Privacywetgeving

AVG in onderwijs: scholen en universiteiten 2026

AVG onderwijs: leerlinggegevens, EdTech, proctoring, UAVG art. 18, AP-prioriteit kindergegevens. Gids scholen, MBO, HBO, WO 2026.

Also available in:Italiano

In één zin. Onderwijsinstellingen verwerken grootschalig kindergegevens en bijzondere gegevens onder een combinatie van AVG, UAVG (art. 18-19 onderwijssector) en sectorwetten (WPO, WVO, WHW) — en de AP heeft kindergegevens online als topprioriteit voor 2026 benoemd, met handhavingscampagne op EdTech-leveranciers.

Belangrijkste punten

  • Kindergegevens = verhoogd risico, 13+ jaar voor digitale toestemming (UAVG art. 5).
  • UAVG art. 18: onderwijssector grondslag voor algemeen belang.
  • AP-prioriteit 2026: EdTech, proctoring, social media in onderwijs.
  • Bekende casus: Snappet, Google Workspace for Education DPIA’s.
  • FG verplicht voor scholen vanaf bepaalde omvang.
  • Verwerkingenlijst SIVON / Kennisnet als sectoraal referentiekader.

“Wanneer (…) toestemming wordt gevraagd van een kind, is verwerking (…) rechtmatig wanneer het kind ten minste 16 jaar is. Wanneer het kind jonger is dan 16 jaar, is dergelijke verwerking slechts rechtmatig (…) wanneer de toestemming (…) door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.” (art. 8 lid 1 AVG, geïmplementeerd in UAVG art. 5)

1. Wettelijk kader

  • AVG (EUR-Lex, CELEX 32016R0679) (algemeen).
  • UAVG art. 5: digitale dienst aan kind <16 vereist toestemming ouders; Nederland 16 jaar (Europa optioneel 13-16).
  • UAVG art. 18 lid 1 sub c: onderwijs en wetenschappelijk onderzoek als grondslag verwerking bijzondere gegevens.
  • WPO/WVO/WEC: leerlingenadministratie, onderwijskundig rapport.
  • WHW: hoger onderwijs, examenadministratie.
  • Wet register onderwijsdeelnemers (BRON): DUO-registratie.

2. Categorieën gegevens in onderwijs

  • Leerlinggegevens: NAW, BSN (PGN/onderwijsnummer), prestaties, gedrag.
  • Bijzondere gegevens: medisch (allergie, ondersteuning), godsdienst (vrijstelling vakken), etniciteit (passend onderwijs).
  • Ouderlijke informatie: gezagsverhouding, gescheiden ouders, contact.
  • Personeel: HR-administratie — hiervoor gelden de algemene regels voor werkgevers en personeelsgegevens.
  • Digitale leeromgeving: gebruiksgegevens, prestatie-metrics, adaptieve content.
  • Camerabewaking schoolgebouw.

3. Rechtsgronden onderwijs

Verwerking Rechtsgrond
Leerlingadministratie Wettelijke plicht (WPO/WVO)
Toetsing en beoordeling Algemeen belang (art. 6.1.e) + UAVG art. 18
Adaptief leersysteem Algemeen belang + DPIA
Foto’s op website Toestemming (UAVG art. 5 voor <16)
Excursie-aanmelding Toestemming of overeenkomst
Onderwijskundig rapport Wettelijke plicht
Marketing schoolactiviteiten ouders Gerechtvaardigd belang

4. Kindergegevens en toestemming

Voor digitale diensten direct aangeboden aan kind:

  • <16 jaar (UAVG art. 5): toestemming ouders/voogd vereist.
  • Bij schoolgebruik (onderwijscontext): school is verantwoordelijke, grondslag onderwijswet, geen aparte ouderlijke toestemming nodig voor kernactiviteit.
  • Foto’s, social media-vermelding, deelname extracurriculair: wel toestemming (ouders <16, jongere zelf 16+).

5. EdTech: SIVON/Kennisnet model

SIVON (samenwerkingsorganisatie van scholen) en Kennisnet hebben model-verwerkersovereenkomsten en privacyconvenant met leveranciers ontwikkeld:

  • Privacyconvenant Onderwijs 3.0.
  • Verwerkersovereenkomst Onderwijs.
  • Productspecifieke privacybijlagen (Google Workspace, Microsoft 365, Magister, SOMtoday).

Bevolkt door 95% van Nederlandse scholen. AP heeft model als referentie erkend.

6. Google Workspace en Microsoft 365 DPIA’s

SLM Rijk (onderdeel ministerie BZK) en SURF voerden uitgebreide DPIA’s uit op Google Workspace (2020-2023) en Microsoft 365 (2021-2024). Geconstateerde risico’s: telemetriegegevens, diagnostic data, doorgifte VS, doelbinding. Sectorale onderhandelingen leidden tot aangepaste contracten met deze leveranciers. Praktijk: school gebruikt deze DPIA’s als basis voor eigen risk-acceptance.

