+31 40 369 06 80
[email protected]

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Afspraak

Law & More Logo

Nieuws

Onderwijs en privacy (AVG): hoe ver mag een school gaan?

november 9, 2025

Scholen verzamelen elke dag heel wat informatie over hun leerlingen. Denk aan namen, adressen, cijfers en soms zelfs medische gegevens.

Ze hebben die gegevens nodig om goed onderwijs te geven. Toch zijn er duidelijke grenzen aan wat ze mogen doen.

Een klaslokaal of schoolkantoor met een leraar en leerlingen, waarbij digitale apparaten en beveiligde opslag zichtbaar zijn om privacy en bescherming van leerlinggegevens te tonen.

Scholen moeten zich aan de Algemene Verordening Gegevensbescherming (AVG) houden. Ze mogen leerlinggegevens alleen verzamelen en gebruiken voor specifieke onderwijsdoelen.

Ze moeten altijd passende technische en organisatorische maatregelen nemen om die gegevens te beschermen. Je mag dus niet zomaar alles verzamelen en bewaren.

In de praktijk worstelen veel scholen nog met de privacyregels. Ze vragen zich af welke gegevens ze wel en niet mogen delen met andere organisaties.

Hoe lang mogen ze informatie bewaren? Welke rechten hebben ouders en leerlingen eigenlijk?

Digitale leermiddelen en samenwerking met externe partijen roepen ook veel privacyvragen op. Dat vraagt echt om zorgvuldige afwegingen.

Wat is de AVG en waarom is het belangrijk voor scholen?

Een leraar bespreekt met leerlingen in een klaslokaal over gegevensbescherming en privacy.

De Algemene Verordening Gegevensbescherming (AVG) stelt strenge regels voor hoe scholen omgaan met persoonsgegevens van leerlingen en medewerkers. Scholen moeten zich aan deze wet houden om privacy te beschermen en boetes te voorkomen.

Toepassing van de AVG in het onderwijs

De AVG geldt voor alle scholen die persoonsgegevens van leerlingen verwerken. Dit begint al bij de inschrijving van een nieuwe leerling.

Scholen verzamelen allerlei gegevens. Ze houden namen, adressen en geboortedatums bij.

Ook cijfers, schoolrapporten en gedragsinformatie vallen onder de AVG. Die horen er gewoon bij.

Voorbeelden van persoonsgegevens die scholen verwerken:

  • Contactgegevens van leerlingen en ouders
  • Medische informatie en allergieën
  • Foto’s en video’s van schoolactiviteiten
  • Resultaten van toetsen en examens

Scholen delen deze gegevens soms met andere partijen. Denk aan gemeenten, andere onderwijsinstellingen en overheidsinstanties.

De wet geldt trouwens niet alleen voor digitale gegevens. Papieren dossiers en documenten vallen er ook onder.

Belangrijkste principes van gegevensbescherming

De AVG steunt op zes belangrijke principes voor het verwerken van leerlinggegevens.

Rechtmatigheid en transparantie betekent dat scholen alleen gegevens mogen verzamelen voor duidelijke doelen. Ze moeten eerlijk vertellen wat ze met de informatie doen.

Doelbinding houdt in dat scholen gegevens alleen mogen gebruiken voor het doel waarvoor ze die hebben verzameld. Een school mag cijfers bijvoorbeeld niet gebruiken voor marketing.

Minimale gegevensverwerking betekent dat scholen niet meer informatie vragen dan echt nodig is. Dus geen onnodige gegevens.

De gegevens moeten juist en actueel zijn. Fouten moeten ze corrigeren of verwijderen.

Beperkte bewaartijd betekent dat scholen informatie niet langer mogen bewaren dan nodig. Oude dossiers moeten op tijd weg.

Verplichtingen voor middelbare scholen

Middelbare scholen hebben extra verplichtingen onder de AVG. Ze moeten een privacybeleid opstellen waarin ze uitleggen hoe ze met gegevens omgaan.

Ze houden een register van verwerkingsactiviteiten bij. Hierin staat welke gegevens ze verzamelen en waarom.

Belangrijke verplichtingen voor scholen:

  • Privacy by design toepassen bij nieuwe systemen
  • Datalekken binnen 72 uur melden
  • Toestemming vragen voor bepaalde verwerkingen
  • Leerlingen informeren over hun rechten

De school stelt een functionaris gegevensbescherming aan. Die persoon let op naleving van de wet.

Bij een datalek moet de school snel handelen. Ze melden het bij de Autoriteit Persoonsgegevens en soms ook bij de betrokkenen.

Scholen nemen technische maatregelen, zoals wachtwoorden en encryptie. Zo beschermen ze de gegevens.

Welke leerlinggegevens mogen scholen verwerken?

Een leraar die in een klaslokaal op een laptop werkt terwijl leerlingen op de achtergrond zijn, met een sfeer van zorgvuldige omgang met leerlinggegevens.

Scholen verzamelen en bewaren leerlinggegevens om verschillende redenen. De AVG bepaalt welke gegevens ze mogen verwerken en aan welke voorwaarden ze zich moeten houden.

Soorten leerlinggegevens en hun gevoeligheid

Scholen werken met allerlei soorten persoonsgegevens. Niet alle gegevens zijn even gevoelig.

Gewone persoonsgegevens zijn bijvoorbeeld naam, adres, geboortedatum en contactgegevens van ouders. Die gebruikt de school voor administratie en contact.

Ze verzamelen ook gegevens over schoolprestaties en aanwezigheid. Denk aan cijfers, toetsresultaten en absentie.

Gevoelige gegevens krijgen extra bescherming onder de AVG. Scholen mogen deze alleen verwerken als er een sterke reden voor is.

De school maakt soms foto’s en video’s van leerlingen voor schooldoeleinden. Daarvoor is vaak toestemming van ouders nodig.

Ook financiële gegevens zoals betalingen voor schoolreisjes of boeken verwerkt de school. Die gebruikt ze alleen voor administratie.

Rechtmatigheid van verwerking en wettelijke grondslagen

Voor elke verwerking van leerlinggegevens moet de school een geldige reden hebben. De AVG noemt dit een rechtmatige grondslag.

Wettelijke verplichting is de belangrijkste grondslag voor scholen. De onderwijswetgeving verplicht ze om bepaalde gegevens bij te houden.

De Leerplichtwet vraagt bijvoorbeeld dat scholen aanwezigheid bijhouden. Ook moeten ze resultaten vastleggen voor diploma-uitgifte.

Gerechtvaardigd belang geldt voor andere verwerkingen, zoals veiligheid of het organiseren van activiteiten.

Voor foto’s en video’s heeft de school meestal toestemming nodig. Ouders kunnen die toestemming altijd intrekken.

De school moet kunnen uitleggen waarom ze bepaalde gegevens verwerkt. Dat is de verantwoordingsplicht uit de AVG.

Bijzondere persoonsgegevens in het onderwijs

Bijzondere persoonsgegevens vallen onder extra strenge regels. Dit zijn gevoelige gegevens over leerlingen.

Gezondheidsgegevens mag de school alleen verwerken als het echt nodig is. Bijvoorbeeld voor medicijnen of bij allergieën.

De school legt soms informatie vast over leerproblemen en dyslexie. Zo kan ze passend onderwijs bieden.

Ook gegevens over gedragsproblemen of sociale situaties verwerkt de school soms. Dat gebeurt alleen als het nodig is voor de zorg aan de leerling.

Religieuze overtuiging registreert de school soms voor vrijstellingen. Bijvoorbeeld voor bepaalde vakken of activiteiten.

De school moet deze bijzondere gegevens extra goed beschermen. Niet iedereen mag erbij kunnen.

Voor het delen van deze gegevens gelden strikte regels. De school doet dit alleen als het wettelijk mag of als ouders toestemming geven.

Het verantwoord verwerken van persoonsgegevens binnen scholen

Scholen moeten echt stappen zetten om persoonsgegevens van leerlingen volgens de AVG te beschermen. Dat vraagt om een verwerkingsregister, heldere communicatie naar ouders en leerlingen, en goede beveiligingsmaatregelen.

Het verwerkingsregister bijhouden

Elke school stelt een verwerkingsregister op en houdt dat bij. In dat register staat welke persoonsgegevens de school verwerkt.

Het register laat zien welke gegevens de school verzamelt en waarom. Scholen moeten ook aangeven hoe lang ze gegevens bewaren.

Belangrijke onderdelen van het register:

  • Welke persoonsgegevens worden verwerkt
  • Het doel van de gegevensverwerking
  • Wie toegang heeft tot de gegevens
  • Hoe lang gegevens worden bewaard
  • Welke beveiligingsmaatregelen gelden

Ze werken het register bij als verwerkingen veranderen. Nieuwe verwerkingen voegen ze toe. Zo blijft het register actueel.

Informatievoorziening aan leerlingen en ouders

Scholen moeten leerlingen en ouders informeren over gegevensverwerking. Die informatie moet duidelijk en begrijpelijk zijn.

Ouders en leerlingen horen te weten welke gegevens de school verzamelt. Ze moeten ook begrijpen wat de school met die gegevens doet.

Vooral voor leerlingen moet de informatie makkelijk te snappen zijn.

De informatie bevat:

  • Welke persoonsgegevens worden verzameld
  • Waarom deze gegevens nodig zijn
  • Met wie gegevens worden gedeeld
  • Hoe lang gegevens worden bewaard
  • Welke rechten leerlingen en ouders hebben

Scholen zorgen ervoor dat leerlingen en ouders hun privacyrechten kunnen gebruiken. Bijvoorbeeld door inzage in hun gegevens te geven.

Beveiligingsmaatregelen en technische vereisten

Scholen moeten technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Zo voorkomen ze dat onbevoegden bij gevoelige informatie kunnen.

Technische beveiligingsmaatregelen:

  • Sterke wachtwoorden en toegangscontrole

  • Versleuteling van gevoelige gegevens

  • Regelmatige back-ups van belangrijke bestanden

  • Beveiligde netwerken en firewalls

Organisatorische maatregelen:

  • Duidelijke procedures voor gegevensverwerking

  • Training van medewerkers over privacy

  • Toegangsrechten per functie

  • Incidentenprocedures bij datalekken

Scholen moeten kunnen aantonen dat ze deze maatregelen echt toepassen. Dit hoort bij de verantwoordingsplicht van de AVG.

Ze evalueren regelmatig hun beveiliging om risico’s te beperken.

Samenwerkingen en derden: delen van leerlinggegevens

Scholen delen geregeld leerlinggegevens met externe partijen. Denk aan leveranciers van digitale leermiddelen of overheidsinstanties.

Bij elke vorm van gegevensdeling gelden strenge AVG-regels voor gegevensbescherming.

Leveranciers van digitale leermiddelen

Scholen werken vaak samen met externe leveranciers voor digitale leermiddelen, zoals leerplatforms en toetssystemen. Daarbij delen ze gegevens van leerlingen met de leverancier.

Gedeelde gegevens kunnen zijn:

  • Inloggegevens van leerlingen

  • Toetsresultaten en voortgangsdata

  • Namen en klasseninformatie

De school moet goede afspraken maken met leveranciers over gegevensbescherming. De school blijft verantwoordelijk voor de privacy van haar leerlingen, zelfs als anderen toegang krijgen.

Verwerkersovereenkomsten zijn verplicht bij samenwerking met externe leveranciers. In zo’n contract staat hoe de leverancier met de gegevens omgaat en welke beveiliging nodig is.

Gebruik van privacyconvenant en voorbeeldcontracten

Een privacyconvenant helpt scholen bij het maken van de juiste afspraken over gegevensbescherming. Het convenant biedt voorbeeldcontracten en praktische richtlijnen.

