Gegevensbeschermingseffectbeoordeling (GEB/DPIA)

Gebruik aanmeldingssysteem door Lokaal Bestuur Roosdaal

 Aanmeldingssysteem

 

 

0.             Algemene omschrijving van de verwerking

 

Het decreet basisonderwijs en de codex secundair onderwijs verplichten schoolbesturen die voor de inschrijvingen vanaf schooljaar 2023-2024 leerlingen willen kunnen weigeren op basis van capaciteit om gebruik te maken van een aanmeldingsprocedure.

 

Naast de beschikbare digitale aanmeldingssystemen, wenst de Vlaamse overheid ook een digitaal aanmeldingssysteem ter beschikking te stellen aan de initiatiefnemers die zelf instaan voor het beheer ervan. Het systeem is zodanig worden ontworpen dat elke initiatiefnemer het kan aanpassen aan zijn keuzes (parametriseren). De kenmerken en schoolvoorkeuren van de aangemelde leerlingen worden decentraal verzameld. Ook het ordenen en toewijzen gebeurt decentraal o.b.v. het gekozen algoritme.

Het digitaal aanmeldsysteem bevat verschillende modules:

-        Scholenportaal

-        Aanmeldingsportaal

-        Rangordemotor

Scholenportaal

In het scholenportaal worden vier rollen onderscheiden: de initiatiefnemer, de directeur of beheerder van de school, de schoolmedewerker en de helpdeskmedewerker.

In het scholenportaal bepaalt de initiatiefnemer op welke manier de aanmeldingsprocedure wordt georganiseerd. De initiatiefnemer bepaalt in het scholenportaal wie de helpdeskmedewerkers zijn. De initiatiefnemer heeft toegang tot de gegevens van de scholen en de aangemelde leerlingen.

De directeur van de school bepaalt welke vestigingen en welke capaciteitsniveaus deelnemen aan de aanmeldingsprocedure. De schoolmedewerker vult de gegevens in voor de school. De schoolmedewerker kan de voorrang voor broers en zussen en kinderen van personeel controleren en heeft toegang tot de toewijzingslijst van de school.

Via dit portaal kan een helpdeskmedewerker ook ondersteuning bieden aan ouders, leerlingen en scholen door aanmeldingsdossiers van leerlingen over de scholen heen (maar wel binnen het initiatief) te kunnen raadplegen, corrigeren of annuleren.

In bepaalde gevallen kan de helpdeskmedewerker ook een controle uitvoeren op de ingevoerde gegevens (vb. voorrangsgroepen) in het aanmeldportaal.

Aanmeldingsportaal

In dit portaal melden ouders of een aanmelder (niet beperkt tot ouders) een leerling aan. Tijdens het aanmelden zullen aanmelders verschillende gegevens registreren die nodig zijn voor het ordenen en toewijzen van de leerlingen. Indien de aangemelde leerling aanspraak wil maken op voorrang, dan wordt dit in dit portaal kenbaar gemaakt. Het is ook mogelijk dat er bewijsstukken worden opgeladen. 

Via dit portaal hebben de aanmelders ook de mogelijkheid om:

·        Samenvatting van het dossier inkijken

·        Wijzigen aan het dossier aanbrengen

·        Toewijzingsresultaat raadplegen (incl. eventuele weigeringen)

Rangordemotor 

De rangordemotor (ROM) zal op basis van de verschillende ordeningscriteria leerlingen toewijzen aan de school van hoogste voorkeur waarvoor gunstig geordend. De ROM zal ook het toewijzingsbericht/weigeringsbericht aanmaken en versturen. Proefdraaien is mogelijk (tijdens de aanmeldingsperiode) op maat van de initiatiefnemer.

De ROM kan steeds inzicht geven op welke manier de ordening is uitgevoerd en dit laat de initiatiefnemer toe om het resultaat transparant te reconstrueren.

Aangezien er op grote schaal niet-gepseudonimiseerde gegevens van kinderen en jongeren wordt ingezameld is het uitvoeren van een GEB vereist conform de lijst waarvoor een GEB dient te worden uitgevoerd, zoals gepubliceerd door de VTC (Beslissing nr. 0/2020/01 van 14 januari 2020).

1.             Projectstructuur

1.1        Deelnemers aan GEB

Projectleider AGODI
Veiligheidsconsulent AGODI voor de implementatie van de technische maatregelen
FrontForce ontwikkelaars

Schoolbestuur Gemeentebestuur van Roosdaal

Schoolbestuur Sint-Amandusschool

Schoolbestuur VZW OZCS West-Brabant

1.2        Projectwerking bij het opzetten van GEB

In oktober 2022 startte AGODI met de GEB op basis van het sjabloon van de Vlaamse Toezichtcommissie (VTC).

Eerst werd de verwerking systematisch beschreven. Daarna werden de risico’s in kaart gebracht. Daarna werden mitigerende maatregelen bepaald. De GEB werd nadien aangepast aan de reeds besliste, relevante aanpassingen aan de architectuur.

In februari 2023 werd de GEB bezorgd aan de initiatiefnemers zodat de lokale mitigerende maatregelen kunnen aangevuld worden.

In januari 2024 werd de GEB geactualiseerd op basis van de nieuwe versie van het aanmeldingssysteem.

Middelen voor het uitvoeren van de GEB

Een werkgroep binnen AGODI bereidde de GEB voor. Deze GEB dient verder te worden aangevuld met de lokale maatregelen die genomen worden om de beschreven risico’s te reduceren. Na het advies van de DPO neemt de verwerkingsverantwoordelijke een besluit over de verwerking. 

1.3        (Her)evaluatie van GEB tijdens de verwerking

De gegevensbeschermingseffectbeoordeling zal aangepast worden als de verwerking of de risico’s wijzigen als gevolg van aanpassingen in het inschrijvingsdecreet of andere relevante regelgeving, verbeterde en nieuwe  technische mogelijkheden en/of feedback door de gebruikers van dit aanmeldingssysteem of andere aanmeldingssystemen.

Als blijkt dat de verwerking niet wordt uitgevoerd volgens de bepalingen en principes zoals beschreven in de GEB, zal dat besproken worden met de projectleiding met het oog op verbetering.

2.             Bronnen voor het opstellen van de GEB

Hieronder worden de bronnen opgelijst die worden gebruikt bij het opstellen van de GEB.

2.1        Wet- en regelgeving

Beslissing tot aanmelden

Decreet Basisonderwijs art. 37/12 en art. 37/49

Codex Secundair onderwijs art. 253/7 en art. 253/38

Goedkeuring van de aanmeldingsprocedure

Decreet basisonderwijs art. 37/17

Codex Secundair onderwijs art. 253/11

Ordenen en toewijzen van de aangemelde leerlingen

Decreet basisonderwijs art. 37/23 en art. 37/59

Codex Secundair onderwijs art. 253/16 en art. 253/47

Afronden aanmeldingen

Decreet basisonderwijs art. 37/25 en art. 37/61

Codex Secundair onderwijs art. 253/17 en art. 253/48  

Weigeren van een inschrijving

Decreet basisonderwijs art. 37/30 en art. 37/66

Codex Secundair onderwijs art. 253/26 en art. 253/57 

Ombudsdienst inschrijvingen

Decreet basisonderwijs art.37/16 en art. 37/51

Codex Secundair onderwijs art. 253/11 en art. 253/40

Bemiddeling

Decreet basisonderwijs art. 37/31 en art. 37/67

Codex Secundair onderwijs art. 253/27 en art. 253/58 

Klachtenprocedure

Decreet basisonderwijs art. 37/33 en art. 37/69

Codex Secundair onderwijs art. 253/30 en art. 253/60 

2.2        Aanbevelingen van EDPB/EDPS

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679, wp248rev.01

2.3        Aanbevelingen en standpunten van toezichthouders

Advies CBPL betreft het gebruik van gegevens in een Lokaal OverlegPlatform Basisonderwijs – wet van 8 december 1992 (SA3/DOS-2012-00279-004-pvd) – belangrijk advies omtrent bepaling verantwoordelijkheden bij een aanmeldingssysteem en het gebruik van het INSZ nummer.

Advies VTC nr. 2020/05 van 8 september 2020 betreffende Informatieveiligheid en GDPR-conformiteit

4 Platformen Onderwijs – Amazon Web Services (AWS) – AGODI heeft in het bestek verwezen naar dit advies en de voorwaarde gesteld dat Persoonsgegevens mogen niet verwerkt of opgeslagen worden door een opdrachtnemer of (onder-) leverancier die gevestigd is buiten de Europese Economische Ruimte en derde landen met een passend beschermingsniveau , of onderhevig is aan wetgeving van buiten de Europese Economische Ruimte en derde landen met een passend beschermingsniveau.

Advies VTC nr.2022/02 is hierop een technische aanvulling.

2.4        Aanbevelingen en standpunten van rechtbanken

Er zijn geen standpunten bekend van rechtbanken die relevant kunnen zijn voor deze verwerking.

2.5        Andere bronnen

Niet van toepassing.

3.             Systematische beschrijving (verplicht)

3.1        De scope van de GEB (in functie van de verwerkingsdoelen)

Verschillende verwerkingen van persoonsgegevens worden meegenomen in deze GEB:

1. Het aanmaken van rechten en rollen bij een initiatief tot aanmelden;

2. Het registreren van leerlingen en hun voorkeuren voor aanmelden en hun recht op voorrang, inclusief bewijsstukken door degenen die aanmelden;

3. Het toegang geven aan additionele personen tot het dossier van de leerling door degenen die aanmelden

4. Het raadplegen/controleren van de gegevens van aangemelde leerlingen door de initiatiefnemer(s), helpdeskmedewerker(s) en eventueel de schoolmedewerker(s) met het oog op het correct ordenen en toewijzen van de aangemelde leerlingen

5. Het ondersteunen van ouders en scholen d.m.v. raadplegen, corrigeren en annuleren van dossiers door initiatiefnemer(s) en helpdeskmedewerker(s);

6. Het controleren van de toewijzingslijst en lijst van geweigerde leerlingen na proefdraaien van de rangordemotor (ROM); 

7. Het ordenen en toewijzen van de leerlingen op basis van de geregistreerde gegevens van de leerlingen;

8. Het raadplegen en gebruiken van een toewijzingslijst door schoolmedewerker(s) voor de leerlingen die zich kunnen inschrijven in de eigen school en een lijst van de geweigerde leerlingen;

9. Het communiceren naar degene die aanmelden over toewijzing via een toewijzingsbericht of voor ongunstig geordende leerlingen een weigeringsdocument;

10. Het raadplegen en gebruiken van een toewijzingslijst door helpdeskmedewerker(s) om vragen van ouders te kunnen beantwoorden.

11. Het handmatig aanpassen van de toewijzingsstatus.

Niet in scope:

-        Werking ACM/IDM – enkel de integratie met het digitale systeem wordt in deze GEB mee opgenomen.

-        Werking geolocatietools.

-        Inschrijving van de leerling als gevolg van de aanmelding, dit zit vervat in het schoolsoftwarepakket.

3.2        Beschrijving van de context van de verwerkingen

Het decreet basisonderwijs en de codex secundair onderwijs verplichten schoolbesturen die voor de inschrijvingen vanaf schooljaar 2023-2024 leerlingen willen kunnen weigeren op basis van capaciteit om gebruik te maken van een aanmeldingsprocedure. Daarnaast is het ook mogelijk om op vrijwillige basis een aanmeldingsprocedure te organiseren.

De initiatiefnemer van een aanmeldingsprocedure kan een schoolbestuur, meerdere schoolbesturen samen of een LOP (lokaal overlegplatform) zijn. Lokale besturen en andere lokale partnerorganisaties zijn ook vaak betrokken bij de organisatie van een aanmeldingsprocedure.

Er zijn dus heel wat betrokken partijen bij de organisatie van een aanmeldingssysteem. Daarom is het belangrijk om zeer transparant te zijn over ieders verantwoordelijkheden en daarover ook goede afspraken te maken.

AGODI en de schoolbesturen treden op als gezamenlijke verwerkingsverantwoordelijke in de zin van artikel 26 van de Algemene Verordening Gegevensbescherming (AVG). Hiertoe hebben de betrokken partijen een onderlinge overeenkomst afgesloten om ieders verantwoordelijkheid met betrekking tot de verwerking van persoonsgegevens te verduidelijken.

AGODI is verantwoordelijk voor de opvolging van de ontwikkeling, het beheer en de hosting van het aanmeldingssysteem door de verwerker FrontForce. Alsook voor het correct registreren van de initiatiefnemer in het aanmeldingssysteem zoals gemeld aan AGODI.

De schoolbesturen zijn verantwoordelijk voor de lokale organisatie van de aanmeldingsprocedure en het gebruik van het aanmeldingssysteem. Bijvoorbeeld:

- het correct instellen van het aanmeldingssysteem;

- het melden aan AGODI van degene die de rol van initiatiefnemer opneemt;

- het toekennen van de rollen van helpdeskmedewerker, beheerder school en schoolmedewerker;

- de controle op de ingevoerde gegevens en het aanspraak maken op voorrang;

- de controle op de toekenning van de adrescoördinaten en de afstandsberekening;

- de controle op het proefdraaien van de rangordemotor voor het ordenen en toewijzen van de leerlingen;

- de ondersteuning  bieden aan wie wenst aan te melden;

- het starten van de rangordemotor voor het ordenen en toewijzen van de leerlingen;

- het opmaken en uitsturen van communicatie (toewijzingsbericht, weigeringsdocument);

- het handmatig aanpassen van de inschrijvingsstatus.

Indien de schoolbesturen hiervoor wensen beroep te doen op een LOP, lokaal bestuur of andere lokale partnerorganisaties zijn zij verantwoordelijk om hierrond de nodige afspraken te maken en deze op te volgen.

Het informeren van de eindgebruikers en de afspraken met betrekking tot het gebruik van de toepassing gebeurt via de privacyverklaring en gebruikersvoorwaarden die de gebruiker moet aanvaarden voor gebruik van de toepassing.

3.3        Systematische beschrijving van de verwerkingen (en verwerkingsdoelen)

3.3.1.   Scholenportaal

Per samenwerkingsverband wordt er minstens één verantwoordelijke (initiatiefnemer) aangeduid. Deze persoon kan andere mensen binnen het initiatief één of meerdere rollen toekennen. Binnen de applicatie worden er 5 rollen voorzien:

 -        Applicatiebeheerder AGODI: bij een nieuw samenwerkingsverband voegt de applicatiebeheerder van AGODI de betrokken scholen toe en duidt, op basis van de melding door de contactpersoon van het samenwerkingsverband, initiatiefnemer(s) aan. De applicatiebeheerder kan enkel de initiatiefnemers(s)  zien en krijgt kwaliteitsrapporten op het niveau van het aanmeldingsinitiatief en heeft geen toegang tot leerlingengegevens. De applicatiebeheerder wordt enkel toegekend door een lokale beheerder van AGODI.

 Daarnaast heeft de applicatiebeheerder volgende taken:

o   Schooljaar instellen

o   Vork bepalen toegang

o   Geboortejaren bepalen die van toepassing zijn

o   Adresbestanden opladen voor Vlaanderen, Wallonië en Brussel Hoofdstedelijk Gewest

o   Voorrangspercentages bepalen

o   Beheer van de mailbox noreply@aanmelden.vlaanderen

o   Initiatiefnemers informeren over feedback vanuit de kwaliteitscontroles

-        Directeur school (beheerder school): bij aanmelding zal de directeur van de school zien wie de initiatiefnemer(s) is (zijn) voor het samenwerkingsverband waarvan ze deel uitmaken. Deze rol kan vestigingen ophalen, toevoegen en aanduiden voor welk onderwijs- en capaciteitsniveau wordt aangemeld. De directeur van de school kan ook een medewerker van de school aanduiden via het toegangsbeheer van de Vlaamse Overheid. De directeur van de school heeft geen toegang tot leerlingengegevens. De rol van de directeur wordt toegekend via het toegangsbeheer Vlaamse Overheid.

 -        Initiatiefnemer(s): alle scholen van een samenwerkingsverband kennen de rol van initiatiefnemer(s) toe aan één persoon of enkele centrale personen die de inrichting doet van alle functionaliteiten van het aanmeldingssysteem voor samenwerkingsverband. Enkel de initiatiefnemer(s) ka(u)n(nen) helpdeskmedewerkers aanduiden. De initiatiefnemer(s) heeft toegang tot de dossier van alle leerlingen en de gegevens van alle scholen. De initiatiefnemer(s) heeft ook toegang tot het digitale logboek.

 

 Deze initiatiefnemer kan in dit portaal verschillende acties uitvoeren om het aanmeldingssysteem in te stellen:

-        Begin- en eindduur periode(s) bepalen, kleur en logo aanpassen.

-        Opladen en aanpassen tekst gebruikers- en privacy voorwaarden.

-        Invullen tekst toewijzingsbericht (= bericht dat ouders ontvangen met resultaat van aanmelding).

-        Aanpassen van scholen.

-        Overzicht raadplegen van de door de verschillende scholen geregistreerde gegevens met een minimale set van vereiste criteria (met exportmogelijkheid).

-        Helpdeskmedewerker aanmaken en rol toewijzen.

-        Keuze en operationalisering van de gecombineerde ordeningscriteria.

-        Instellen keuze voorrangsgroepen broers en zussen en kinderen van personeel basisonderwijs.

-        Keuze van capaciteitsniveau aanmelding voor basisonderwijs (b.v. voor jongste geboortejaar, voor kleuter, leerjaar, voor kleuter en lager…).

-        Keuze van capaciteitsniveau aanmelding voor secundair onderwijs: 1A en/of 1B.

-        Instellen van percentages voor bepaalde voorrangsgroepen (bijvoorbeeld % Nederlands).

-        Voorrang ‘’ondervertegenwoordigde groepen”: vastleggen criteria en bijhorende vragen die op leerling niveau moeten ingevuld worden. Deze vragen kunnen binnen een samenwerkingsinitiatief per school verschillen.

 

Binnen het scholenportaal kan de initiatiefnemer nog volgende functies uitvoeren:

-        Bekijken en wijzigen van alle aanmeldingen van alle leerlingen en de historiek. Dit is nodig om vragen van gebruikers bij de aanmelding te kunnen beantwoorden en om de helpdesk te organiseren (vb. toewijzen van vragen aan helpdeskmedewerkers).

-        Opvolgen van de resultaten van de kwaliteitscontroles.

-        Controle toegekende adrescoördinaten en berekende afstand.

-        Opvolgen onvolledige dossiers.

-        Starten van de ROM, zowel een proefdraaiing als de definitieve toewijzingen.

-        Resultaten van de ROM bekijken.

-        Toewijzingsberichten en weigeringsberichten versturen.

-        Logging raadplegen.

-        Raadplegen van de inschrijvingsstatus

-        Helpdeskmedewerker

 De helpdeskmedewerker kan enkel worden aangeduid door de initiatiefnemer(s) en kan volgende functies binnen de applicatie:

-        Bekijken en wijzigen van alle aanmeldingen van alle leerlingen en de historiek. Dit is nodig om vragen van gebruikers bij de aanmelding te kunnen beantwoorden en ondersteuning te bieden tijdens het aanmelden.

-        Het samenwerkingsverband kiest ervoor om afstand als tweede ordeningscriterium toe te passen. Indien de geo-locatietool geen automatische coördinaten kan toekennen aan het opgegeven adres van de leerling, zal de helpdeskmedewerker deze coördinaten handmatig toekennen.