7. Proctoring: AP-norm

Online tentamen-toezichtsoftware (Proctorio, ProctorU, ProctorExam) gebruikt camera + microfoon + screenshare + gedragsanalyse → grootschalige biometrie en monitoring kinderen/jongvolwassenen. De norm van de Autoriteit Persoonsgegevens uit 2021 (universiteit-onderzoek):

  • DPIA verplicht.
  • Noodzakelijkheid streng toetsen (alternatief beschikbaar?).
  • Maximaal proportionele intensiteit (geen permanente registratie als niet nodig).
  • Geen geautomatiseerde verdenking zonder menselijke toets.
  • Vrijwilligheid feitelijk onmogelijk → kritisch op grondslag.

Universiteit van Amsterdam, TU Delft hebben proctoring na pandemie afgeschaft of fors beperkt.

8. Leerlingen-tracking en monitoring

Schooldashboards, gedragsregistratie (ParnasSys, Magister), adaptieve leeromgevingen (Snappet, Gynzy) verwerken intensief leerlinggedrag. AP-handhavingsacties tegen Snappet (2020-2022, informeel) en lopende monitoring. Vereisten:

  • DPIA per leersysteem.
  • Transparante uitleg aan ouders.
  • Geen profielen die buiten onderwijs delen.
  • Beperkte bewaartermijn (schoolloopbaan + redelijk).

9. Bewaartermijnen

  • Leerlinggegevens basis (NAW, prestatie): 2 jaar na uitschrijving (Onderwijsraad-advies).
  • Diplomagegevens: 50 jaar (BRON-DUO).
  • Onderwijskundig rapport: 5 jaar.
  • Camerabeelden: 4 weken (AP-richtlijn).
  • Logbestanden DLO: 6 maanden (afhankelijk doel).
  • Personeelsdossier: na einde dienstverband 2-7 jaar afhankelijk type gegeven.

10. Internationale samenwerking en uitwisseling

Universiteiten en hogescholen werken intensief samen met buitenlandse instellingen (Erasmus+, joint degrees, summer schools). Doorgifte studentengegevens vereist:

  • EU-instellingen: AVG-conform binnen interne markt.
  • VK na Brexit: adequaatheidsbesluit, geen aanvullende waarborgen.
  • VS-universiteiten: DPF-status vaak afwezig, SCC’s + TIA verplicht.
  • Aziatische partners: SCC’s + uitgebreide TIA, vaak EU-only data residency.

SURF heeft modelovereenkomsten voor academic data sharing. Voor onderzoeksdata: aparte ethische commissie + UAVG art. 24 (wetenschappelijk onderzoek).

11. FG-verplichting onderwijs

UAVG art. 39: bestuursorganen verplicht FG. Alle publieke scholen (overheidstaak) hebben FG-plicht — zie de criteria in wanneer een functionaris gegevensbescherming verplicht is. Private onderwijsinstellingen (HBO/WO bijzonder onderwijs): afhankelijk grootschaligheid. AP-handhaving: meerdere scholen beboet wegens ontbrekende FG-aanmelding.

11. Veelvoorkomende fouten in onderwijs

  • Foto’s leerlingen op website zonder gespecificeerde toestemming per medium.
  • Persoonsgegevens leerlingen in vrij toegankelijke Google Drive.
  • WhatsApp-groepen ouders met privé-gegevens.
  • Onderwijskundig rapport langer dan 5 jaar bewaard.
  • Geen DPIA bij invoer nieuwe adaptief leersysteem.
  • Schoolapp zonder verwerkersovereenkomst gebruikt.
  • Camerabeelden onbeperkt bewaard “voor incidenten”.
  • Personeel toegang tot dossiers leerlingen buiten eigen klas.

12. Camerabewaking schoolgebouw

Norm AP voor cameratoezicht school:

  • Noodzakelijkheid aantonen (DPIA bij grootschalig).
  • Niet in klaslokaal of toilet/kleedkamer.
  • Beperkte bewaartermijn (4 weken).
  • Duidelijke signalering ouders/leerlingen.
  • Toegang beperkt tot bestuur/beveiliging.
  • OR-instemming voor personeel.

12. Handhavingscases onderwijs

Instelling Jaar Sanctie Onderwerp
Snappet 2020-22 bevel Adaptief leersysteem profilering
Universiteit Amsterdam 2021 advies Proctoring-DPIA
BSO (kinderopvang) 2023 25 K EUR Foto’s social media zonder toestemming
Hoger onderwijs Brabant 2024 bevel Geen FG aangemeld
ROC Amsterdam 2024 50 K EUR Datalek leerlinggegevens
Onderwijsinstelling (anoniem) 2025 75 K EUR Microsoft 365 zonder DPIA

Sectoraal: AP heeft EdTech-leveranciers (Snappet, Magister, SOMtoday) onderzocht, leidde tot privacyconvenant SIVON/Kennisnet als verzachting. Internationaal: AEPD beboete Spaanse school 30 K EUR (2023) voor TikTok-projecten met leerlingen; CNIL beboete Franse universiteit 100 K EUR (2024) voor proctoring zonder DPIA. Voor AP boetes 2025 volledige analyse.

13. EU AI Act en onderwijs

EU AI Act (van toepassing augustus 2026) classificeert AI-systemen voor onderwijs als hoog-risico (bijlage III):

  • Toelating tot onderwijsinstelling.
  • Toetsing en examenbeoordeling.
  • Toewijzing personen aan onderwijsniveaus.
  • Detectie verboden gedrag tijdens tentamens.

Vereisten: risk management, datakwaliteit, technische documentatie, transparantie, menselijk toezicht, robustness/accuracy. Cumuleert met AVG art. 35 DPIA. Proctoring + algoritmische detectie valt expliciet onder hoog-risico AI. AP en RDI handhaven gezamenlijk vanaf 2026.

14. AP-handhavingsprioriteiten onderwijs

  • EdTech-leveranciers (verantwoordelijken-kant van toepassing op verwerkers).
  • Kindergegevens online (social media inzet docenten).
  • Proctoring en remote toezicht.
  • DPIA’s op nieuwe leersystemen.
  • Doorgifte naar VS (Google, Microsoft).
  • Camerabewaking in klaslokaal.

FAQ

Mag een school foto’s van leerlingen op website plaatsen?

Alleen met toestemming. Voor <16: toestemming ouders (UAVG art. 5). Voor 16+: toestemming leerling zelf. Toestemming moet specifiek per medium (website, nieuwsbrief, social media) en intrekbaar zijn.

Heeft een basisschool een FG nodig?

Ja indien publieke school (bestuursorgaan, UAVG art. 39). Bij private school: afhankelijk schaalgrootte en verwerking bijzondere gegevens. In praktijk: vrijwel alle scholen verplicht of via samenwerkingsverband (bv. onderwijskoepel).

Is Google Workspace toegestaan in onderwijs?

Onder voorwaarden ja, sinds aangepaste contracten (2023). Sectorale DPIA’s vereisen specifieke configuratie (telemetrie uit, EU-only data residency, geen advertenties). School blijft eindverantwoordelijk.

Mag proctoring bij online tentamens?

Beperkt. DPIA verplicht, noodzakelijkheid aantonen, proportioneel inzetten, geen geautomatiseerde verdenking zonder menselijke beoordeling. Veel universiteiten hebben proctoring sinds 2022 afgebouwd.

Hoe lang mag een school leerlinggegevens bewaren?

Algemene leerlinggegevens (administratie): 2 jaar na uitschrijving. Diplomagegevens: 50 jaar (BRON). Onderwijskundig rapport: 5 jaar. Daarna wissen of anonimiseren.

Mag een school WhatsApp gebruiken voor oudercommunicatie?

Risicovol. WhatsApp is verwerker, doorgifte naar VS (Meta DPF-gecertificeerd). DPA vereist, informatieplicht aan ouders. Beter: schoolapp zoals Parro of Social Schools met sectorale DPA. AP-richtlijn: vermijd persoonsgegevens leerlingen op consumenten-IM-apps. Voor functionele communicatie (lestijden, afmeldingen) acceptabel mits zonder gevoelige inhoud.

Hoe zit het met sociale media-projecten in onderwijs?

Docent die TikTok/Instagram-project organiseert met leerlinggegevens: school is verantwoordelijke, platform is verwerker (of gezamenlijk verantwoordelijke, Fashion ID-arrest). Toestemming ouders/leerling, DPIA, geen openbare profielen voor minderjarigen. AP-prioriteit 2026 — verwacht handhavingsacties. Zie ook Datalekken melden bij incidenten.

Wat is het Privacyconvenant Onderwijs?

Sectoraal model van SIVON/Kennisnet met modelverwerkersovereenkomst en productspecifieke bijlagen voor EdTech-leveranciers (Google, Microsoft, Magister, SOMtoday, Snappet). 95% van scholen gebruikt het. AP heeft model erkend als referentie. Praktisch: ondertekenen + productbijlage bewaren, geen aparte juridische check per leverancier nodig. Zie Verwerkersovereenkomst template voor algemene art. 28-eisen.

Heeft proctoring nog toekomst?

Beperkt. AP en EDPB stellen strikte eisen, EU AI Act classificeert detectie-AI als hoog-risico. Veel universiteiten zijn na pandemie afgestapt of beperkt tot zware tentamens. Alternatieven: open-book examens, oral exams, fysieke afname. Bij gebruik: DPIA, vrijwillig alternatief, geen geautomatiseerde verdenking zonder mens.

Zie ook: AVG bij gemeenten, AVG in de kinderopvang en cameratoezicht en de AVG.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →