Uitwisselen van persoonsgegevens
Scholen bewaren gegevens over leerlingen in leerlingdossiers. Zo’n dossier bestaat voor een deel uit administratieve gegevens. Daarnaast worden in het leerlingdossier de ontwikkeling, het gedrag en de leerprestaties van een leerling vastgelegd. Ontvangt een leerling extra begeleiding of passend onderwijs? Dan worden er naast reguliere persoonsgegevens vaak ook bijzondere persoonsgegevens vastgelegd, bijvoorbeeld over de gezondheid van een leerling. Bij het uitwisselen van deze persoonsgegevens zijn er verschillende zaken waar je rekening mee moet houden. Je mag niet altijd alle persoonsgegevens delen en in sommige gevallen heb je toestemming van ouders nodig.
Bij het inschrijven op een basisschool mag je als school vanzelfsprekend bepaalde persoonsgegevens opvragen. Stapt een leerling over van het po naar het vo? Dan ben je wettelijk verplicht informatie te delen via een onderwijskundig dossier of overstapdossier. Let er wel op dat je alleen noodzakelijke gegevens deelt. Scholen moeten aparte afspraken maken als ze persoonsgegevens willen uitwisselen met een onderwijskundige, pedagoog, psycholoog of een andere organisatie. Onderaan deze pagina onder het kopje “Hou rekening met” vind je alle situaties tegen waarin je als school mogelijk gegevens uitwisselt.
Let op: toets- en examenresultaten zijn ook persoonsgegevens. Voor het delen ervan met derden moet je dus ook toestemming vragen. Meer informatie vind je op de pagina Digitaal toetsen.
Is het wettelijk verplicht?
Soms is het uitwisselen van persoonsgegevens verplicht. Bijvoorbeeld bij het uitwisselen met DUO en bij een overgang van po naar vo. Is het niet verplicht? Dan is het uitwisselen van persoonsgegevens een keuze. Je bent dan verplicht je keuze te onderbouwen met het doel waarmee je uitwisselt en de redenen waarom je uitwisselt. Die redenen heten grondslag. In alle gevallen moet er een passende beveiliging voor de uitwisseling zijn.
Meer informatie vind je in artikel 5.1 lid f en artikel 6 van de AVG. Raadpleeg het normenkader IBP po vo voor maatregelen die hierbij horen.
Wie doet wat?
Bij het uitwisselen van persoonsgegevens met externe partijen zijn op school verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuur ziet erop toe dat persoonsgegevens altijd met duidelijke afspraken worden uitgewisseld. Het bestuur sluit overeenkomsten bij het uitwisselen, delen of verwerken van persoonsgegevens met externe partijen.
- Leraren en directie selecteren de te delen persoonsgegevens.
- De administratie wisselt in de praktijk de persoonsgegevens uit.
Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.
Aan de slag
Zo verloopt het uitwisselen van persoonsgegevens in de praktijk.
Stap 1 | Deel alleen de noodzakelijke persoonsgegevens
Van de AVG mag je niet meer persoonsgegevens delen dan noodzakelijk. Weeg dus zorgvuldig af welke persoonsgegevens je wel en niet deelt en deel nooit zo maar een heel leerlingdossier.
Stap 2 | Controleer of ouders toestemming moeten verlenen
Heb je voor een leerling een speciaal handelingsplan en wil je inzage in het onderliggende rapport? Dan moet je ouders om toestemming vragen. Stapt een leerling over van po naar vo, van vo naar vo of van vo naar mbo? Dan mag je de persoonsgegevens uitwisselen zonder toestemming van de ouders. In alle andere gevallen is wel toestemming nodig.
Stap 3 | Deel de persoonsgegevens via OSO of op papier
Ben je als school aangesloten op de OverstapService Onderwijs (OSO)? Dan kun je veilig persoonsgegevens uitwisselen met andere scholen en samenwerkingsverbanden passend onderwijs. Gebruikt de organisatie waarmee je de persoonsgegevens wilt uitwisselen geen systeem zoals OSO voor een veilige uitwisseling? Wissel de persoonsgegevens dan uit op papier. Verzend nooit persoonsgegevens per onbeveiligde e-mail.