Belangrijke elementen in contracten:

  • Doel van gegevensverwerking

  • Welke gegevens worden gedeeld

  • Beveiligingsmaatregelen van de leverancier

  • Bewaartermijnen van gegevens

Scholen moeten deze afspraken niet alleen op papier zetten, maar ze ook echt uitvoeren. Regelmatige controle van leveranciers is nodig om te checken of ze zich aan de afspraken houden.

Het convenant digitale onderwijsmiddelen geeft praktische hulp bij het opstellen van privacyafspraken met leveranciers van educatieve software.

Uitwisseling met overheidsinstanties en andere scholen

Soms wisselen scholen leerlinggegevens uit met gemeenten, jeugdhulp of andere scholen. Dit mag alleen onder strikte voorwaarden.

Toegestane uitwisseling:

  • Bij wettelijke verplichting (zoals passend onderwijs)

  • Met toestemming van ouders of leerling

  • Voor hulpverlening aan de leerling

De school mag het leerlingdossier delen met medewerkers die direct betrokken zijn. Voor delen met externe partijen is nadrukkelijke toestemming van ouders of leerling nodig.

Veel scholen delen uit voorzichtigheid soms minder informatie dan eigenlijk mag. Binnen de AVG kan echter meer dan je denkt, zolang het zorgvuldig en juridisch klopt.

Rechten van leerlingen en ouders rondom privacy

Leerlingen en ouders hebben verschillende rechten als scholen hun persoonsgegevens verwerken. Deze rechten zorgen ervoor dat ze controle houden over hun privacy.

Recht op inzage, correctie en verwijdering

Recht op inzage betekent dat leerlingen en ouders mogen weten welke persoonsgegevens de school over hen heeft. De school moet binnen een maand antwoorden.

Dit geldt voor alle gegevens die de school verwerkt. Ouders kunnen dit recht namens hun minderjarige kinderen gebruiken.

Leerlingen van 16 jaar en ouder mogen zelf om inzage vragen.

Het recht op correctie betekent dat onjuiste gegevens aangepast moeten worden. Als een school verkeerde informatie heeft, kunnen ouders of leerlingen dit laten wijzigen.

Recht op verwijdering houdt in dat gegevens gewist kunnen worden in bepaalde situaties. Bijvoorbeeld als de gegevens niet meer nodig zijn voor het oorspronkelijke doel.

De school kan weigeren gegevens te wissen als ze wettelijk verplicht zijn om deze te bewaren. Denk aan gegevens voor diploma-uitgifte of de financiële administratie.

Toestemming en ouderlijke betrokkenheid

Voor kinderen onder de 16 jaar hebben ouders het recht om toestemming te geven voor het verwerken van persoonsgegevens. Dit geldt vooral bij vrijwillige activiteiten, zoals schoolfoto’s of nieuwsbrieven.

Vanaf 16 jaar mogen leerlingen zelf toestemming geven. Dan hoeven ouders niet meer te tekenen.

Toestemming moet altijd vrijwillig zijn. Ouders en leerlingen moeten echt een keuze hebben, en weten waarvoor ze toestemming geven.

Gegeven toestemming kan altijd worden ingetrokken. De school moet dat respecteren en de verwerking stoppen, voor zover het om die toestemming ging.

Voor sommige gegevens is geen toestemming nodig. Dit zijn gegevens die de school nodig heeft voor het onderwijs, zoals namen en adressen voor inschrijving.

Bezwaar maken en klachten indienen

Ouders en leerlingen kunnen bezwaar maken tegen het verwerken van hun persoonsgegevens. Dit doen ze schriftelijk bij de school.

De school heeft zes weken om te reageren. Bezwaar maken kan alleen als er bijzondere persoonlijke omstandigheden zijn.

De school weegt dan het belang van de leerling af tegen het belang van het onderwijs.

Klachten kunnen ingediend worden bij de Autoriteit Persoonsgegevens als de school privacy-regels schendt. Bijvoorbeeld als de school niet reageert of onzorgvuldig omgaat met gegevens.

Ouders moeten eerst proberen het probleem met de school op te lossen. Pas daarna kan de AP ingrijpen.

De school moet ouders en leerlingen informeren over hun rechten. Deze info hoort begrijpelijk te zijn, zeker voor leerlingen.

Best practices en praktische tips voor scholen

Scholen kunnen hun AVG-naleving verbeteren door een duidelijk privacybeleid te maken. Extra aandacht voor digitale tools is ook slim.

De Functionaris Gegevensbescherming speelt hierin een grote rol.

Ontwikkeling van een privacybeleid

Een goed privacybeleid is de basis voor gegevensbescherming in het onderwijs. Hierin staat welke persoonsgegevens de school verzamelt en waarom.

Het verwerkingsregister is verplicht voor alle scholen. Daarin staan alle gegevensverwerkingen van de school.

Scholen moeten het register bijhouden als er iets verandert.

Belangrijke elementen van het privacybeleid:

  • Welke gegevens worden verzameld

  • Waarom deze gegevens nodig zijn

  • Hoe lang gegevens worden bewaard

  • Met wie gegevens worden gedeeld

  • Welke rechten leerlingen en ouders hebben

Scholen moeten ouders en leerlingen informeren over gegevensverwerking. Die uitleg moet eenvoudig zijn, vooral voor jongere leerlingen.

Aandachtspunten bij digitale toepassingen

Digitale leermiddelen brengen extra privacyrisico’s met zich mee. Scholen moeten goed kijken welke gegevens deze tools verzamelen en hoe ze die gebruiken.

Checklist voor digitale tools:

  • Is er een verwerkersovereenkomst getekend?

  • Worden gegevens buiten Europa opgeslagen?

  • Welke gegevens verzamelt de applicatie?

  • Kunnen leerlingen en ouders hun rechten uitoefenen?

Scholen moeten technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Denk aan sterke wachtwoorden of toegang beperken tot noodzakelijke medewerkers.

Bij het kiezen van nieuwe digitale tools doen scholen een privacy impact assessment. Zo zien ze vooraf waar de risico’s liggen.

Rol van de Functionaris Gegevensbescherming (FG)

De Functionaris Gegevensbescherming (FG) helpt scholen bij het naleven van de AVG. Deze persoon geeft advies over privacy en houdt toezicht op de regels binnen de school.

De FG doet best veel:

  • Adviseren over privacyvraagstukken

  • Controleren of de school AVG-regels volgt

  • Opleiden van medewerkers

  • Aanspreekpunt zijn voor autoriteiten

Veel scholen delen een FG met andere scholen om kosten te besparen. Dat mag, zolang de FG genoeg tijd en middelen heeft.

De FG moet onafhankelijk kunnen werken. De school mag de FG niet straffen voor kritisch advies, ook niet als dat onhandig uitkomt.

Frequently Asked Questions

Scholen hebben specifieke verplichtingen onder de AVG bij het verzamelen en beschermen van leerlinggegevens. Ouders en leerlingen hebben duidelijke rechten die scholen moeten respecteren.

Welke soorten gegevens mag een school verzamelen volgens de Algemene Verordening Gegevensbescherming (AVG)?

Een school mag alleen persoonsgegevens verzamelen die nodig zijn voor het onderwijs. Denk aan naam, adres, geboortedatum en contactgegevens van ouders.

Medische info mag alleen als het nodig is voor de veiligheid van de leerling. Bijvoorbeeld bij allergieën of medicijngebruik op school.

Voor foto’s en video’s van leerlingen is altijd toestemming van ouders nodig. Scholen mogen deze beelden niet voor commerciële doeleinden gebruiken.

Gegevens over prestaties en gedrag mogen scholen verzamelen voor onderwijsdoeleinden. Die informatie moet relevant zijn voor de ontwikkeling van de leerling.

Hoe moet een school omgaan met de toestemming van ouders voor het verwerken van gegevens van minderjarige leerlingen?

Ouders van leerlingen onder de 16 jaar bepalen of ze toestemming geven voor het verwerken van persoonsgegevens. De school moet die toestemming altijd duidelijk en specifiek vragen.

