Moet ik altijd toestemming hebben om persoonsgegevens van leerlingen of personeel te verwerken?

Nee. Eén van de belangrijkste regels uit de AVG is dat u (als schoolbestuur) een grondslag heeft op basis waarvan u persoonsgegevens van leerlingen of personeel mag verwerken. Alle rechtsgronden staan opgesomd in artikel 6 van de AVG. Meestal vraag je pas toestemming wanneer er geen andere grondslag van toepassing is. Toestemming kan namelijk altijd weer worden ingetrokken.

In het onderwijs zijn de grondslagen ‘noodzakelijk om te voldoen aan een wettelijke plicht’, ‘noodzakelijk voor het uitvoeren van een overeenkomst’ en ‘noodzakelijk voor de behartiging van de gerechtvaardigde belangen (van de school)’ de meest gangbare.

Lees ook eens

Abonneren
Abonneren op
4 Reacties
meest gestemd
nieuwste oudste
Inline Feedbacks
View all comments
M. van Arendonk
M. van Arendonk
16 augustus 2023 19:49

Is het een gerechtvaardigd belang van de school om een schoolpas aan te maken door een (onbekende) derde partij, daarvoor een schoolfotograaf in te schakelen die zonder toestemming van ouders foto’s maakt van de kinderen, en op de schoolpas de geboortedatum van de leerling te vermelden? Er wordt aan ouders een ouderlijke bijdrage gevraagd voor het aanmaken van die pas, die in de praktijk nooit wordt gebruikt…

Jeroen Bosman
Beheerder
Jeroen Bosman
22 augustus 2023 13:18

Op zich kan het aanmaken van een schoolpas voor bepaalde schoolactiviteiten vallen onder de grondslag Gerechtvaardigd belang. Hierbij moet een belangenafweging worden gedaan: wat is het belang van de school en wat zijn de gevolgen voor de privacy van de betrokkene? Het feit dat de schoolpas in de praktijk amper wordt gebruikt, pleit niet voor het gerechtvaardigd belang van de school. Is de pas echt nodig? De belangenafweging moet ook worden vastgelegd. Als de school ervoor kiest om de pas aan te maken op basis van deze grondslag, dan zal de school betrokkenen hierover moeten informeren en wijzen op hun… Lees verder »

M. van Arendonk
M. van Arendonk
9 oktober 2023 20:04
Reply to  Jeroen Bosman

Een bedrijf dat schoolpasjes aanmaakt voor scholen, zal (ten minste) in het digitale bezit zijn van alle pasfoto’s, geboortedata en namen van de kinderen. Aan welke zorgvuldigheden moet zo’n bedrijf voldoen? En hoe is dat te controleren voor een school, of een ouder?

Jeroen Bosman
Beheerder
Jeroen Bosman
10 oktober 2023 17:01

Wanneer een bedrijf in opdracht van de school schoolpasje maakt (en dus persoonsgegevens verwerkt) zal hiervoor een verwerkersovereenkomst moeten worden afgesloten, waarin o.a de beveiliging van de persoonsgegevens goed is geregeld (en welke maatregelen zijn genomen), als ook de bewaartermijnen, land van verwerking, subverwerkers, etc. Wanneer de school twijfelt of de verwerking een risico inhoudt, kan zij een DPIA (Data Protection Impact Assessment) uitvoeren om de risico’s in kaart te brengen en welke maatregelen nodig zijn om deze te mitigeren (verminderen of wegnemen). Een ouder kan bij de privacy officer van de school navragen hoe de beveiliging is geregeld.