Hou rekening met
Kopie ID-bewijs
Bij inschrijving van een leerling, bijvoorbeeld op een middelbare school, mag je vragen naar een identiteitsbewijs. Je mag geen kopie van het ID vragen en dat bewaren in het dossier. Daar is geen grondslagDe (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang. voor. Om toch praktisch te kunnen handelen bij de inschrijving, kun je een kopie van het ID vragen voor een afgesproken periode van maximaal een week. Alleen degene die de inschrijving regelt, mag dit document inzien. De kopie moet tot de inschrijving is afgerond, veilig opgeborgen worden in een afsluitbare ruimte of kast. Na de inschrijving moet de kopie teruggegeven of vernietigd worden, bijvoorbeeld in een shredder. Let op: voor medewerkers gelden andere regels. Het opslaan van een kopie van het ID-bewijs in het personeelsdossier is verplicht. Meer informatie vind je op de website van de Autoriteit Persoonsgegevens of de Rijksoverheid.
Uitwisseling PGN
Iedere leerling heeft een persoonsgebonden nummer (PGN). Het PGN is gebaseerd op het BSN. Het PGN mag alleen worden uitgewisseld met een andere organisatie als daar een wettelijke grond voor is. Bijvoorbeeld in de communicatie met (de ouders van) de leerling, bij de overstap naar een andere school of als een school optreedt als een expertisecentrum. Let op: Het PGN mag niet uitgewisseld worden met samenwerkingsverbanden passend onderwijs. Meer informatie over het PGN vind je op de website van de Rijksoverheid.
Starten op het po
Om een leerling aan te melden voor een po school mag de po school beschikken over een minimaal aantal persoonsgegevens van de leerling en de ouders. Om de leerling in te schrijven, mag de po school aanvullende gegevens vragen met een inschrijfformulier po.
Overstap van po naar po of van po naar vo
Stapt een leerling over van po naar po of van po naar vo? Dan ben je wettelijk verplicht informatie te delen met de nieuwe school via een onderwijskundig rapport (OKR) of overstapdossier. De nieuwe school mag via het PGN het OKR opvragen. Bij het samenstellen van het OKR moet een school dataminimalisatie toepassen. In de praktijk betekent dit dat je alleen die gegevens deelt die relevant zijn voor het leren en begeleiden van de leerling op de nieuwe school. Gebruik je OSO? Dan kan alleen wettelijk toegestane informatie worden overgedragen en wordt dataminimalisatie automatisch toegepast. Ouders mogen het OKR inzien, maar ze mogen het niet wijzigen of het delen ervan weigeren. Ze kunnen wel aangeven dat ze het met onderdelen niet eens zijn. Dat wordt dan in het dossier opgenomen. Is er geen OKR beschikbaar? Dan kan de nieuwe school gegevens opvragen bij de ouders. Ga hier zeer zorgvuldig mee om en gebruik in dat geval het aanmeldformulier van Kennisnet.
Overstap van vo naar vo of van vo naar mbo of hoger onderwijs
Stapt een leerling over van de ene vo-school naar de andere? Of naar een mbo-opleiding? Ook dan maak je een onderwijskundig rapport of overstapdossier en deel je alleen relevante persoonsgegevens. Ouders of leerlingen ouder dan 16 jaar hebben recht op inzage in het onderwijskundig rapport of overstapdossier, maar hun toestemming is niet nodig voor overdracht aan de nieuwe school. Het advies is om deze inzage actief te verschaffen voordat de overdracht plaatsvindt.
Passend onderwijs
Krijgt een leerling begeleiding van een hulpverlener die in dienst is van het bestuur? Dan gelden voor het uitwisselen van informatie over de leerling dezelfde regels als wanneer het een externe begeleider is. Leg de afspraken over uitwisseling van persoonsgegevens vast. Lukt het niet de begeleiding op school te regelen? Schakel dan het samenwerkingsverband passend onderwijs (swv) in. Het swv is zelf verwerkingsverantwoordelijke. Wil je meer weten over passend onderwijs? Bekijk dan de digitale tool voor passend onderwijs en privacy.
Verzuim
Een leerplichtambtenaar heeft alleen recht op die informatie die hij nodig heeft voor de uitoefening van zijn werk. Dat betekent dat een leerplichtambtenaar in geen geval een account mag krijgen voor een leerlingvolgsysteem en daar ook zeker niet om mag vragen. Bekijk het overzicht van de gegevens die met een leerplichtambtenaar gedeeld mogen worden.
Uitwisseling met Ouderraad voor innen vrijwillige bijdrage
Wordt de vrijwillige ouderbijdrage geïnd door de ouderraad? Dan krijgt de ouderraad de minimale persoonsgegevens om ouders te kunnen benaderen en de bijdrage te innen. De ouderraad is in dit geval een zogeheten verwerkingsverantwoordelijke. Dat betekent dat de ouderraad zelf moet zorgen dat de beveiliging van de persoonsgegevens op orde is en dat de privacy gegarandeerd is. Met andere woorden: de ouderraad moet aan de AVG voldoen. Maakt de ouderraad gebruik van een (communicatie)systeem van de school om de bijdrage te innen? In dat geval moet de ouderraad een verwerkersovereenkomst afsluiten met de school. De school is dan verwerker geworden namens de ouderraad
Integraal Kindcentrum (IKC)
Een IKC is een samenwerking van een kinderdagverblijf en/of voorschoolse, tussenschools en buitenschools opvang met een school in het primair onderwijs. Werk je als school samen met deze opvangorganisaties? Hou er dan rekening mee dat je niet zo maar gegevens van leerlingen mag uitwisselen. Ook als je in hetzelfde pand zit. Je blijft allebei verwerkingsverantwoordelijk voor de gegevens die je beheert. Maak je gebruik van gedeelde voorzieningen waarbij persoonsgegevens worden gedeeld? Denk bijvoorbeeld aan cameratoezicht. Dan ben je “gezamenlijk verwerkingsverantwoordelijk”. Daar gelden aparte regels voor. Er zijn ook andere manieren om praktische zaken gezamenlijke voorzieningen juridisch goed te regelen. Meer informatie vind je op de website van de PO-Raad. In het rapport Samenwerking in Beeld 2 lees je meer over de samenwerking tussen kinderopvang en basisscholen en een mogelijke samenwerking met samenwerkingsverbanden voor passend onderwijs.
Opleidingsscholen
Bij stages van studenten van (universitaire) pabo’s/lerarenopleidingen worden persoonsgegevens van studenten uitgewisseld en geregistreerd. Daarnaast krijgen studenten in opleiding toegang tot persoonsgegevens van leerlingen, er worden mogelijk beeld- en geluidsopnamen gemaakt en studenten krijgen op hun stagescholen te maken met regels rondom het gebruik van sociale media. Dit alles vraagt om goede afspraken tussen de opleidingsinstituten, stagescholen en studenten. Gebruik daarvoor het document met veelgestelde vragen rond stages en opleidingsscholen en wat je op het gebied van privacy moet regelen.
Jeugdhulpverlening
In sommige gevallen vragen jeugdzorgaanbieders of gemeenten bij scholen persoonsgegevens op als een leerling jeugdhulpverlening ontvangt. Wissel nooit persoonsgegevens uit zonder daar eerst afspraken over te maken en vast te leggen wat ieders rechten en plichten zijn. Lees meer over privacy en de samenwerking met jeugdhulpverleners.
