Adviespunt

Scholen werken op vele manieren met persoonsgegevens van leerlingen en medewerkers. Daarbij moet iedereen die met die persoonsgegevens werkt zich houden aan de wettelijk eisen die gelden volgens de Algemene Verordening Gegevensbescherming (AVG).

Verplichtingen

Volgens de AVG is het verzamelen en verwerken van persoonsgegevens alleen toegestaan als het een duidelijk doel heeft en het noodzakelijk is. De school heeft een verantwoordelijkheid in:

  • Het waarborgen van de privacy van de leerlingen en personeel.
  • Het informeren van ouders en leerlingen over de wijze waarop school persoonsgegevens verwerkt.
  • Het informeren van ouders over hun rechten.
  • Het niet zonder toestemming, of informeren van ouders, gegevens uitwisselen of openbaar maken.
  • Het beveiligen van persoonsgegevens om misbruik te voorkomen.
  • Het instrueren van medewerkers over wat is toegestaan rond het verzamelen en verwerken van persoonsgegevens.

Informeer ouders en leerlingen

Als schoolleiding heb je de plicht te vermelden op welke wijze uw school persoonsgegevens verwerkt en met welk doel. Dit kan in de schoolgids en bijvoorbeeld op de website.

Ook moet je als schoolleider de ouders en leerlingen wijzen op hun rechten. Zo hebben ouders van leerlingen tot 16 jaar én leerlingen vanaf 16 jaar het recht op:

  • inzage van hun gegevens,
  • het recht om wijzigingen te laten aanbrengen en/of
  • gegevens te laten verwijderen.

Dit inzagerecht omvat inzage in alles, behalve persoonlijke aantekeningen.

De school moet altijd inzage geven, tenzij de veiligheid en ontwikkeling van de leerling in gevaar komt. Wanneer de school inzage weigert, moet iemand met beslissingsbevoegdheid dit goed hebben afgewogen en goed kunnen onderbouwen. Ook moet je deze weigering vervolgens schriftelijk vastleggen.

Ouders van leerlingen tót 18 jaar én leerlingen zelf vanáf 18 jaar hebben inzage in de onderwijsresultaten en voortgang.

Wanneer je informatie met derden deelt, moet je ouders hierover informeren en mogelijk ook om toestemming vragen. Kijk voor meer informatie de publicatie Handreiking gegevensuitwisseling (pdf) van het NJi.

De vertrouwenspersoon en klachtenregistratie

De vertrouwenspersoon krijgt bij de behandeling van klachten met persoonsgebonden en privacygevoelige informatie te maken. Als vertrouwenspersoon moet je goed weten wat je wel en niet mag registreren met het oog op de privacywetgeving. Lees voor meer informatie Klachten, registratie en privacy.

Informeren bij incidenten en calamiteiten

Soms ontkom je er als schoolleiding er niet aan om ouders, leerlingen en personeel te informeren over een zaak waar medewerkers van school betrokken bij zijn. Zoals bijvoorbeeld bij ernstige (zeden)zaken, plotselinge afwezigheid van een personeelslid, een geruchtenstroom, politieonderzoek en media-aandacht.

In die gevallen weegt het collectief belang (van de schoolgemeenschap) zwaarder dan het individuele belang van de klager en aangeklaagde. Houd bij het verstekken van informatie vanuit het privacy-oogpunt van de betrokken schoolmedewerkers en leerlingen rekening met het volgende:

  • Gebruik neutrale bewoordingen, zowel mondeling als schriftelijk.
  • Noem geen details.
  • Noem geen namen.

Verwerkingsovereenkomst

Voor scholen in het po, vo en mbo zijn er standaardafspraken gemaakt met leveranciers van digitale leermiddelen en systemen voor de leerlingadministratie. Deze afspraken zorgen ervoor dat in het onderwijs door iedereen op dezelfde wijze veilig en verantwoord wordt omgegaan met persoonsgegevens. De afspraken zijn vastgelegd in het privacyconvenant. Bij dit convenant hoort een model verwerkersovereenkomst. Dit model maakt het makkelijker voor een school om de juiste afspraken te maken met haar leveranciers.

Deze afspraken zijn nodig omdat het volgens de AVG verplicht is ervoor te zorgen dat de verwerking van persoonsgegevens veilig gebeurt en dat de privacy gewaarborgd is. Dit geldt dus ook voor digitale leermiddelen en bijvoorbeeld de leerlingenadministratie. Zorg voor goede afspraken over informatiebeveiliging en privacy met de leveranciers en leg die vast in een verwerkersovereenkomst.

Wees zorgvuldig

Als iemand toegang heeft tot persoonsgegevens terwijl dat niet mag, dan spreken we over een datalek. Alle scholen hebben een meldplicht bij datalekken. Dit doe je bij het Meldloket datalekken van de Autoriteit Persoonsgegevens (AP).

Je moet een datalek zo snel mogelijk melden, en als het kan binnen 72 uur. Meld je het later? Dan moet je kunnen uitleggen waarom. Volgens de AVG is een school ook verplicht beveiligingsincidenten en datalekken bij te houden in een register.

Zorg dat je school zaken op orde heeft rond het proces van melden en dat de meldplicht bekend is bij medewerkers. Lees meer informatie over het Meldpunt datalekken op de website van de AP.


Vragen en advies

Voor vragen kunt je bellen met de adviespunt van Stichting School & Veiligheid.

Meer lezen

Wij zijn Stichting School & Veiligheid. Wij ondersteunen scholen bij het bevorderen van een sociaal veilig klimaat. Dit doen wij door:

Creëer een sociaal veilige sfeer op school

Blijf op de hoogte

Meld je aan voor onze nieuwsbrief
en ontvang iedere maand actuele informatie
over sociale veiligheid op school.