersfouten die kunnen leiden tot een mogelijk verkeerde toewijzing van plaatsen.
- Gebruiker meldt een kind aan met een gegarandeerde loopbaan.
- Gebruiker meldt aan voor verkeerd capaciteitsniveau, verkeerde voorrangsgroep.
- Gebruiker laadt verkeerde bewijsstukken op.
- Gebruiker vult een verkeerd adres in.
- Door wijziging van schoolkeuze, ziet de gebruiker niet dat er mogelijk nieuwe OVG-vragen worden gesteld. Het dossier staat ten onrechte op volledig.
Als gevolg hiervan kan de toewijzing verkeerd gebeuren waardoor de leerling, maar ook andere leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt.
- Er worden verschillende kinderen in éénzelfde browser met meerdere tabs aangemeld. En de ouder vergeet uit te loggen.
Als gevolg hiervan kan een kind aan de verkeerde aanmelder gekoppeld zijn. De gegevens van het kind zijn toegankelijk voor verkeerde personen. De correcte aanmelder kan het dossier van het kind niet meer opvolgen.
2.3.2. Maatregelen
- Technische maatregelen
· Er gebeurt een controle op de structuur van het Rijksregisternummer van het kind.
· Er gebeurt een controle op de geboortedatum op basis van het Rijksregisternummer.
· Er gebeurt een controle op dubbel aangemelde leerlingen.
· Bij het invullen van een domicilieadres van het kind en het werkadres van een ouder krijg je als gebruiker een lijst met straatnamen waaruit je moet kiezen, na het invullen van de gemeente.
· De lijst van de postcodes wordt geoptimaliseerd: volgorde van de postcodes wordt aangepast om gebruikersfouten op te vangen.
· De straatnaam is enkel manueel aan te passen indien de gebruiker bevestigt dat de straatnaam niet in de lijst met suggesties voorkomt.
· Er gebeurt een controle op de structuur van een telefoonnummer en het e-mailadres.
· Kleuters worden op basis van hun geboortejaar automatisch toegewezen aan een aanmelding voor het kleuteronderwijs.
· Leerlingen lager onderwijs worden op basis van hun geboortejaar automatisch toegewezen aan een leerjaar. Bij afwijking, maar binnen de bepaalde vork, wordt de aanmelder geattendeerd op de afwijking. Bij afwijking, maar buiten de bepaalde vork, is het niet mogelijk om verder aan te melden en wordt gevraagd om contact op te nemen met de helpdesk.
· Het is verplicht om minstens één ouder en zijn/haar telefoonnummer te registreren.
· De aanmelder krijgt via e-mail een overzicht van de registreerde gegevens.
· De aanmelder kan steeds via de applicatie een overzicht terugvinden van de registraties en kan die indien nodig ook wijzigen gedurende de aanmeldingsperiode.
· De naam van de ingelogde gebruiker verschijnt nu zowel op het dashboard als in de header. Op die manier is het altijd duidelijk voor de gebruiker onder welke naam hij/zij aan het aanmelden is.
· Na het afmelden krijgt de gebruiker vanaf nu een pagina te zien met de boodschap: “je bent uitgelogd”. Indien de gebruiker deze pagina nog niet ziet, weet hij/zij zeker dat hij/zij nog niet is uitgelogd.
· De initiatiefnemer krijgt een overzicht in het scholenportaal van alle uitgevoerde kwaliteitscontroles zoals adressen zonder coördinaten, verdachte coördinaten, dossiers zonder schoolkeuze,...
· De applicatiebeheerder krijgt een overzicht van het aantal aanmeldingen waar zich mogelijk een probleem voordoet. De applicatiebeheerder neemt in dit geval contact op met de initiatiefnemer om verder op te volgen.
· Controle op aanmelding van kinderen met gegarandeerde schoolloopbaan o.b.v. uitwisseling met Discimus (o.v.).
· Als aanmelders de schoolkeuze wijzigen in het dossier van een reeds aangemeld kind, dan moeten de voorrangsvragen opnieuw beantwoord worden.
