Vergroot contrast

Scholen & de AVG

Met de komst van de Algemene verordening gegevensbescherming (AVG) krijgt u als school meer verantwoordelijkheden om de persoonsgegevens van uw leerlingen goed te beschermen.

Digitalisering

Innovatieve, digitale systemen bieden interessante mogelijkheden om de kwaliteit van het onderwijs en de interne werkprocessen te verbeteren. Bijvoorbeeld met digitale toetsingsprogramma’s, leerlingvolgsystemen en het gebruik van sociale media & apps. Maar deze nieuwe mogelijkheden om persoonsgegevens te verwerken, brengen ook de verantwoordelijkheid met zich mee om dat zorgvuldig en veilig te doen.

Onder de AVG moet u vooraf goed nadenken over de systemen waarmee u werkt of wilt gaan werken en hoe u die inricht (privacy by design). De standaardinstellingen moeten bovendien privacyvriendelijk zijn (privacy by default). 

Verantwoordingsplicht

Nieuw onder de AVG is ook de verantwoordingsplicht. De verantwoordingsplicht houdt onder meer in dat u aan moet kunnen tonen welke technische en organisatorische maatregelen u hebt genomen om de persoonsgegevens van uw leerlingen te beschermen.

U moet aan de toezichthouder goed kunnen onderbouwen waarom u het recht hebt om bepaalde persoonsgegevens te verwerken. In sommige gevallen heeft u bijvoorbeeld toestemming nodig van leerlingen of hun ouders om persoonsgegevens te verwerken. Zoals voor het publiceren van foto’s op uw website waarop leerlingen herkenbaar in beeld zijn. U moet dan kunnen laten zien dat u die toestemming heeft.

Stel ons uw vraag

Op onze website vindt u al veel algemene informatie over de AVG en hoe u zich daar op voorbereidt. De informatie in dit dossier is specifiek gericht op scholen en zijn wij aan het uitbreiden. Dus heeft u als leerling, ouder of onderwijsinstelling een vraag die u graag beantwoord ziet in dit dossier? Neem dan contact met ons op.

Nieuws

Alle nieuwsberichten over het onderwerp 'Scholen & de AVG'

Alle antwoorden op mijn vragenVragen over scholen & de AVG

  • Wanneer moeten scholen een DPIA uitvoeren?

    Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn om een data protection impact assessment (DPIA) uit te voeren. Dat geldt ook voor scholen. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Bijvoorbeeld voor de leerlingen van wie u persoonsgegevens verwerkt.

    Wat is een DPIA?

    Met een DPIA brengt u de privacyrisico’s van een gegevensverwerking in kaart. Vervolgens kunt u maatregelen treffen om deze risico’s te verkleinen.

    Privacyrisico zelf beoordelen

    Of een verwerking een hoog privacyrisico oplevert, moet u zelf beoordelen. De Europese privacytoezichthouders hebben 9 criteria voor een DPIA opgesteld die u helpen om dat te toetsen.

    Meestal is een DPIA verplicht als uw verwerking voldoet aan 2 of meer van de 9 criteria.

    De 9 criteria zijn:

    1. beoordelen van mensen op basis van persoonskenmerken;
    2. geautomatiseerde beslissingen;
    3. stelselmatige en grootschalige monitoring;
    4. gevoelige gegevens;
    5. grootschalige gegevensverwerkingen;
    6. gekoppelde databases;
    7. gegevens over kwetsbare personen (bijvoorbeeld kinderen);
    8. gebruik van nieuwe technologieën;
    9. blokkering van een recht, dienst of contract.

    Let op: deze 9 criteria zijn een handreiking om in te schatten of u een DPIA moet uitvoeren. Ook als u aan slechts één - of geen - van deze criteria voldoet, moet u goed kunnen onderbouwen waarom u ervoor kiest om geen DPIA uit te voeren. Dit maakt onderdeel uit van de verantwoordingsplicht die u onder de AVG heeft.

    DPIA voor leerlingvolgsysteem en cameratoezicht

    Gaat uw school gebruikmaken van een leerlingvolgsysteem of van cameratoezicht? Dan moet u voor deze verwerkingen waarschijnlijk een DPIA uitvoeren.

