Uitwisselen van persoonsgegevens

Bij inschrijving van een leerling, bijvoorbeeld op een middelbare school, mag je vragen naar een identiteitsbewijs. Je mag geen kopie van het ID vragen en dat bewaren in het dossier. Daar is geen grondslagDe (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang. voor. Om toch praktisch te kunnen handelen bij de inschrijving, kun  je een kopie van het ID vragen voor een afgesproken periode van maximaal een week. Alleen degene die de inschrijving regelt, mag dit document inzien. De kopie moet tot de inschrijving is afgerond, veilig opgeborgen worden in een afsluitbare ruimte of kast. Na de inschrijving moet de kopie teruggegeven of vernietigd worden, bijvoorbeeld in een shredder. Let op: voor medewerkers gelden andere regels. Het opslaan van een kopie van het ID-bewijs in het personeelsdossier is verplicht. Meer informatie vind je op de website van de Autoriteit Persoonsgegevens of de Rijksoverheid.

Iedere leerling heeft een persoonsgebonden nummer (PGN). Het PGN is gebaseerd op het BSN. Het PGN mag alleen worden uitgewisseld met een andere organisatie als daar een wettelijke grond voor is. Bijvoorbeeld in de communicatie met (de ouders van) de leerling, bij de overstap naar een andere school of als een school optreedt als een expertisecentrum. Let op: Het PGN mag niet uitgewisseld worden met samenwerkingsverbanden passend onderwijs. Meer informatie over het PGN vind je op de website van de Rijksoverheid.

Om een leerling aan te melden voor een po school mag de po school beschikken over een minimaal aantal persoonsgegevens van de leerling en de ouders. Om de leerling in te schrijven, mag de po school aanvullende gegevens vragen met een inschrijfformulier po.

Stapt een leerling over van po naar po of van po naar vo? Dan ben je wettelijk verplicht informatie te delen met de nieuwe school via een onderwijskundig rapport (OKR) of overstapdossier. De nieuwe school mag via het PGN het OKR opvragen. Bij het samenstellen van het OKR moet een school dataminimalisatie toepassen. In de praktijk betekent dit dat je alleen die gegevens deelt die relevant zijn voor het leren en begeleiden van de leerling op de nieuwe school. Gebruik je OSO? Dan kan alleen wettelijk toegestane informatie worden overgedragen en wordt dataminimalisatie automatisch toegepast. Ouders mogen het OKR inzien, maar ze mogen het niet wijzigen of het delen ervan weigeren. Ze kunnen wel aangeven dat ze het met onderdelen niet eens zijn. Dat wordt dan in het dossier opgenomen. Is er geen OKR beschikbaar? Dan kan de nieuwe school gegevens opvragen bij de ouders. Ga hier zeer zorgvuldig mee om en gebruik in dat geval het aanmeldformulier van Kennisnet.

Stapt een leerling over van de ene vo-school naar de andere? Of naar een mbo-opleiding? Ook dan maak je een onderwijskundig rapport of overstapdossier en deel je alleen relevante persoonsgegevens. Ouders of leerlingen ouder dan 16 jaar hebben recht op inzage in het onderwijskundig rapport of overstapdossier, maar hun toestemming is niet nodig voor overdracht aan de nieuwe school. Het advies is om deze inzage actief te verschaffen voordat de overdracht plaatsvindt.

Krijgt een leerling begeleiding van een hulpverlener die in dienst is van het bestuur? Dan gelden voor het uitwisselen van informatie over de leerling dezelfde regels als wanneer het een externe begeleider is. Leg de afspraken over uitwisseling van persoonsgegevens vast. Lukt het niet de begeleiding op school te regelen? Schakel dan het samenwerkingsverband passend onderwijs (swv) in. Het swv is zelf verwerkingsverantwoordelijke. Wil je meer weten over passend onderwijs? Bekijk dan de digitale tool voor passend onderwijs en privacy.

Een leerplichtambtenaar heeft alleen recht op die informatie die hij nodig heeft voor de uitoefening van zijn werk. Dat betekent dat een leerplichtambtenaar in geen geval een account mag krijgen voor een leerlingvolgsysteem en daar ook zeker niet om mag vragen. Bekijk het overzicht van de gegevens die met een leerplichtambtenaar gedeeld mogen worden.

Wordt de vrijwillige ouderbijdrage geïnd door de ouderraad? Dan krijgt de ouderraad de minimale persoonsgegevens om ouders te kunnen benaderen en de bijdrage te innen. De ouderraad is in dit geval een zogeheten verwerkingsverantwoordelijke. Dat betekent dat de ouderraad zelf moet zorgen dat de beveiliging van de persoonsgegevens op orde is en dat de privacy gegarandeerd is. Met andere woorden: de ouderraad moet aan de AVG voldoen. Maakt de ouderraad gebruik van een (communicatie)systeem van de school om de bijdrage te innen? In dat geval moet de ouderraad een verwerkersovereenkomst afsluiten met de school. De school is dan verwerker geworden namens de ouderraad

Een IKC is een samenwerking van een kinderdagverblijf en/of voorschoolse, tussenschools en buitenschools opvang met een school in het primair onderwijs. Werk je als school samen met deze opvangorganisaties? Hou er dan rekening mee dat je niet zo maar gegevens van leerlingen mag uitwisselen. Ook als je in hetzelfde pand zit. Je blijft allebei verwerkingsverantwoordelijk voor de gegevens die je beheert. Maak je gebruik van gedeelde voorzieningen waarbij persoonsgegevens worden gedeeld? Denk bijvoorbeeld aan cameratoezicht. Dan ben je “gezamenlijk verwerkingsverantwoordelijk”. Daar gelden aparte regels voor. Er zijn ook andere manieren om praktische zaken gezamenlijke voorzieningen juridisch goed te regelen. Meer informatie vind je op de website van de PO-Raad. In het rapport Samenwerking in Beeld 2 lees je meer over de samenwerking tussen kinderopvang en basisscholen en een mogelijke samenwerking met samenwerkingsverbanden voor passend onderwijs.

