De AVG (Algemene Verordening Gegevensbescherming) stelt strikte regels voor het delen van persoonsgegevens binnen onderwijsinstellingen. Scholen mogen alleen gegevens delen als daar een wettelijke grondslag voor is, zoals toestemming, een overeenkomst of een gerechtvaardigd belang. Binnen de school geldt het ‘need to know’-principe: alleen medewerkers die de informatie nodig hebben voor hun werk mogen toegang krijgen. Voor het delen met externe partijen zijn vaak verwerkersovereenkomsten of expliciete toestemming nodig.
De AVG is een Europese privacywetgeving die regelt hoe organisaties, waaronder scholen, met persoonsgegevens moeten omgaan. Voor onderwijsinstellingen betekent dit dat zij zorgvuldig moeten zijn met alle gegevens van leerlingen, ouders en medewerkers. De wet verplicht scholen om transparant te zijn over welke gegevens ze verzamelen, waarom ze dat doen en met wie ze deze delen.
Scholen zijn volgens de AVG verwerkingsverantwoordelijken. Dit betekent dat zij bepalen welke persoonsgegevens worden verzameld en met welk doel. Hierbij moeten zij zich houden aan belangrijke principes zoals:
Voor basisscholen is de AVG extra belangrijk omdat zij werken met gegevens van minderjarigen, die extra bescherming genieten onder de wet. Scholen moeten kunnen aantonen dat zij zorgvuldig met deze gegevens omgaan, bijvoorbeeld door een register van verwerkingsactiviteiten bij te houden en waar nodig een Data Protection Impact Assessment (DPIA) uit te voeren.
Binnen de school mogen persoonsgegevens van leerlingen gedeeld worden op basis van het ‘need to know’-principe. Dit betekent dat alleen medewerkers die de informatie nodig hebben voor de uitvoering van hun onderwijstaken toegang mogen krijgen tot deze gegevens. Niet alle medewerkers hoeven toegang te hebben tot alle leerlinggegevens.
Gegevens die doorgaans gedeeld mogen worden met relevante onderwijsprofessionals zijn:
Voor het delen van bijzondere persoonsgegevens, zoals medische gegevens of informatie over godsdienst, is meestal expliciete toestemming van ouders nodig. Een uitzondering hierop is wanneer deze gegevens essentieel zijn voor de gezondheid of veiligheid van het kind, zoals bij ernstige allergieën of medicijngebruik op school.
Het doelbindingsprincipe is hierbij cruciaal: gegevens die verzameld zijn voor onderwijsdoeleinden mogen niet zomaar gebruikt worden voor andere doelen. Bijvoorbeeld, contactgegevens verzameld voor schooladministratie mogen niet zonder toestemming gebruikt worden voor marketingdoeleinden van de school.
Scholen doen er goed aan om in hun privacybeleid duidelijk te omschrijven welke gegevens worden gedeeld, met wie en waarom. Dit zorgt voor transparantie naar ouders en leerlingen toe.
Voor het delen van leerlinggegevens met externe partijen is in principe altijd een wettelijke grondslag nodig. Toestemming is één van deze grondslagen, maar niet de enige. Wanneer je precies toestemming nodig hebt, hangt af van de situatie en het type externe partij.
In deze gevallen is expliciete toestemming van ouders of verzorgers meestal vereist:
In andere situaties kan het delen van gegevens gebaseerd zijn op andere grondslagen:
Bij de overdracht van leerlinggegevens naar een andere school, bijvoorbeeld bij een schoolwissel, is geen aparte toestemming nodig. Dit valt onder de wettelijke taak van scholen. Wel moeten ouders hierover geïnformeerd worden.
Voor alle externe partijen die in opdracht van de school persoonsgegevens verwerken, zoals leveranciers van leerlingvolgsystemen of digitale leermiddelen, moet een verwerkersovereenkomst worden afgesloten. Hierin staan afspraken over hoe de verwerker met de gegevens om moet gaan.
Voor het maken en delen van foto’s en video’s van leerlingen is altijd toestemming nodig van de ouders (bij leerlingen jonger dan 16 jaar) of van de leerling zelf (vanaf 16 jaar). Deze toestemming moet specifiek, geïnformeerd en vrij gegeven zijn. Dit betekent dat duidelijk moet zijn waarvoor de toestemming precies geldt.
Scholen moeten specifiek toestemming vragen voor verschillende doeleinden, zoals:
Een algemene toestemming voor “het gebruik van beeldmateriaal” is niet voldoende specifiek. Ouders moeten per doel kunnen aangeven of ze wel of geen toestemming geven. Belangrijk is ook dat ouders hun toestemming altijd weer kunnen intrekken.
Voor beeldmateriaal gemaakt tijdens openbare schoolactiviteiten, zoals een schoolfeest of sportdag, gelden minder strenge regels als het gaat om beelden waarop leerlingen niet centraal staan. Toch is het verstandig om ouders hierover te informeren en duidelijke afspraken te maken over het maken en delen van foto’s tijdens deze evenementen.
Scholen doen er goed aan om jaarlijks de toestemming voor beeldmateriaal te vernieuwen en een duidelijk beleid te hebben voor ouders die zelf foto’s maken tijdens schoolactiviteiten. Leg bijvoorbeeld vast dat ouders geen foto’s van andere kinderen mogen delen op sociale media zonder toestemming van hun ouders.
Bij het delen van persoonsgegevens zijn adequate beveiligingsmaatregelen essentieel om de privacy van leerlingen en medewerkers te waarborgen. Scholen moeten zowel technische als organisatorische maatregelen nemen om gegevens te beschermen tegen ongeoorloofde toegang, verlies of diefstal.
Belangrijke technische maatregelen zijn:
Naast technische maatregelen zijn ook organisatorische maatregelen belangrijk:
Bij het delen van gegevens met externe partijen is het cruciaal om te controleren of zij ook adequate beveiligingsmaatregelen hebben getroffen. Dit wordt vastgelegd in de verwerkersovereenkomst. Voor scholen die hun security voor scholen willen verbeteren, bieden wij specifieke oplossingen die voldoen aan de eisen van de AVG.
Een belangrijk aspect van gegevensbeveiliging is ook het bewustzijn onder medewerkers. Zij moeten weten hoe ze veilig met persoonsgegevens moeten omgaan in hun dagelijkse praktijk. Denk aan het niet opslaan van gevoelige informatie op USB-sticks, het vergrendelen van computers bij afwezigheid en het zorgvuldig omgaan met wachtwoorden.
De AVG verplicht scholen ook om een register van verwerkingsactiviteiten bij te houden waarin staat welke gegevens worden verwerkt, met welk doel en welke beveiligingsmaatregelen zijn getroffen. Dit helpt bij het aantonen dat de school ‘in control’ is wat betreft gegevensbescherming.
Wil je meer weten over hoe je de gegevensbescherming binnen jouw school kunt verbeteren? Neem dan contact met ons op voor persoonlijk advies over AVG-compliance en security-oplossingen die passen bij jouw onderwijsomgeving.