<
Privacy in onderwijs - GEB - Google Workspace for Education

De lokale GEB uitvoeren voor jouw school of schoolbestuur

Hieronder vind je alle informatie om de white label GEB (gegevensbeschermingseffectbeoordeling) voor Google Workspace for Education aan te passen aan jouw eigen schoolwerking. Er is een centrale, breed gedragen GEB opgesteld voor het Vlaamse onderwijs. Deze is bedoeld als sjabloon dat je kan aanvullen met je eigen processen, risico's en maatregelen. Zo hoef je niet vanaf nul te beginnen, maar kan je op een kwaliteitsvolle en juridisch onderbouwde basis verder bouwen. De video hieronder licht toe wat de GEB is waarom deze GEB belangrijk is, wat de aanleiding was, en hoe je als school of scholengroep aan de slag kan met de modeldocumenten.

Waarom moet je als schoolbestuur een eigen GEB maken?

Als schoolbestuur ben je verwerkingsverantwoordelijke. Dat betekent dat jij moet aantonen dat jouw school op een veilige en wettelijke manier met persoonsgegevens omgaat. De AVG (privacywetgeving) schrijft bovendien voor dat je een GEB moet opstellen zodra er sprake is van een hoog risico bij de gegevensverwerking en dat is in onderwijs vrijwel altijd het geval. De Vlaamse Toezichtcommissie (VTC) bevestigde dit in haar advies van juli 2025. Ze erkent de waarde van de white label GEB, maar benadrukt dat elke school of scholengroep zelf moet oordelen of de risico's voldoende beperkt zijn om Google Workspace for Education te blijven gebruiken. Je moet dus actief aan de slag met het document. Enkel dan toon je aan dat je je verantwoordelijkheid als verwerkingsverantwoordelijke opneemt.

Wat moet je doen?

  1. Lees de white label GEB volledig door; Bekijk de scope van de beoordeling: welke diensten zijn opgenomen (zoals Gmail, Classroom, Meet, Drive...) en welke niet (zoals YouTube of andere publieke Google-diensten). Begrijp de risico's die geïdentificeerd zijn, en de mitigerende maatregelen die voorgesteld worden.
     
  2. Analyseer je eigen processen en verwerkingen Ga na welke gegevens jouw school verwerkt in Google Workspace. Denk daarbij aan leerlinggegevens, zorgdossiers, toetsresultaten, communicatie met ouders... Zijn er specifieke of gevoelige gegevens in gebruik, zoals medische info of socio-emotionele begeleiding? Let op: sommige bijzondere categorieën van persoonsgegevens mag je enkel verwerken als je extra waarborgen toepast, zoals encryptie of afzonderlijke beveiligde opslag. Overweeg om deze gegevens niet meer structureel op te slaan in Google Workspace.
     
  3. Verwerk de voorgestelde risico's en maatregelen in je eigen GEB De white label GEB bevat een duidelijke risicoanalyse en een reeks mitigerende maatregelen die nodig zijn om Google Workspace for Education op een veilige manier te gebruiken. Als schoolbestuur moet je deze risico's niet zelf opnieuw gaan bedenken, maar ze wel actief overnemen, afwegen en toepassen op jouw context. Het gaat bijvoorbeeld over de noodzaak om een betalende licentie te gebruiken, specifieke technische instellingen te configureren en gebruikers correct te beheren. Je GEB moet dus concreet maken hoe je als school die maatregelen effectief hebt toegepast of - indien dat (nog) niet mogelijk is - welke compenserende maatregelen je neemt om het risico toch te beperken. Dit is geen vrijblijvende oefening: het is een verplicht onderdeel van het kunnen aantonen dat je als verwerkingsverantwoordelijke in lijn met de AVG handelt.
     
  4. Betrek het schoolbestuur en vraag eventueel advies aan je DPO; Het schoolbestuur is de verwerkingsverantwoordelijke en dus ook het hoogste beslissingsorgaan wanneer het gaat over de verwerking van persoonsgegevens binnen de school. Het is dan ook essentieel dat het bestuur op de hoogte is van de GEB en expliciet kan afwegen of de genomen maatregelen volstaan om Google Workspace for Education verder te gebruiken. In de meeste gevallen kan een school de voorgestelde maatregelen uit de white label GEB gewoon overnemen. Maar:
    • Wijk je af van de voorgestelde maatregelen?
    • Voer je bijkomende verwerkingen uit buiten het standaardgebruik?
    • Verwerk je structureel bijzondere categorieën van persoonsgegevens via Google Workspace?
    Dan is het aangewezen om hierover advies te vragen aan je functionaris voor gegevensbescherming (DPO). Die kan nagaan of de risico's goed ingeschat zijn en of bijkomende waarborgen nodig zijn. Blijft er ondanks alles een hoog risico bestaan, dan kan het ook nodig zijn om voorafgaand advies in te winnen bij de VTC of om alternatieven te overwegen.
     
  5. Herbekijk en actualiseer je GEB; Een GEB is geen eenmalig document. De risico's en omstandigheden kunnen veranderen: er komen nieuwe functionaliteiten bij, contractuele afspraken worden aangepast, of de manier waarop je school de toepassingen gebruikt, evolueert. Daarom moet je de GEB minstens om de twee jaar herbekijken - of sneller, wanneer er belangrijke wijzigingen zijn in het platform of in je eigen schoolwerking. Ook de expertenwerkgroep blijft de situatie opvolgen. Als er wijzigingen zijn in de technische mogelijkheden, de contractvoorwaarden of het juridisch kader, dan zal dat gecommuniceerd worden. Op basis daarvan kan de white label GEB geüpdatet worden, en kunnen scholen hun lokale versie opnieuw aanpassen. Zorg er dus voor dat je school altijd werkt met de meest actuele beoordeling en maatregelen. Alleen zo blijf je in regel met de AVG en voorkom je onnodige risico's.
     

Linken

Gegevensbeschermingseffectbeoordeling Bijlage 1 Verwerkingsactiviteiten en persoonsgegevens Bijlage 2 Risicoanalyse Google Workspace for Education_def Bijlage 3 Technische handleiding Google Workspace for Education Kenniscentrum Digisprong Bijlage 4 Beoogde maatregelen om risico's aan te pakken