Zoeken Contact opnemen
Digitaal beveiligingsslot beschermt schooldocumenten met GDPR-bescherming in moderne klasomgeving, geaccentueerd door professionele blauwe en witte kleuren.
Home/Welke informatie valt er onder de AVG?

Welke informatie valt er onder de AVG?

Gepubliceerd op 23 november 2025

De Algemene Verordening Gegevensbescherming (AVG) omvat alle informatie die direct of indirect herleidbaar is tot een natuurlijk persoon. In onderwijsinstellingen gaat het hierbij om leerlinggegevens, personeelsinformatie, contactgegevens van ouders, medische gegevens, beoordelingen en resultaten. Scholen moeten deze gegevens beveiligen, verwerkingen documenteren en datalekken voorkomen om aan de privacywetgeving te voldoen.

Wat is de AVG en waarom is deze belangrijk voor onderwijsinstellingen?

De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet die sinds 25 mei 2018 van kracht is en de privacy van EU-burgers beschermt. Deze verordening regelt hoe organisaties moeten omgaan met persoonsgegevens en geeft individuen meer controle over hun eigen gegevens.

Voor onderwijsinstellingen is de AVG bijzonder relevant omdat zij dagelijks grote hoeveelheden persoonsgegevens verwerken. Scholen verzamelen en beheren informatie over:

  • Leerlingen (naam, adres, geboortedatum, leerresultaten)
  • Ouders/verzorgers (contactgegevens, financiële informatie)
  • Personeel (personeelsdossiers, salarisgegevens)
  • Bijzondere persoonsgegevens zoals medische informatie en zorgindicaties

De impact van een datalek in het onderwijs kan verstrekkende gevolgen hebben. Wanneer gevoelige informatie over leerlingen onbedoeld openbaar wordt, kan dit leiden tot stigmatisering, identiteitsdiefstal of andere vormen van misbruik. Daarnaast kan het de vertrouwensrelatie tussen school, leerlingen en ouders ernstig schaden.

Naleving van de AVG is niet alleen een wettelijke verplichting, maar ook een ethische verantwoordelijkheid. Onderwijsinstellingen werken immers met minderjarigen, wat een extra zorgplicht met zich meebrengt om hun gegevens zorgvuldig te beschermen.

Welke persoonsgegevens vallen precies onder de AVG?

Onder de AVG vallen alle gegevens die direct of indirect herleidbaar zijn tot een geïdentificeerde of identificeerbare natuurlijke persoon. In de onderwijscontext kunnen we deze gegevens onderverdelen in gewone persoonsgegevens en bijzondere categorieën van persoonsgegevens.

Gewone persoonsgegevens in het onderwijs omvatten:

  • Identificatiegegevens: naam, adres, telefoonnummer, e-mailadres, leerlingnummer
  • Administratieve gegevens: inschrijvingsgegevens, aanwezigheidsregistratie
  • Onderwijsgegevens: leerresultaten, toetsscores, rapporten, portfolio’s
  • Beeldmateriaal: foto’s en video’s van leerlingen (met toestemming)
  • Communicatiegegevens: e-mailcorrespondentie, gespreksverslagen met ouders

Bijzondere categorieën persoonsgegevens (gevoelige gegevens) in het onderwijs zijn:

  • Gezondheidsgegevens: medische dossiers, allergieën, medicijngebruik
  • Gegevens over godsdienst of levensovertuiging
  • Gegevens over ras of etnische afkomst
  • Gegevens over het gedrag en de sociaal-emotionele ontwikkeling
  • Gegevens uit onderzoeken door externe specialisten zoals psychologen of orthopedagogen

Ook indirecte identificatie valt onder de AVG. Bijvoorbeeld wanneer leerlinggegevens zijn gepseudonimiseerd maar door combinatie met andere gegevens alsnog herleidbaar zijn tot specifieke leerlingen. Een datalek in het onderwijs kan dus ook ontstaan wanneer schijnbaar anonieme gegevens worden gedeeld.

Hoe worden leerlinggegevens beschermd onder de AVG?

De bescherming van leerlinggegevens onder de AVG is gebaseerd op verschillende principes en vereisten. Allereerst moet elke verwerking van leerlinggegevens een geldige wettelijke grondslag hebben. Voor onderwijsinstellingen zijn de meest relevante grondslagen:

  • Wettelijke verplichting: gegevens die scholen moeten verwerken op basis van onderwijswetgeving
  • Uitvoering van een overeenkomst: gegevens nodig voor de onderwijsovereenkomst
  • Gerechtvaardigd belang: wanneer de verwerking noodzakelijk is voor legitieme doeleinden
  • Toestemming: voor verwerkingen die niet onder bovenstaande grondslagen vallen

Scholen moeten leerlinggegevens verwerken volgens de principes van:

  • Doelbinding: gegevens mogen alleen worden verzameld voor specifieke, vooraf bepaalde doelen
  • Minimale gegevensverwerking: alleen gegevens verzamelen die noodzakelijk zijn
  • Opslagbeperking: gegevens niet langer bewaren dan nodig

Voor bewaartermijnen geldt dat de meeste leerlinggegevens twee jaar na het verlaten van de school bewaard mogen worden. Voor sommige gegevens gelden afwijkende termijnen: administratieve gegevens (5 jaar), gegevens over verzuim en in- en uitschrijving (5 jaar), en gegevens uit het leerlingdossier voor een eventuele latere zorgvraag (3-5 jaar).

Leerlingen en ouders hebben onder de AVG specifieke rechten met betrekking tot persoonsgegevens:

  • Recht op inzage in de verwerkte gegevens
  • Recht op correctie van onjuiste gegevens
  • Recht op verwijdering (met uitzonderingen voor wettelijke verplichtingen)
  • Recht op beperking van de verwerking
  • Recht op dataportabiliteit (gegevens meenemen naar andere school)

Bij een datalek in het onderwijs moet de school dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens als het risico’s voor betrokkenen met zich meebrengt.

Wat zijn de verplichtingen van scholen onder de AVG?

Scholen hebben als verwerkingsverantwoordelijken diverse verplichtingen onder de AVG. Deze verplichtingen zijn erop gericht om zorgvuldige omgang met persoonsgegevens te waarborgen en transparantie te bieden over gegevensverwerkingen.

Een van de belangrijkste verplichtingen is het bijhouden van een verwerkingsregister. Hierin documenteert de school alle verwerkingsactiviteiten, inclusief:

  • Het doel van de verwerking
  • Categorieën betrokkenen en persoonsgegevens
  • Ontvangers van de gegevens
  • Bewaartermijnen
  • Technische en organisatorische beveiligingsmaatregelen

Voor verwerkingen met een hoog privacyrisico moet een school een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is bijvoorbeeld nodig bij:

  • Invoering van nieuwe leerlingvolgsystemen
  • Gebruik van camera’s in en rond de school
  • Biometrische identificatie (vingerafdrukken voor toegang)
  • Grootschalige verwerking van bijzondere persoonsgegevens

Scholen moeten daarnaast een Functionaris voor Gegevensbescherming (FG) aanstellen. Deze functionaris:

  • Houdt toezicht op de naleving van de AVG
  • Adviseert over privacyvraagstukken
  • Fungeert als contactpersoon voor de Autoriteit Persoonsgegevens
  • Is betrokken bij datalekken in het onderwijs

Met leveranciers die persoonsgegevens verwerken (zoals aanbieders van digitale leermiddelen) moeten scholen verwerkersovereenkomsten afsluiten. Hierin worden afspraken vastgelegd over de beveiliging van gegevens, geheimhouding en verantwoordelijkheden bij datalekken.

Tot slot moeten scholen transparant communiceren over hun gegevensverwerkingen via een privacyverklaring die voor leerlingen, ouders en medewerkers toegankelijk is.

Wanneer moet een school toestemming vragen voor gegevensverwerking?

