De AVG is voor scholen geen abstract juridisch kader, maar dagelijkse praktijk. Leerlinggegevens, zorgdossiers, toetsresultaten, personeelsinformatie en data uit digitale leermiddelen: het onderwijs verwerkt continu persoonsgegevens, vaak van minderjarigen. Dat maakt de verantwoordelijkheid groot en de risico’s concreet.
Toch wordt privacy binnen scholen nog te vaak gezien als een administratieve verplichting. In werkelijkheid vraagt de AVG om structurele organisatie, duidelijke verantwoordelijkheden en bestuurlijke regie. Geen eenmalig project, maar een doorlopend proces.
Waarom AVG in het onderwijs extra gevoelig is
Scholen verwerken bijzondere en soms zeer gevoelige persoonsgegevens. Denk aan gegevens over leerachterstanden, medische ondersteuning of jeugdzorgtrajecten. Daarnaast maken scholen intensief gebruik van externe leveranciers voor leerlingvolgsystemen, cloudopslag en digitale leermiddelen, waarmee data al snel buiten de directe controle van de school terechtkomt.
Gegevens staan verspreid over meerdere systemen, externe partijen verwerken data namens de school en medewerkers hebben uiteenlopende toegangsniveaus. Juist die combinatie maakt het onderwijs kwetsbaar. Een incident heeft snel impact op leerlingen, ouders en het vertrouwen in de school.
Lees ook ons artikel: Het onderwijs bevat een schatkist aan informatie
Wie is verantwoordelijk?
Het schoolbestuur is in vrijwel alle gevallen de verwerkingsverantwoordelijke. Dat betekent dat het bestuur eindverantwoordelijk is voor de manier waarop persoonsgegevens worden verzameld, verwerkt, gedeeld en beveiligd, ook wanneer dat via externe ICT-leveranciers gebeurt.
Die verantwoordelijkheid kan niet worden uitbesteed. Contracten helpen, maar ontslaan een bestuur niet van toezicht. Daarom hoort AVG niet uitsluitend thuis bij ICT of de schooladministratie, maar op bestuursniveau.
Het verwerkingsregister: overzicht als basis
Zonder overzicht geen controle. Het verwerkingsregister is de basis van AVG-naleving: een actueel overzicht van alle processen waarbij persoonsgegevens worden verwerkt. Welke gegevens worden verzameld, met welk doel, op welke grondslag, hoe lang worden ze bewaard en wie heeft er toegang?
In de praktijk ontbreekt dit register bij veel scholen, of is het verouderd en onvolledig. Dat is een probleem. Niet alleen bij een controle van de Autoriteit Persoonsgegevens, maar ook voor de eigen grip op datastromen. Een goed verwerkingsregister dwingt je na te denken over welke systemen je eigenlijk gebruikt en of die gebruik gerechtvaardigd is.
Verwerkersovereenkomsten
Elke externe partij die namens de school persoonsgegevens verwerkt; een leverancier van een leerlingvolgsysteem, een cloudplatform, een digitale leeromgeving, is een verwerker. Met iedere verwerker moet een verwerkersovereenkomst zijn afgesloten.
Die overeenkomst legt vast wat de verwerker wel en niet mag doen met de gegevens, hoe beveiliging is geregeld, waar data wordt opgeslagen en hoe wordt omgegaan met datalekken. In de onderwijspraktijk zien we dat verwerkersovereenkomsten er vaak wel zijn, maar niet actueel worden gehouden. Nieuwe softwarepakketten worden in gebruik genomen zonder dat de overeenkomst is getekend, of bestaande overeenkomsten dekken een inmiddels uitgebreid gebruik niet meer.
Een periodieke check, minimaal jaarlijks, of alle verwerkersovereenkomsten nog kloppen is geen luxe maar noodzaak.
Toestemming van ouders en leerlingen
Voor veel verwerkingen heeft de school een wettelijke grondslag zonder dat toestemming nodig is. Denk aan leerlingregistratie in het kader van de leerplicht. Maar voor andere toepassingen, zoals het gebruik van foto’s, publicaties op de schoolwebsite of het inzetten van bepaalde apps, is expliciete toestemming van ouders of, afhankelijk van de leeftijd, de leerling zelf vereist.
Vanaf 16 jaar mogen leerlingen in Nederland zelf toestemming geven voor de verwerking van hun persoonsgegevens. Onder die leeftijd zijn ouders of verzorgers toestemmingsgever. Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn en moet net zo eenvoudig kunnen worden ingetrokken als gegeven.
Scholen onderschatten regelmatig hoe specifiek toestemming moet zijn. Een algemene akkoordverklaring bij inschrijving dekt lang niet alles.
DPIA: wanneer is een gegevensbeschermingseffectbeoordeling verplicht?
Een Data Protection Impact Assessment (DPIA) is verplicht wanneer een nieuwe verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. In het onderwijs is dit relevant bij de invoering van nieuwe digitale systemen, zeker als die gevoelige gegevens verwerken of gedrag van leerlingen monitoren.
Denk aan een nieuw leerlingvolgsysteem met uitgebreide gedragsregistratie, een platform dat AI inzet om leerlingprestaties te analyseren, of een beveiligingssysteem met gezichtsherkenning. In al die gevallen moet vooraf worden beoordeeld welke risico’s de verwerking met zich meebrengt en welke maatregelen die risico’s beperken.
Een DPIA is niet alleen een juridische verplichting, het is ook een nuttig instrument om als school bewust na te denken over of een nieuwe toepassing de privacy van leerlingen voldoende beschermt voordat je ermee start.
Datalekken: procedure en meldplicht
Een datalek is elke inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens. Dat is breder dan veel mensen denken: een gestolen laptop, een verkeerd verzonden e-mail met leerlinggegevens of een gehackt systeem zijn allemaal mogelijke datalekken.
Scholen zijn verplicht om datalekken intern te registreren. Datalekken met een aanzienlijk risico voor betrokkenen moeten binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens. Als het risico hoog is, moeten ook de betrokkenen zelf worden geïnformeerd.
In de praktijk faalt de datalekprocedure bij scholen vaak niet door onwil, maar doordat medewerkers niet weten wat een datalek is, niet weten bij wie ze het moeten melden en er geen heldere interne procedure bestaat. Een werkende meldprocedure, eenvoudig, bekend bij alle medewerkers, is daarom een van de meest concrete AVG-verbeterpunten voor scholen.
Scholen die twijfelen of een incident meldplichtig is, kunnen de beslishulp van de Autoriteit Persoonsgegevens gebruiken.
De Functionaris voor Gegevensbescherming
Scholen die op grote schaal bijzondere persoonsgegevens verwerken, wat voor vrijwel alle scholen geldt, zijn verplicht een Functionaris voor Gegevensbescherming (FG) aan te stellen. De FG houdt intern toezicht op de naleving van de AVG, adviseert het bestuur en is het aanspreekpunt voor de Autoriteit Persoonsgegevens.
De FG moet onafhankelijk kunnen opereren en mag geen andere taken hebben die tot belangenconflicten leiden. In de praktijk kiezen veel scholen voor een externe FG, iemand die de rol invult voor meerdere scholen of besturen. Dat is toegestaan, mits de FG voldoende tijd en toegang heeft om de rol serieus in te vullen.
Een FG die alleen op papier bestaat maar in de praktijk nauwelijks betrokken is bij beleidskeuzes, voldoet niet aan de AVG-vereisten. KIEN biedt scholen in Zuid-Holland de mogelijkheid om een gekwalificeerde Functionaris voor Gegevensbescherming in te schakelen, zodat de rol serieus en onafhankelijk wordt ingevuld.
AVG in het onderwijs is geen eindpunt, maar een proces
Wetgeving verandert, technologie ontwikkelt zich en digitale toepassingen nemen toe. AI-toepassingen in het onderwijs, nieuwe samenwerkingen met externe platforms, veranderende leerlingpopulaties. Elke ontwikkeling heeft impact op gegevensverwerking en vraagt om heroverweging van bestaand beleid.
Daarom is AVG geen project met een einddatum, maar een continu proces van beheersen, verbeteren en verantwoorden. Voor scholen betekent dat: beleid koppelen aan praktijk. Niet alleen vastleggen wat er moet gebeuren, maar ook controleren of het daadwerkelijk gebeurt.
Hoe KIEN scholen ondersteunt bij AVG
Coöperatie KIEN ondersteunt scholen in Zuid-Holland bij de praktische uitvoering van AVG-beleid. Dat betekent advies bij het opstellen en actualiseren van verwerkersovereenkomsten, begeleiding bij het inrichten van een verwerkingsregister en ondersteuning bij het opzetten van een werkende datalekprocedure. Daarnaast verzorgt KIEN trainingen waarmee medewerkers bewust worden van hun rol in privacybescherming, want de sterkste schakel in AVG-naleving is niet de techniek, maar de mens. Ook biedt KIEN scholen de mogelijkheid om een gekwalificeerde Functionaris voor Gegevensbescherming in te schakelen voor scholen die deze rol niet intern kunnen of willen beleggen.
Voor de technische kant van informatiebeveiliging, netwerk, toegangsbeheer, back-ups en monitoring, verwijzen we naar onze pagina over veilige ICT-infrastructuur voor scholen.
Veelgestelde vragen over AVG in het onderwijs
Geldt de AVG voor alle scholen?
Ja. Alle scholen in Nederland vallen onder de AVG, ongeacht grootte of onderwijssector. Het schoolbestuur is verwerkingsverantwoordelijke en draagt eindverantwoordelijkheid voor correcte naleving.
Moet elke school een FG hebben?
Scholen die op grote schaal bijzondere persoonsgegevens verwerken zijn verplicht een FG aan te stellen. Dat geldt in de praktijk voor vrijwel alle scholen. De FG mag extern zijn en meerdere organisaties bedienen, mits de rol serieus wordt ingevuld.
Wat is het verschil tussen een verwerkersovereenkomst en een bewerkersovereenkomst?
Dit zijn twee namen voor hetzelfde instrument. Onder de oude Wet bescherming persoonsgegevens heette het een bewerkersovereenkomst; onder de AVG heet het een verwerkersovereenkomst. Inhoudelijk gaat het om de afspraken tussen de school als verwerkingsverantwoordelijke en een externe partij die namens de school gegevens verwerkt.
Wanneer moet een datalek worden gemeld bij de AP?
Binnen 72 uur na ontdekking, als het lek waarschijnlijk een risico oplevert voor de rechten en vrijheden van betrokkenen. Bij hoog risico moeten ook de betrokkenen zelf worden geïnformeerd. Alle datalekken — ook die niet gemeld hoeven te worden — moeten intern worden geregistreerd.
Is toestemming altijd nodig voor het verwerken van leerlinggegevens?
Nee. Veel verwerkingen hebben een andere wettelijke grondslag, zoals een wettelijke verplichting of een gerechtvaardigd belang. Toestemming is wel vereist voor verwerkingen die daar niet onder vallen, zoals publicatie van foto’s of het gebruik van bepaalde apps. Toestemming moet altijd specifiek en intrekbaar zijn.
Wanneer is een DPIA verplicht?
Bij nieuwe verwerkingen die waarschijnlijk een hoog risico opleveren. In het onderwijs speelt dit vooral bij de invoering van nieuwe digitale systemen die gevoelige gegevens verwerken of gedrag van leerlingen monitoren. Een DPIA moet worden uitgevoerd vóórdat met de verwerking wordt begonnen.
Wat gebeurt er als een school de AVG niet naleeft?
De Autoriteit Persoonsgegevens kan een school een waarschuwing geven, een last onder dwangsom opleggen of een boete uitdelen. Daarnaast kan reputatieschade bij ouders en leerlingen aanzienlijk zijn. De AP handhaaft in het onderwijs actief, mede omdat het om gegevens van minderjarigen gaat.
Wat betekent de AVG in het onderwijs?
De AVG verplicht scholen om zorgvuldig om te gaan met de persoonsgegevens van leerlingen, ouders en medewerkers. Dat betekent in de praktijk: een actueel verwerkingsregister bijhouden, verwerkersovereenkomsten afsluiten met alle externe leveranciers, een werkende datalekprocedure hebben en medewerkers bewust maken van hun rol in privacybescherming. Omdat scholen vaak werken met gegevens van minderjarigen, legt de AVG in het onderwijs extra nadruk op zorgvuldigheid en aantoonbare naleving.
