Zoeken Contact opnemen
Moderne klaslokaal met privacybeschermde lerarencomputer, beveiligde studentendossiers en een digitaal whiteboard met AVG-implementatiedata in een professionele blauwe omgeving.
Home/Wat houdt AVG in?

Wat houdt AVG in?

Gepubliceerd op 2 december 2025

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywetgeving die regelt hoe organisaties moeten omgaan met persoonsgegevens. Voor scholen is de AVG bijzonder relevant omdat zij dagelijks werken met gevoelige gegevens van leerlingen, ouders en personeel. De wet stelt strikte eisen aan gegevensverwerking, beveiliging en transparantie, en verplicht scholen om verantwoord om te gaan met alle informatie die zij verzamelen en beheren.

Wat is de AVG precies?

De AVG (Algemene Verordening Gegevensbescherming) is een Europese privacywetgeving die sinds 25 mei 2018 van kracht is en de verwerking van persoonsgegevens binnen de hele Europese Unie reguleert. Deze wet vervangt de eerdere Wet bescherming persoonsgegevens en geeft burgers meer controle over hun persoonlijke gegevens.

De kernprincipes van de AVG zijn:

  • Rechtmatigheid, behoorlijkheid en transparantie – organisaties moeten duidelijk zijn over welke gegevens ze verzamelen en waarom
  • Doelbinding – gegevens mogen alleen worden verzameld voor specifieke, vooraf bepaalde doeleinden
  • Minimale gegevensverwerking – alleen gegevens verwerken die noodzakelijk zijn voor het gestelde doel
  • Juistheid – gegevens moeten correct zijn en waar nodig worden bijgewerkt
  • Opslagbeperking – gegevens niet langer bewaren dan noodzakelijk
  • Integriteit en vertrouwelijkheid – gegevens moeten veilig worden verwerkt en beschermd tegen ongeoorloofde toegang

Het hoofddoel van de AVG is het beschermen van de privacy en persoonsgegevens van Europese burgers, waarbij organisaties verantwoordelijk worden gehouden voor hoe zij met deze gegevens omgaan. De wet geeft individuen diverse rechten, zoals het recht op inzage, correctie en verwijdering van hun gegevens.

Waarom is de AVG belangrijk voor scholen?

De AVG is voor scholen van cruciaal belang omdat zij dagelijks grote hoeveelheden persoonsgegevens verwerken van leerlingen, ouders, verzorgers en personeel. Deze gegevens zijn vaak gevoelig van aard en vereisen daarom extra bescherming.

Scholen hebben specifieke verantwoordelijkheden onder de AVG:

  • Uitgebreide leerlingadministratie – scholen beheren gedetailleerde informatie over leerlingen, waaronder contactgegevens, leerresultaten, gedragsrapporten en soms medische gegevens
  • Personeelsgegevens – van sollicitatiegegevens tot salarisadministratie en functioneringsgesprekken
  • Communicatie met ouders – gegevensuitwisseling via nieuwsbrieven, e-mails en ouderportalen
  • Digitale leermiddelen – steeds meer onderwijs vindt plaats via digitale platforms die leerlinggegevens verwerken

Door de AVG correct toe te passen, beschermen scholen niet alleen de privacy van hun leerlingen en medewerkers, maar bouwen ze ook aan vertrouwen bij ouders en andere betrokkenen. Bovendien voorkomt naleving van de AVG reputatieschade en mogelijke boetes die kunnen oplopen tot miljoenen euro’s.

Welke persoonsgegevens vallen onder de AVG in het onderwijs?

In het onderwijs vallen diverse soorten persoonsgegevens onder de bescherming van de AVG. Deze kunnen worden onderverdeeld in gewone persoonsgegevens en bijzondere persoonsgegevens, die extra bescherming genieten.

Gewone persoonsgegevens in het onderwijs zijn onder meer:

  • NAW-gegevens (naam, adres, woonplaats) van leerlingen en ouders
  • Contactgegevens zoals telefoonnummers en e-mailadressen
  • Geboortedatum en geboorteplaats
  • Leerlingnummers en inloggegevens voor digitale systemen
  • Aanwezigheidsregistratie
  • Studieresultaten en toetsscores
  • Verslagen van oudergesprekken

Bijzondere persoonsgegevens die extra bescherming vereisen zijn:

  • Gegevens over gezondheid (zoals medische dossiers, allergieën of diagnoses)
  • Informatie over godsdienst of levensovertuiging
  • Gegevens over ras of etnische afkomst
  • Sociaal-emotionele ontwikkelingsgegevens
  • Informatie over specifieke ondersteuningsbehoeften

Ook foto’s en videobeelden waarop leerlingen herkenbaar in beeld zijn, vallen onder de AVG en mogen niet zonder toestemming worden gebruikt voor bijvoorbeeld de schoolwebsite of sociale media.

Hoe implementeer je de AVG op jouw school?

De implementatie van de AVG op school vereist een systematische aanpak met verschillende stappen. Begin met het aanstellen van een verantwoordelijke persoon of team dat het AVG-beleid coördineert en bewaakt.

Praktische stappen voor AVG-implementatie:

  1. Breng gegevensstromen in kaart – Documenteer welke persoonsgegevens worden verzameld, waarom, waar ze worden opgeslagen en met wie ze worden gedeeld
  2. Stel een functionaris gegevensbescherming (FG) aan – Voor onderwijsinstellingen is dit verplicht; deze persoon adviseert over en monitort de naleving van de AVG
  3. Ontwikkel een privacybeleid – Leg vast hoe de school omgaat met persoonsgegevens en communiceer dit duidelijk naar alle betrokkenen
  4. Voer een gegevensbeschermingseffectbeoordeling (DPIA) uit – Voor verwerkingen met een hoog privacyrisico, zoals bij het gebruik van nieuwe technologieën
  5. Maak verwerkersovereenkomsten – Met alle externe partijen die namens de school persoonsgegevens verwerken
  6. Richt processen in voor rechten van betrokkenen – Zoals inzage, correctie en verwijdering van gegevens
  7. Train personeel – Zorg dat alle medewerkers bekend zijn met de AVG-regels en het privacybeleid van de school

Het is belangrijk om de implementatie niet als eenmalige actie te zien, maar als een doorlopend proces van bewustwording, controle en verbetering van de gegevensbescherming binnen de school.

Wat zijn de belangrijkste verplichtingen onder de AVG?

Onder de AVG hebben scholen diverse verplichtingen om de privacy van persoonsgegevens te waarborgen. Het naleven van deze verplichtingen is essentieel om compliant te zijn en mogelijke sancties te voorkomen.

De belangrijkste AVG-verplichtingen voor scholen zijn:

  • Verwerkingsregister bijhouden – Documenteer alle verwerkingsactiviteiten, inclusief doeleinden, categorieën betrokkenen en ontvangers
  • Datalekken melden – Meld ernstige datalekken binnen 72 uur bij de Autoriteit Persoonsgegevens en in bepaalde gevallen ook bij de betrokkenen
  • Passende beveiligingsmaatregelen nemen – Zowel technisch (zoals encryptie) als organisatorisch (zoals toegangsbeperking)
  • Transparantie bieden – Informeer betrokkenen duidelijk over gegevensverwerking via privacyverklaringen
  • Toestemming correct regelen – Vraag expliciete toestemming voor specifieke verwerkingen waar nodig, vooral bij bijzondere persoonsgegevens
  • Bewaartermijnen hanteren – Bewaar gegevens niet langer dan noodzakelijk en leg bewaartermijnen vast
  • Rechten van betrokkenen faciliteren – Zorg voor procedures om verzoeken tot inzage, correctie of verwijdering af te handelen

Voor scholen is het essentieel om deze verplichtingen te integreren in de dagelijkse werkprocessen en regelmatig te evalueren of de bescherming van persoonsgegevens nog voldoet aan de huidige eisen en risico’s.

Hoe zorg je voor AVG-compliance bij het gebruik van digitale leermiddelen?

Digitale leermiddelen zijn niet meer weg te denken uit het moderne onderwijs, maar brengen specifieke privacyrisico’s met zich mee. Voor AVG-compliance bij het gebruik van deze tools zijn gerichte maatregelen nodig.

Essentiële stappen voor AVG-compliant gebruik van digitale leermiddelen:

  1. Sluit verwerkersovereenkomsten – Zorg voor duidelijke afspraken met leveranciers over de verwerking van leerlinggegevens, beveiliging en verantwoordelijkheden
  2. Kies voor privacy by design – Selecteer tools die privacy-vriendelijk zijn ontworpen en waarbij dataminimalisatie is toegepast
  3. Beoordeel privacy-risico’s – Voer een DPIA uit voordat nieuwe digitale leermiddelen worden ingezet, vooral als deze gevoelige gegevens verwerken
  4. Controleer gegevensopslag – Controleer of gegevens binnen de EU worden opgeslagen of, bij opslag daarbuiten, of er adequate beschermingsmaatregelen zijn
  5. Beperk toegang tot gegevens – Zorg dat alleen bevoegde personen toegang hebben tot de gegevens in digitale systemen
  6. Informeer ouders en leerlingen – Wees transparant over welke gegevens worden verwerkt en waarom
  7. Evalueer regelmatig – Beoordeel periodiek of de gebruikte digitale leermiddelen nog voldoen aan de AVG-eisen

Het Privacyconvenant Onderwijs biedt hierbij ondersteuning, met standaardafspraken tussen onderwijsinstellingen en leveranciers van digitale leermiddelen. Hierdoor hoeven scholen niet voor elke leverancier het wiel opnieuw uit te vinden.

Wat zijn de gevolgen van het niet naleven van de AVG?

Het niet naleven van de AVG kan verstrekkende gevolgen hebben voor scholen, zowel op financieel als op reputatiegebied. De Autoriteit Persoonsgegevens (AP) heeft ruime bevoegdheden om overtredingen te onderzoeken en te sanctioneren.

Mogelijke gevolgen van niet-naleving zijn:

  • Boetes – De AP kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
  • Waarschuwingen en berispingen – Formele waarschuwingen of berispingen bij lichtere overtredingen
  • Verwerkingsverbod – In ernstige gevallen kan de AP een tijdelijk of permanent verbod op bepaalde gegevensverwerkingen opleggen
  • Reputatieschade – Negatieve publiciteit kan het vertrouwen van ouders, leerlingen en partners ernstig schaden
  • Juridische claims – Betrokkenen kunnen schadevergoeding eisen als hun privacyrechten zijn geschonden

Voorbeelden van situaties die tot sancties kunnen leiden zijn het onvoldoende beveiligen van leerlinggegevens, het niet melden van datalekken, het verzamelen van meer gegevens dan noodzakelijk, of het delen van gegevens zonder geldige grondslag.

De AP richt zich in haar handhaving niet alleen op grote organisaties; ook onderwijsinstellingen worden regelmatig onderworpen aan onderzoeken en controles.

Hoe kun je de digitale veiligheid op school verbeteren in lijn met de AVG?

Het verbeteren van digitale veiligheid is een essentieel onderdeel van AVG-compliance op school. Door gerichte maatregelen te nemen, bescherm je niet alleen persoonsgegevens maar versterk je ook het vertrouwen van alle betrokkenen.

Effectieve maatregelen voor betere digitale veiligheid:

  • Implementeer sterke wachtwoordbeleid – Verplicht sterke, unieke wachtwoorden en waar mogelijk tweefactorauthenticatie
  • Zorg voor up-to-date software – Houd besturingssystemen, browsers en applicaties bijgewerkt met de nieuwste beveiligingsupdates
  • Train medewerkers – Organiseer regelmatig bewustwordingssessies over phishing, social engineering en veilig omgaan met persoonsgegevens
  • Versleutel gevoelige gegevens – Pas encryptie toe op apparaten, verbindingen en opgeslagen data
  • Beperk toegangsrechten – Geef medewerkers alleen toegang tot de gegevens die ze nodig hebben voor hun functie
  • Voer regelmatig veiligheidsaudits uit – Laat de beveiliging periodiek testen door deskundigen
  • Ontwikkel een incidentresponsplan – Zorg voor duidelijke procedures bij beveiligingsincidenten of datalekken

Voor veel scholen is het een uitdaging om alle technische aspecten van digitale veiligheid zelf te beheren. Professionele security voor scholen kan hierbij uitkomst bieden. Experts kunnen helpen met het opzetten van beveiligingsmaatregelen, het uitvoeren van risicoanalyses en het bieden van continue monitoring en ondersteuning.

Door systematisch te werken aan digitale veiligheid, voldoe je niet alleen aan de AVG-eisen, maar creëer je ook een veiligere leeromgeving voor leerlingen en een betrouwbaardere werkomgeving voor personeel. Heb je vragen over hoe je de digitale veiligheid op jouw school kunt verbeteren of wil je advies over AVG-implementatie? Neem dan gerust contact met ons op voor persoonlijk advies.