Bij stages van studenten van (universitaire) pabo’s/lerarenopleidingen worden persoonsgegevens van studenten uitgewisseld en geregistreerd. Daarnaast krijgen studenten in opleiding toegang tot persoonsgegevens van leerlingen, er worden mogelijk beeld- en geluidsopnamen gemaakt en studenten krijgen op hun stagescholen te maken met regels rondom het gebruik van sociale media. Dit alles vraagt om goede afspraken tussen de opleidingsinstituten, stagescholen en studenten. Gebruik daarvoor het document met veelgestelde vragen rond stages en opleidingsscholen en wat je op het gebied van privacy moet regelen.

In sommige gevallen vragen jeugdzorgaanbieders of gemeenten bij scholen persoonsgegevens op als een leerling jeugdhulpverlening ontvangt. Wissel nooit persoonsgegevens uit zonder daar eerst afspraken over te maken en vast te leggen wat ieders rechten en plichten zijn. Lees meer over privacy en de samenwerking met jeugdhulpverleners.

Scholen krijgen regelmatig de vraag om mee te werken aan onderzoeken over de gezondheid van leerlingen. Meer informatie over wat er wel en niet mag bij deze gezondheidsprojecten lees je in het artikel ‘Gegevensuitwisseling bij gezondheidsonderzoeken’ op de website van de Autoriteit Persoonsgegevens en in het artikel ‘Scholen niet wettelijk verplicht om persoonsgegevens aan Jeugdzorg te verstrekken’ op de website van de VO-raad.

Het ECK iD is een uniek identificatienummer voor leerlingen in het po bij het gebruik van digitaal lesmateriaal. Met het ECK iD zijn andere gegevens zoals BSN, naam, geslacht en geboortedatum niet langer nodig om een leerling te herkennen.

Om gebruik te maken van digitale leermiddelen zijn vaak persoonsgegevens nodig. Denk aan een voor- en achternaam en een (school)e-mailadres. De leverancier van de applicatie vraagt toestemming aan het schoolbestuur om deze gegevens en het ECK iD te mogen verwerken, zodat zij de applicatie op de juiste manier kunnen laten werken. Hier is geen toestemming van de leerling of ouders nodig. Deze gegevens zijn namelijk nodig om onderwijs te kunnen geven. Meer informatie over ECK iD vind je op de website eck-id.nl.

Op school kunnen er leerlingen of medewerkers van wie de gezondheid extra aandacht vraagt bij calamiteiten. Je mag als school die medische gegevens vastleggen die nodig zijn om die leerling van speciale begeleiding of bijzondere voorziening te voorzien. Het gaat dan dus om praktische informatie als “hoe handel je” bij die leerling met die notenallergie of die leerling die met de rolstoel in de lift naar een andere etage moet.

Bedrijfshulpverleners mogen niet zomaar een leerling- of personeelsdossier inzien. Je moet daarom als school ouders, leerlingen, of medewerker om toestemming vragen om medische gegevens vast te leggen die noodzakelijk zijn in het geval van een calamiteit. Deze informatie mag alleen met BHV’ers worden gedeeld. Daarom is het handig een aparte BHV-administratie aan te leggen met deze informatie. Deze administratie moet makkelijk toegankelijk zijn in geval van een calamiteit, maar ook zodanig beveiligd zijn dat onbevoegden daar niet zomaar in kunnen kijken.

Wanneer een kind de overstap maakt van kinderdagopvang naar de basisschool, vindt vaak informatieoverdracht over het kind plaats tussen de kinderopvangorganisatie en de basisschool. Ook tussen buitenschoolse opvang en basisscholen vindt informatie-uitwisseling plaats. Meer informatie hierover vind je in de Handreiking ‘AVG en informatieoverdracht en -uitwisseling tussen kinderopvang en basisonderwijs’. 

Deze handreiking beschrijft welke eisen de AVG stelt aan deze informatieoverdracht en -uitwisseling en biedt handvatten aan besturen van kinderopvang organisaties en scholen om met elkaar AVG-conforme afspraken over informatieoverdracht te maken. De bijlage met een voorbeeld toestemmingsformulier  is ook beschikbaar in een Word-format. 

Als het gaat om leerlingresultaten van bewegingsonderwijs is het belangrijk dat scholen de controle over deze gegevens hebben en houden. Ook als er buurtsportcoaches betrokken zijn bij het bewegingsonderwijs op school of als er een applicatie gebruikt wordt die het makkelijk maakt om gegevens te delen met bijvoorbeeld de gemeente of GGD. 

De Handreiking gegevensuitwisseling bij bewegingsonderwijs biedt houvast bij het maken van goede afspraken hierover met softwareleveranciers en andere betrokken partijen, zoals gemeenten of sportorganisaties.