Vergroot contrast

Scholen & de AVG

Met de komst van de Algemene verordening gegevensbescherming (AVG) krijgt u als school meer verantwoordelijkheden om de persoonsgegevens van uw leerlingen goed te beschermen.

Digitalisering

Innovatieve, digitale systemen bieden interessante mogelijkheden om de kwaliteit van het onderwijs en de interne werkprocessen te verbeteren. Bijvoorbeeld met digitale toetsingsprogramma’s, leerlingvolgsystemen en het gebruik van sociale media & apps. Maar deze nieuwe mogelijkheden om persoonsgegevens te verwerken, brengen ook de verantwoordelijkheid met zich mee om dat zorgvuldig en veilig te doen.

Onder de AVG moet u vooraf goed nadenken over de systemen waarmee u werkt of wilt gaan werken en hoe u die inricht (privacy by design). De standaardinstellingen moeten bovendien privacyvriendelijk zijn (privacy by default). 

Verantwoordingsplicht

Nieuw onder de AVG is ook de verantwoordingsplicht. De verantwoordingsplicht houdt onder meer in dat u aan moet kunnen tonen welke technische en organisatorische maatregelen u hebt genomen om de persoonsgegevens van uw leerlingen te beschermen.

U moet aan de toezichthouder goed kunnen onderbouwen waarom u het recht hebt om bepaalde persoonsgegevens te verwerken. In sommige gevallen heeft u bijvoorbeeld toestemming nodig van leerlingen of hun ouders om persoonsgegevens te verwerken. Zoals voor het publiceren van foto’s op uw website waarop leerlingen herkenbaar in beeld zijn. U moet dan kunnen laten zien dat u die toestemming heeft.

Stel ons uw vraag

Op onze website vindt u al veel algemene informatie over de AVG en hoe u zich daar op voorbereidt. De informatie in dit dossier is specifiek gericht op scholen en zijn wij aan het uitbreiden. Dus heeft u als leerling, ouder of onderwijsinstelling een vraag die u graag beantwoord ziet in dit dossier? Neem dan contact met ons op.

Nieuws

Alle nieuwsberichten over het onderwerp 'Scholen & de AVG'

Alle antwoorden op mijn vragenVragen over scholen & de AVG

  • Mag ik als school onder de AVG beeldmateriaal van leerlingen publiceren?

    Ja, maar er gelden wel regels. Net als onder de huidige Wet bescherming persoonsgegevens (Wbp, ) heeft u onder de Algemene verordening gegevensbescherming (AVG) toestemming nodig voor het publiceren van beeldmateriaal van leerlingen. Daarnaast moet u het beeldmateriaal goed beveiligen. Nieuw onder de AVG is bijvoorbeeld dat u als school moet kunnen aantonen dat u toestemming heeft. En dat u maatregelen hebt genomen om het beeldmateriaal te beschermen.

    Toestemming

    Foto’s en video’s waarbij personen herkenbaar in beeld zijn, zijn persoonsgegevens. Wilt u beeldmateriaal publiceren van een leerling van 16 jaar of ouder? Dan moet de leerling daarvoor zelf toestemming geven. Is de leerling jonger dan 16 jaar? Dan heeft u toestemming nodig van zijn of haar ouder.

    Onder de AVG moet u straks aan kunnen tonen dat u geldige toestemming van leerlingen en/of hun ouders hebt voor de publicatie van het beeldmateriaal. En het moet voor leerlingen en ouders net zo makkelijk zijn om de toestemming weer in te trekken als om de toestemming te geven. 

    Beveiligen

    Vanuit zowel de Wbp als de AVG moet u als school extra maatregelen treffen om de privacy van leerlingen te beschermen. Het is belangrijk dat u de beelden beveiligt tegen misbruik. Onder de AVG moet u straks aan kunnen tonen dat u voldoende technische en organisatorische maatregelen hebt genomen om het beeldmateriaal van uw leerlingen te beschermen. 

    Ter illustratie: wilt u alleen ouders en leerlingen toegang geven tot beeldmateriaal? Dan kan het een passende maatregel zijn om een portal op uw website te plaatsen waar alleen leerlingen en ouders op in kunnen loggen. Die portal moet dan wel met https beveiligd zijn. U kunt ook kiezen voor een app of andere online dienst waarmee u bepaalt wie u toegang wilt geven. Let bij het gebruik van (gratis) online diensten wel goed op wat de aanbieder met de persoonsgegevens doet. Lees altijd de privacy policy.

    Overige regels

    Het vragen van toestemming en het beveiligen van het beeldmateriaal, zijn twee belangrijke regels waar u als school rekening mee moet houden. Daarnaast gelden natuurlijk ook de andere verplichtingen uit de Wbp en vanaf 25 mei 2018 de AVG.

  • Hoe vraag ik onder de AVG toestemming voor het publiceren van beeldmateriaal van leerlingen?

    Net als onder de huidige Wet bescherming persoonsgegevens (Wbp, ) heeft u ook onder de Algemene verordening gegevensbescherming (AVG) toestemming nodig voor het publiceren van beeldmateriaal van leerlingen. Nieuw onder de AVG is dat u als school moet kunnen aantonen dat u toestemming heeft van de leerlingen of hun ouders/voogd.

    Toestemming van leerling of ouder

    Wilt u beeldmateriaal publiceren van een leerling van 16 jaar of ouder? Bijvoorbeeld online of in een papieren schoolkrant? Dan moet de leerling daarvoor zelf toestemming geven. Is de leerling jonger dan 16 jaar? Dan heeft u toestemming nodig van zijn of haar ouder. Het moet voor leerlingen en ouders net zo makkelijk zijn om de toestemming weer in te trekken als om de toestemming te geven.

    Waar moet de toestemming aan voldoen?

    Bij geldige toestemming moet elke twijfel zijn uitgesloten. De toestemming moet aan drie voorwaarden voldoen:

    • de toestemming moet vrij en niet onder druk gegeven zijn. De leerling of ouder mag bijvoorbeeld niet benadeeld worden als hij of zij geen toestemming geeft.
    • de toestemming moet ondubbelzinnig zijn. Het moet dus volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’.
    • u hebt toestemming gevraagd voor een specifieke verwerking en een specifiek doel. Bijvoorbeeld om via foto’s en video’s op uw website verslag te doen van een schoolreisje aan alle ouders.

    Tip: u kunt ervoor kiezen om in een keer toestemming te vragen voor de publicatie van beeldmateriaal voor meerdere activiteiten gedurende het schooljaar. Maar let op: dit mag alleen als per activiteit aan bovenstaande drie voorwaarden is voldaan.

  • Waar moet ik onder de AVG op letten bij het gebruik van digitale onderwijstools?

    De Algemene verordening gegevensbescherming (AVG) is meer toegespitst op de digitale samenleving dan de huidige Wet bescherming persoonsgegevens (Wbp). Dus verwerkt u persoonsgegevens van uw leerlingen via digitale onderwijstools? Dan is het nog meer van belang dat u op onderstaande regels let.

    Extra risico's

    Het verwerken van persoonsgegevens van uw leerlingen via apps, digitale leerprogramma’s, e-learningplatforms en andere digitale onderwijstools brengt aantrekkelijke mogelijkheden met zich mee. Maar ook risico’s. Omdat de kans bestaat dat onbevoegden toegang krijgen tot gevoelige gegevens van uw leerlingen. Zoals informatie over de sociaal-emotionele ontwikkeling, leerprestaties, het BSN en de gezondheid van uw leerlingen.

    Belangrijke regels om op te letten

    Wat in het klaslokaal gebeurt, moet in het klaslokaal blijven. Dus wilt u persoonsgegevens via apps, digitale leerprogramma’s, e-learningplatforms of andere digitale onderwijstools verwerken? Dan moet u onder de AVG onder andere letten op de volgende regels:

    • Verwerkt u gegevens met een hoog privacyrisico? Dan bent u onder de AVG verplicht om een Data protection impact assessment uit te voeren (DPIA).
    • Voor het verwerken van persoonsgegevens van uw leerlingen heeft u een grondslag nodig. Mogelijke grondslagen zijn bijvoorbeeld toestemming, uitvoering van een overeenkomst, wettelijke verplichting of een gerechtvaardigd belang.
    • Maakt u gebruik van een dienstaanbieder? Zoals een aanbieder van een digitaal leerprogramma? Dan moet u met die aanbieder een verwerkersovereenkomst afsluiten. Zodat u zeggenschap houdt over de gegevens van uw leerlingen.
    • U moet aan de Autoriteit Persoonsgegevens kunnen aantonen dat u voldoende maatregelen hebt genomen om de persoonsgegevens van uw leerlingen te beveiligen.   

    Overige regels

    Dit zijn een aantal belangrijke regels waar u als school rekening mee moet houden als u gebruik maakt van digitale onderwijstools. Daarnaast gelden vanaf 25 mei 2018 natuurlijk ook de andere verplichtingen uit de AVG.    

    Lees ook de Working Paper on E-Learning Platforms op de website van de International Working Group on Data Protection in Telecommunications, april 2017 (Engels, pdf 70,3 KB).

  • Wat betekent de AVG voor leerlingdossiers?

    De Algemene verordening gegevensbescherming (AVG) brengt geen veranderingen met zich mee voor de persoonsgegevens van leerlingen die u als school mag bewaren in het leerlingendossier. Ook verandert er niets voor de bewaartermijn en het recht op inzage voor de ouders in het leerlingendossier.

    Meer informatie over welke gegevens het leerlingendossier mag bevatten, de bewaartermijn en het recht op inzage voor ouders.
     

  • Hoe lang mag ik onder de AVG een leerlingdossier bewaren?

    De regels voor bewaartermijnen van leerlingen veranderen niet onder de Algemene verordening gegevensbescherming (AVG). Dat betekent dat u als school het leerlingdossier 2 jaar mag bewaren nadat de leerling van school is gegaan. In sommige situaties geldt een langere bewaartermijn.

    Voorbeelden van langere bewaartermijnen

    De AVG-regels voor bewaartermijnen gaan naast een aantal huidige regels voor bewaartermijnen bestaan. Bijvoorbeeld:

    • In het lager en voortgezet onderwijs geldt dat u gegevens over verzuim en afwezigheid en in- en uitschrijving 5 jaar moet bewaren nadat de leerling is uitgeschreven;
    • Gegevens over een leerling die naar een school voor speciaal onderwijs is doorverwezen, moet u als school 3 jaar na het vertrek van de leerling bewaren;
    • In het Examenbesluit staat onder meer dat u het centraal examen, inclusief de cijferlijsten, minstens 6 maanden moet bewaren.

    Adresgegevens voor reünies

    U mag als school adresgegevens van oud-leerlingen bewaren voor het organiseren van reünies. Let er wel op dat u die gegevens dan alleen voor dat doel mag gebruiken en dat u toestemming moet hebben.