Toestemming is een van de zes mogelijke grondslagen voor gegevensverwerking onder de AVG, maar is niet altijd de meest geschikte grondslag voor scholen. Toestemming is alleen nodig wanneer de verwerking niet kan worden gebaseerd op een andere grondslag zoals wettelijke verplichting, overeenkomst of gerechtvaardigd belang.

Scholen moeten expliciete toestemming vragen voor:

  • Publicatie van foto’s en video’s van leerlingen op sociale media of de schoolwebsite
  • Delen van contactgegevens in klassenlijsten of schoolgidsen
  • Gebruik van digitale leermiddelen waarvoor extra persoonsgegevens nodig zijn
  • Verwerking van bijzondere persoonsgegevens die niet direct noodzakelijk zijn voor het onderwijs

Geldige toestemming onder de AVG moet aan verschillende voorwaarden voldoen:

  • Vrijelijk gegeven: zonder druk of negatieve gevolgen bij weigering
  • Specifiek: voor een bepaald doel, niet algemeen
  • Geïnformeerd: na duidelijke uitleg over de verwerking
  • Ondubbelzinnig: via een actieve handeling (opt-in)
  • Intrekbaar: toestemming moet even gemakkelijk kunnen worden ingetrokken als gegeven

Voor leerlingen jonger dan 16 jaar moet de toestemming worden gegeven door de ouders of wettelijke vertegenwoordigers. Scholen moeten kunnen aantonen dat ze geldige toestemming hebben verkregen (verantwoordingsplicht).

Het is belangrijk dat scholen kritisch beoordelen of toestemming de juiste grondslag is. Als de verwerking noodzakelijk is voor de onderwijstaak, is toestemming vaak niet de juiste basis, omdat er dan geen sprake kan zijn van vrijelijke toestemming vanwege de afhankelijkheidsrelatie tussen school en leerling/ouders.

Welke maatregelen moeten scholen nemen om AVG-compliant te zijn?

Om AVG-compliant te zijn, moeten scholen een combinatie van organisatorische en technische maatregelen implementeren. Deze maatregelen helpen om datalekken in het onderwijs te voorkomen en de privacy van leerlingen en personeel te waarborgen.

Organisatorische maatregelen die scholen kunnen nemen:

  • Opstellen van een privacybeleid en -reglement
  • Bewustwording creëren bij medewerkers door regelmatige trainingen
  • Invoeren van een procedure voor het melden van datalekken
  • Implementeren van een autorisatiebeleid (wie heeft toegang tot welke gegevens)
  • Regelmatig evalueren en actualiseren van verwerkersovereenkomsten
  • Uitvoeren van privacy-audits en -assessments

Technische beveiligingsmaatregelen omvatten:

  • Versleuteling (encryptie) van gevoelige gegevens
  • Implementatie van sterke wachtwoordbeleid en tweefactorauthenticatie
  • Regelmatige software-updates en security patches
  • Beveiligde opslag en vernietiging van gegevens
  • Netwerkbeveiliging en firewalls
  • Logging en monitoring van toegang tot systemen met persoonsgegevens

Het is belangrijk dat scholen een security voor scholen aanpak ontwikkelen die past bij de specifieke situatie en risico’s van de instelling. Een risicoanalyse kan helpen om te bepalen welke beveiligingsmaatregelen prioriteit moeten krijgen.

Scholen moeten ook procedures ontwikkelen voor het omgaan met verzoeken van betrokkenen (inzage, correctie, verwijdering) en voor het afhandelen van datalekken. Een goed incidentmanagementproces zorgt ervoor dat datalekken snel worden opgespoord, beperkt en gemeld.

Tot slot is het essentieel om een privacycultuur te creëren waarin alle medewerkers zich bewust zijn van het belang van gegevensbescherming. Regelmatige bewustwordingssessies en praktische handleidingen kunnen hierbij helpen.

Heeft u vragen over hoe uw school AVG-compliant kan worden of wilt u advies over het voorkomen van datalekken in het onderwijs? Neem dan gerust contact met ons op. Wij helpen u graag verder met praktische oplossingen die passen bij uw onderwijsinstelling.