Aanpak IBPUitwisselen van persoonsgegevens

Uitwisselen van persoonsgegevens

Scholen bewaren gegevens over leerlingen in leerlingdossiers. Zo’n dossier bestaat voor een deel uit administratieve gegevens. Daarnaast worden in het leerlingdossier de ontwikkeling, het gedrag en de leerprestaties van een leerling vastgelegd. Ontvangt een leerling extra begeleiding of passend onderwijs? Dan worden er naast reguliere persoonsgegevens vaak ook bijzondere persoonsgegevens vastgelegd, bijvoorbeeld over de gezondheid van een leerling. Scholen moeten aparte afspraken maken als ze persoonsgegevens willen uitwisselen met een onderwijskundige, pedagoog, psycholoog of een andere organisatie.

Op scholen zijn er een aantal situaties waarin persoonsgegevens worden uitgewisseld, waaronder:

  • Passend onderwijs
    Krijgt een leerling begeleiding van een hulpverlener die in dienst is van het bestuur? Dan gelden voor het uitwisselen van informatie over de leerling dezelfde regels als wanneer het een externe begeleider is. Leg de afspraken over uitwisseling van persoonsgegevens vast. Lukt het niet de begeleiding op school te regelen? Schakel dan het samenwerkingsverband passend onderwijs (swv) in. Het swv is zelf verwerkingsverantwoordelijke. Wil je meer weten over passend onderwijs? Bekijk dan de digitale tool voor passend onderwijs en privacy.
  • Opleidingsscholen
    Bij stages van studenten van (universitaire) pabo’s/lerarenopleidingen worden persoonsgegevens van studenten uitgewisseld en geregistreerd. Daarnaast krijgen studenten in opleiding toegang tot persoonsgegevens van leerlingen, er worden mogelijk beeld- en geluidsopnamen gemaakt en studenten krijgen op hun stagescholen te maken met regels rondom het gebruik van sociale media. Dit alles vraagt om goede afspraken tussen de opleidingsinstituten, stagescholen en studenten. Gebruik daarvoor het document met veelgestelde vragen rond stages en opleidingsscholen en wat je op het gebied van privacy moet regelen.
  • Jeugdhulpverlening
    In sommige gevallen vragen jeugdzorgaanbieders of gemeenten bij scholen persoonsgegevens op als een leerling jeugdhulpverlening ontvangt. Wissel nooit persoonsgegevens uit zonder daar eerst afspraken over te maken en vast te leggen wat ieders rechten en plichten zijn. Meer over privacy en de samenwerking met jeugdhulpverleners.
  • Overstap van po naar po of van po naar vo
    Als een leerling overstapt naar een andere school, ben je wettelijk verplicht informatie te delen met de nieuwe school via een onderwijskundig rapport (okr) of overstapdossier. Via een okr of overstapdossier deel je alleen de persoonsgegevens die relevant zijn voor het leren en begeleiden van de leerling op de nieuwe school. Deel dus nooit het gehele leerlingdossier. Ouders mogen dit dossier (gedeeltelijk) inzien, maar ze mogen het niet wijzigen of het delen ervan weigeren. Ze kunnen wel aangeven dat ze het er niet mee eens zijn. Dat wordt dan als bijlage meegestuurd.
  • Overstap van vo naar vo of van vo naar mbo of hoger onderwijs
    Stapt een leerling over van de ene vo-school naar de andere? Ook dan maak je een onderwijskundig rapport of overstapdossier en deel je alleen relevante persoonsgegevens. In dit geval moeten ouders wel toestemming geven voor de overdracht van het dossier.
  • Verzuim
    Een leerplichtambtenaar heeft alleen recht op die informatie die hij nodig heeft voor de uitoefening van zijn werk. Dat betekent dat een leerplichtambtenaar in geen geval een account mag krijgen voor een leerlingvolgsysteem en daar ook zeker niet om mag vragen. Bekijk het overzicht van de gegevens die met een leerplichtambtenaar gedeeld mogen worden.
  • Uitwisseling met Ouderraad voor innen vrijwillige bijdrage
    Wordt de vrijwillige ouderbijdrage geïnd door de ouderraad? Dan krijgt de ouderraad de minimale persoonsgegevens om ouders te kunnen benaderen en de bijdrage te innen. De ouderraad is in dit geval een zogeheten verwerkingsverantwoordelijke. Dat betekent dat de ouderraad zelf moet zorgen dat de beveiliging van de persoonsgegevens op orde is en dat de privacy gegarandeerd is. Met andere woorden: de ouderraad moet aan de AVG voldoen. Maakt de ouderraad gebruik van een (communicatie)systeem van de school om de bijdrage te innen? In dat geval moet de ouderraad een verwerkersovereenkomst afsluiten met de school. De school is dan verwerker geworden namens de ouderraad.

Is het wettelijk verplicht?

Soms is het uitwisselen van persoonsgegevens verplicht. Bijvoorbeeld bij het uitwisselen met DUO en bij een overgang van po naar vo. Is het niet verplicht? Dan is het uitwisselen van persoonsgegevens een keuze. Je bent dan verplicht je keuze te onderbouwen met het doel waarmee je uitwisselt en de redenen waarom je uitwisselt. Die redenen heten ook wel ‘grondslag’. In alle gevallen moet er een passende beveiliging voor de uitwisseling zijn.

Meer informatie vind je in artikel 5.1 lid f en artikel 6 van de AVG.

Wie doet wat?

In het overzicht hieronder zie je wie wat doet bij het uitwisselen van persoonsgegevens met externe partijen.