Gezondheidsonderzoeken
Scholen krijgen regelmatig de vraag om mee te werken aan onderzoeken over de gezondheid van leerlingen. Meer informatie over wat er wel en niet mag bij deze gezondheidsprojecten lees je in het artikel ‘Gegevensuitwisseling bij gezondheidsonderzoeken’ op de website van de Autoriteit Persoonsgegevens en in het artikel ‘Scholen niet wettelijk verplicht om persoonsgegevens aan Jeugdzorg te verstrekken’ op de website van de VO-raad.
Digitale leermiddelen en ECK iD
Het ECK iD is een uniek identificatienummer voor leerlingen in het po bij het gebruik van digitaal lesmateriaal. Met het ECK iD zijn andere gegevens zoals BSN, naam, geslacht en geboortedatum niet langer nodig om een leerling te herkennen.
Om gebruik te maken van digitale leermiddelen zijn vaak persoonsgegevens nodig. Denk aan een voor- en achternaam en een (school)e-mailadres. De leverancier van de applicatie vraagt toestemming aan het schoolbestuur om deze gegevens en het ECK iD te mogen verwerken, zodat zij de applicatie op de juiste manier kunnen laten werken. Hier is geen toestemming van de leerling of ouders nodig. Deze gegevens zijn namelijk nodig om onderwijs te kunnen geven. Meer informatie over ECK iD vind je op de website eck-id.nl.
Medische informatie
Op school kunnen er leerlingen of medewerkers van wie de gezondheid extra aandacht vraagt bij calamiteiten. Je mag als school die medische gegevens vastleggen die nodig zijn om die leerling van speciale begeleiding of bijzondere voorziening te voorzien. Het gaat dan dus om praktische informatie als “hoe handel je” bij die leerling met die notenallergie of die leerling die met de rolstoel in de lift naar een andere etage moet.
Bedrijfshulpverleners mogen niet zomaar een leerling- of personeelsdossier inzien. Je moet daarom als school ouders, leerlingen, of medewerker om toestemming vragen om medische gegevens vast te leggen die noodzakelijk zijn in het geval van een calamiteit. Deze informatie mag alleen met BHV’ers worden gedeeld. Daarom is het handig een aparte BHV-administratie aan te leggen met deze informatie. Deze administratie moet makkelijk toegankelijk zijn in geval van een calamiteit, maar ook zodanig beveiligd zijn dat onbevoegden daar niet zomaar in kunnen kijken.
Uitwisseling van gegevens met kinderdagopvang en bso
Wanneer een kind de overstap maakt van kinderdagopvang naar de basisschool, vindt vaak informatieoverdracht over het kind plaats tussen de kinderopvangorganisatie en de basisschool. Ook tussen buitenschoolse opvang en basisscholen vindt informatie-uitwisseling plaats. Meer informatie hierover vind je in de Handreiking ‘AVG en informatieoverdracht en -uitwisseling tussen kinderopvang en basisonderwijs’.
Deze handreiking beschrijft welke eisen de AVG stelt aan deze informatieoverdracht en -uitwisseling en biedt handvatten aan besturen van kinderopvang organisaties en scholen om met elkaar AVG-conforme afspraken over informatieoverdracht te maken. De bijlage met een voorbeeld toestemmingsformulier is ook beschikbaar in een Word-format.
Gegevensuitwisseling bij bewegingsonderwijs
Als het gaat om leerlingresultaten van bewegingsonderwijs is het belangrijk dat scholen de controle over deze gegevens hebben en houden. Ook als er buurtsportcoaches betrokken zijn bij het bewegingsonderwijs op school of als er een applicatie gebruikt wordt die het makkelijk maakt om gegevens te delen met bijvoorbeeld de gemeente of GGD.
De Handreiking gegevensuitwisseling bij bewegingsonderwijs biedt houvast bij het maken van goede afspraken hierover met softwareleveranciers en andere betrokken partijen, zoals gemeenten of sportorganisaties.