Uitwisselen van persoonsgegevens

bijgewerkt op 17 februari 2020

Scholen bewaren gegevens over leerlingen in leerlingdossiers. Zo’n dossier bestaat voor een deel uit administratieve gegevens. Daarnaast worden in het leerlingdossier de ontwikkeling, het gedrag en de leerprestaties van een leerling vastgelegd. Ontvangt een leerling extra begeleiding of passend onderwijs? Dan worden er naast reguliere persoonsgegevens vaak ook bijzondere persoonsgegevens vastgelegd, bijvoorbeeld over de gezondheid van een leerling. Bij het uitwisselen van deze persoonsgegevens zijn er verschillende zaken waar je rekening mee moet houden. Je mag niet altijd alle persoonsgegevens delen en in sommige gevallen heb je toestemming van ouders nodig.

Bij het inschrijven op een basisschool mag je als school vanzelfsprekend bepaalde persoonsgegevens opvragen. Stapt een leerling over va het po naar het vo? Dan ben je wettelijk verplicht informatie te delen via een onderwijskundig dossier of overstapdossier. Let er wel op dat je alleen noodzakelijke gegevens deelt. Scholen moeten aparte afspraken maken als ze persoonsgegevens willen uitwisselen met een onderwijskundige, pedagoog, psycholoog of een andere organisatie. Onderaan deze pagina onder het kopje “Hou rekening met” vind je alle situaties tegen waarin je als school mogelijk gegevens uitwisselt.

Is het wettelijk verplicht?

Soms is het uitwisselen van persoonsgegevens verplicht. Bijvoorbeeld bij het uitwisselen met DUO en bij een overgang van po naar vo. Is het niet verplicht? Dan is het uitwisselen van persoonsgegevens een keuze. Je bent dan verplicht je keuze te onderbouwen met het doel waarmee je uitwisselt en de redenen waarom je uitwisselt. Die redenen heten grondslag. In alle gevallen moet er een passende beveiliging voor de uitwisseling zijn.

Meer informatie vind je in artikel 5.1 lid f en artikel 6 van de AVG. De bijbehorende maatregelen vind je in de ISO 27002, artikel 13.2. Deze vind je terug in het toetsingskader IBP po vo.

Wie doet wat?

Bij het uitwisselen van persoonsgegevens met externe partijen zijn op school verschillende rollen betrokken met elk hun eigen taken:

  • Het schoolbestuur ziet erop toe dat persoonsgegevens altijd met duidelijke afspraken worden uitgewisseld. Het bestuur sluit overeenkomsten bij het uitwisselen, delen of verwerken van persoonsgegevens met externe partijen.
  • Leraren en directie selecteren de te delen persoonsgegevens.
  • De administratie wisselt in de praktijk de persoonsgegevens uit.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Zo verloopt het uitwisselen van persoonsgegevens in de praktijk.

Stap 1 | Deel alleen de noodzakelijke persoonsgegevens

Van de AVG mag je niet meer persoonsgegevens delen dan noodzakelijk. Weeg dus zorgvuldig af welke persoonsgegevens je wel en niet deelt en deel nooit zo maar een heel leerlingdossier.

Stap 2 | Controleer of ouders toestemming moeten verlenen

Heb je voor een leerling een speciaal handelingsplan en wil je inzage in het onderliggende rapport? Dan moet je ouders om toestemming vragen. Stapt een leerling over van po naar vo? Dan mag je de persoonsgegevens uitwisselen zonder toestemming van de ouders. In alle andere gevallen is wel toestemming nodig.

Stap 3 | Deel de persoonsgegevens via OSO of op papier

Ben je als school aangesloten op de OverstapService Onderwijs (OSO)? Dan kun je veilig persoonsgegevens uitwisselen met andere scholen en samenwerkingsverbanden passend onderwijs. Gebruikt de organisatie waarmee je de persoonsgegevens wilt uitwisselen geen systeem zoals OSO voor een veilige uitwisseling? Wissel de persoonsgegevens dan uit op papier. Verzend nooit persoonsgegevens per onbeveiligde e-mail.

Hou rekening met

Uitwisseling PGN

Iedere leerling heeft een persoonsgebonden nummer (PGN). Het PGN is gebaseerd op het BSN. Het PGN mag alleen worden uitgewisseld met een andere organisatie als daar een wettelijke grond voor is. Bijvoorbeeld in de communicatie met (de ouders van) de leerling, bij de overstap naar een andere school of als een school optreedt als een expertisecentrum. Let op: Het PGN mag niet uitgewisseld worden met samenwerkingsverbanden passend onderwijs. Meer informatie over het PGN vind je op de website van de Rijksoverheid.

Starten op het po

Om een leerling aan te melden voor een po school mag de po school beschikken over een minimaal aantal persoonsgegevens van de leerling en de ouders. Om de leerling in te schrijven, mag de po school aanvullende gegevens vragen met een inschrijfformulier po.

Overstap van po naar po of van po naar vo

Stapt een leerling over van po naar po of van po naar vo? Dan ben je wettelijk verplicht informatie te delen met de nieuwe school via een onderwijskundig rapport (OKR) of overstapdossier. De nieuwe school mag via het PGN het OKR opvragen. Bij het samenstellen van het OKR moet een school dataminimalisatie toepassen. In de praktijk betekent dit dat je alleen die gegevens deelt die relevant zijn voor het leren en begeleiden van de leerling op de nieuwe school. Gebruik je OSO? Dan kan alleen wettelijk toegestane informatie worden overgedragen en wordt dataminimalisatie automatisch toegepast. Ouders mogen het OKR inzien, maar ze mogen het niet wijzigen of het delen ervan weigeren. Ze kunnen wel aangeven dat ze het met onderdelen niet eens zijn. Dat wordt dan in het dossier opgenomen. Is er geen OKR beschikbaar? Dan kan de nieuwe school gegevens opvragen bij de ouders. Ga hier zeer zorgvuldig mee om en gebruik in dat geval het aanmeldformulier van Kennisnet.

Overstap van vo naar vo of van vo naar mbo of hoger onderwijs

Stapt een leerling over van de ene vo-school naar de andere? Ook dan maak je een onderwijskundig rapport of overstapdossier en deel je alleen relevante persoonsgegevens. In dit geval moeten ouders wel toestemming geven voor de overdracht van het dossier.

Passend onderwijs

Krijgt een leerling begeleiding van een hulpverlener die in dienst is van het bestuur? Dan gelden voor het uitwisselen van informatie over de leerling dezelfde regels als wanneer het een externe begeleider is. Leg de afspraken over uitwisseling van persoonsgegevens vast. Lukt het niet de begeleiding op school te regelen? Schakel dan het samenwerkingsverband passend onderwijs (swv) in. Het swv is zelf verwerkingsverantwoordelijke. Wil je meer weten over passend onderwijs? Bekijk dan de digitale tool voor passend onderwijs en privacy.

Verzuim

Een leerplichtambtenaar heeft alleen recht op die informatie die hij nodig heeft voor de uitoefening van zijn werk. Dat betekent dat een leerplichtambtenaar in geen geval een account mag krijgen voor een leerlingvolgsysteem en daar ook zeker niet om mag vragen. Bekijk het overzicht van de gegevens die met een leerplichtambtenaar gedeeld mogen worden.

Uitwisseling met Ouderraad voor innen vrijwillige bijdrage

Wordt de vrijwillige ouderbijdrage geïnd door de ouderraad? Dan krijgt de ouderraad de minimale persoonsgegevens om ouders te kunnen benaderen en de bijdrage te innen. De ouderraad is in dit geval een zogeheten verwerkingsverantwoordelijke. Dat betekent dat de ouderraad zelf moet zorgen dat de beveiliging van de persoonsgegevens op orde is en dat de privacy gegarandeerd is. Met andere woorden: de ouderraad moet aan de AVG voldoen. Maakt de ouderraad gebruik van een (communicatie)systeem van de school om de bijdrage te innen? In dat geval moet de ouderraad een verwerkersovereenkomst afsluiten met de school. De school is dan verwerker geworden namens de ouderraad

Integraal Kindcentrum (IKC)

Een IKC is een samenwerking van een kinderdagverblijf en/of voorschoolse, tussenschools en buitenschools opvang met een school in het primair onderwijs. Werk je als school samen met deze opvangorganisaties? Hou er dan rekening mee dat je niet zo maar gegevens van leerlingen mag uitwisselen. Ook als je in hetzelfde pand zit. Je blijft allebei verwerkingsverantwoordelijk voor de gegevens die je beheert. Maak je gebruik van gedeelde voorzieningen waarbij persoonsgegevens worden gedeeld? Denk bijvoorbeeld aan cameratoezicht. Dan ben je “gezamenlijk verwerkingsverantwoordelijk”. Daar gelden aparte regels voor. Er zijn ook andere manieren om praktische zaken gezamenlijke voorzieningen juridisch goed te regelen. Meer informatie vind je op de website van de PO-Raad. In het rapport Samenwerking in Beeld 2 lees je meer over de samenwerking tussen kinderopvang en basisscholen en een mogelijke samenwerking met samenwerkingsverbanden voor passend onderwijs.

Opleidingsscholen

Bij stages van studenten van (universitaire) pabo’s/lerarenopleidingen worden persoonsgegevens van studenten uitgewisseld en geregistreerd. Daarnaast krijgen studenten in opleiding toegang tot persoonsgegevens van leerlingen, er worden mogelijk beeld- en geluidsopnamen gemaakt en studenten krijgen op hun stagescholen te maken met regels rondom het gebruik van sociale media. Dit alles vraagt om goede afspraken tussen de opleidingsinstituten, stagescholen en studenten. Gebruik daarvoor het document met veelgestelde vragen rond stages en opleidingsscholen en wat je op het gebied van privacy moet regelen.

Jeugdhulpverlening

In sommige gevallen vragen jeugdzorgaanbieders of gemeenten bij scholen persoonsgegevens op als een leerling jeugdhulpverlening ontvangt. Wissel nooit persoonsgegevens uit zonder daar eerst afspraken over te maken en vast te leggen wat ieders rechten en plichten zijn. Lees hier meer over privacy en de samenwerking met jeugdhulpverleners.

Gezondheidsonderzoeken

Scholen krijgen regelmatig de vraag om mee te werken aan onderzoeken over de gezondheid van leerlingen. Meer informatie over wat er wel en niet mag bij deze gezondheidsprojecten lees je in het artikel ‘Gegevensuitwisseling bij gezondheidsonderzoeken’ op de website van de Autoriteit Persoonsgegevens en in het artikel ‘Scholen niet wettelijk verplicht om persoonsgegevens aan Jeugdzorg te verstrekken’ op de website van de VO-raad.

Digitale leermiddelen en ECK iD

Het ECK iD is een uniek identificatienummer voor leerlingen in het po bij het gebruik van digitaal lesmateriaal. Met het ECK iD zijn andere gegevens zoals BSN, naam, geslacht en geboortedatum niet langer nodig om een leerling te herkennen.

Om gebruik te maken van digitale leermiddelen zijn vaak persoonsgegevens nodig. Denk aan een voor- en achternaam en een (school)e-mailadres. De leverancier van de applicatie vraagt toestemming aan het schoolbestuur om deze gegevens en het ECK iD te mogen verwerken, zodat zij de applicatie op de juiste manier kunnen laten werken. Hier is geen toestemming van de leerling of ouders nodig. Deze gegevens zijn namelijk nodig om onderwijs te kunnen geven. Meer informatie over ECK iD vind je op de website eck-id.nl.

Medische informatie

Op school kunnen er leerlingen of medewerkers van wie de gezondheid extra aandacht vraagt bij calamiteiten. Denk aan een leerling met een notenallergie die een epi-pen bij zich heeft of een medewerker in een rolstoel. Je mag als school die medische gegevens als dat nodig is om die leerlingen of medewerkers van speciale begeleiding of bijzondere voorzieningen te voorzien. Meestal leg je de informatie vast in het leerling- of personeelsdossier.

 

Bedrijfshulpverleners mogen niet zomaar een leerling- of personeelsdossier inzien. Je moet daarom als school ouders, leerlingen, of medewerker om toestemming vragen om medische gegevens vast te leggen die noodzakelijk zijn in het geval van een calamiteit. Deze informatie mag alleen met BHV’ers worden gedeeld. Daarom is het handig een aparte BHV-administratie aan te leggen met deze informatie. Deze administratie moet makkelijk toegankelijk zijn in geval van een calamiteit, maar ook zodanig beveiligd zijn dat onbevoegden daar niet zomaar in kunnen kijken.

Verdieping

Inhoudsopgave