Overtreding van de AVG (Algemene Verordening Gegevensbescherming) is niet strafbaar in strafrechtelijke zin, maar valt onder bestuursrechtelijke handhaving. Dit betekent dat overtredingen niet leiden tot een strafblad of gevangenisstraf, maar wel tot aanzienlijke boetes en andere maatregelen opgelegd door de Autoriteit Persoonsgegevens. Voor scholen is het cruciaal om AVG-compliant te zijn, aangezien zij dagelijks werken met gevoelige persoonsgegevens van leerlingen.
Overtredingen van de AVG zijn niet strafbaar in strafrechtelijke zin, maar worden bestuursrechtelijk gehandhaafd. Dit betekent dat je bij een AVG-overtreding geen strafblad krijgt of gevangenisstraf riskeert, maar wel te maken kunt krijgen met bestuursrechtelijke sancties zoals boetes.
De Autoriteit Persoonsgegevens (AP) is in Nederland aangewezen als de toezichthouder die verantwoordelijk is voor de handhaving van de AVG. De AP heeft verschillende handhavingsbevoegdheden, waaronder het opleggen van boetes, het geven van waarschuwingen en het opleggen van een last onder dwangsom.
Het is belangrijk om te begrijpen dat hoewel AVG-overtredingen niet strafrechtelijk worden vervolgd, de gevolgen alsnog zeer ingrijpend kunnen zijn. De boetes kunnen oplopen tot miljoenen euro’s, afhankelijk van de ernst van de overtreding, de duur ervan, en de mate waarin de organisatie nalatig is geweest.
Voor scholen is dit onderscheid relevant omdat zij als verwerkingsverantwoordelijken direct aansprakelijk zijn voor de correcte verwerking van persoonsgegevens van leerlingen, ouders en personeel. De bestuursrechtelijke aard van de handhaving betekent niet dat de consequenties minder ernstig zijn – integendeel, de financiële impact kan aanzienlijk zijn voor onderwijsinstellingen met beperkte budgetten.
Bij overtredingen van de AVG kan de Autoriteit Persoonsgegevens verschillende sancties opleggen, variërend van lichte corrigerende maatregelen tot zware financiële boetes. De boetes zijn ingedeeld in twee categorieën met verschillende maximumbedragen.
De eerste categorie betreft overtredingen van administratieve verplichtingen, met boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet. Hieronder vallen bijvoorbeeld:
De tweede categorie betreft schendingen van de fundamentele beginselen van de AVG, met boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet. Hieronder vallen bijvoorbeeld:
Naast boetes kan de AP ook andere handhavingsmaatregelen opleggen:
Voor onderwijsinstellingen zijn deze sancties bijzonder relevant, aangezien scholen werken met grote hoeveelheden persoonsgegevens van minderjarigen, wat als bijzondere categorie extra bescherming geniet onder de AVG.
In Nederland worden relatief weinig formele boetes opgelegd voor AVG-overtredingen in het onderwijs, maar dit betekent niet dat de Autoriteit Persoonsgegevens niet actief toezicht houdt op deze sector. De AP kiest vaak voor andere handhavingsinstrumenten zoals waarschuwingen en normoverdragende gesprekken.
Enkele opvallende voorbeelden van formele handhaving in de onderwijssector zijn:
De AP heeft aangegeven de onderwijssector als prioriteit te zien vanwege de verwerking van gegevens van kwetsbare groepen (minderjarigen). In hun toezichtkader wordt onderwijs regelmatig genoemd als aandachtsgebied.
Hoewel formele boetes relatief zeldzaam zijn, neemt de handhavingsbereidheid toe. De AP heeft meer capaciteit gekregen en richt zich steeds actiever op sectoren waar gevoelige gegevens worden verwerkt, waaronder het onderwijs.
Internationaal zien we een vergelijkbaar beeld: in andere EU-landen zijn er enkele spraakmakende zaken geweest waarbij onderwijsinstellingen boetes kregen opgelegd, maar de nadruk ligt vaak op begeleiding en preventie in plaats van bestraffing.
In het onderwijs komen verschillende typen AVG-overtredingen regelmatig voor. De meest voorkomende overtredingen houden verband met de specifieke uitdagingen waar scholen mee te maken hebben bij het verwerken van leerlinggegevens.
Onvoldoende beveiliging van persoonsgegevens staat bovenaan de lijst. Scholen verwerken grote hoeveelheden gevoelige informatie, maar hebben niet altijd de technische kennis of middelen om deze adequaat te beveiligen. Voorbeelden zijn:
Ontbrekende of gebrekkige verwerkersovereenkomsten vormen een tweede veelvoorkomend probleem. Scholen werken met talloze externe partijen die persoonsgegevens verwerken, zoals:
Zonder goede verwerkersovereenkomsten is onduidelijk wie waarvoor verantwoordelijk is en hoe de gegevens worden beschermd.
Gebrekkige toestemmingsprocedures zijn een derde veelvoorkomende overtreding. Scholen baseren gegevensverwerking vaak op toestemming, terwijl:
Daarnaast zien we regelmatig problemen met onvolledige privacyverklaringen, het ontbreken van een verwerkingsregister, en onvoldoende bewustzijn bij medewerkers over hun verantwoordelijkheden onder de AVG.
Een AVG-overtreding kan verstrekkende gevolgen hebben voor een school, die verder gaan dan alleen de formele sancties die door de Autoriteit Persoonsgegevens worden opgelegd. De impact is vaak multidimensionaal en raakt verschillende aspecten van de schoolorganisatie.
De financiële gevolgen kunnen aanzienlijk zijn. Naast de eerder genoemde boetes die kunnen oplopen tot miljoenen euro’s, zijn er ook indirecte kosten:
Voor scholen met beperkte budgetten kunnen deze kosten een zware last vormen en ten koste gaan van onderwijsmiddelen.
Reputatieschade is een ander belangrijk gevolg. Scholen genieten een vertrouwenspositie als het gaat om de zorg voor kinderen. Een datalek of andere privacyschending kan dit vertrouwen ernstig schaden:
Daarnaast kan een AVG-overtreding leiden tot operationele verstoringen. Als de AP een verwerkingsverbod oplegt of systemen moeten worden aangepast, kan dit het onderwijsproces verstoren:
Ten slotte kunnen er juridische vervolgacties ontstaan, zoals claims van betrokkenen wiens gegevens onrechtmatig zijn verwerkt of gelekt. De AVG geeft betrokkenen immers het recht op schadevergoeding bij schending van de verordening.
Scholen kunnen diverse maatregelen nemen om AVG-compliant te blijven en overtredingen te voorkomen. Een proactieve aanpak bespaart niet alleen zorgen en kosten, maar zorgt ook voor een veilige omgeving waarin persoonsgegevens van leerlingen en medewerkers goed beschermd zijn.
Begin met het implementeren van een gedegen privacybeleid dat specifiek is toegesneden op de onderwijscontext. Dit beleid moet:
Bewustwording en training van medewerkers is essentieel. Zorg dat iedereen die met persoonsgegevens werkt:
Investeer in adequate beveiligingsmaatregelen voor digitale systemen en persoonsgegevens. Dit omvat:
Zorg voor goede verwerkersovereenkomsten met alle externe partijen die persoonsgegevens verwerken namens de school. Controleer deze overeenkomsten regelmatig en evalueer of leveranciers daadwerkelijk voldoen aan de afspraken.
Houd een volledig en actueel verwerkingsregister bij waarin alle verwerkingen van persoonsgegevens zijn gedocumenteerd. Dit is niet alleen een wettelijke verplichting, maar helpt ook bij het creëren van overzicht.
Voer regelmatig privacy-audits uit om te controleren of alle processen en systemen nog voldoen aan de AVG-eisen. Identificeer verbeterpunten en pak deze planmatig aan.
Overweeg het aanstellen van een privacy-coördinator of functionaris gegevensbescherming die verantwoordelijk is voor het privacybeleid binnen de school en als aanspreekpunt fungeert voor vragen over gegevensbescherming.
Mocht u ondersteuning nodig hebben bij het AVG-proof maken van uw school, aarzel dan niet om contact met ons op te nemen. Wij begrijpen de specifieke uitdagingen in het onderwijs en kunnen u helpen om de privacy van leerlinggegevens optimaal te waarborgen.