-        Controle op dubbel aangemelde leerlingen: leerlingen aangemeld met INSZ nummer en aanmeldingsnummer of meerdere aanmeldingsnummers.

-        Toekennen van adrescoördinaten aan adressen waar dit niet automatisch kon gebeuren.

-        Controle toegekende adrescoördinaten en berekende afstand.

-        Opvolgen onvolledige dossiers.

 

 -        Medewerker van de school

De medewerker van de school wordt aangeduid door de directeur van de school via het gebruikersbeheer (IDM).
De medewerker van de school kan volgende functies binnen het scholenportaal:

-        Registreren van de capaciteit en vrije plaatsen.

-        Registreren keuzes vestigingsplaats die beschreven staan in de bovenstaande tabel.

-        Toewijzingslijst raadplegen op het niveau van de vestigingsplaats.

-        Aanpassen inschrijvingsstatus van een leerling.

 

 Toegang tot het scholenportaal wordt gerealiseerd via ACM/IDM authenticatie. Het beheer van gebruikers en rollen vindt plaats in de standaard gebruikersbeheer component van de Vlaamse Overheid (IDM) voor de rollen applicatiebeheerder AGODI, beheerder school en medewerker school. IDM stelt beheerders van scholen in staat hun medewerkers te beheren en rechten te geven voor de aanmeldingstoepassing namens hun organisatie, m.a.w. te autoriseren. De rollen van initiatiefnemer en helpdeskmedewerker worden beheerd in het aanmeldingssysteem.

3.3.2. Aanmeldingsportaal

Toegang tot het ‘aanmeldingsportaal’ wordt standaard gerealiseerd door aanmelding via ACM/IDM. Daarnaast kunnen aanmelders zich ook registreren door via e-mail in te loggen. Het gekozen wachtwoord moet voldoende sterk zijn. wachtwoorden moeten:
 - minstens 8 tekens hebben;
 - ten minste één niet alfanummeriek teken hebben;
 - ten minste één cijfer hebben;
 - ten minste één hoofdletter hebben.

De aanmelder die een leerling aanmeldt, hoeft geen familiale band met die leerling te hebben. Dat kan een ouder zijn, een familielid, een partner of gewoon een derde. Behalve de naam van de aanmelder wordt geen andere informatie van de aanmelder bijgehouden. De aanmelder krijgt een uniek nummer toegewezen waarmee de aanmelder herkend wordt wanneer hij het aanmeldingsportaal opnieuw bezoekt. De band met leerling wordt evenmin beschreven, noch bijgehouden. De aanmelder kan meerdere additionele personen definiëren die toegang krijgen tot het dossier van de leerling. Van deze additionele personen wordt ook enkel de naam bijgehouden. De persoon die het kind heeft toegevoegd, blijft echter “master” en kan deze additionele personen ook terug verwijderen. De additionele personen kunnen zelf geen extra personen aanduiden die toegang krijgen tot het dossier van de leerling. Dit moet steeds via de “master” gebeuren.

De leerling wordt uniek geïdentificeerd op basis van het INSZ nummer. AGODI bezorgt de initiatiefnemer een excel document met daarin een formule om aanmeldingsnummers te kunnen aanmaken voor leerlingen die niet over een INSZ nummer beschikken om de leerling alsnog uniek te kunnen identificeren.

 

Om zich te kunnen aanmelden zal de aanmelder volgende vragen moeten beantwoorden die relevant zijn voor het ordenen en toewijzen:

-        keuze school/scholen

-        De initiatiefnemer kiest afstand als een criteria voor ordening en vraagt daarom ook het domicilieadres op.

 

Tenslotte kan in dit portaal ook een e-mailadres en telefoonnummer doorgegeven waarop de aanmelder een bericht krijgt over:

-        Wijzigingen in het aanmeldingsdossier

-        Eventuele controleacties

-        Toewijzingsresultaat met inbegrip van eventuele weigeringen

 

Aanmelders kunnen ten alle tijden opnieuw inloggen in het aanmeldingsportaal om hun dossier te raadplegen en te wijzigen (wijzigen enkel mogelijk gedurende de voorziene aanmeldingsperiode) of om de status te raadplegen.

 

Wie geen e-mailadres registreert, noteert een postadres om een toewijzingsbericht te ontvangen.

 

In dit portaal worden de betrokkenen ook geïnformeerd over de verwerking van hun persoonsgegevens en op welke manier ze hun rechten uit de AVG kunnen uitoefenen. Er wordt een ontwerptekst door AGODI voorzien. Iedere initiatiefnemer kan deze tekst zelf aanvullen/aanpassen en uploaden op het portaal.

 

 

3.3.3. Rangordemotor (ROM)

 

De rangordemotor is het hart van de toepassing en zal een leerling toewijzen aan een school op basis van de verschillende ordeningscriteria en de voorrangsgroepen.

 

Zodra de aanmeldingsperiode is gestart, kunnen de initiatiefnemers de rangordemotor laten proefdraaien. Dit laat de initiatiefnemer toe om:

-      Op te volgen hoeveel van de aangemelde leerlingen kunnen toegewezen worden aan een school.

-      Het ordenen en toewijzen van de ROM te controleren voordat deze definitief zal draaien.

-      De resultaten van de proefdraaiing kunnen niet gecommuniceerd worden.

 

In de toepassing wordt een toewijzingsbericht opgemaakt en verstuurd naar de geregistreerde e-mailadressen. Als de leerling niet kan worden toegewezen aan een school dan wordt een weigeringsdocument opgemaakt en verstuurd naar de geregistreerde e-mailadressen. Dit kan volautomatisch gebeuren aan de hand van instelbare templates.

 

De ROM maakt twee soorten toewijzingslijsten op:

 

o   Op niveau van de vestigingsplaats : lijst toewijzingsresultaat voor alle leerlingen aangemeld voor de vestigingsplaats. Deze lijst is bestemd voor de medewerkers van de school.

o   Op niveau van de initiatiefnemer: lijst toewijzingsresultaat voor alle leerlingen voor alle vestigingsplaatsen. Enkel de initiatiefnemer(s) heeft toegang tot deze lijst.

 

Ten allen tijde heeft de initiatiefnemer zicht op de werking van de ROM via logging:

o   Controle leerlingen

o   Hiërarchische volgorde voorrangsgroepen toepassen

o   Hiërarchische volgorde en combinatie ordeningscriteria

o   Op schoolniveau

§  Algemeen:

·        Capaciteit

·        Zittende leerlingen

·        Ingeschreven leerlingen

·        Vrije plaatsen

§  Per capaciteitsniveau (per voorrangsgroep)

·        Capaciteit

·        Zittende leerlingen

·        Ingeschreven leerlingen

·        Vrije plaatsen

o   Op leerlingniveau

§  Ranking per vestigingsplaats (plaats op de wachtlijst)

 

 

 

 

3.3.4.     Schematische voorstelling en architecturaal schema van de software

 

 

Er wordt per initiatiefnemer een database opgezet. Een initiatiefnemer heeft enkel toegang tot de gegevens in zijn database.

 

 

Het aanmeldingssysteem bestaat uit drie lagen:

1.      Applicaties

2.      Services

3.      Databases

 

Applicaties

Het aanmeldingssysteem biedt twee applicaties:

1.      Ouderportaal

2.      Scholenportaal

Beide applicaties bevatten enkel de front-end (GUI) en maken gebruik van de services in de Services-laag om effectief data op te halen of te wijzigen.

 

Ouderportaal

 

Dit is de webapplicatie die ouders toelaat hun kind aan te melden. Voor elk initiatief wordt het ouderportaal onder een unieke URL ontsloten. De toegang tot deze webapplicatie is mogelijk door in te loggen via ACM/IDM of via e-mail & wachtwoord (als back-up).

 

 

Scholenportaal

 

Dit is de webapplicatie die de functionaliteiten bevat voor het beheer van een initiatief.

De applicatie werkt met verschillende rollen.

De toegang tot deze webapplicatie is enkel mogelijk door in te loggen via ACM/IDM.

 

Services

 

In deze laag werken verschillende services samen om de nodige functionaliteiten te voorzien.

 

Security Library

 

Dit is geen aparte service, maar een library die door de verschillende services wordt gebruikt om te verifiëren of een gebruiker de juiste rechten heeft bij het uitvoeren van een actie.

Deze library zorgt ook voor de communicatie met ACM/IDM.

 

Service.Core

 

Biedt functionaliteiten die te maken hebben met data in de Core databank.

 

Service.Initiative

 

Biedt functionaliteiten die te maken hebben met data in de Initiatief databanken.
Elk initiatief heeft een eigen databank per aanmeldjaar.

 

Service.Address

 

Zet adressen om in coördinaten (geo-coding). Hiervoor maakt deze service gebruik van externe diensten:

Geopunt: voor adressen in Vlaanderen

Geo Wallonie: voor adressen in Wallonië

Google Geolocation API: voor adressen in het buitenland

Daarnaast berekent deze service ook de afstanden in vogelvlucht of wandelafstand. Voor de berekening van de wandelafstand wordt de Service.Routing aangeroepen.

 

Service.Routing

 

Zorgt voor berekening van de wandelafstand tussen twee coördinaten.

 

Service.ROM

 

Dit is de RangOrde Motor (ROM) die voor alle aangemelde leerlingen de optimale verdeling berekent voor de gekozen scholen, rekening houdend met de geregistreerde vrije plaatsen per school.

De ROM gebruikt hiervoor de instellingen die door de initiatiefnemer werden ingesteld (algoritme, ordeningscriteria, voorrangsgroepen, afstanden)

 

Service.AllocationNotice

 

Zorgt voor het samenstellen van de toewijzingsberichten nadat de ROM definitief heeft gedraaid.

 

Service.Mail

 

Zorgt voor het uitsturen van e-mails.

 

Databases

 

Core databank

 

Deze databank bevat initiatief-overschrijdende instellingen en toegangsconfiguratie.

 

Initiatief databanken

 

Elk initiatief heeft een eigen databank per aanmeldjaar.

Deze databank bevat alle instellingen van het initiatief, de vestigingsplaatsen en de aanmeldingen. Ook de toewijzingsresultaten worden hierin opgeslagen.

 

3.4        Beschrijving van de betrokkenen en andere actoren

1.      AGODI

Het Agentschap voor Onderwijsdiensten (AGODI) is ingeschreven in het KBO met nummer 316380841 (vestigingseenheid 2.199.317.226) waarvan de administratieve zetel zich bevindt te Koning Albert II laan 15, 1210 Brussel.

 

Aangezien AGODI bepaalde keuzes heeft gemaakt bij het ontwikkelen van het systeem zoals de keuze van het algoritme, de geolocatie tool, de hosting,… kunnen we stellen dat AGODI een groot aandeel heeft in het bepalen van het doel en de middelen van de verwerking. Daarom treedt AGODI op als gezamenlijke verwerkingsverantwoordelijke samen met de betrokken schoolbesturen van het samenwerkingsverband.

 

De applicatiebeheerder is een werknemer van AGODI. Initiatiefnemers/beheerders kunnen met al hun vragen terecht bij AGODI. AGODI doet voor technische ondersteuning beroep op FrontForce NV.

AGODI stelt een standaard privacyverklaring op die moet worden aangevuld door de initiatiefnemer.

 

 

2.      Schoolbesturen

 

Schoolbesturen zijn de inrichtende macht zoals bedoeld in artikel 24, § 4, van de Grondwet, dit is de rechtspersoon of de natuurlijke persoon die verantwoordelijk is voor één of meer scholen.

 

De betrokken schoolbesturen zijn verantwoordelijk voor de inschrijving van een leerling. In de mate dat de inschrijving onlosmakelijk verbonden is met de aanmelding (bij een beperking van de capaciteit kan er geen inschrijving zijn zonder aanmelding), houdt dit in dat de schoolbesturen ook verantwoordelijk zijn voor de organisatie van de aanmeldingsprocedure.
De betrokken schoolbesturen treden samen met AGODI op als gezamenlijke verwerkingsverantwoordelijke.

 

De schoolbesturen maken gezamenlijke afspraken over de organisatie van de aanmeldingen zoals de voorrangscriteria, ordeningscriteria, organisatie van de helpdesk,…

 

 

3.      FrontForce NV

 

Frontforce is ingeschreven in het KBO met nummer 736767161 waarvan de administratieve zetel zich bevindt te Romeynsweel 7, 2030 Antwerpen.

 

FrontForce NV is verwerker voor AGODI die instaat voor ontwikkeling, beheer en onderhoud van het systeem en de software. In die functie behandelt FrontForce aangemelde incidenten, voert zij het preventief-en correctief onderhoud uit en neemt ze requests aan. Deze verwerker is gekozen op basis van een mededelingsprocedure met onderhandeling voor diensten (besteknummer AGODI/AOP/2020/01) waarbij de gunningsbeslissing op 23 mei 2022 werd gecommuniceerd.

 

 

4.      Digitaal Vlaanderen

 

Digitaal Vlaanderen is ingeschreven in het KBO met nummer 316380841 (vestigingseenheid 2.256.180.804) waarvan de administratieve zetel zich bevindt te Havenlaan 88/b, 1000 Brussel.

 

Digitaal Vlaanderen staat in voor het toegang- en gebruikersbeheer (ACM/IDM) van de Vlaamse Overheid.

 

 

5.      Combell

 

Combell is ingeschreven in het KBO met nummer 541977701 waarvan de administratieve zetel zich bevindt te Skaldenstraat 121, 9042 Gent.

 

Combell is een subverwerker van FrontForce en is de hosting partij die de onderliggende infrastructuur levert en beheert.

 

 

Er zijn geen ontvangers van de persoonsgegevens anders dan de verwerkingsverantwoordelijken, verwerkers of de gebruikers van het platform. Er is geen doorgifte naar derde landen. De gegevens worden in de Europese Economische Ruimte verwerkt. Dat is contractueel afgesproken met de verwerkers. Afhankelijk van de keuze van de aanmelder kunnen er wel berichten via e-mail worden gestuurd. Indien de aanmelder dit niet wenst, hoeft de aanmelder geen e-mailadres te registreren. Het toewijzingsresultaat wordt dan per post verstuurd.

De aanmelder kan de status van het dossier ook steeds raadplegen in de beveiligde omgeving van het aanmeldingsportaal.  Op de roadmap voor verdere ontwikkeling van de toepassing staat de integratie met het Burgerprofiel zodat de aanmelder daar berichten kan ontvangen.

4.             Noodzakelijkheid en evenredigheid (verplicht)

4.1        De rechtmatigheid van de verwerking

De verwerkingen zijn nodig om te voldoen aan de wettelijke verplichting die door het decreet wordt opgelegd om een digitale aanmelding te organiseren. De systematische verwerkingen zijn daarom gebaseerd op: Art. 6(c) AVG: de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.

 

Het schoolbestuur is niet verplicht een aanmeldingsprocedure te organiseren, maar wenst dit toch te doen om te garanderen dat aanmeldingen en nadien inschrijvingen op een gestructureerde, transparante en eerlijke manier verlopen. De verwerking is daarom gebaseerd op: Art. 6(e) AVG: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.

 

Het toewijzen van de leerlingen door de ROM kan als een vorm van geautomatiseerde besluitvorming gezien worden. In het beginsel heeft een betrokkene het recht niet te worden onderworpen aan een uitsluitend geautomatiseerd besluit waaraan rechtsgevolgen zijn verbonden of dat de betrokkene in aanmerkelijke mate treft.      Het geautomatiseerd toewijzen van de leerlingen is in dit geval bij wetgeving toegestaan. De betrokkenen worden hiervan op de hoogte gebracht via de gebruikersvoorwaarden en privacyverklaring.

 

In zoverre het hier gaat om bijzondere categorieën van persoonsgegevens worden de gegevens verwerkt op basis van de uitzondering in artikel 9, lid 2, g), van de Algemene Verordening gegevensbescherming: de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.

 

De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Op wetenschappelijk onderzoek en statistieken bestaat er een uitzondering dat deze verwerkingen niet als onverenigbaar beschouwd met de oorspronkelijke doeleinden.

 

Scholen zijn gemachtigd om intern het INSZ nummer van een leerling te gebruiken in het kader van inschrijvingen volgens het KB van 5 februari 1994. In de mate dat de inschrijving onlosmakelijk verbonden is met de aanmelding, zijn de scholen derhalve ook gemachtigd om het INSZ nummer te gebruiken in het kader van aanmelden.

4.2        De basisbeginselen van de verwerking

 

4.2.1       (Eerlijkheid) Behoorlijkheid en transparantie

 

Een verwerking is slechts behoorlijk voor zover die met de redelijke verwachtingen van de betrokkene overeenstemt. Hoewel het voor de betrokkene te verwachten is dat dienstverleningen steeds meer digitaliseren, is het van groot belang dat de betrokkene goed geïnformeerd wordt over de verwerking van de persoonsgegevens binnen dit project.  Alsook waar betrokkenen terecht kunnen voor de uitvoering van hun rechten. Daartoe zal AGODI een privacyverklaring voorzien op de website(s) van de verschillende aanmeldingsinitiatieven. Deze standaardtekst kan door de initiatiefnemer aangepast worden naar gelang de lokale context.

 

Daarnaast voorziet het systeem dat bij elke wijziging aan de aanmeldingsgegevens de aanmelders een bericht via e-mail ontvangen met een overzicht van de wijzigingen.

 

 

Het lokaal bestuur Roosdaal heeft beslist om de betrokkene als volgt te informeren:

-      Via de algemene informatie en privacyverklaring gepubliceerd door AGODI en door lokaal bestuur Roosdaal op de aanmeldingswebsite;

 

4.2.2       Minimale gegevensverwerking

 

Organisaties mogen alleen persoonsgegevens verwerken als dit noodzakelijk is voor een specifiek verwerkingsdoel.

In de portalen van het aanmeldingssysteem worden enkel de gegevens verwerkt die nodig, relevant en toereikend zijn om de rol van een gebruiker te kunnen vaststellen, om leerlingen te kunnen ordenen in functie van aanmelden en om toewijzingsberichten te kunnen versturen. Met een correcte rechten en rollen toewijzing wordt ook gewaarborgd dat enkel de strikt noodzakelijke personen toegang hebben tot de persoonsgegevens voor de uitoefening van hun taken.

 

De persoonsgegevens die verwerkt worden tijdens de aanmeldingsprocedure zijn:

 

 

 

 

 

 

4.2.3.   Juistheid en Nauwkeurigheid

 

In de context van deze verwerking verlangt het juistheidsbeginsel dat de kwaliteit en juistheid van de verwerking gegarandeerd kan worden en dat er voorzien wordt in een gepast proces dat alle redelijke maatregelen voorziet om gegevens onverwijld te wissen of te verbeteren.

 

Wanneer de aanmelder een straatnaam registreert, moet de aanmelder kiezen uit een lijst met voorgestelde straatnamen uit de gemeente. Wanneer de straat niet tussen deze lijst staat, heeft de aanmelder de mogelijkheid om de straatnaam manueel te registreren. In de toepassing wordt duidelijk vermeld wanneer een straatnaam manueel geregistreerd is. Deze functionaliteit is toegevoegd om de kwaliteit van de door de aanmelders geregistreerde straatnamen te verhogen.

 

Wanneer de flow van het aanmelden is doorlopen, krijgt de gebruiker een overzicht van de geregistreerde gegevens met de vraag deze te controleren en te bevestigen.

 

 

 

De aanmelder kan op het aanmeldingsportaal steeds een overzicht terugvinden van alle volledige en niet volledige aanmeldingen. Op die manier is het onmiddellijk duidelijk welke aanmelding nog niet compleet is en nog moet vervolledigd worden.

 

 

 

De aanmelder of enig ander persoon met toegang tot het dossier kan tijdens de ‘Aanmeldingsperiode’ zijn aanmeldingen wijzigen (een extra school toevoegen, verwijderen of de volgorde veranderen), bijkomende personen toevoegen of andere gegevens aanpassen. Van elke wijziging in het dossier, dit kan zowel door een aanmelder als een helpdeskmedewerker zijn, krijgt de aanmelder een bericht.

 

Wanneer de aanmelder in een volledig dossier een extra school toevoegt, moeten de nieuwe voorrangsvragen worden beantwoord.

 

 

 

 

Het samenwerkingsinitiatief voorziet dat een helpdeskmedewerker dossiers van leerlingen kan raadplegen met het oog op controle op juistheid, nauwkeurigheid en volledigheid.

Het systeem voorziet ook automatische controles met een melding bij controle op de leeftijd, volledigheid beantwoorden van de voorrangsvragen, bij dossiers zonder schoolkeuze.

Het systeem geeft de initiatiefnemer en helpdeskmedewerker daarnaast ook de mogelijkheid om een overzicht te raadplegen van:

Adressen waar niet automatisch coördinaten aan toegekend kunnen worden

·        Dubbele aanmeldingen

·        Onvolledige dossiers

·        Volledigheid van beantwoorden van de voorrangsvragen

 

Het systeem voorziet in een proefdraaiing van de rangordemotor.

 

De applicatiebeheerder krijgt kwaliteitsrapporten over de geregistreerde gegevens op het niveau van het aanmeldingsinitiatief.

 

4.2.4.   Opslagbeperking

 

 

De persoonsgegevens worden maximaal twee jaar na de aanmelding bewaard in de toepassing. Deze termijn is nodig voor het ordenen, toewijzen en opvolgen van de inschrijving. Deze termijn is contractueel vastgelegd met de verwerker.

 

De logging die de initiatiefnemer kan raadplegen blijven ook twee jaar na de aanmelding bewaard in de toepassing. Deze logging laat toe om op elk moment te traceren wie welke wijziging heeft uitgevoerd en ook welke acties tot welke resultaten hebben geleid. Dit noemen we de transactionele/functionele logs.

De technische en infrastructurele logs worden automatisch opgeschoond om problemen met beschikbare schijfruimte te vermijden en worden maximaal 30 dagen bijgehouden.
 Voorbeelden van technische en infrastructurele logs:

·        logbestanden van de verschillende softwaremodules die deel uitmaken van de applicatie

·        logbestanden van de infrastructuur componenten

·        de webserver die alle inkomende requests logt

·        de databank server die technische informatie logt over acties die plaatsvinden

 

4.2.5.   Gegevensbeveiliging

 

 

Zie hoofdstuk 6  voor een overzicht van technische en organisatorische maatregelen per geïdentificeerd risico.

 

4.2.6.   Gegevensbescherming door ontwerp en als standaardinstelling

 

 

Het aanmeldingssysteem volgt de initiële inrichting de principes van security en privacy by design.

 

De uitgangspunten hierbij zijn dat:

 

-      Elk samenwerkingsinitiatief zijn eigen afgeschermde omgeving krijgt waarin ze het volledige eigenaarschap over zijn gegevens heeft.

-      Elke gebruiker dient aan te loggen via het toegangsbeheer van de Vlaamse Overheid

-      Alle acties van elke gebruiker wordt gelogd.

-      Door een sterk uitgebouwd rollensysteem wordt de toegang tot persoonsgegevens beperkt tot wat strikt noodzakelijk is bij de uitvoering van de taken.

-      Automatisch ingebouwde controles moeten gebruikersfouten kunnen opvangen.

         


4.3.   Beoordeel de noodzakelijkheid en evenredigheid (sensu strictu)

4.2.3       Noodzaak

 

Aanmelden is het digitaal kenbaar maken van een intentie tot inschrijving. De regelgeving verplicht scholen die leerlingen willen kunnen weigeren op basis van capaciteit om gebruik te maken van een aanmeldingsprocedure.

Alle beoogde verwerkingen zijn in functie van de goede organisatie van de aanmeldingsprocedure.

 

4.2.4       Evenredigheid

 

Het uitgangspunt bij de ontwikkeling van het aanmeldingssysteem was om enkel de gegevens op te vragen die nodig zijn voor het ordenen en toewijzen van de leerlingen of voor het contacteren van de aanmelders.

Daarin is het project in geslaagd, er wordt bijvoorbeeld niet bijgehouden wat de relationele band is tussen de aanmelder en de leerling.

 

5.             Methode voor beoordeling risico’s op rechten en vrijheden van betrokkenen

5.1        Aanvaardbaarheidscriteria van negatieve effecten

De aanvaardbaarheidscriteria zijn gekoppeld aan de score die wordt toegekend aan een risico op basis van een combinatie van twee aspecten: de impact van het risico en de waarschijnlijkheid van het risico.

Risico’s met een score “hoog” of “zeer hoog” kunnen niet geaccepteerd worden zonder bijkomende risicomaatregelen.

Risico’s met een score “gemiddeld” worden idealiter nog verder behandeld. Het is mogelijk (en in bepaalde gevallen aangewezen) om hier nog bijkomende risicomaatregelen te nemen. Indien geen mogelijke aanvullende maatregelen voorhanden zijn, of bv. de kost van de maatregel niet in proportie tot het risico staat, kunnen deze risico’s geaccepteerd worden mits duidelijke en grondige motivatie.

Risico’s met een score “laag” en “zeer laag” kunnen zonder bijkomende motivering geaccepteerd worden.

De cijferscores in het document dienen als volgt gelezen te worden:

1-4: zeer laag
5-7: laag 
8-11: gemiddeld
12-15: hoog
16+: zeer hoog

5.2        Risicoanalyse, -evaluatie en opvolging

De noodzaak voor de uitvoering van een GEB insinueert een context waarbinnen een verwerking gelet op de aard, de omvang, de context en de doeleinden waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.  In het verdere verloop van deze GEB wordt telkens een risico besproken, welke aanvullende maatregelen er genomen worden, alsook welke beoordeling geleid heeft tot een score van het restrisico.

 

 

5.2.1        Bepalen van de impact van een risico voor betrokkene

 

Om het impactniveau op de betrokkene te bepalen moet rekening gehouden worden met de rechten en vrijheden van de betrokkene, alsook met de gerechtvaardigde belangen zowel op economisch, fysiek of psychologisch vlak, zoals onder meer:

-      Een mogelijk verlies aan zelfstandigheid (potentiële handelingen kunnen niet meer worden uitgevoerd);

-      Vrij kunnen blijven van stigmatisering (hoe de betrokkene behandeld wordt op basis van bepaalde kenmerken);

-      Gelijkheid (het op dezelfde wijze benaderen van de betrokkene);

-      Bewegingsvrijheid (beperken van toegang tot bepaalde ruimtes of locaties);

-      Vrij kunnen blijven van manipulatie (beïnvloeden van het gedrag op basis van de geschonden informatie);

-      Integriteit (bv. door aanbieden van geschenken)

-      Ongestoord leven (onaangenaam afbreken van rust en stilte)

-      Eigenwaarde (afbreuk aan eigen persoonlijkheid)

-      Autonomie (beperking van de vrijheid om eigen regels te volgen)

-      Lichamelijke schade en bedreigingen

-      Identiteitsfraude

-     

 

5.2.2       Bepalen van de waarschijnlijkheid van een risico voor de betrokkene.

 

 

Bij het bepalen van de waarschijnlijkheid van een risico baseren we ons op de ervaring uit van gebruikers van reeds 10 jaar aanmelden in verschillende bestaande systemen.

 

6.             Beoordeling risico’s op rechten en vrijheden van betrokkenen en de beoogde maatregelen

 

2.1.          Gebruikers lopen de kans mis om (tijdig) aan te melden – onbeschikbaarheid van de applicatie

 

2.1.1.    Risico


Gebruikers kunnen tijdens de aanmeldingsperiode één of meerdere leerlingen aanmelden. Indien ze dit niet tijdig kunnen doen, door de onbeschikbaarheid van de applicatie, kan een leerling zich niet aanmelden voor een school naar voorkeur en kan de leerling het recht op inschrijving in een school naar voorkeur niet uitoefenen. De vrije schoolkeuze komt in gevaar.

 

2.1.2.      Maatregelen

 

-      Technische maatregelen:

·        De uitgebouwde software oplossing schaalt in functie van de belasting van het systeem. Het automatisch schalen van de web- en app componenten is gebaseerd op Cubernetes en containers.

·        FrontForce gebruikt performance testen om performance bottlenecks te detecteren, om te bepalen wat de beste metric is voor het automatische schalen en ook om de performance te controleren bij nieuwe releases. Via performancetesten en -tuning bij elke release zorgt Frontforce ervoor dat de applicatie optimaal gebruik blijft maken van de ICT-infrastructuur.

De test werd uitgevoerd op donderdag 15 december 2022 (FAT) op de Low set up en woensdag 4 januari 2023 (SAT) + her-test op 10 januari 2023 op de High set up.

·        Combell monitort continu volautomatisch de volledige infrastructuur en verwittigt hun engineers en het supportteam bij FrontForce ruimschoots op tijd zodat eventuele performantieproblemen kunnen voorkomen worden.

