Vergroot contrast

Scholen & de AVG

Onder de Algemene verordening gegevensbescherming (AVG) heeft u als school meer verantwoordelijkheden om de persoonsgegevens van uw leerlingen goed te beschermen.

Digitalisering in het onderwijs

Innovatieve, digitale systemen bieden interessante mogelijkheden om de kwaliteit van het onderwijs en de interne werkprocessen te verbeteren. Bijvoorbeeld met digitale toetsingsprogramma’s, leerlingvolgsystemen en het gebruik van sociale media & apps.

Maar deze nieuwe mogelijkheden om persoonsgegevens te verwerken brengen ook de verantwoordelijkheid met zich mee om dat zorgvuldig en veilig te doen.

Verantwoordingsplicht

Onder de AVG heeft u als school een verantwoordingsplicht. De verantwoordingsplicht houdt onder meer in dat u moet kunnen aantonen welke technische en organisatorische maatregelen u heeft genomen om de persoonsgegevens van uw leerlingen te beschermen.

Leerlingdossiers

Welke eisen de AVG stelt aan het gebruik van leerlingdossiers, leest u in dossier Leerlingdossiers.

Lespakket privacy

Het lespakket 'Privacy' van de Autoriteit Persoonsgegevens geeft leerlingen van groep 7 en 8 de tools om meer zeggenschap te krijgen over hun persoonsgegevens. Leraren kunnen het lespakket gratis downloaden.

Nieuws

Alle nieuwsberichten over het onderwerp 'Scholen & de AVG'

Alle antwoorden op mijn vragenVragen van scholen over de AVG

  • Wanneer moet ik als school een DPIA uitvoeren?

    Onder de Algemene verordening gegevensbescherming (AVG) kunnen organisaties verplicht zijn om een data protection impact assessment (DPIA) uit te voeren. Dat geldt ook voor scholen. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert. Bijvoorbeeld voor de leerlingen van wie u persoonsgegevens verwerkt.

    Wat is een DPIA?

    Met een DPIA brengt u de privacyrisico’s van een gegevensverwerking in kaart. Vervolgens kunt u maatregelen treffen om deze risico’s te verkleinen.

    Privacyrisico zelf beoordelen

    Of een verwerking een hoog privacyrisico oplevert, moet u zelf beoordelen. De Europese privacytoezichthouders hebben 9 criteria voor een DPIA opgesteld die u helpen om dat te toetsen.

    Meestal is een DPIA verplicht als uw verwerking voldoet aan 2 of meer van deze 9 criteria:

    1. beoordelen van mensen op basis van persoonskenmerken;
    2. geautomatiseerde beslissingen;
    3. stelselmatige en grootschalige monitoring;
    4. gevoelige gegevens;
    5. grootschalige gegevensverwerkingen;
    6. gekoppelde databases;
    7. gegevens over kwetsbare personen (bijvoorbeeld kinderen);
    8. gebruik van nieuwe technologieën;
    9. blokkering van een recht, dienst of contract.

    Let op: deze 9 criteria zijn een handreiking om in te schatten of u een DPIA moet uitvoeren. Ook als u aan slechts één - of geen - van deze criteria voldoet, moet u goed kunnen onderbouwen waarom u ervoor kiest om geen DPIA uit te voeren. Dit maakt onderdeel uit van de verantwoordingsplicht die u onder de AVG heeft.

    DPIA voor leerlingvolgsysteem en cameratoezicht

    Gaat uw school gebruikmaken van een leerlingvolgsysteem of van cameratoezicht? Dan moet u voor deze verwerkingen waarschijnlijk een DPIA uitvoeren.

    Voor bestaande verwerkingen geldt dat u alleen verplicht bent een DPIA uit te voeren als er iets verandert aan het risico van de gegevensverwerking. En de gegevensverwerking vervolgens (na de verandering) een hoog privacyrisico oplevert.

  • Waar moet ik als school op letten als een andere organisatie namens mijn school leerlinggegevens verwerkt?

    Verwerkt een andere organisatie namens uw school leerlinggegevens? Bijvoorbeeld omdat u gebruikmaakt van een bepaalde app of een online platform? Dan bent u onder de Algemene verordening gegevensbescherming (AVG) verplicht om een overeenkomst op te stellen met de aanbieder. Dit heet een verwerkersovereenkomst.

    Eisen verwerkersovereenkomst

    In een verwerkersovereenkomst legt u de voorwaarden voor de gegevensverwerking vast. 

    Bijvoorbeeld: stopt de samenwerking met de derde partij? Dan kunt u als school aangeven welke persoonsgegevens de verwerker na afloop van de verwerkingsdienst moet wissen of aan uw school terugbezorgen. De verwerker moet aan uw verzoek voldoen. Ook moet de verwerker bestaande kopieën verwijderen, tenzij de opslag verplicht is.

    Meer informatie

  • Wat moet ik als school in het register van verwerkingsactiviteiten opnemen?

    Onder de Algemene verordening gegevensbescherming (AVG) zijn organisaties vaak verplicht om een register van verwerkingsactiviteiten op te stellen. Dat geldt ook voor scholen. In het register staat informatie over de persoonsgegevens die u verwerkt.

    In de AVG staat welke informatie organisaties minimaal in het register van verwerkingsactiviteiten moeten opnemen. Voor het register van uw school betekent dit dat in ieder geval de volgende informatie in het register moet staan: 

    • De naam en contactgegevens van:
      - uw school (of de vertegenwoordiger van uw school);
      - eventuele andere organisaties waarmee u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;
      - de functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld;
      - eventuele internationale organisaties waarmee u persoonsgegevens deelt.
    • De doelen waarvoor u de persoonsgegevens verwerkt.
    • Een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Denk hierbij onder meer aan ouders/verzorgers, leerlingen, docenten, begeleiders.
    • Een beschrijving van de categorieën van persoonsgegevens. Denk hierbij aan onder meer administratiegegevens van leerlingen, verzuimgegevens, gegevens over vorderingen en resultaten van leerlingen, handelingsplannen.
    • De datum waarop u de gegevens moet wissen, als dat bekend is.
    • De categorieën van ontvangers waaraan u persoonsgegevens verstrekt. Denk hierbij onder meer aan externe instanties.
    • Deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register.
    • Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om persoonsgegevens die u verwerkt te beveiligen.

    Verantwoordingsplicht

    U moet uw register van verwerkingsactivititeiten kunnen laten zien als de Autoriteit Persoonsgegevens (AP) dat vraagt. Dit maakt onderdeel uit van uw verantwoordingsplicht.

    Meer informatie

  • Welke regels gelden bij het gebruik van een leerlingvolgsysteem?

    Als school bent u verplicht om te werken met een leerlingvolgsysteem. Een leerlingvolgsysteem houdt vorderingen en resultaten bij van leerlingen, groepen en van de school als geheel.

    U brengt daarmee dus de leerprestaties en ontwikkeling van uw leerlingen systematisch in beeld. Ook andere gegevens, zoals verzuimgegevens en gezondheidsgegevens, kunnen in het leerlingvolgsysteem zijn opgenomen.

    Gelet op de aard van de persoonsgegevens in een leerlingvolgsysteem moet u als school dus zorgvuldig omgaan met de privacy bij leerlingvolgsystemen.

    Regels leerlingvolgsysteem

    Bij gebruik van een leerlingvolgsysteem gelden, op grond van de Algemene verordening gegevensbescherming (AVG), de volgende regels:

    • U verwerkt alleen gegevens als dat noodzakelijk is voor het doel.
    • De gegevens die u verwerkt zijn juist.
    • U regelt de beveiliging van en de toegang tot het systeem goed. Dit houdt bijvoorbeeld in dat er niet meer mensen toegang mogen hebben tot de persoonsgegevens van leerlingen dan noodzakelijk is voor het doel. Ook moet u de gebruikersactiviteiten van het systeem bijhouden (loggen).
    • U kunt als school aantonen dat u bij het gebruik van het leerlingvolgsysteem de regels van de AVG naleeft. Dit heet de verantwoordingsplicht.
    • U neemt de gegevensverwerking van het leerlingvolgsysteem op in uw register van verwerkingsactiviteiten.
    • U bent mogelijk verplicht om een data protection impact assessment (DPIA) uit te voeren. Ook als u al een leerlingvolgsysteem gebruikte voordat de AVG van toepassing was.
    • U zorgt ervoor dat uw leerlingen (of hun ouders) hun privacyrechten kunnen uitoefenen. Zoals het recht op dataportabiliteit. Dat is het recht van mensen om gegevens mee te nemen. Bijvoorbeeld naar een andere school. 
  • Waar moet ik als school op letten bij het gebruik van digitale onderwijstools?

    Het verwerken van persoonsgegevens van uw leerlingen via apps, digitale leerprogramma’s, e-learningplatforms en andere digitale onderwijstools brengt aantrekkelijke mogelijkheden met zich mee. Maar ook risico’s. Omdat de kans bestaat dat onbevoegden toegang krijgen tot gevoelige gegevens van uw leerlingen. Zoals informatie over de sociaal-emotionele ontwikkeling, leerprestaties, het BSN en de gezondheid van uw leerlingen.

    Belangrijke regels om op te letten

    Wat in het klaslokaal gebeurt, moet in het klaslokaal blijven. Dus wilt u via digitale onderwijstools persoonsgegevensverwerken? Dan moet u onder de Algemene verordening gegevensbescherming (AVG) onder andere letten op de volgende regels:

    • Verwerkt u gegevens met een hoog privacyrisico? Dan bent u verplicht om een data protection impact assessment (DPIA) uit te voeren.
    • Voor het verwerken van persoonsgegevens van uw leerlingen heeft u een grondslag nodig. Mogelijke grondslagen zijn toestemming, uitvoering van een overeenkomst, wettelijke verplichting of een gerechtvaardigd belang.
    • Maakt u gebruik van een dienstaanbieder? Zoals een aanbieder van een digitaal leerprogramma? Dan moet u met die aanbieder een verwerkersovereenkomst afsluiten. Zodat u zeggenschap houdt over de gegevens van uw leerlingen.
    • U moet aan de Autoriteit Persoonsgegevens kunnen aantonen dat u voldoende maatregelen heeft genomen om de persoonsgegevens van uw leerlingen te beveiligen.   

    Overige regels

    Dit zijn een aantal belangrijke regels waar u als school rekening mee moet houden als u gebruikmaakt van digitale onderwijstools. Daarnaast gelden natuurlijk ook de andere verplichtingen uit de AVG.    

    Lees ook de Working Paper on E-Learning Platforms op de website van de International Working Group on Data Protection in Telecommunications, april 2017 (Engels, pdf 70,3 KB).

  • Welke regels zijn er voor mij als school bij een gezondheidsprogramma van de gemeente voor mijn leerlingen?

    Gemeenten kunnen een programma starten om de gezondheid van kinderen en jongeren te verbeteren. Bijvoorbeeld een programma dat als doel heeft overgewicht aan te pakken.

    Hierbij heeft de gemeente gegevens over de gezondheid van uw leerlingen nodig, zoals hun lengte, gewicht en motorische vaardigheden.

    U kunt als school de vraag krijgen om aan zo’n programma mee te werken. Aan welke wettelijke privacyregels u zich dan moet houden, hangt ervan af wat uw rol is.

Alle antwoorden op mijn vragenVragen van scholen over informeren en toestemming

  • Wanneer moet ik als school leerlingen en ouders informeren over de persoonsgegevens die ik verwerk?

    Onder de Algemene verordening gegevensbescherming (AVG) geldt de informatieplicht. Voor u als school betekent dat dat u verplicht bent om leerlingen en ouders te informeren over het verwerken van persoonsgegevens. Zodat zij weten welke gegevens u over hen verzamelt en wat u ermee doet.

    Direct en indirect verzamelen

    U moet ouders en leerlingen informeren over de verwerking van persoonsgegevens die u:

    • direct via de ouderen en/of leerlingen ontvangt;
    • indirect verzamelt (dus via andere kanalen, bijvoorbeeld andere personen of openbare informatie op internet).

    Wanneer hoeft u ouders en leerlingen niet te informeren?

    Als u de informatie direct bij ouders en leerlingen verzamelt, dan hoeft u hen niet te informeren als:

    • de betrokken persoon al over de informatie beschikt;
    • het informeren onmogelijk blijkt of onevenredig veel inspanning zou vergen;
    • het verkrijgen of verstrekken van deze gegevens uitdrukkelijk is voorgeschreven bij unie- of lidstatelijk recht;
    • de persoonsgegevens vertrouwelijk moeten blijven vanwege beroepsgeheim of statutaire geheimhoudingsplicht.
  • Welke informatie moet ik als school aan leerlingen en/of ouders geven over de persoonsgegevens die ik verwerk?

    Onder de Algemene verordening gegevensbescherming (AVG) geldt de informatieplicht. Welke informatie u ouders en leerlingen moet geven, hangt ervan af of u de persoonsgegevens direct bij de leerlingen en ouders verzamelt of indirect, via andere kanalen.

    Informatieplicht bij direct verzamelde informatie

    Verwerkt u persoonsgegevens die u rechtstreeks via de ouders en leerlingen verzamelt? Dan moet u hen gelijktijdig informeren over het volgende: 

    • de identiteit en de contactgegevens van uw organisatie, of de vertegenwoordiger van uw organisatie;
    • indien van toepassing: de contactgegevens van de functionaris voor de gegevensbescherming;
    • voor welk doel u de persoonsgegevens verwerkt;
    • de wettelijke grondslag waarop u de verwerking baseert;
    • als u de verwerking baseert op de grondslag 'gerechtvaardigd belang': om welk(e) belang(en) het dan gaat;
    • indien van toepassing: aan wie u de persoonsgegevens (mogelijk) verstrekt;
    • indien van toepassing: of u van plan bent om de persoonsgegevens te verstrekken aan een derde land of internationale organisatie, en zo ja, om welk land of welke internationale organisatie het dan zou gaan;
    • hoe lang u de persoonsgegevens zult bewaren;
    • wat de rechten van ouders en leerlingen zijn;
    • indien van toepassing: of u de persoonsgegevens gebruikt bij het opstellen van profielen van leerlingen en wat hiervan de gevolgen zijn.

    Let op: geef bij het verzamelen van de persoonsgegevens duidelijk aan welke informatie ouders en leerlingen verplicht aan u moet geven. En ook wat de gevolgen zijn als zij dat niet doen. 

    Informatieplicht bij indirect verzamelde informatie

    Verzamelt u persoonsgegevens van ouders en leerlingen via andere kanalen? Bijvoorbeeld via andere personen of openbare informatie op internet? Dan moet u ouders en leerlingen de volgende informatie over uw gegevensverwerkingen geven:

    • de identiteit en de contactgegevens van uw organisatie, of de vertegenwoordiger van uw organisatie;
    • indien van toepassing: de contactgegevens van de functionaris voor de gegevensbescherming;
    • welke (categorieën van) persoonsgegevens u heeft verkregen;
    • van wie/wat u de persoonsgegevens heeft verkregen;
    • voor welk doel u de persoonsgegevens verwerkt;
    • de wettelijke grondslag waarop u de verwerking baseert;
    • als u de verwerking baseert op de grondslag 'gerechtvaardigd belang': om welk(e) belang(en) het dan gaat;
    • indien van toepassing: aan wie u de persoonsgegevens (mogelijk) verstrekt;
    • indien van toepassing: of u van plan bent de persoonsgegevens te verstrekken aan een derde land of internationale organisatie en zo ja, om welk land of internationale organisatie het dan zou gaan;
    • hoe lang u de persoonsgegevens zult bewaren;
    • wat de rechten van ouders en leerlingen zijn;
    • indien van toepassing: of de persoonsgegevens gebruikt worden bij het opstellen van profielen van leerlingen en wat hier de gevolgen van zijn.
  • Waar moet ik als school op letten als ik ouders/leerlingen informeer over de gegevens die ik verwerk?

    Informeert u ouders en/of leerlingen over de verwerking van persoonsgegevens binnen uw school? Dan moet u volgens de Algemene verordening gegevensbescherming (AVG) aan een aantal eisen voldoen.

    Duidelijke taal

    De informatie moet beknopt, eenvoudig, toegankelijk en begrijpelijk zijn. Het moet voor ouders of leerlingen duidelijk zijn wat u bedoelt als het over de verwerking van persoonsgegevens gaat. 

    U moet het taalgebruik dus aanpassen aan de doelgroep. Dit laatste geldt in het bijzonder wanneer u leerlingen informeert.

    Schriftelijk

    U moet de informatie schriftelijk geven. Hieronder valt volgens de AVG ook de elektronische vorm. Dat betekent dat u de informatie bijvoorbeeld via uw website of per e-mail mag geven.

    Meer informatie

  • Mag ik als school beeldmateriaal van leerlingen publiceren?

    Ja, maar er gelden wel regels. U heeft onder de Algemene verordening gegevensbescherming (AVG) toestemming nodig voor het publiceren van beeldmateriaal van leerlingen. Daarnaast moet u het beeldmateriaal goed beveiligen.

    Toestemming

    Foto’s en video’s waarbij personen herkenbaar in beeld zijn, zijn persoonsgegevens. Wilt u beeldmateriaal publiceren van een leerling van 16 jaar of ouder? Dan moet de leerling daarvoor zelf toestemming geven. Is de leerling jonger dan 16 jaar? Dan heeft u toestemming nodig van zijn of haar ouders.

    U moet kunnen aantonen dat u geldige toestemming heeft van leerlingen of hun ouders voor de publicatie van het beeldmateriaal. Dit is onderdeel van uw verantwoordingsplicht. En het moet voor leerlingen en ouders net zo makkelijk zijn om de toestemming weer in te trekken als om de toestemming te geven.

    Beveiligen

    U moet als school extra maatregelen treffen om de privacy van leerlingen te beschermen. Het is belangrijk dat u de beelden beveiligt tegen misbruik.

    U moet kunnen aantonen dat u voldoende technische en organisatorische maatregelen heeft genomen om het beeldmateriaal van uw leerlingen te beschermen.

    Ter illustratie: wilt u alleen ouders en leerlingen toegang geven tot beeldmateriaal? Dan kan het een passende maatregel zijn om een portal op uw website te plaatsen waarop alleen leerlingen en ouders kunnen inloggen. Die portal moet dan wel met https beveiligd zijn.

    U kunt ook kiezen voor een app of andere online dienst waarmee u bepaalt wie u toegang wilt geven. Let bij het gebruik van (gratis) online diensten wel goed op wat de aanbieder met de persoonsgegevens doet. Lees altijd de privacyverklaring.

    Overige regels

    Het vragen van toestemming en het beveiligen van het beeldmateriaal, zijn twee belangrijke regels waarmee u als school rekening moet houden. Daarnaast gelden natuurlijk de andere verplichtingen uit de AVG.

  • Hoe vraag ik als school toestemming voor het publiceren van beeldmateriaal van leerlingen?

    Onder de Algemene verordening gegevensbescherming (AVG) heeft u toestemming nodig voor het publiceren van beeldmateriaal van leerlingen. U moet bovendien kunnen aantonen dat u toestemming heeft van de leerlingen of hun ouders.

    Toestemming van leerling of ouder

    Wilt u beeldmateriaal publiceren van een leerling van 16 jaar of ouder? Bijvoorbeeld online of in een papieren schoolkrant? Dan moet de leerling daarvoor zelf toestemming geven. Is de leerling jonger dan 16 jaar? Dan heeft u toestemming nodig van zijn of haar ouders.

    Het moet voor leerlingen en ouders net zo makkelijk zijn om de toestemming weer in te trekken als om de toestemming te geven.

    Waar moet de toestemming aan voldoen?

    Bij geldige toestemming moet elke twijfel zijn uitgesloten. De toestemming moet aan drie voorwaarden voldoen:

    • De toestemming moet vrij en niet onder druk gegeven zijn. De leerling of ouder mag bijvoorbeeld niet benadeeld worden als hij of zij geen toestemming geeft.
    • De toestemming moet ondubbelzinnig zijn. Het moet dus volstrekt helder zijn dát er toestemming is verleend. U mag niet uitgaan van het principe ‘wie zwijgt, stemt toe’.
    • U heeft toestemming gevraagd voor een specifieke verwerking en een specifiek doel. Bijvoorbeeld om via foto’s en video’s op uw website verslag te doen van een schoolreisje aan alle ouders.

    Tip: u kunt ervoor kiezen om in een keer toestemming te vragen voor de publicatie van beeldmateriaal voor meerdere activiteiten gedurende het schooljaar. Maar let op: dit mag alleen als per activiteit aan bovenstaande drie voorwaarden is voldaan.

Alle antwoorden op mijn vragenVragen van scholen over anti-pestprogramma's

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden