Scholen verzamelen veel gegevens van leerlingen en ouders, maar zijn hierbij gebonden aan strikte privacyregels onder de Algemene Verordening Gegevensbescherming (AVG). Scholen mogen alleen gegevens vragen die noodzakelijk zijn voor hun onderwijstaak of wettelijke verplichtingen. Dit omvat basisgegevens zoals naam en contactinformatie, maar ook leerresultaten en soms gezondheidsgegevens. Voor sommige gegevensverzameling is expliciete toestemming nodig, terwijl andere gegevens op basis van wettelijke verplichtingen verwerkt mogen worden.
Scholen mogen alleen persoonsgegevens verzamelen die noodzakelijk zijn voor hun onderwijstaak of die wettelijk verplicht zijn. De AVG, ook bekend als de avg op school, stelt hiervoor duidelijke kaders. Deze gegevens kunnen worden onderverdeeld in verschillende categorieën:
Belangrijk is het onderscheid tussen verplichte en optionele gegevens. Verplichte gegevens zijn noodzakelijk voor de uitvoering van de onderwijsovereenkomst of wettelijke verplichtingen, zoals het doorgeven van informatie aan DUO of de Inspectie van het Onderwijs. Optionele gegevens, zoals foto’s voor de schoolwebsite of contactgegevens voor de klassenouderapp, mogen alleen met expliciete toestemming worden verzameld.
Scholen moeten altijd het proportionaliteitsbeginsel hanteren: verzamel niet meer gegevens dan strikt noodzakelijk is voor het beoogde doel. Dit betekent dat bijvoorbeeld religieuze overtuigingen of etnische achtergrond alleen verzameld mogen worden als dit direct relevant is voor de onderwijssituatie.
Een school heeft toestemming nodig voor het verwerken van persoonsgegevens wanneer de verwerking niet valt onder een andere rechtsgrond uit de AVG. In de praktijk betekent dit dat scholen voor veel verwerkingen geen toestemming nodig hebben, maar zich kunnen beroepen op andere grondslagen:
Toestemming is wel vereist voor:
Toestemming moet aan specifieke eisen voldoen om geldig te zijn onder de AVG. Deze moet vrijelijk gegeven zijn, specifiek, geïnformeerd en ondubbelzinnig. Dit betekent dat scholen duidelijk moeten uitleggen waarvoor de gegevens gebruikt worden en dat ouders/leerlingen altijd hun toestemming kunnen intrekken. Bij leerlingen jonger dan 16 jaar moeten de ouders of wettelijke vertegenwoordigers toestemming geven.
Scholen mogen leerlinggegevens niet onbeperkt bewaren. De bewaartermijnen verschillen per type gegevens en zijn vastgelegd in de Archiefwet en onderwijswetgeving. De belangrijkste bewaartermijnen voor scholen zijn:
Voor medische gegevens geldt een bewaartermijn van maximaal 2 jaar nadat de leerling van school is gegaan, tenzij deze gegevens van belang zijn voor een andere leerling (bijvoorbeeld bij een besmettelijke ziekte). In dat geval mogen ze langer bewaard worden.
Na afloop van de bewaartermijn moeten de gegevens vernietigd worden of geanonimiseerd, zodat ze niet meer te herleiden zijn tot individuele leerlingen. Scholen zijn verplicht om in hun privacybeleid duidelijk te vermelden hoe lang verschillende soorten gegevens bewaard worden.
Ouders en leerlingen hebben onder de AVG uitgebreide rechten met betrekking tot persoonsgegevens die de school verwerkt. Deze rechten versterken hun positie en geven hen controle over hun eigen gegevens:
Scholen moeten verzoeken binnen een maand afhandelen, met mogelijkheid tot verlenging met twee maanden bij complexe verzoeken. Voor leerlingen jonger dan 16 jaar worden deze rechten uitgeoefend door de ouders of wettelijke vertegenwoordigers. Leerlingen van 16 jaar en ouder kunnen zelf hun rechten uitoefenen, maar scholen mogen ouders nog wel informeren over de voortgang en resultaten.
Het is belangrijk te weten dat deze rechten niet absoluut zijn. Scholen kunnen verzoeken weigeren als ze kunnen aantonen dat er een wettelijke verplichting is om bepaalde gegevens te bewaren of als de rechten van anderen zwaarder wegen.
Scholen die zich niet houden aan de privacyregels kunnen te maken krijgen met verschillende consequenties. De Autoriteit Persoonsgegevens (AP) kan als toezichthouder handhavend optreden bij overtredingen van de avg op school:
Naast formele sancties kunnen scholen ook te maken krijgen met:
In de praktijk zijn er al meerdere gevallen geweest waarbij scholen in problemen kwamen door privacyschendingen. Zo kreeg een school een berisping voor het onbeveiligd delen van leerlinggegevens via e-mail, en werd een andere school aangesproken op het zonder toestemming publiceren van foto’s op sociale media. Ook het gebruik van educatieve apps zonder goede verwerkersovereenkomsten heeft al tot handhavingsacties geleid.
De AP legt niet meteen de hoogste boetes op, maar kijkt naar de ernst van de overtreding, de duur, de mate van nalatigheid en de genomen maatregelen om de schade te beperken.
Scholen kunnen hun gegevensbescherming aanzienlijk verbeteren door een proactieve aanpak te hanteren. Hier volgen praktische adviezen voor schooldirecteuren:
Daarnaast is het essentieel om regelmatig privacy-audits uit te voeren en het beleid aan te passen aan nieuwe ontwikkelingen. De AVG is geen eenmalige exercitie maar een doorlopend proces van bewustwording en verbetering.
Het implementeren van een goed beveiligingssysteem is cruciaal voor de bescherming van leerlinggegevens. Moderne beveiligingsoplossingen bieden niet alleen bescherming tegen externe dreigingen zoals hackers, maar helpen ook bij het voorkomen van interne datalekken door onzorgvuldig handelen.
Door privacy structureel in te bedden in de schoolorganisatie, wordt het risico op datalekken en privacyschendingen aanzienlijk verkleind. Dit beschermt niet alleen de school tegen boetes en reputatieschade, maar zorgt ook voor een veilige leeromgeving waar leerlingen en ouders erop kunnen vertrouwen dat zorgvuldig met hun gegevens wordt omgegaan. Heeft u vragen over hoe u de gegevensbescherming op uw school kunt verbeteren? Neem dan gerust contact met ons op.