·        Combell beschikt over meerdere ruimtes in verschillende datacentra in België. Al deze datacentra zijn uitgerust met: UPS (Uninterruptable Power Supply), airconditioning, branddetectie, temperatuurcontrole en andere beveiligingssystemen. Combell hanteert het ‘datacenter in datacenter’ principe. Binnen het primary datacenter heeft Combell ook verschillende eigen ruimtes. Deze ruimtes maken gebruik van meerdere backup systemen (generatoren, UPS, koeling, …). Binnen het primary datacenter heeft Combell ook 2 backbone routers geplaatst zodat bij het falen van een room (wat in principe niet mogelijk is gezien alle veiligheidsmaatregelen) het datacenter volledig verder draait zonder impact voor de klanten. Het primary datacenter is ook uitgerust met 24/7 onsite security.

·        Combell garandeert een beschikbaarheid van 99,999% gedurende 24/7 voor de volledige infrastructuur. Daarnaast is er op elke component van de infrastructuur een ‘SLA Plus contract’ voorzien bij Combell. Dit omvat o.a. incident management, hersteltijd bij bedrijfskritische incidenten (< 30 min 24/7), patch management, monitoring, prestatie monitoring & trends, back-up beheer, firewall en DDoS beveiliging. Met deze maatregelen garandeert FrontForce een RTO (recovery time object) van 1 uur na failure en 24 uur na disaster.

 

-      Organisatorische maatregelen:

·        AGODI voorziet een foutpagina en verstuurt communicatie naar alle initiatiefnemers bij onbereikbaarheid van de toepassing.

·        AGODI monitort de starturen van aanmelden van de verschillende initiatieven met het oog op de verwachtte load.

·        initiatiefnemers communiceren verder naar helpdeskmedewerkers en de gebruikers.

 

-      Juridische maatregelen:

·        AGODI heeft met Frontforce een Service Level Agreement (SLA) afgesloten waarin KPI’s zijn afgesproken rond de beschikbaarheid van het systeem.

 

2.1.3.      Restrisicoscore

 

De aanmeldingsperiode is vastgelegd in het BVR. De initiatiefnemer bepaalt het start- en einduur. Gelet op de periode om een succesvolle aanmelding te voltooien en de garanties van FrontForce schatten we de kans dat een aanmelder geen correcte aanmelding kan uitvoeren omwille van de onbeschikbaarheid van de applicatie laag in. Het tijdstip van de aanmelding binnen de aanmeldingsperiode is immers niet van belang voor een succesvolle aanmelding. De impact van een niet succesvolle aanmelding schatten we gemiddeld in.

 

 

 

 

 

 

2.2.          Gebruikers lopen de kans mis om (tijdig) aan te melden – geen technische oorzaak

 

2.2.1.      Risico

 

Gebruikers kunnen tijdens de aanmeldingsperiode één of meerdere leerlingen aanmelden. Indien ze dit niet tijdig doen, kan een leerling zich niet aanmelden voor een school naar voorkeur en kan de leerling het recht op inschrijving in een school naar voorkeur niet uitoefenen. De vrije schoolkeuze komt in gevaar.

Er zijn meerdere redenen waarom een gebruiker niet tijdig zou kunnen aanmelden:

-      De gebruiker weet niet waar en wanneer hij een leerling kan aanmelden.

-      De gebruiker heeft niet de technische vaardigheden en/of middelen om aan te melden.

-      De helpdesk is niet bereikbaar.

 

2.2.2.      Maatregelen

 

-      Technische maatregelen:

·        bij het aanmeldingsportaal garanderen we een zo breed mogelijke ondersteuning in browsers (zelfs ouder dan recentste versie -1) en gebruiken we geen fancy features om zo de kans op problemen te minimaliseren. We passen zoveel mogelijk progressive enhancement toe: dit betekent dat we features die het gebruiksgemak verhogen, enkel activeren wanneer de browser van de gebruiker die features ook ondersteunt. Zonder die features, werkt de applicatie ook, maar net iets minder gebruiksvriendelijk.

·        Bij het ontwerp en de ontwikkeling van de portalen maken we gebruik van responsive webdesign. Dit betekent dat we ervoor zorgen dat ze ook handig te gebruiken zijn op mobiele toestellen, zoals een smartphone of tablet.

·        Bij de opzet van de applicaties kijkt een UX-expert mee naar het ontwerp en de ontwikkeling om op die manier de gebruiksvriendelijkheid van de webapplicatie voor gebruikers te verhogen.

 

-      Organisatorische maatregelen:

·        Ouders worden via een communicatiecampagne op de hoogte gebracht worden van de aanmeldingsperiode: via gemeentelijk infoblad Roosdaal Info, via de sociale media van gemeente Roosdaal en huis van het Kind, via het verspreiden van een digitale en papieren brochure, via affiches, … Ouders met kinderen geboren in 2022 zijn per brief aangeschreven.

·        De aanmelders krijgen ondersteuning bij het aanmelden via de helpdesk en via inloopmomenten in de bibliotheek waar ouders zonder computer geholpen worden.

·        De helpdesk wordt bemand door de deskundige onderwijs en Huis van het Kind.

 

 

2.2.3.      Restrisicoscore

 

De impact van een niet succesvolle aanmelding schatten we gemiddeld in.

 

 

 

2.3.          Onbewuste fouten door aanmelders

 

2.3.1.      Risico

 

We bedenken verschillende gebruikersfouten die kunnen leiden tot een mogelijk verkeerde toewijzing van plaatsen.

-      Gebruiker meldt een kind aan met een gegarandeerde loopbaan.

-      Gebruiker meldt aan voor verkeerde capaciteitsniveau, voorrangsgroep.

-      Gebruiker vult een verkeerd adres in.

-      Door wijziging van schoolkeuze, ziet de gebruiker niet dat er mogelijk nieuwe OVG vragen worden gesteld. Het dossier staat ten onrechte op volledig.

Als gevolg hiervan kan de toewijzing verkeerd gebeuren waardoor de leerling, maar ook andere leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt.

 

-      Er worden verschillende kinderen in éénzelfde browser met meerdere tabs aangemeld. En de ouder vergeet uit te loggen.

 

Als gevolg hiervan kan een kind aan de verkeerde aanmelder gekoppeld zijn. De gegevens van het kind zijn toegankelijk voor verkeerde personen. De correcte aanmelder kan het dossier van het kind niet meer opvolgen.

 

2.3.2.      Maatregelen

 

-      Technische maatregelen:

·        Er gebeurt een controle op de structuur van het Rijksregisternummer van het kind.

·        Er gebeurt een controle op de geboortedatum op basis van het Rijksregisternummer.

·        Er gebeurt een controle op dubbel aangemelde leerlingen.

·        Bij het invullen van een domiciliëadres van het kind krijg je als gebruiker een lijst met straatnamen waaruit je moet kiezen, na het invullen van de gemeente.

·        De lijst van de postcodes wordt geoptimaliseerd: volgorde van de postcodes wordt aangepast om gebruikersfouten op te vangen.

·        De straatnaam is enkel manueel aan te passen indien de gebruiker bevestigt dat de straatnaam niet in de lijst met suggesties voorkomt.

·        Er gebeurt een controle op de structuur van een telefoonnummer en het e-mailadres.

·        Kleuters worden op basis van hun geboortejaar automatisch toegewezen aan een aanmelding voor het kleuteronderwijs.

·        Leerlingen lager onderwijs worden op basis van hun geboortejaar automatisch toegewezen aan een leerjaar. Bij afwijking, maar binnen de bepaalde vork, wordt de aanmelder geattendeerd op de afwijking. Bij afwijking, maar buiten de bepaalde vork, is het niet mogelijk om verder aan te melden en wordt gevraagd om contact op te nemen met de helpdesk.

·        Het is verplicht om minstens één ouder en zijn/haar telefoonnummer te registreren.

·        De aanmelder krijgt via e-mail een overzicht van de registreerde gegevens.

·        De aanmelder kan op alle tijden via de applicatie een overzicht terugvinden van de registraties en kan die indien nodig ook wijzigen gedurende de aanmeldingsperiode.

·        De naam van de ingelogde gebruiker verschijnt nu zowel op het dashboard als in de header. Op die manier is het altijd duidelijk voor de gebruiker onder welke naam hij/zij aan het aanmelden is.

·        Na het afmelden krijgt de gebruiker vanaf nu een pagina te zien met de boodschap: “je bent uitgelogd”. Indien de gebruiker deze pagina nog niet ziet, weet hij/zij zeker dat hij/zij nog niet is uitgelogd.

·        De initiatiefnemer krijgt een overzicht in het scholenportaal van alle uitgevoerde kwaliteitscontroles zoals adressen zonder coördinaten, verdachte coördinaten, dossiers zonder schoolkeuze,...

·        De applicatiebeheerder krijgt een overzicht van het aantal aanmeldingen waar mogelijks een probleem zich voordoet. De applicatiebeheerder neemt in dit geval contact op met de initiatiefnemer om verder op te volgen.

 

-      Organisatorische en juridische maatregelen:

·        De initiatiefnemer maakt afspraken over:

·        De controle op dubbel aangemelde leerlingen

·        De opvolging van onvolledige dossiers

·        De controle op de OVG vragen die zijn ingevuld voor volledige dossiers waar nadien nog een schoolkeuze is gewijzigd.

·        Proefdraaien ROM

·        Steekproef toekennen coördinaten en controle berekende afstanden

·        Het gebruik van eventuele toekomstige domicilieadressen.

 

2.3.3.     Restrisico

 

Gebruikersfouten zijn nooit uit te sluiten, maar op basis van de uitgebreide technische controles en de mogelijkheid om de helpdesk extra manuele controles te laten uitvoeren, schatten we de kans dat het risico zich voordoet laag in. De impact van een onbewuste fout tijdens de aanmelding schatten we gemiddeld in.
Het restrisico wordt bijgevolg als laag ingeschaald.

 

 

 

 

 

2.4.          Onbewuste fouten door scholen, initiatiefnemer(s), helpdesk

 

2.4.1.     Risico


Naast de gebruiker kunnen scholen en/of beheerders ook onbewuste fouten. Dit kan in elke fase van de aanmelding gebeuren: bij de initialisatie en parametrisering van het systeem of later bij behandelingen van individuele dossiers. Een school kan door omstandigheden (vb. door verbouwing/bouwdossier) een verkeerde berekening van de capaciteit en/of vrije plaatsen doorgeven. Een beheerder kan een verkeerde registratie doen, die afwijken van de gemaakte afspraken. Een beheerder kan een verkeerd adres registreren. De medewerkers van de helpdesk kunnen fouten maken bij controle of behandeling van dossiers.

We spreken hier over menselijke fouten, zonder kwaadaardige opzet.

Als gevolg hiervan kan de toewijzing verkeerd gebeuren waardoor leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt.

 

2.4.2.     Maatregelen

 

-      Technische maatregelen:

·        De beheerder van de school, de schoolmedewerker en de initiatiefnemer kunnen in de applicatie controleren via het scholenportaal of het systeem ingesteld is volgens de gemaakte afspraken.

·        Indien een medewerker een wijziging doet aan een registratie van een leerling, wordt de oorspronkelijke aanmelder van de leerling steeds via e-mail op de hoogte gebracht van de wijziging.

·        Het is mogelijk om de rangordemotor te laten proefdraaien. Bij een verkeerde registratie van vb. de capaciteit of vrije plaatsen, komt dit naar boven bij de controle van de resultaten van de proefdraaiing.

·        Adressen van de school worden rechtstreeks uit het schoolaanbod opgeladen om fouten in registraties te vermijden. Het is wel steeds mogelijk om dit manueel te overschrijven.

·        Fouten zullen door helpdesk gemakkelijker opgespoord worden dankzij het extra scherm kwaliteitscontroles (in ontwikkeling).

·        De applicatiebeheerder heeft een scherm kwaliteitscontroles waar kan opgevolgd worden of het aanmeldingsinitiatief klaar is voor de start van de aanmeldingen (vb. Zijn de vestigingsplaatsen, capaciteiten, voorrangsgroepen en ordeningscriteria ingesteld?)

 

-      Organisatorische maatregelen:

·        AGODI organiseert informatiesessies over het gebruik van de toepassing voor scholen, initiatiefnemers en helpdeskmedewerkers.

·        Er is een gebruikershandleiding, inclusief checklist, voor scholen, helpdesk en initiatiefnemers.

·        Elke aanmeldingsinitiatief moet een ombudsdienst inschrijvingen oprichten.

·        De deskundige onderwijs en Huis van het Kind controleert minstens wekelijks op fouten.

 

2.4.3.     Restrisico

 

Gebruikersfouten zijn moeilijk uit te sluiten. Maar op basis van technische en organisatorische maatregelen, maar ook op basis van de geruime tijd van aanmelden waardoor er voldoende tijd is om fouten te ontdekken en recht te zetten, schatten we de kans dat het risico zich voordoet laag in. De impact van een onbewuste fout tijdens de aanmelding schatten we gemiddeld in. Het restrisico wordt bijgevolg als laag ingeschaald.

 

 

 

2.5.          Ongeoorloofde toegang – kwetsbaarheden in de applicatie worden uitgebuit

 

2.5.1.      Risico

 

Gekende of ongekende kwetsbaarheden in de applicatie kunnen door externen uitgebuit worden om toegang te krijgen tot de gegevens (hacking). Daarnaast is het ook mogelijk dat niet vooraf gekende kwetsbaarheden worden uitgebuit. In beide gevallen zou het om een schending van de vertrouwelijkheid van de gegevens gaan die gepaard gaat met verschillende risico’s voor de betrokkene zoals identiteitsdiefstal, financiële fraude (bv. scamming, phishing, smishing), afpersing, enz.

 

2.5.2.      Maatregelen

 

-      Technische maatregelen:

·        Encryptie: Voor de volledige verwerkingsketting in de toepassing is er encryptie toegepast voor de data-at-rest (opslag). Dit betekent dat de gegevens die op schijf bewaard worden versleuteld zijn en dus onleesbaar voor derden. Voor alle transportlagen passen we de meest recente versie van TLS en forward secrecy toe, zodat ook alle verkeer tussen de verschillende modules versleuteld verloopt.

·        Logging: In onze App-laag werken we met een Audit-API die elke actie logt in de auditlog, samen met wie, langs welke weg en wanneer. Op die manier kan op elk moment getraceerd worden wie welke wijziging heeft uitgevoerd en ook welke acties tot welke resultaten hebben geleid. De logs zelf zijn eveneens geëncrypteerd.

·        Backup: Alle databases worden standaard elke 4 uur geback-upt. Het is ook mogelijk om de backup frequentie te verhogen indien dit nodig zou blijken. Indien een back-up niet slaagt, zal de Combell monitor hier een melding van maken en worden zowel de Combell engineers als het FrontForce support team op de hoogte gebracht.

·        Pentesten: Voor de lancering van de toepassing werd deze door gecertificeerde testers aan een “grey box”-pentest onderworpen met speciale aandacht voor OWASP kwetsbaarheden, credential hunting en privilege escalation. De pentest resulteerde in slechts een aantal minor issues die werden weggewerkt voor de lancering.

·        Ethical hacking: de websites van het aanmeldingssysteem maken deel uit van het VO programma voor ethical hacking.

 

 

-      Organisatorische en juridische maatregelen:

·        Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.

 

2.5.3.      Restrisicoscore

 

Op basis van technische maatregelen schatten we de kans dat het risico zich voordoet laag in. De impact van een ongeoorloofde toegang, vaak met kwaadwillige opzet, schatten we hoog in. Het restrisico wordt bijgevolg als gemiddeld ingeschaald.

 

 

 

 

 

2.6.          Ongeoorloofde toegang – correct toekennen van rollen en actueel houden

 

2.6.1.      Risico

 

Het gebruikersbeheer voor de toegangen tot de software verloopt via het Vlaams toegangsbeheer ACM en binnen de toepassing zelf. Elke organisatie moet er zelf voor zorgen dat de gebruikersrechten actueel en op orde blijven. Het is echter mogelijk dat er ofwel bij AGODI ofwel bij het lokaal bestuur Roosdaal, foutieve of niet-proportionele toegangsrechten zijn toegekend. Daardoor zouden de medewerkers potentieel te veel rechten krijgen in de applicatie en meer gegevens te zien krijgen dan strikt noodzakelijk voor hun werk. Zo wordt de vertrouwelijkheid van de informatie geschonden.

Afhankelijk van de informatie kan een mogelijke schending van de vertrouwelijkheid voor de betrokkene verschillende gevolgen betekenen: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie...

 

2.6.2.      Maatregelen

 

-      Technische maatregelen:

·        Het beheer van gebruikers en rollen vindt plaats in de standaard gebruikersbeheer component van de Vlaamse Overheid (IDM) voor de rollen applicatiebeheerder AGODI, beheerder school en medewerker school. Het beheer van de rollen initiatiefnemer en helpdeskmedewerker gebeurt in de aanmeldingstoepassing. Dit zorgt ervoor dat als een persoon uit dienst treedt of van organisatie verandert, de organisatie dit eenvoudig zelf kan aanpassen. Het is echter aan de organisatie zelf om dit op orde te houden. Indien de initiatiefnemer niet meer de centrale rol in de aanmeldingsprocedure opneemt, moet minstens één van de deelnemende schoolbesturen dit melden aan AGODI door een mail te sturen naar aanmeldingssysteem.onderwijs@vlaanderen.be

·        Elk initiatief beschikt over een afgescheiden omgeving waardoor een gebruiker steeds enkel toegang heeft tot de data die bestemd zijn voor de eigen organisatie.

 

-      Organisatorische en juridische maatregelen:

·        AGODI verduidelijkt de verschillende rollen en toegangsrechten op haar website en in de handleiding.

·        Bij afwijkend aantal initiatiefnemers, zal AGODI de initiatiefnemers wijzen op de risico’s.

·        Elke rol kan in de toepassing een overzicht raadplegen van wie de rol als initiatiefnemer opneemt.

·        Elke medewerker heeft een vertrouwelijkheidsovereenkomst ondertekend of is reeds door een wettelijke of contractuele vertrouwheidsverplichting gebonden.

·        Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.

 

 

2.6.3.      Restrisicoscore

 

Gezien het kan voorkomen dat iemand een andere functie gaat uitvoeren en er vergeten wordt rechten weg te nemen, wordt de kans op gemiddeld geschat. De impact wordt echter laag ingeschat gezien elke medewerker gehouden is tot vertrouwelijkheid via een ondertekende vertrouwelijkheidsovereenkomst of via een wettelijke of contractuele verplichting.

 

 

 

2.7.          Onethisch gebruik door personen met geoorloofde toegang – verspreiden van informatie, verdere verwerking voor niet toegestane doeleinden, verkeerd gebruik van de toepassing

 

2.7.1.      Risico

 

Personen met geoorloofde toegang nemen kennis van informatie en verspreiden deze informatie publiek of intern. Als gevolg hiervan wordt er kennis genomen van persoonsgegevens van de betrokkene door een onbevoegde wat kan leiden tot misbruik van gegevens door derden met schade voor de betrokkene tot gevolg.

Het is ook mogelijk dat personen met geoorloofde toegang de persoonsgegevens verder verwerken voor niet toegestane doeleinden (vb. de contactgegevens worden gebruikt om het gemeentelijke sportaanbod te promoten)  De mogelijke gevolgen voor de betrokkene zijn gelijkaardig aan vorige vertrouwelijkheidsrisico’s: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie enz.

 

Tenslotte is het ook mogelijk dat gebruikers de toepassing op een oneigenlijke manier gebruiken om op deze manier kun kansen in de aanmeldingsprocedure te vergroten (vb. verkeerde informatie registreren, meerdere kinderen registreren,…). Hierdoor kan de toewijzing verkeerd gebeuren waardoor leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt.

