Zoeken Contact opnemen
Digitaal archiefsysteem met AVG-gemarkeerde en onbeschermde mappen op een schoolbureau, met zicht op een Nederlands schoolplein en privacydashboard op computerscherm.
Home/Welke gegevens vallen niet onder AVG?

Welke gegevens vallen niet onder AVG?

Gepubliceerd op 18 november 2025

De Algemene Verordening Gegevensbescherming (AVG) is een uitgebreide privacywetgeving die bepaalt hoe organisaties met persoonsgegevens moeten omgaan. Niet alle gegevens vallen echter onder deze wetgeving. Gegevens die buiten de AVG vallen zijn onder andere volledig geanonimiseerde informatie, bedrijfsgegevens zonder persoonlijke component, gegevens van overleden personen en bepaalde verwerkingen door natuurlijke personen voor persoonlijke doeleinden. Voor scholen is het cruciaal om te begrijpen welke gegevens wel en niet onder de AVG vallen om compliance te waarborgen.

Wat is de AVG en welke gegevens vallen er normaal onder?

De AVG (Algemene Verordening Gegevensbescherming) is een Europese wetgeving die sinds 25 mei 2018 van kracht is en regelt hoe organisaties moeten omgaan met persoonsgegevens. Deze verordening beschermt de privacy van individuen door strikte regels op te leggen aan de verwerking van hun gegevens.

Onder de AVG vallen alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Dit zijn persoonsgegevens in de breedste zin van het woord. In de onderwijscontext omvat dit:

  • NAW-gegevens van leerlingen, ouders en personeel
  • Contactgegevens zoals telefoonnummers en e-mailadressen
  • Leerlingdossiers met studieresultaten en beoordelingen
  • Gezondheidsgegevens van leerlingen (bijzondere persoonsgegevens)
  • Foto’s en videobeelden waarop personen herkenbaar zijn
  • Inloggegevens voor digitale leermiddelen
  • Financiële gegevens van ouders en personeel

Belangrijk is dat de AVG alleen van toepassing is op natuurlijke personen die in leven zijn. De wetgeving beschermt gegevens van levende mensen, niet van rechtspersonen zoals bedrijven of organisaties, tenzij deze direct te herleiden zijn naar natuurlijke personen.

Welke gegevens vallen niet onder de AVG-wetgeving?

Niet alle gegevens die op een school worden verwerkt vallen onder de AVG. De volgende categorieën gegevens vallen buiten het bereik van deze wetgeving:

1. Volledig geanonimiseerde gegevens

Gegevens die op geen enkele wijze meer te herleiden zijn tot een identificeerbare persoon vallen niet onder de AVG. Dit zijn volledig geanonimiseerde gegevens. Voorbeelden in de schoolomgeving zijn:

  • Statistische gegevens over schoolprestaties zonder verwijzing naar individuele leerlingen
  • Geanonimiseerde enquêteresultaten over de schooltevredenheid
  • Geaggregeerde data over leerprestaties per jaargang zonder identificeerbare informatie

Let op: er is een belangrijk verschil tussen geanonimiseerde en gepseudonimiseerde gegevens. Bij pseudonimisering worden identificerende elementen vervangen door pseudoniemen, maar blijft het theoretisch mogelijk om de gegevens te herleiden. Deze vallen nog steeds onder de AVG.

2. Bedrijfsgegevens

Gegevens die uitsluitend betrekking hebben op rechtspersonen zoals bedrijven, stichtingen of verenigingen vallen niet onder de AVG. In de onderwijscontext gaat het om:

  • Algemene contactgegevens van leveranciers en partners
  • Financiële gegevens van de school als organisatie
  • Contracten met dienstverleners (zonder persoonsgegevens)
  • Algemene bedrijfsinformatie van samenwerkingspartners

Zodra bedrijfsgegevens echter direct te herleiden zijn naar natuurlijke personen (zoals bij eenmanszaken), vallen ze alsnog onder de AVG.

3. Gegevens van overleden personen

De AVG beschermt alleen de persoonsgegevens van levende natuurlijke personen. Gegevens van overleden personen vallen in principe niet onder de AVG. Dit betekent dat:

  • Dossiers van overleden oud-leerlingen niet onder de AVG vallen
  • Historische schoolarchieven met gegevens van overleden personen buiten de AVG-scope vallen

Hierbij moet worden opgemerkt dat sommige gegevens van overledenen indirect informatie kunnen bevatten over levende personen (zoals genetische informatie), waardoor ze alsnog beschermd kunnen zijn.

4. Persoonlijke of huishoudelijke activiteiten

Gegevensverwerking door natuurlijke personen in het kader van zuiver persoonlijke of huishoudelijke activiteiten valt niet onder de AVG. In de schoolcontext:

  • Een docent die een privé-adresboek bijhoudt voor persoonlijk gebruik
  • Ouders die foto’s maken van hun eigen kind tijdens een schoolevenement voor privégebruik
  • Leerlingen die onderling contactgegevens uitwisselen voor persoonlijke doeleinden

Hoe herken je of gegevens wel of niet onder de AVG vallen?

Om te bepalen of gegevens onder de AVG vallen, kun je als schoolleider of teamleider de volgende praktische criteria en stappenplan gebruiken:

Beslisboom voor schoolleiders

Stel jezelf de volgende vragen om te bepalen of gegevens onder de AVG vallen:

  1. Persoonsvraag: Hebben de gegevens betrekking op een natuurlijke persoon? Zo nee, dan vallen ze niet onder de AVG.
  2. Levensvraag: Is deze persoon in leven? Zo nee, dan vallen de gegevens in principe niet onder de AVG.
  3. Identificatievraag: Is de persoon geïdentificeerd of identificeerbaar (direct of indirect)? Zo nee, dan vallen de gegevens niet onder de AVG.
  4. Contextvraaag: Worden de gegevens verwerkt in een zuiver persoonlijke of huishoudelijke context? Zo ja, dan vallen ze niet onder de AVG.

Als alle bovenstaande vragen met ‘nee’ worden beantwoord, vallen de gegevens niet onder de AVG.

Praktijkvoorbeelden voor scholen

Om het concreter te maken, hier enkele praktijkvoorbeelden:

  • Een lijst met klaslokalen en hun capaciteit: Geen persoonsgegevens, valt niet onder AVG
  • Een overzicht van gemiddelde toetsresultaten per klas zonder namen: Geanonimiseerde gegevens, vallen niet onder AVG
  • Een adreslijst van leveranciers (bedrijven): Bedrijfsgegevens, vallen niet onder AVG
  • Een lijst met namen van leerlingen en hun resultaten: Persoonsgegevens, vallen wel onder AVG
  • Foto’s van een schoolevenement met herkenbare personen: Persoonsgegevens, vallen wel onder AVG

Bij twijfel is het altijd verstandig om de gegevens te behandelen alsof ze onder de AVG vallen. Dit voorkomt mogelijke privacyschendingen.

Wat zijn de gevolgen als gegevens niet onder de AVG vallen?

Wanneer gegevens niet onder de AVG vallen, heeft dit verschillende juridische en praktische implicaties voor scholen:

Juridische implicaties

Als gegevens buiten de AVG vallen, betekent dit dat:

  • De strikte AVG-verplichtingen niet van toepassing zijn op deze gegevens
  • Er geen verwerkingsgrondslag nodig is voor het verwerken van deze gegevens
  • Betrokkenen geen AVG-rechten kunnen uitoefenen (zoals inzage of verwijdering)
  • Er geen meldplicht datalekken geldt voor deze gegevens
  • Er geen verwerkersovereenkomsten nodig zijn bij het delen van deze gegevens

Dit betekent echter niet dat er helemaal geen regels gelden. Andere wetgeving kan alsnog van toepassing zijn.

Andere toepasselijke regelgeving

Ook als gegevens niet onder de AVG vallen, kunnen andere wetten en regels van toepassing zijn:

  • Archiefwet: Bepaalt hoe lang bepaalde documenten bewaard moeten worden
  • Onderwijswetgeving: Stelt eisen aan de administratie van scholen
  • Algemene zorgvuldigheidsplicht: Verplicht organisaties om zorgvuldig met alle informatie om te gaan
  • Contractuele afspraken: Kunnen aanvullende verplichtingen bevatten over gegevensverwerking
  • Intellectuele eigendomsrechten: Beschermen bepaalde soorten informatie

Voor scholen is het belangrijk om te beseffen dat zorgvuldig omgaan met informatie altijd belangrijk blijft, ook als de AVG niet van toepassing is.

Hoe ga je veilig om met gegevens die niet onder de AVG vallen?

Ook al vallen bepaalde gegevens niet onder de AVG, toch is het voor scholen verstandig om zorgvuldig met alle informatie om te gaan. Hier volgen best practices voor het beheren en beveiligen van gegevens die niet onder de AVG vallen:

Algemene veiligheidsmaatregelen

Pas deze maatregelen toe op alle gegevens binnen je school:

  • Implementeer een algemeen informatieveiligheidsbeleid dat alle gegevens beschermt
  • Beperk toegang tot informatie op basis van functie en noodzaak
  • Beveilig alle systemen met sterke wachtwoorden en waar mogelijk tweefactorauthenticatie
  • Zorg voor regelmatige back-ups van belangrijke gegevens
  • Train personeel in het veilig omgaan met alle soorten informatie

Door security voor scholen serieus te nemen, bescherm je niet alleen persoonsgegevens maar alle waardevolle informatie binnen je organisatie.

Specifieke aanpak voor niet-AVG gegevens

Voor gegevens die niet onder de AVG vallen, kun je deze specifieke aanpak hanteren:

  • Categoriseer gegevens duidelijk als AVG of niet-AVG gerelateerd
  • Documenteer waarom bepaalde gegevens buiten de AVG vallen
  • Ontwikkel aparte protocollen voor het beheer van niet-AVG gegevens
  • Controleer regelmatig of de status van gegevens verandert (bijvoorbeeld door koppeling met persoonsgegevens)
  • Wees transparant over hoe je met alle soorten gegevens omgaat

Hoewel de wettelijke vereisten minder streng zijn, blijft het professioneel om alle informatie binnen je school zorgvuldig te behandelen.

Praktische tips voor scholen

Tot slot enkele praktische tips specifiek voor de onderwijsomgeving:

  • Behandel geanonimiseerde gegevens alsnog met zorg, omdat re-identificatie soms mogelijk blijft
  • Wees voorzichtig met het combineren van niet-AVG gegevens met persoonsgegevens
  • Overweeg om een gegevensregister bij te houden van alle informatie, niet alleen AVG-gerelateerde gegevens
  • Controleer of leveranciers en partners ook zorgvuldig omgaan met gedeelde informatie
  • Evalueer regelmatig je informatiebeleid en pas het aan waar nodig

Het veilig omgaan met alle gegevens binnen je school draagt bij aan een professionele organisatie die het vertrouwen van ouders, leerlingen en medewerkers verdient. Heb je vragen over hoe je de veiligheid van gegevens binnen jouw school kunt verbeteren? Neem dan contact met ons op voor persoonlijk advies.