- Organisatorische en juridische maatregelen
De initiatiefnemer maakt afspraken over de volgende items.
· De controle op dubbel aangemelde leerlingen
· De opvolging van onvolledige dossiers
· De controle op de OVG-vragen die zijn ingevuld voor volledige dossiers waar nadien nog een schoolkeuze is gewijzigd.
· Controle voorrangsgroepen
· Proefdraaien ROM
· Steekproef toekennen coördinaten en controle berekende afstanden
· Het gebruik van eventuele toekomstige domicilieadressen.
2.3.3. Restrisico
Gebruikersfouten zijn nooit uit te sluiten, maar op basis
van de uitgebreide technische controles en de mogelijkheid om de helpdesk extra
manuele controles te laten uitvoeren, schatten we de kans dat het risico zich
voordoet laag in. De impact van een onbewuste fout tijdens de aanmelding
schatten we gemiddeld in.
Het restrisico wordt bijgevolg als laag ingeschaald.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
2.4. Onbewuste fouten door scholen, initiatiefnemer(s), helpdesk
2.4.1. Risico
Naast de gebruiker kunnen scholen en/of beheerders ook onbewust fouten
maken. Dit kan in elke fase van de aanmelding gebeuren: bij de initialisatie en
parametrisering van het systeem of later bij behandelingen van individuele dossiers.
Een school kan door omstandigheden (bv. door verbouwing/bouwdossier) een
verkeerde berekening van de capaciteit en/of vrije plaatsen doorgeven. Een
beheerder kan een verkeerde registratie doen, die afwijkt van de gemaakte
afspraken. Een beheerder kan een verkeerd adres registreren. De medewerkers van
de helpdesk kunnen fouten maken bij controle of behandeling van dossiers.
We spreken hier over menselijke fouten, zonder kwaadaardige opzet.
Als gevolg hiervan kan de toewijzing verkeerd gebeuren waardoor leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt.
2.4.2. Maatregelen
- Technische maatregelen
· De beheerder van de school, de schoolmedewerker en de initiatiefnemer kunnen in de applicatie controleren via het scholenportaal of het systeem ingesteld is volgens de gemaakte afspraken.
· Indien een medewerker een wijziging doet aan een registratie van een leerling, wordt de oorspronkelijke aanmelder van de leerling steeds via e-mail op de hoogte gebracht van de wijziging.
· Het is mogelijk om de rangordemotor te laten proefdraaien. Bij een verkeerde registratie van bv. de capaciteit of vrije plaatsen, komt dit naar boven bij de controle van de resultaten van de proefdraaiing.
· Adressen van de school worden rechtstreeks uit het schoolaanbod opgeladen om fouten in registraties te vermijden. Het is wel steeds mogelijk om dit manueel te overschrijven.
· Fouten zullen door helpdesk gemakkelijker opgespoord worden dankzij het extra scherm kwaliteitscontroles (in ontwikkeling).
· De applicatiebeheerder heeft een scherm kwaliteitscontroles waar kan opgevolgd worden of het aanmeldingsinitiatief klaar is voor de start van de aanmeldingen (bv. Zijn de vestigingsplaatsen, capaciteiten, voorrangsgroepen en ordeningscriteria ingesteld?)
- Organisatorische maatregelen
· AGODI organiseert informatiesessies over het gebruik van de toepassing voor scholen, initiatiefnemers en helpdeskmedewerkers.
· Er is een gebruikershandleiding, inclusief checklist, voor scholen, helpdesk en initiatiefnemers.
· Elk aanmeldingsinitiatief moet een ombudsdienst inschrijvingen oprichten.
· De schooldirectie duidt de helpdeskmedewerker aan en hulp wordt geboden na afspraak.