Verantwoordelijkheid


Schoolbestuur.
Erop toezien dat persoonsgegevens niet zonder duidelijke afspraken worden uitgewisseld. Het sluiten van overeenkomsten bij het uitwisselen, delen of verwerken van persoonsgegevens.

Uitvoering


Leraren
en directie
Selectie maken van de te delen persoonsgegevens.
Administratie
De administratie wisselt in de praktijk de persoonsgegevens uit.

Toestemming


Ouders
Bij het uitwisselen van persoonsgegevens met jeugdhulpverleners voor een behandeling moeten ouders toestemming verlenen. Bij het uitwisselen van een overstapdossier bij het overstappen van een po naar een vo-school hoeven ouders geen toestemming te geven. Stapt een scholier over van vo naar vo? Dan is er wel toestemming nodig.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Zo verloopt het uitwisselen van persoonsgegevens in de praktijk.

Stap 1 | Deel alleen de noodzakelijke persoonsgegevens

Van de AVG mag je niet meer persoonsgegevens delen dan noodzakelijk. Weeg dus zorgvuldig af welke persoonsgegevens je wel en niet deelt en deel nooit zo maar een heel leerlingdossier.

Stap 2 | Controleer of ouders toestemming moeten verlenen

Heb je voor een leerling een speciaal handelingsplan en wil je inzage in het onderliggende rapport? Dan moet je ouders om toestemming vragen. Stapt een leerling over van po naar vo? Dan mag je de persoonsgegevens uitwisselen zonder toestemming van de ouders. In alle andere gevallen is wel toestemming nodig.

Stap 3 | Deel de persoonsgegevens via OSO of op papier

Ben je als school aangesloten op de OverstapService Onderwijs (OSO)? Dan kun je veilig persoonsgegevens uitwisselen met andere scholen en samenwerkingsverbanden passend onderwijs. Gebruikt de organisatie waarmee je de persoonsgegevens wilt uitwisselen geen systeem zoals OSO voor een veilige uitwisseling? Wissel de persoonsgegevens dan uit op papier. Verzend nooit persoonsgegevens per onbeveiligde e-mail.

Hou rekening met

Medische informatie

Op school kunnen er leerlingen of medewerkers van wie de gezondheid extra aandacht vraagt bij calamiteiten. Denk aan een leerling met een notenallergie die een epi-pen bij zich heeft of een medewerker in een rolstoel. Je mag als school die medische gegevens als dat nodig is om die leerlingen of medewerkers van speciale begeleiding of bijzondere voorzieningen te voorzien. Meestal leg je de informatie vast in het leerling- of personeelsdossier.

Bedrijfshulpverleners mogen niet zomaar een leerling- of personeelsdossier inzien. Je moet daarom als school ouders, leerlingen, of medewerker om toestemming vragen om medische gegevens vast te leggen die noodzakelijk zijn in het geval van een calamiteit. Deze informatie mag alleen met BHV’ers worden gedeeld. Daarom is het handig een aparte BHV-administratie aan te leggen met deze informatie. Deze administratie moet makkelijk toegankelijk zijn in geval van een calamiteit, maar ook zodanig beveiligd zijn dat onbevoegden daar niet zomaar in kunnen kijken.

Uitwisseling PGN

Iedere leerling heeft een persoonsgebonden nummer (PGN). Het PGN is gebaseerd op het BSN. Het PGN mag alleen worden uitgewisseld met een andere organisatie als daar een wettelijke grond voor is. Bijvoorbeeld in de communicatie met (de ouders van) de leerling, bij de overstap naar een andere school of als een school optreedt als een expertisecentrum. Let op: Het PGN mag niet uitgewisseld worden met samenwerkingsverbanden passend onderwijs. Meer informatie over het PGN vind je op de website van de Rijksoverheid

ECK iD

ECK staat voor Educatieve ContentKeten.

Het ECK iD is een uniek identificatienummer van 128 karakters voor leerlingen in het po bij het gebruik van digitaal lesmateriaal. Het is belangrijk dat een leerling herkend wordt als dezelfde leerling. Denk bijvoorbeeld aan het maken van huiswerkopdrachten online, zodat de leerling kan doorgaan waar hij of zij gebleven was.

Met het ECK iD zijn andere gegevens zoals BSN, naam, geslacht en geboortedatum niet langer nodig om een leerling te herkennen.

Om gebruik te maken van digitale leermiddelen zijn vaak meer persoonsgegevens nodig, zoals bijvoorbeeld een voor- en achternaam, een (school)e-mailadres, het feit dat het om een leerling gaat, de naam van de school etc.

De dienstleverancier van de applicatie vraagt toestemming aan het schoolbestuur om deze gegevens, naast het ECK iD, te mogen verwerken, zodat zij de applicatie op de juiste manier kunnen laten werken.

Voor het verstrekken van deze gegevens is geen toestemming van de leerling of ouders nodig. Deze gegevens zijn namelijk noodzakelijk om onderwijs te kunnen geven. Vergelijk het met boeken die thuis afgeleverd moeten worden. De school hoeft dan ook geen toestemming te vragen om adresgegevens te delen met de distributeur.

Ook leraren werken met een ECK iD, maar dat is niet gebaseerd op een PGN of BSN.

Om het ECK iD te gebruiken moet het schoolbestuur zich aanmelden bij de Nummerfederatie. Op kennisnet.nl staat het aanmeldformulier voor de Nummerfederatie.

De site van Edu-K geeft veel achtergrondinformatie over het gebruik van het ECK iD. Lees ook de veel gestelde vragen en antwoorden voor het gebruik van ECK iD in het po.

Verdieping

Inhoudsopgave