    Voor bestaande verwerkingen geldt dat u alleen verplicht bent een DPIA uit te voeren als er iets verandert aan het risico van de gegevensverwerking. En de gegevensverwerking vervolgens (na de verandering) een hoog privacyrisico oplevert.

  • Waar moet u op letten als een andere organisatie leerlinggegevens namens uw school verwerkt?

    Verwerkt een andere organisatie namens uw school leerlinggegevens? Bijvoorbeeld omdat u gebruik maakt van een bepaalde app of een online platform? Dan blijft u ook onder de Algemene verordening gegevensbescherming (AVG) verplicht om een overeenkomst op te stellen met de aanbieder. Onder de AVG heet dit een verwerkersovereenkomst.

    Eisen verwerkersovereenkomst onder de AVG

    In een verwerkersovereenkomst legt u de voorwaarden voor de gegevensverwerking vast. Nieuw is dat de AVG meer en gedetailleerdere eisen stelt aan dit soort overeenkomsten.

    Bijvoorbeeld: stopt de samenwerking met de derde partij? Dan kunt u als school aangeven welke persoonsgegevens de verwerker na afloop van de verwerkingsdienst moet wissen of aan uw school terugbezorgen. De verwerker moet aan uw verzoek voldoen. Ook moet de verwerker bestaande kopieën verwijderen, tenzij de opslag verplicht is.

    Meer informatie
    Wat moet een school in het register van verwerkingsactiviteiten opnemen?

  • Wat moet een school in het register van verwerkingsactiviteiten opnemen?

    De Algemene verordening gegevensbescherming (AVG) schrijft voor welke informatie organisaties minimaal in het register van verwerkingsactiviteiten moeten opnemen. Dit geldt ook voor scholen.

    In het register moet in ieder geval staan:

    • de naam en contactgegevens van:
      - uw organisatie, of de vertegenwoordiger van uw organisatie;
      - eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;
      - de Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld;
      - eventuele andere internationale organisaties waar u persoonsgegevens mee deelt.
    • de doelen waarvoor u de persoonsgegevens verwerkt;
    • een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Denk hierbij onder meer aan ouders, voogden, leerlingen, docenten, begeleiders;
    • een beschrijving van de categorieën van persoonsgegevens. Denk hierbij aan onder meer administratiegegevens van leerlingen, verzuimgegevens, gegevens over vorderingen en resultaten van leerlingen, handelingsplannen;
    • de datum waarop u de gegevens moet wissen als dat bekend is;
    • de categorieën van ontvangers aan wie u persoonsgegevens verstrekt. Denk hierbij onder meer aan externe instanties;
    • deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register;
    • een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om persoonsgegevens die u verwerkt te beveiligen.

    Over het register van verwerkingsactiviteiten

    Organisaties, waaronder scholen, kunnen onder de AVG verplicht zijn om een register van verwerkingsactiviteiten op te stellen. In het register staat informatie over de persoonsgegevens die u verwerkt. Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet u het register kunnen laten zien. Dit maakt onderdeel uit van de verantwoordingsplicht.

    Meer informatie

    Ben ik verplicht om een register van verwerkingsactiviteiten op te stellen?

  • Wat betekent de AVG voor bestaande leerlingvolgsystemen?

    Voor een deel gelden onder de Algemene verordening gegevensbescherming (AVG) dezelfde regels voor leerlingvolgsystemen als onder de huidige Wet bescherming persoonsgegevens (Wbp). Maar u moet zich straks ook aan een aantal nieuwe regels houden.

    Bestaande regels

    Net als onder de Wbp geldt onder de AVG voor leerlingvolgsystemen dat:

    • U alleen gegevens mag verwerken als dat noodzakelijk is voor het doel;
    • De gegevens die u verwerkt juist moeten zijn;
    • U de beveiliging van en de toegang tot het systeem goed regelt. Dit houdt bijvoorbeeld in dat er niet meer mensen toegang mogen hebben tot de persoonsgegevens van leerlingen dan noodzakelijk is voor het doel. Ook moet u de gebruikersactiviteiten van het systeem bijhouden (loggen).

    Nieuwe regels

    Belangrijke nieuwe regels onder de AVG die ook relevant zijn voor leerlingvolgsystemen zijn:

    • Onder de AVG moet u als school kunnen aantonen dat u bij het gebruik van het leerlingvolgsysteem de regels van de AVG naleeft. Dit heet de verantwoordingsplicht.
    • U moet de gegevensverwerking van het leerlingvolgsysteem opnemen in het zogenoemde register van verwerkingsactiviteiten. 
    • Ook schrijft de AVG voor dat voor bepaalde verwerkingen het doen van een Data protection impact assessment (DPIA) verplicht is. Gebruikt u een leerlingvolgsysteem op uw school? Dan kunt u verplicht zijn een DPIA  uit te voeren. Ook als u op dit moment al een leerlingvolgsysteem gebruikt. 
    • Onder de AVG geldt het recht op dataportabiliteit. Dat is het recht van mensen om gegevens over te dragen. Bijvoorbeeld naar een andere school. 

    Het belang van privacy bij leerlingvolgsystemen

    Als school bent u verplicht om te werken met een leerlingvolgsysteem. Een leerlingvolgsysteem houdt vorderingen en resultaten bij van leerlingen, groepen en van de school als geheel. Als onderwijsinstelling brengt u daarmee de leerprestaties en ontwikkeling van uw leerlingen dus systematisch in beeld. Ook andere gegevens, zoals verzuimgegevens en gezondheidsgegevens, kunnen in het leerlingvolgsysteem zijn opgenomen.

    Gelet op de aard van de persoonsgegevens in een leerlingvolgsysteem en het feit dat kinderen extra kwetsbaar zijn, moet u als onderwijsinstelling dus zorgvuldig omgaan met de privacy bij leerlingvolgsystemen. 

  • Wat betekent de AVG voor leerlingdossiers?

    Voor een deel gelden onder de Algemene verordening gegevensbescherming (AVG) dezelfde regels voor leerlingdossiers als onder de huidige Wet bescherming persoonsgegevens (Wbp). Maar u moet zich straks ook aan een aantal nieuwe regels houden.

    Bestaande regels

    Net als onder de Wbp geldt voor leerlingdossiers dat:

    • u alleen gegevens mag verwerken voor zover dat noodzakelijk is voor het doel;
    • de gegevens die u verwerkt juist moeten zijn;
    • u de beveiliging van en de toegang tot leerlingdossiers goed regelt.

    Nieuwe regels

    Belangrijke nieuwe regels onder de AVG die ook relevant zijn voor het leerlingdossier zijn:

    • Onder de AVG moet u als school kunnen aantonen dat u bij het gebruik van leerlingdossiers de regels van de AVG naleeft. Dit heet de verantwoordingsplicht
    • U moet de gegevensverwerking van leerlingdossiers opnemen in het zogenoemde register van verwerkingsactiviteiten;
    • Volgens de AVG is voor bepaalde verwerkingen het uitvoeren van een Data protection impact assessment (DPIA) verplicht. Dus gebruikt u een leerlingdossier op uw school? Dan kunt u verplicht zijn een DPIA uit te voeren. Ook als u op dit moment al een leerlingdossier gebruikt;
    • Onder de AVG geldt het recht op dataportabiliteit. Dat is het recht van mensen om gegevens mee te nemen. Bijvoorbeeld naar een andere school.

    Meer informatie over welke gegevens het leerlingendossier mag bevatten, de bewaartermijn en het recht op inzage voor ouders.

  • Hoe lang mag ik onder de AVG een leerlingdossier bewaren?

    De regels voor bewaartermijnen die nu onder de Wet bescherming persoonsgegevens (Wbp) gelden, veranderen niet onder de Algemene verordening gegevensbescherming (AVG). Dat betekent dat u als school het leerlingdossier 2 jaar mag bewaren nadat de leerling van school is gegaan. Net als nu geldt onder de AVG in sommige situaties een langere bewaartermijn.

    Situaties met langere bewaartermijnen

    De AVG-regels voor bewaartermijnen gaan naast een aantal huidige regels voor langere bewaartermijnen bestaan, zoals:

    • In het lager en voortgezet onderwijs geldt dat u gegevens over verzuim en afwezigheid en in- en uitschrijving 5 jaar moet bewaren nadat de leerling is uitgeschreven;
    • Gegevens over een leerling die naar een school voor speciaal onderwijs is doorverwezen, moet u als school 3 jaar na het vertrek van de leerling bewaren;
    • In het Examenbesluit staat onder meer dat u het centraal examen, inclusief de cijferlijsten, minstens 6 maanden moet bewaren.

    Adresgegevens voor reünies

    U mag als school adresgegevens van oud-leerlingen bewaren voor het organiseren van reünies. Let er wel op dat u hiervoor eerst toestemming vraagt aan de oud-leerlingen en u de gegevens dan alleen voor dat doel mag gebruiken.

  • Waar moet ik onder de AVG op letten bij het gebruik van digitale onderwijstools?

    De Algemene verordening gegevensbescherming (AVG) is meer toegespitst op de digitale samenleving dan de huidige Wet bescherming persoonsgegevens (Wbp). Dus verwerkt u persoonsgegevens van uw leerlingen via digitale onderwijstools? Dan is het nog meer van belang dat u op onderstaande regels let.

    Extra risico's

    Het verwerken van persoonsgegevens van uw leerlingen via apps, digitale leerprogramma’s, e-learningplatforms en andere digitale onderwijstools brengt aantrekkelijke mogelijkheden met zich mee. Maar ook risico’s. Omdat de kans bestaat dat onbevoegden toegang krijgen tot gevoelige gegevens van uw leerlingen. Zoals informatie over de sociaal-emotionele ontwikkeling, leerprestaties, het BSN en de gezondheid van uw leerlingen.

    Belangrijke regels om op te letten

    Wat in het klaslokaal gebeurt, moet in het klaslokaal blijven. Dus wilt u persoonsgegevens via apps, digitale leerprogramma’s, e-learningplatforms of andere digitale onderwijstools verwerken? Dan moet u onder de AVG onder andere letten op de volgende regels:

    • Verwerkt u gegevens met een hoog privacyrisico? Dan bent u onder de AVG verplicht om een Data protection impact assessment uit te voeren (DPIA).
    • Voor het verwerken van persoonsgegevens van uw leerlingen heeft u een grondslag nodig. Mogelijke grondslagen zijn bijvoorbeeld toestemming, uitvoering van een overeenkomst, wettelijke verplichting of een gerechtvaardigd belang.
    • Maakt u gebruik van een dienstaanbieder? Zoals een aanbieder van een digitaal leerprogramma? Dan moet u met die aanbieder een verwerkersovereenkomst afsluiten. Zodat u zeggenschap houdt over de gegevens van uw leerlingen.
    • U moet aan de Autoriteit Persoonsgegevens kunnen aantonen dat u voldoende maatregelen hebt genomen om de persoonsgegevens van uw leerlingen te beveiligen.   

    Overige regels

    Dit zijn een aantal belangrijke regels waar u als school rekening mee moet houden als u gebruik maakt van digitale onderwijstools. Daarnaast gelden vanaf 25 mei 2018 natuurlijk ook de andere verplichtingen uit de AVG.    

    Lees ook de Working Paper on E-Learning Platforms op de website van de International Working Group on Data Protection in Telecommunications, april 2017 (Engels, pdf 70,3 KB).

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenVragen over informeren en toestemming

  • Waar moet u als school op letten als u ouders/leerlingen informeert over de gegevens die u verwerkt?

    Informeert  u ouders en/of leerlingen over de verwerking van persoonsgegevens binnen uw school? Dan moet u volgens de Algemene verordening gegevensbescherming (AVG) aan een aantal eisen voldoen.

    Duidelijke taal

    De informatie moet beknopt, eenvoudig, toegankelijk en begrijpelijk zijn. Het moet voor ouders en/of leerlingen duidelijk zijn wat u bedoelt als het over de verwerking van persoonsgegevens gaat. 

    U moet het taalgebruik dus aanpassen aan de betreffende doelgroep. Dit laatste geldt in het bijzonder wanneer u leerlingen informeert.

    Schriftelijk

    U moet de informatie schriftelijke geven. Hieronder valt volgens de AVG ook de elektronische vorm. Dat betekent dat u de informatie bijvoorbeeld via uw website of per e-mail mag geven.

    Meer informatie

  • Mag u als school onder de AVG beeldmateriaal van leerlingen publiceren?

    Ja, maar er gelden wel regels. Net als onder de huidige Wet bescherming persoonsgegevens (Wbp, ) heeft u onder de Algemene verordening gegevensbescherming (AVG) toestemming nodig voor het publiceren van beeldmateriaal van leerlingen. Daarnaast moet u het beeldmateriaal goed beveiligen.

    Nieuw onder de AVG is bijvoorbeeld dat u als school moet kunnen aantonen dat u toestemming heeft. En dat u maatregelen hebt genomen om het beeldmateriaal te beschermen.

    Toestemming

    Foto’s en video’s waarbij personen herkenbaar in beeld zijn, zijn persoonsgegevens. Wilt u beeldmateriaal publiceren van een leerling van 16 jaar of ouder? Dan moet de leerling daarvoor zelf toestemming geven. Is de leerling jonger dan 16 jaar? Dan heeft u toestemming nodig van zijn of haar ouder.

    Onder de AVG moet u straks aan kunnen tonen dat u geldige toestemming van leerlingen en/of hun ouders hebt voor de publicatie van het beeldmateriaal. En het moet voor leerlingen en ouders net zo makkelijk zijn om de toestemming weer in te trekken als om de toestemming te geven.

    Beveiligen

    Vanuit zowel de Wbp als de AVG moet u als school extra maatregelen treffen om de privacy van leerlingen te beschermen. Het is belangrijk dat u de beelden beveiligt tegen misbruik. Onder de AVG moet u straks aan kunnen tonen dat u voldoende technische en organisatorische maatregelen hebt genomen om het beeldmateriaal van uw leerlingen te beschermen.

    Ter illustratie: wilt u alleen ouders en leerlingen toegang geven tot beeldmateriaal? Dan kan het een passende maatregel zijn om een portal op uw website te plaatsen waar alleen leerlingen en ouders op in kunnen loggen. Die portal moet dan wel met https beveiligd zijn.

    U kunt ook kiezen voor een app of andere online dienst waarmee u bepaalt wie u toegang wilt geven. Let bij het gebruik van (gratis) online diensten wel goed op wat de aanbieder met de persoonsgegevens doet. Lees altijd de privacy policy.

    Overige regels

    Het vragen van toestemming en het beveiligen van het beeldmateriaal, zijn twee belangrijke regels waar u als school rekening mee moet houden. Daarnaast gelden natuurlijk ook de andere verplichtingen uit de Wbp en vanaf 25 mei 2018 de AVG.

  • Hoe vraagt u onder de AVG toestemming voor het publiceren van beeldmateriaal van leerlingen?

    Net als onder de huidige Wet bescherming persoonsgegevens (Wbp, ) heeft u ook onder de Algemene verordening gegevensbescherming (AVG) toestemming nodig voor het publiceren van beeldmateriaal van leerlingen. Nieuw onder de AVG is dat u als school moet kunnen aantonen dat u toestemming heeft van de leerlingen of hun ouders/voogd.

    Toestemming van leerling of ouder

    Wilt u beeldmateriaal publiceren van een leerling van 16 jaar of ouder? Bijvoorbeeld online of in een papieren schoolkrant? Dan moet de leerling daarvoor zelf toestemming geven. Is de leerling jonger dan 16 jaar? Dan heeft u toestemming nodig van zijn of haar ouder. Het moet voor leerlingen en ouders net zo makkelijk zijn om de toestemming weer in te trekken als om de toestemming te geven.

    Waar moet de toestemming aan voldoen?

    Bij geldige toestemming moet elke twijfel zijn uitgesloten. De toestemming moet aan drie voorwaarden voldoen:

    • de toestemming moet vrij en niet onder druk gegeven zijn. De leerling of ouder mag bijvoorbeeld niet benadeeld worden als hij of zij geen toestemming geeft.
    • de toestemming moet ondubbelzinnig zijn. Het moet dus volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’.
    • u hebt toestemming gevraagd voor een specifieke verwerking en een specifiek doel. Bijvoorbeeld om via foto’s en video’s op uw website verslag te doen van een schoolreisje aan alle ouders.

    Tip: u kunt ervoor kiezen om in een keer toestemming te vragen voor de publicatie van beeldmateriaal voor meerdere activiteiten gedurende het schooljaar. Maar let op: dit mag alleen als per activiteit aan bovenstaande drie voorwaarden is voldaan.