 

2.7.2.      Maatregelen

 

-      Technische maatregelen:

·        Op basis van de rechten en rollen toewijzing wordt gewaarborgd dat enkel de strikt noodzakelijke personen toegang hebben tot de persoonsgegevens voor de uitoefening van hun taken. De toegang tot persoonsgegevens voor de medewerkers zit steeds achter het beveiligde toegangsbeheer van de Vlaamse Overheid.

·        Door middel van de toepassing van logging (zie maatregel 2.5.2.) is te achterhalen wie welke gegevens heeft geraadpleegd. Deze maatregel helpt niet alleen misbruik op te sporen, maar heeft ook een afschrikkende werking.

 

-      Organisatorische en juridische maatregelen:

·        Medewerkers zijn gesensibiliseerd rond de vertrouwelijkheid van de gegevens.

Elke medewerker heeft een vertrouwelijkheidsovereenkomst ondertekend of is reeds door een wettelijke of contractuele vertrouwheidsverplichting gebonden.

·        Gebruikers aanvaarden de gebruikersvoorwaarden. Daarin staat beschreven wat oneigenlijk gebruik van de toepassing inhoudt. Wanneer nadien blijkt dat een leerling een toewijzing heeft gekregen op basis van verkeerde of onvolledige informatie, kan de leerling zijn recht op inschrijving verliezen.

·        Met verwerkers die toegang hebben tot persoonsgegevens werden de nodige contractuele afspraken gemaakt.

·        Bij toegang tot de lijsten staat een duidelijke disclaimer waarvoor de gegevens al dan niet mogen gebruikt worden. Deze disclaimer is verschillend per lijst en per rol.

·        Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.

 

2.7.3.      Restrisicoscore

 

Onethisch gebruik blijft een menselijk aspect die je met technische, organisatorische en juridische maatregelen kan verkleinen, maar daarom niet helemaal uitsluiten. Daarom wordt de kans op dit risico als gemiddeld ingeschat. De impact van een onbewuste fout tijdens de aanmelding schatten we gemiddeld in. Bijgevolg wordt de risico score ingeschaald als gemiddeld.

 

2.8.          Toewijzing gebeurt verkeerd door fouten in de programmatie van de rangordemotor

 

2.8.1.      Risico

 

Door fouten in de programmatie van de rangordemotor kan de toewijzing verkeerd gebeuren waardoor leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt. Deze fouten kunnen te wijten zijn aan een technische verkeerde programmering. Maar ook door de complexe regelgeving rond het inschrijvingsrecht is het mogelijk dat de regelgeving verkeerd wordt geïnterpreteerd en vertaald bij het voeden van de rangordemotor.

 

2.8.2     Maatregelen

 

-      Technische maatregelen:

·        De applicatie werd grondig getest onder andere op basis van pair programming: twee personen (waaronder een algoritme specialist) hebben onafhankelijk van elkaar exact hetzelfde geprogrammeerd en de resultaten vergeleken.

·        Het is steeds mogelijk om de rangordemotor te laten proefdraaien.

·        AGODI voorziet een stappenplan rond de controle van de proefdraaiing van de ROM.

·        De rangordemotor kan steeds inzicht geven op welke manier de ordening is uitgevoerd en dit opnieuw transparant reconstrueren. 

 

-      Organisatorische en juridische maatregelen:

·        In de projectgroep van de ontwikkeling van het aanmeldingssysteem is er ook vertegenwoordiging van het Departement Onderwijs en Vorming waardoor er extra aandacht gaat naar de correcte uitvoering van de regelgeving zoals deze werd opgemaakt.

·        Elke aanmeldingsinitiatief moet een ombudsdienst inschrijvingen oprichten.

 

2.8.2.      Restrisicoscore

 

De focus bij de ontwikkeling van het aanmeldingssysteem lag op de rangordemotor, zijnde het hart van de toepassing. Alle mogelijk maatregelen zijn genomen om fouten in de ontwikkeling te vermijden. Bijgevolg schatten we de kans op fouten in de programmering van de rangordemotor laag in.

De impact van een programmatiefout bij de rangordemotor schatten we gemiddeld in. Bijgevolg wordt de risico score ingeschaald als laag.

 

 

 

2.9.          Toewijzingsbericht naar de aanmelder is verkeerd

 

2.9.1.      Risico

 

Ouders krijgen een foutief toewijzingsbericht (vb. verkeerde informatie, bericht van een ander kind, resultaten van de proefdraaiing) of krijgen geen bericht over toewijzing. Het mogelijke gevolg is dat leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt. Indien ouders een toewijzingsbericht krijgen van een andere leerling is dit een schending van de vertrouwelijkheid voor de betrokkene. Dit kan verschillende gevolgen betekenen: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie...

 

2.9.2.      Maatregelen

 

-      Technische maatregelen:

·        Het is niet mogelijk om de resultaten van de proefdraaiing te communiceren.

·        Wanneer een verzonden e-mail bouncet omwille van een verkeerd e-mail adres, kan de initiatiefnemer dit opvolgen binnen het portaal.

·        Het toewijzingsbericht is ook de raadplegen op het aanmeldingsportaal.

-      Organisatorisch en juridische maatregelen:

·        Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.

 

2.9.3.      Restrisicoscore

 

Op basis van de uitgevoerde testen en de mitigerende maatregelen schatten we de kans dat dit risico zich voordoet laag in. De impact van een verkeerd toewijzingsbericht schatten we gemiddeld is. Bijgevolg wordt de score ingeschaald als laag.

 

 

2.10.       Toewijzingslijst naar scholen is verkeerd

          

2.10.1.   Risico

 

Net zoals bij ouders kunnen ook de scholen die nadien wensen over te gaan tot inschrijving een foutieve lijst krijgen van leerlingen die aan hun school is toegewezen. Dit kan zowel over een lijst gaat met foutieve gegevens als een lijst bestemd voor een andere school. Het mogelijke gevolg is dat leerlingen mogelijk ten onrechte moeten inschrijven in een school die niet hun eerste voorkeur wegdraagt. Indien de school een toewijzingslijst krijgen van een andere school is dit een schending van de vertrouwelijkheid voor de betrokkene. Dit kan verschillende gevolgen betekenen: identiteitsfraude, financiële fraude (scamming, phishing, smishing, …), afpersing, stigmatisering, ongelijke behandeling, discriminatie...

 

2.10.2.   Maatregelen

-      Technische maatregelen:

·        Om de toewijzingslijsten te raadplegen, moet je steeds inloggen via ACM/IDM.

-      Organisatorische en juridische maatregelen:

·        Bij toegang tot de lijsten staat een duidelijke disclaimer waarvoor de gegevens al dan niet mogen gebruikt worden.

·        Elke medewerker heeft een vertrouwelijkheidsovereenkomst ondertekend of is reeds door een wettelijke of contractuele vertrouwheidsverplichting gebonden. Medewerkers zijn gesensibiliseerd rond de vertrouwelijkheid van de gegevens.

·        Zowel AGODI als de initiatiefnemer beschikken over een eigen procedure om met incidenten om te gaan. AGODI en de initiatiefnemer hebben onderlinge afspraken gemaakt met betrekking tot ieders verantwoordelijkheden bij de verwerking van de persoonsgegevens, dus inclusief het omgaan met incidenten.

 

2.10.3.   Restrisicoscore

 

Op basis van de uitgevoerde testen en de mitigerende maatregelen schatten we de kans dat dit risico zich voordoet laag in. De impact van een verkeerde toewijzingslijst schatten we gemiddeld is. Bijgevolg wordt de score ingeschaald als laag.

 

 

 

7.             Mening betrokkenen/vertegenwoordigers over de verwerking (verplicht)

In het kader van de voorbereiding van de decreten rond het inschrijvingsrecht vindt een ruime consultatie in verschillende organen, waaronder organen waar de betrokkenen vertegenwoordigd zijn zoals de Vlaamse Onderwijsraad.

Daarnaast bestond er ook een externe gebruikersgroep die bestond o.a. uit vertegenwoordigers van de lokale besturen van Gent, Antwerpen, Leuven, Brussel en hun respectievelijke LOP’s. Deze gebruikersgroep kwam zes keer samen tussen 16 september en 2 december. Twee samenkomsten waren enkel met de gebruikers van LOP Brussel. Ook in 2024 werden de gebruikersgroepen samengebracht om wensen en wijzigingen aan het aanmeldingssysteem te bespreken.


Doorheen het volledige ontwikkelingsproces heeft AGODI uitgebreid beroep gedaan op de expertise van de LOP-deskundigen die reeds 10 jaar ervaring hadden met de bestaande aanmeldingssystemen op de private markt.

 

8.             Adviezen betreffende de GEB (verplicht)

8.1        Advies functionaris voor gegevensbescherming

<Wat is het advies van de functionaris voor de gegevensbescherming? Voeg het advies van de functionaris als een bijlage toe aan dit document.>

8.2        Voorafgaande raadpleging bij de toezichthouder (verplicht bij hoog restrisico)

<Wat is de reactie van de toezichthouder betreffende de verwerking? Voeg de reactie toe in bijlage indien deze schriftelijk werd verstrekt.>

8.3        Overzicht van de acties die de verwerkingsverantwoordelijke neemt naar aanleiding van het advies van de functionaris en de raadpleging van de toezichthouder

<Beschrijf op welke manier de verschillende elementen uit de adviezen en aandachtspunten werd gereageerd. Zorg ervoor dat op alle elementen uit de adviezen een reactie wordt geformuleerd, inclusief een verantwoording van de beoogde actie in functie van het risico. Een goeie werkmethode kan er in bestaan dat de adviezen en aanbevelingen in vorige punten worden genummerd.>

 

9.             Besluit van de verwerkingsverantwoordelijke (verplicht)

<Wat is het besluit van de verwerkingsverantwoordelijke?>