2.4.3. Restrisico
Gebruikersfouten zijn moeilijk uit te sluiten. Maar op basis van technische en organisatorische maatregelen, en ook op basis van de geruime tijd van aanmelden waardoor er voldoende tijd is om fouten te ontdekken en recht te zetten, schatten we de kans dat het risico zich voordoet laag in. De impact van een onbewuste fout tijdens de aanmelding schatten we gemiddeld in. Het restrisico wordt bijgevolg als laag ingeschaald.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
2.5. Ongeoorloofde toegang – kwetsbaarheden in de applicatie worden uitgebuit
2.5.1. Risico
Gekende of ongekende kwetsbaarheden in de applicatie kunnen door externen uitgebuit worden om toegang te krijgen tot de gegevens (hacking). Daarnaast is het ook mogelijk dat niet vooraf gekende kwetsbaarheden worden uitgebuit. In beide gevallen zou het om een schending van de vertrouwelijkheid van de gegevens gaan die gepaard gaat met verschillende risico’s voor de betrokkene zoals identiteitsdiefstal, financiële fraude (bv. scamming, phishing, smishing), afpersing, enz.
2.5.2. Maatregelen
- Technische maatregelen
· Encryptie - Voor de volledige verwerkingsketting in de toepassing is er encryptie toegepast voor de data-at-rest (opslag). Dit betekent dat de gegevens die op schijf bewaard worden, versleuteld zijn en dus onleesbaar voor derden. Voor alle transportlagen passen we de meest recente versie van TLS en forward secrecy toe, zodat ook alle verkeer tussen de verschillende modules versleuteld verloopt.
· Logging - In onze App-laag werken we met een Audit-API die elke actie logt in de auditlog, samen met wie, langs welke weg en wanneer. Op die manier kan op elk moment getraceerd worden wie welke wijziging heeft uitgevoerd en ook welke acties tot welke resultaten hebben geleid. De logs zelf zijn eveneens geëncrypteerd.
· Back-up - Alle databases worden standaard elke 4 uur geback-upt. Het is ook mogelijk om de back-up frequentie te verhogen indien dit nodig zou blijken. Indien een back-up niet slaagt, zal de Combell monitor hier een melding van maken en worden zowel de Combell engineers als het FrontForce support team op de hoogte gebracht.
· Pentesten - Voor de lancering van de toepassing in 2023 werd deze door gecertificeerde testers aan een “grey box”-pentest onderworpen met speciale aandacht voor OWASP kwetsbaarheden, credential hunting en privilege escalation. De pentest resulteerde in slechts een aantal minor issues die werden weggewerkt voor de lancering. In 2024 werd een tweede pentest uitgevoerd naar aanleiding van de nieuwe release.
· Ethical hacking: de websites van het aanmeldingssysteem maakten deel uit van het VO-programma voor ethical hacking.
· Geo-blocking.
- Organisatorische en juridische maatregelen
· Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.
2.5.3. Restrisicoscore
Op basis van technische maatregelen schatten we de kans dat het risico zich voordoet laag in. De impact van een ongeoorloofde toegang, vaak met kwaadwillige opzet, schatten we hoog in. Het restrisico wordt bijgevolg als gemiddeld ingeschaald..
Kans
Laag
Impact
Hoog
Risico score:
Gemiddeld (8)
2.6. Ongeoorloofde toegang – correct toekennen van rollen en actueel houden
2.6.1. Risico
Het gebruikersbeheer voor de toegangen tot de software verloopt via het Vlaams toegangsbeheer ACM en binnen de toepassing zelf. Elke organisatie moet er zelf voor zorgen dat de gebruikersrechten actueel en op orde blijven. Het is echter mogelijk dat er ofwel bij AGODI ofwel bij Lochristi-Wachtebeke, foutieve of niet-proportionele toegangsrechten zijn toegekend. Daardoor zouden de medewerkers potentieel te veel rechten krijgen in de applicatie en meer gegevens te zien krijgen dan strikt noodzakelijk voor hun werk. Zo wordt de vertrouwelijkheid van de informatie geschonden.
Afhankelijk van de informatie kan een mogelijke schending van de vertrouwelijkheid voor de betrokkene verschillende gevolgen betekenen: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie...
