Doorgaan naar hoofdinhoud
  • Uitleg
  • |
  • Informatiebeveiliging en privacy
  • |
  • po
  • vo
  • mbo

De gouden privacyregels voor scholen: zo voldoe je aan de AVG

Elke school werkt dagelijks met persoonsgegevens van leerlingen, ouders en medewerkers. Het gebeurt bijna vanzelf: in het leerlingvolgsysteem, via digitale leermiddelen en apps of bij het plaatsen van foto’s op de website. De Algemene Verordening Gegevensbescherming (AVG) stelt hier duidelijke regels voor. Toch vragen veel scholen zich af: doen wij het eigenlijk wel goed en wat is nu echt belangrijk? We lichten hier toe waar je rekening mee moet houden bij het voldoen aan de AVG.

Door Khadija el Majdoubi

17 september 2025
7 minuten lezen

Het hart van de AVG

De kern van de AVG is te vinden in artikel 5 en artikel 6. Daarin staan de beginselen en de grondslagen: samen vormen zij het kompas voor alles wat je doet met persoonsgegevens. Een verwerking in strijd met deze artikelen is onrechtmatig. Artikel 5 beschrijft de beginselen. Dat zijn de ethische en juridische spelregels die altijd gevolgd moeten worden. Artikel 6 gaat over de grondslagen. Grondslagen vormen de wettelijke basis die nodig is om gegevens te mogen verwerken. Of je nu een nieuw leerlingvolgsysteem invoert, camera’s ophangt op het schoolplein, een ouderavond organiseert of een foto van een leerling op social media plaatst. Steeds moet je weten met welk doel je dat doet en op welke wettelijke basis dit rust. Alleen door artikel 5 en 6 zorgvuldig toe te passen, kan een school rechtmatig handelen, Maar hoe doe je dat?

Van regels naar praktijk: groeien met het Groeipad

Wetten en verordeningen klinken vaak abstract en daardoor ook vaak ingewikkeld. Dus kan het lastig zijn om de beginselen van de AVG te vertalen naar de praktijk van het klaslokaal of de schoolorganisatie. Het Groeipad helpt daarbij. In het voorbeeld IBP-beleid zijn de beginselen opgenomen als beleidsthema’s. Hoe je de beginselen toepast in je organisatie wordt daarnaast toegelicht in een aantal deelprojecten aan de hand van concrete stappen. Door het Groeipad te volgen, zet je de beginselen om van een abstract begrip naar concrete, dagelijkse praktijk. Een aantal beginselen zijn echter niet in deelprojecten in het Groeipad uitgewerkt: rechtmatigheid, doelbinding, dataminimalisatie en juistheid. Deze lichten we hieronder verder toe.

De gouden beginselen

In artikel 5 van de AVG staan een aantal uitgangspunten waar iedereen die gegevens verwerkt zich aan moet houden: rechtmatigheid, behoorlijkheid en transparantie, doelbinding, dataminimalisatie, juistheid, opslagbeperking en integriteit en verantwoordelijkheid. Ook de verantwoordingsplicht staat erin vermeld. Hoe je in de praktijk moet omgaan met die beginselen volgt uit verschillende deelprojecten in het Groeipad en in normen van het Normenkader. De beginselen die daar niet in terugkomen lichten we hieronder wat uitgebreider toe.

Rechtmatigheid

Elke verwerking van persoonsgegevens moet rechtmatig zijn. Dat betekent dat er altijd een geldige reden moet zijn om persoonsgegevens te verwerken, anders mag het niet. Wat een geldige reden is vind je terug in de grondslagen van de AVG:

  • Toestemming. Bijvoorbeeld: de ouders geven akkoord voor foto’s in de schoolgids.
  • Uitvoering van een overeenkomst. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. Bijvoorbeeld: het gebruiken van adresgegevens om lesmateriaal te sturen.
  • Een wettelijke verplichting. De gegevensverwerking is vereist door wetgeving. Bijvoorbeeld: het aanmelden van leerlingen bij de leerplichtambtenaar.
  • Een vitaal belang. De gegevensverwerking is noodzakelijk om iemand te beschermen. Bijvoorbeeld: bij een medisch noodgeval worden relevante gegevens gedeeld met een arts.
  • Een taak van algemeen belang. De gegevensverwerking is noodzakelijk voor het uitvoeren van een publieke taak. Bijvoorbeeld: het bieden van onderwijs.
  • Een gerechtvaardigd belang. De gegevensverwerking is noodzakelijk voor een legitiem belang van de school of een derde, mits de belangen van de betrokkene niet zwaarder wegen. Bijvoorbeeld: het gebruik van cameratoezicht om vandalisme te voorkomen.

Behoorlijkheid

Een verwerking moet dus niet alleen voldoen aan de beginselen, maar ook rusten op een van de hierboven genoemde 6 grondslagen uit artikel 6 van de AVG. Maar rechtmatigheid gaat verder dan de letter van de wet. Het betekent ook eerlijk en zorgvuldig omgaan met gegevens. Dit noemen we ook wel het beginsel van behoorlijkheid of het eerlijkheidsbeginsel. Een school moet steeds afwegen: dienen we hiermee het belang van leerlingen, ouders en medewerkers, of vooral ons eigen belang?

Doelbinding

Gegevens mogen alleen verzameld worden voor een duidelijk en wettig doel. Dat doel moet vooraf vaststaan en mag niet later zomaar veranderd worden. Hou bij het beginsel doelbinding rekening met het volgende:

  • Zijn gegevens eenmaal verzameld? Dan mogen ze alleen gebruikt worden op een manier die past bij het oorspronkelijke doel. Denk bijvoorbeeld aan leerlinggegevens die worden verzameld om goed onderwijs te kunnen geven. Die gegevens mogen niet zomaar aan een andere partij worden doorgegeven of voor een ander doel worden gebruikt.
  • Zijn de gegevens verzameld vanwege een contract, een gerechtvaardigd belang of een noodsituatie? Dan is het alleen toegestaan ze opnieuw te gebruiken als de nieuwe verwerking goed aansluit bij het eerste doel. Daarbij moet gekeken worden naar de relatie met de leerling van wie de gegevens zijn, naar de soort gegevens, naar de gevolgen voor de leerling en of er genoeg bescherming is, zoals versleuteling.
  • Zijn gegevens verzameld met toestemming of omdat de wet het verplicht? Dan mogen ze niet gebruikt worden voor iets anders. In dat geval is altijd nieuwe toestemming of een nieuwe wettelijke reden nodig. Zo wordt voorkomen dat gegevens zonder reden gaan rondzwerven of voor onverwachte doeleinden worden ingezet.

Dataminimalisatie

Een school hoeft niet alles te weten om goed onderwijs te geven. Het principe van dataminimalisatie zegt dat alleen die gegevens verzameld en bewaard mogen worden die echt nodig zijn. Het is daarom belangrijk vooraf goed te bedenken welke gegevens je nodig hebt. Alles wat niet meer nodig is, moet verwijderd worden met inachtneming van de bewaartermijnen. Dat verkleint meteen het risico bij een datalek. Extra gegevens voor “het geval dat” bewaren mag niet, maar te weinig gegevens verzamelen werkt ook niet, omdat je dan misschien je doel niet kunt bereiken. Het vraagt dus om een zorgvuldige afweging en om een regelmatige controle of de gegevens die je bewaart nog nodig en relevant zijn.

Juistheid

Een verkeerd adres of fout telefoonnummer is misschien nog eenvoudig op te lossen, maar bij medische gegevens of noodsituaties kan een onjuist gegeven grote gevolgen hebben. Daarom schrijft de AVG voor dat scholen persoonsgegevens actueel en juist moeten houden. Hoe belangrijk het is om gegevens bij te werken, hangt af van het doel. Bij leerlingdossiers is dit van groot belang. Ook praktische wijzigingen – zoals een nieuw telefoonnummer van ouders of een verhuizing – moeten snel verwerkt worden. Door ouders en leerlingen de mogelijkheid te geven om hun gegevens eenvoudig zelf bij te werken in een portaal of formulier, blijft de administratie betrouwbaar en actueel. Daarnaast is het verstandig om periodiek – bijvoorbeeld aan het begin van elk schooljaar – actief te vragen of de gegevens nog actueel zijn, zodat fouten of verouderde informatie tijdig worden ontdekt en gecorrigeerd.

Opslagbeperking, integriteit en vertrouwelijkheid, verantwoordingsplicht en transparantie

De beginselen opslagbeperking, integriteit en vertrouwelijkheid, transparantie en verantwoordingsplicht worden in verschillende deelprojecten van het Groeipad en in normen van het Normenkader uitgelegd. We lichten ze hier kort toe.

  • Opslagbeperking is verder uitgewerkt in deelproject 3.3 Bewaren en vernietigen van gegevens. Het gaat over de vraag hoelang gegevens bewaard mogen worden. Persoonsgegevens mogen immers niet langer worden bewaard dan nodig is. Is het doel bereikt? Dan moeten gegevens worden verwijderd, tenzij de wet anders bepaalt.
  • Integriteit en vertrouwelijkheid zijn uitgewerkt in het informatiebeveiligingsdeel van het Normenkader IBP en gaat over het beveiligen van gegevens tegen ongeoorloofde toegang en verlies door middel van technische en organisatorische maatregelen. Met andere woorden, scholen moeten zorgen voor voldoende bescherming van persoonsgegevens door goede beveiliging, duidelijke toegangsregels en veilige werkplekken.
  • Verantwoordingsplicht is uitgewerkt in deelproject 5.8 Onafhankelijk toetsen van IBP. Het is eigenlijk niet echt een beginsel, maar houdt in dat scholen moeten kunnen aantonen dat zij de AVG naleven, bijvoorbeeld via het Normenkader IBP en onafhankelijke audits.
  • Transparantie. Ouders en leerlingen moeten vanaf het eerste contact begrijpen welke gegevens worden verzameld, waarom, op welke grondslag en met wie ze gedeeld worden. Een duidelijke privacyverklaring en heldere uitleg bij inschrijving maken het verschil. Het beginsel van transparantie is uitgebreid uitgewerkt in deelproject 4.2 Betrokkenen informeren over privacyrechten.

Let op

Het kan lijken alsof je klaar bent met de AVG als alle beginselen goed zijn toegepast. Maar privacy is nooit af. Naast de beoordeling van rechtmatigheid zijn ook verwerkersovereenkomsten en risicoanalyses – zoals een DPIA – essentieel. Privacy vraagt net als goed onderwijs om voortdurende aandacht en reflectie.

Privacy als kracht

Door artikel 5 en 6 serieus te nemen, doe je meer dan alleen maar voldoen aan de wet. Je versterkt het vertrouwen van ouders, leerlingen en medewerkers. Je verkleint de kans op datalekken en boetes. En je laat zien dat privacy niet iets is dat erbij komt, maar een vanzelfsprekend onderdeel is van goed onderwijs. Privacy is daarmee geen last, maar een kracht. Het draagt bij aan een veilige, betrouwbare en moderne leeromgeving waarin iedereen zich beschermd weet.

Groeipad en Normenkader IBP

Met de toenemende digitalisering in het onderwijs, nemen ook de dreigingen en privacyrisico’s toe. Wil jij dat jouw leerlingen en medewerkers veilig blijven leren en werken? Ga dan aan de slag met het Groeipad van het Normenkader IBP. Zo werk je stapsgewijs aan de digitale veiligheid van jouw school.

Start met het Groeipad

De onderwerpen waarover wij publiceren

Artificial intelligence Beleid en organisatie Digitale geletterdheid Ethiek Informatiebeveiliging en privacy Informatiemanagement Leermiddelen Professionalisering leraar Technologische innovatie