Het is belangrijk dat de school helder uitlegt welke gegevens ze verzamelt en waarom. Ouders moeten die uitleg makkelijk kunnen begrijpen.

Ouders mogen hun toestemming op elk moment intrekken. Als dat gebeurt, moet de school direct stoppen met het verwerken van die gegevens.

Zodra een leerling 16 jaar is, beslist die zelf over het geven van toestemming. Ouders staan dan buitenspel.

Op welke wijze dient een school de beveiliging van leerlinggegevens te waarborgen?

Scholen nemen technische maatregelen om gegevens te beschermen. Denk aan sterke wachtwoorden, versleuteling en het regelmatig bijwerken van systemen.

Alleen medewerkers die leerlinggegevens echt nodig hebben, krijgen toegang. Leraren mogen bijvoorbeeld alleen de gegevens van hun eigen klas zien.

Papieren dossiers horen in afsluitbare kasten. Computers met leerlinggegevens moeten zichzelf vergrendelen als ze even niet gebruikt worden.

Elke school houdt een verwerkingsregister bij. Daarin staat welke gegevens ze verzamelen en hoe ze die beveiligen.

Wat zijn de rechten van leerlingen en ouders inzake de inzage en correctie van verzamelde gegevens?

Ouders hebben het recht om te weten welke gegevens de school over hun kind bijhoudt. De school moet die informatie binnen een maand geven.

Zitten er fouten in de gegevens? Dan moet de school die corrigeren als ouders daarom vragen.

De school mag geen geld vragen voor het aanpassen van gegevens. Dat zou ook een beetje gek zijn, toch?

Ouders en leerlingen kunnen verzoeken om bepaalde gegevens te laten verwijderen. Dat kan alleen als de school die gegevens niet meer nodig heeft voor het onderwijs.

Het recht op inzage geldt trouwens ook voor digitale leeromgevingen. Ouders mogen dus meekijken naar wat hun kind daar doet.

Hoe lang mogen leerlinggegevens bewaard blijven door een school, en wanneer dienen ze verwijderd te worden?

De school mag onderwijsgegevens zoals cijfers en rapporten maximaal vijf jaar bewaren nadat een leerling vertrekt. Die termijn staat in de wet.

Medische gegevens gooit de school weg zodra de leerling afscheid neemt. Die info is alleen tijdens de schooltijd van belang.

Foto’s en video’s van schoolactiviteiten mag de school alleen bewaren zolang dat echt nodig is. Meestal verdwijnen die na het schooljaar.

Contactgegevens van oud-leerlingen mag de school alleen bewaren met hun uitdrukkelijke toestemming. Die gegevens zijn vooral handig voor alumni-activiteiten, maar nooit zomaar.

Welke protocollen moet een school volgen bij een datalek betreffende leerlinggegevens?

Een school moet een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Dit geldt voor alle ernstige datalekken.

Als het lek risico’s oplevert voor een kind, moeten ouders daarvan op de hoogte worden gebracht. De school hoort uit te leggen wat er precies is gebeurd en welke stappen ze nu nemen.

Het is belangrijk dat de school direct probeert het lek te stoppen. Ze onderzoeken waar het misging en checken alle betrokken systemen op andere problemen.

Scholen houden een register bij van datalekken. Zo kunnen ze patronen terugzien en proberen toekomstige problemen te voorkomen.

Previous
Gebrekkige instructies en waarschuwingen: waar ligt de grens? Inzicht en advies
Next
Duurzaam productontwerp en circulariteit: juridische verplichtingen voor producenten
Privacy Settings
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
Youtube
Consent to display content from - Youtube
Vimeo
Consent to display content from - Vimeo
Google Maps
Consent to display content from - Google
Spotify
Consent to display content from - Spotify
Sound Cloud
Consent to display content from - Sound
Save

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Ma/Vrij 08.00-22.00
Za/Zo 9.00-17.00
[email protected]
+31 40 369 06 80