2.6.2. Maatregelen
- Technische maatregelen
· Het beheer van gebruikers en rollen vindt plaats in de standaard gebruikersbeheer component van de Vlaamse Overheid (IDM) voor de rollen applicatiebeheerder AGODI, beheerder school en medewerker school. Het beheer van de rollen initiatiefnemer en helpdeskmedewerker gebeurt in de aanmeldingstoepassing. Dit zorgt ervoor dat als een persoon uit dienst treedt of van organisatie verandert, de organisatie dit eenvoudig zelf kan aanpassen. Het is echter aan de organisatie zelf om dit op orde te houden. Indien de initiatiefnemer niet meer de centrale rol in de aanmeldingsprocedure opneemt, moet minstens één van de deelnemende schoolbesturen dit melden aan AGODI door een mail te sturen naar aanmeldingssysteem.onderwijs@vlaanderen.be
· Elk initiatief beschikt over een afgescheiden omgeving waardoor een gebruiker steeds enkel toegang heeft tot de data die bestemd zijn voor de eigen organisatie.
· Logging in logboek van wie wordt toegevoegd als initiatiefnemer.
- Organisatorische en juridische maatregelen
· AGODI verduidelijkt de verschillende rollen en toegangsrechten op haar website en in de handleiding.
· Bij afwijkend aantal initiatiefnemers, zal AGODI de initiatiefnemers wijzen op de risico’s.
· Elke rol kan in de toepassing een overzicht raadplegen van wie de rol als initiatiefnemer opneemt.
· Elke medewerker heeft een vertrouwelijkheidsovereenkomst ondertekend of is reeds door een wettelijke of contractuele vertrouwelijkheidsverplichting gebonden.
· Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.
2.6.3. Restrisicoscore
Gezien het kan voorkomen dat iemand een andere functie gaat uitvoeren en er vergeten wordt rechten weg te nemen, wordt de kans op gemiddeld geschat. De impact wordt echter laag ingeschat gezien elke medewerker gehouden is tot vertrouwelijkheid via een ondertekende vertrouwelijkheidsovereenkomst of via een wettelijke of contractuele verplichting.
Kans
Gemiddeld
Impact
Laag
Risico score:
Laag (6)
2.7. Onethisch gebruik door personen met geoorloofde toegang – verspreiden van informatie, verdere verwerking voor niet toegestane doeleinden, verkeerd gebruik van de toepassing
2.7.1. Risico
Personen met geoorloofde toegang nemen kennis van informatie en verspreiden deze informatie publiek of intern. Als gevolg hiervan wordt er kennisgenomen van persoonsgegevens van de betrokkene door een onbevoegde wat kan leiden tot misbruik van gegevens door derden met schade voor de betrokkene tot gevolg.
Het is ook mogelijk dat personen met geoorloofde toegang de persoonsgegevens verder verwerken voor niet-toegestane doeleinden (bv. de contactgegevens worden gebruikt om het gemeentelijke sportaanbod te promoten) De mogelijke gevolgen voor de betrokkene zijn gelijkaardig aan vorige vertrouwelijkheidsrisico’s: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie enz.
Ten slotte is het ook mogelijk dat gebruikers de toepassing op een oneigenlijke manier gebruiken om op deze manier kun kansen in de aanmeldingsprocedure te vergroten (bv. verkeerde informatie registreren, meerdere kinderen registreren,…). Hierdoor kan de toewijzing verkeerd gebeuren waardoor leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt.
2.7.2. Maatregelen
- Technische maatregelen
· Op basis van de toewijzing van rechten en rollen wordt gewaarborgd dat enkel de strikt noodzakelijke personen toegang hebben tot de persoonsgegevens voor de uitoefening van hun taken. De toegang tot persoonsgegevens voor de medewerkers zit steeds achter het beveiligde toegangsbeheer van de Vlaamse Overheid.
· Door middel van de toepassing van logging (zie maatregel 2.5.2.) is te achterhalen wie welke gegevens heeft geraadpleegd. Deze maatregel helpt niet alleen misbruik op te sporen, maar heeft ook een afschrikkende werking.
- Organisatorische en juridische maatregelen
· Medewerkers zijn gesensibiliseerd rond de vertrouwelijkheid van de gegevens.
Elke medewerker heeft een vertrouwelijkheidsovereenkomst ondertekend of is reeds door een wettelijke of contractuele vertrouwelijksheidsverplichting gebonden.
· Gebruikers aanvaarden de gebruikersvoorwaarden. Daarin staat beschreven wat oneigenlijk gebruik van de toepassing inhoudt. Wanneer nadien blijkt dat een leerling een toewijzing heeft gekregen op basis van verkeerde of onvolledige informatie, kan de leerling zijn recht op inschrijving verliezen.
· Met verwerkers die toegang hebben tot persoonsgegevens werden de nodige contractuele afspraken gemaakt.
· Bij toegang tot de lijsten staat een duidelijke disclaimer waarvoor de gegevens al dan niet mogen gebruikt worden. Deze disclaimer is verschillend per lijst en per rol.
· Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.
2.7.3. Restrisicoscore
Onethisch gebruik blijft een menselijk aspect dat je met
technische, organisatorische en juridische maatregelen kan verkleinen, maar
daarom niet helemaal uitsluiten. Daarom wordt de kans op dit risico als
gemiddeld ingeschat. De impact van een onbewuste fout tijdens de aanmelding
schatten we gemiddeld in. Bijgevolg wordt de risico score ingeschaald als
gemiddeld.
Kans
Gemiddeld
Impact
Gemiddeld
Risico score:
Gemiddeld (9)
2.8. De toewijzing gebeurt verkeerd door fouten in de programmatie van de rangordemotor
2.8.1. Risico
Door fouten in de programmatie van de rangordemotor kan de toewijzing verkeerd gebeuren waardoor leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt. Deze fouten kunnen te wijten zijn aan een technische verkeerde programmering. Maar ook door de complexe regelgeving rond het inschrijvingsrecht is het mogelijk dat de regelgeving verkeerd wordt geïnterpreteerd en vertaald bij het voeden van de rangordemotor.
2.8.2 Maatregelen
- Technische maatregelen
· De applicatie werd grondig getest onder andere op basis van pair programming: twee personen (waaronder een algoritmespecialist) hebben onafhankelijk van elkaar exact hetzelfde geprogrammeerd en de resultaten vergeleken.
· Het is steeds mogelijk om de rangordemotor te laten proefdraaien.
· AGODI voorziet een stappenplan rond de controle van de proefdraaiing van de ROM.
· De rangordemotor kan steeds inzicht geven op welke manier de ordening is uitgevoerd en dit opnieuw transparant reconstrueren.
- Organisatorische en juridische maatregelen
· In de projectgroep van de ontwikkeling van het aanmeldingssysteem is er ook een vertegenwoordiging van het Departement Onderwijs en Vorming waardoor er extra aandacht gaat naar de correcte uitvoering van de regelgeving zoals deze werd opgemaakt.
· Elk aanmeldingsinitiatief moet een ombudsdienst inschrijvingen oprichten.
2.8.2. Restrisicoscore
De focus bij de ontwikkeling van het aanmeldingssysteem lag op de rangordemotor, zijnde het hart van de toepassing. Alle mogelijke maatregelen zijn genomen om fouten in de ontwikkeling te vermijden. Bijgevolg schatten we de kans op fouten in de programmering van de rangordemotor laag in.
De impact van een programmatiefout bij de rangordemotor schatten we gemiddeld in. Bijgevolg wordt de risico score ingeschaald als laag.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
2.9. Toewijzingsbericht naar de aanmelder is verkeerd
2.9.1. Risico
Ouders krijgen een foutief toewijzingsbericht (bv. verkeerde informatie, bericht van een ander kind, resultaten van de proefdraaiing) of krijgen geen bericht over toewijzing. Het mogelijke gevolg is dat leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt. Indien ouders een toewijzingsbericht krijgen van een andere leerling is dit een schending van de vertrouwelijkheid voor de betrokkene. Dit kan verschillende gevolgen betekenen: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie...
2.9.2. Maatregelen
- Technische maatregelen
· Het is niet mogelijk om de resultaten van de proefdraaiing te communiceren.
· Wanneer een verzonden e-mail bouncet omwille van een verkeerd e-mail adres, kan de initiatiefnemer dit opvolgen binnen het portaal en opnieuw verzenden
· Het toewijzingsbericht is ook te raadplegen op het aanmeldingsportaal.
- Organisatorische en juridische maatregelen
· Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.
2.9.3. Restrisicoscore
Op basis van de uitgevoerde testen en de mitigerende maatregelen schatten we de kans dat dit risico zich voordoet laag in. De impact van een verkeerd toewijzingsbericht schatten we gemiddeld is. Bijgevolg wordt de score ingeschaald als laag.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
2.10. Toewijzingslijst naar scholen is verkeerd
2.10.1. Risico
Net zoals bij ouders kunnen ook de scholen die nadien wensen over te gaan tot inschrijving een foutieve lijst krijgen van leerlingen die aan hun school zijn toegewezen. Dit kan zowel over een lijst gaat met foutieve gegevens als een lijst bestemd voor een andere school. Het mogelijke gevolg is dat leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt. Indien de school een toewijzingslijst krijgt van een andere school is dit een schending van de vertrouwelijkheid voor de betrokkene. Dit kan verschillende gevolgen betekenen: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie...
2.10.2. Maatregelen
- Technische maatregelen
· Om de toewijzingslijsten te raadplegen, moet je steeds inloggen via ACM/IDM.
- Organisatorische en juridische maatregelen
· Bij toegang tot de lijsten staat een duidelijke disclaimer waarvoor de gegevens al dan niet mogen gebruikt worden.
· Elke medewerker heeft een vertrouwelijkheidsovereenkomst ondertekend of is reeds door een wettelijke of contractuele vertrouwelijkheidsverplichting gebonden. Medewerkers zijn gesensibiliseerd rond de vertrouwelijkheid van de gegevens.
· Zowel AGODI als de initiatiefnemer beschikt over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.
2.10.3. Restrisicoscore
Op basis van de uitgevoerde testen en de mitigerende maatregelen schatten we de kans dat dit risico zich voordoet laag in. De impact van een verkeerde toewijzingslijst schatten we gemiddeld is. Bijgevolg wordt de score ingeschaald als laag.
Kans
Laag
Impact
Gemiddeld
Risico score:
Laag (6)
7. Mening betrokkenen/vertegenwoordigers over de verwerking (verplicht)
<Zoals vermeld in artikel 35 lid 9 vraagt de verwerkingsverantwoordelijke in beginsel de betrokkenen of vertegenwoordigers naar hun mening over de voorgenomen verwerking>
In het kader van de voorbereiding van de decreten rond
het inschrijvingsrecht vindt een ruime consultatie plaats in verschillende
organen, waaronder organen waar de betrokkenen vertegenwoordigd zijn zoals de
Vlaamse Onderwijsraad.
Daarnaast bestond er ook een externe gebruikersgroep die bestond o.a. uit vertegenwoordigers van de lokale besturen van Gent, Antwerpen, Leuven, Brussel en hun respectievelijke LOP’s. Deze gebruikersgroep kwam zes keer samen tussen 16 september 2023 en 2 december 2023. Twee samenkomsten waren enkel met de gebruikers van LOP Brussel. Ook in 2024 werden de gebruikersgroepen samengebracht om wensen en wijzigingen aan het aanmeldingssysteem te bespreken.
Doorheen het volledige ontwikkelingsproces heeft AGODI uitgebreid beroep gedaan
op de expertise van de LOP-deskundigen die reeds 10 jaar ervaring hadden met de
bestaande aanmeldingssystemen op de private markt.
[1] Raadpleegbaar via Vlaams Ministerie van onderwijs en vorming, https://data-onderwijs.vlaanderen.be/edulex/document.aspx?docid=13584