AVG en online onderwijs, hoe regel je dat?

AVG en Online onderwijs

Om online onderwijs te faciliteren, zijn digitale tools essentieel. Bij het verzamelen en analyseren van gegevens worden vaak persoonsgegevens verwerkt, zoals informatie die direct of indirect betrekking heeft op individuen, waaronder studenten en docenten. SURF biedt een stappenplan om onderwijsinstellingen te begeleiden bij het naleven van de Algemene Verordening Gegevensbescherming (AVG).

In 5 stappen naar privacy proof onderwijs

Met het stappenplan beoogt SURF onderwijsinstellingen te ondersteunen bij het naleven van de AVG. Dit stappenplan dient als leidraad, waarbij elke onderwijsinstelling haar eigen privacyoverwegingen moet maken. Het benadrukt de momenten waarop de privacy van studenten mogelijk wordt aangetast en biedt suggesties voor oplossingen.

Dit stappenplan dient als leidraad en biedt een kader om privacy-proof onderwijs te waarborgen en geeft onderwijsinstellingen de nodige handvatten om AVG-configuratie-instellingen effectief toe te passen.

Stap 1: Voorbereiding

Je mag persoonsgegevens alleen gebruiken voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Zet daarom op papier waarom jij persoonsgegevens gaat verwerken.

Een goede, volledige omschrijving heeft de volgende structuur: ‘wie’ wil ‘wat’ doen aan de hand van ‘welke’ persoonsgegevens en ‘wanneer’ om ‘resultaat’ te bereiken. Denk daarbij aan het SMART-principe: Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden. Goed omschreven doeleinden maken het doorlopen van het stappenplan een stuk makkelijker.

Voorbeelden van verwerkingen zijn:

 • Bijhouden cijfers tijdens de collegeperiode
 • Aanleveren cijferlijsten aan onderwijsadministratie
 • Presentielijsten bijhouden
 • E-mailverkeer met studenten
 • Informatie doorgeven aan studenten over studiegerelateerde activiteiten
 • Lijst studenten met een functiebeperking beheren
 • Tentamens nakijken en archiveren
 • Afnemen digitale (formatieve) toetsen

Stap 2: Ontwerp

Het concept privacy by design houdt in dat je al in de ontwerpfase van een product of dienst rekening houdt met privacygevoelige elementen en dat er voldoende privacy waarborgen worden ingebouwd om persoonsgegevens goed te beschermen en te beveiligen.

Hoe minder gegevens je verzamelt van individuen, hoe makkelijker het is om de gegevens te beschermen en hoe minder kans er is op een datalek. Daarnaast kun je gegevens beschermen door ze te splitsen met als doel gegevens uit elkaar te halen en los van elkaar te verwerken, zodat gegevens alleen met een duidelijk doel gecombineerd worden. Ook kun je soms persoonsgegevens beschermen door ze te gebruiken in een abstractere vorm: geaggregeerd in plaats van gedetailleerd. Statistiek is de bekendste vorm van het weergeven van onderzoeksgegevens zonder het openbaar maken van de persoonsgegevens zelf.

Bepaal de scope
Het is van belang om vooraf vast te stellen:

 1. Wat voor persoonsgegevens je gebruikt
  De AVG geeft aan dat een persoonsgegeven alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Persoonsgegevens zijn dus bijvoorbeeld een naam en adres, maar ook gekoppelde tentamencijfers of gegevens over gedrag. Door deze gegevens verder te combineren (eventueel met andere gegevens) is het namelijk mogelijk om deze gegevens naar personen te herleiden. Het gaat dan om indirect identificeerbare gegevens.
 2. De gevoeligheid van de persoonsgegevens
  Bijzondere persoonsgegevens zijn gegevens over zaken als iemands gezondheid, etnische afkomst, seksuele voorkeur, politieke voorkeur of godsdienst. Hiervoor geldt een verwerkingsverbod, tenzij de instelling toestemming heeft van het individu of als het gebruik in een wet is geregeld. Toestemming houdt in dat je apart vraagt naar het relevante gegeven en uitlegt waarom dat is, waarbij het optioneel is om die toestemming te verstrekken.
 3. De hoeveelheid gegevens die je verwerkt
  Nadat je hebt vastgesteld wat voor (gevoelige) persoonsgegevens je minimaal nodig hebt voor het bereiken van je doel, is het ook van belang om te bepalen hoeveel soorten gegevens je gaat verwerken. Zijn dat persoonsgegevens, anonieme gegevens of bijzondere persoonsgegevens?
 4. Of er eventueel overige relevante elementen zijn die iets zeggen over de omvang van je verwerkingen, zoals het geografisch gebied.In sommige gevallen zijn er nog andere factoren die relevant zijn voor het bepalen van de reikwijdte van de verwerking. Een voorbeeld hiervan is het geografische gebied waarbinnen gegevens verwerkt worden

Persoonsgegevens

Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een persoon. Een naam of adres is een persoonsgegeven, maar ook gedragsgegevens en IP-adressen vallen hieronder. Andere voorbeelden van persoonsgegevens zijn postcode, woonplaats, camerabeelden, stemopnames, burgerservicenummer, geboortedatum, locatie en kenteken.

Anonieme gegevens

Als er geen directe of indirecte koppeling tussen een gegeven en een persoon mogelijk is, wordt vaak gesproken over anonieme gegevens. Let op: veel gegevens zijn indirect toch te herleiden zijn tot personen, bijvoorbeeld door de gegevens te koppelen met een andere bron. Dan is er dus toch sprake van een persoonsgegeven.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens over zaken zoals iemands gezondheid, etnische afkomst, seksuele voorkeur, politieke voorkeur of godsdienst. Deze mogen niet worden verzameld of gebruikt, tenzij de wet dat in specifieke gevallen toestaat.

Bepaal de organisatorische wistermijnen van de datasets

Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor het doel van de verwerking. Wanneer de gegevens niet langer noodzakelijk zijn, dan moeten zij worden vernietigd of gewist. Je moet dus van tevoren een wistermijn bepalen voor de verschillende datasets.

Dat hangt geheel af de doelen waarvoor je de verschillende datasets bewaart en hoe het systeem de datasets verwerkt.

 • Maak een inschatting van hoe lang je datasets nodig hebt om de doelen te bereiken.
 • Houd zoveel mogelijk rekening met verdere verwerkingsdoelen, zoals onderbouwing van onderzoeken in rapportages, archiveringsdoelen, academische verantwoording en de richtlijnen van de Autoriteit Persoonsgegevens.

Stap 3: Beoordeling persoonsgegevens

Om gegevens te kunnen verwerken, moet er via een grondslag (wettig geldige regel) aangegeven worden wat de reden is. De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens.

 • toestemming
 • uitvoering overeenkomst
 • wettelijke verplichting
 • bescherming vitale belangen
 • uitvoering publieke taak
 • gerechtvaardigd belang

Verwerkingen binnen het onderwijs vinden doorgaans plaats op basis van een wettelijke verplichting, overeenkomst of gerechtvaardigd belang. Zo niet, dan kunnen de persoonsgegevens alleen verwerkt worden indien de student hiervoor aantoonbaar toestemming heeft gegeven.

Grondslag: Wettelijke verplichting

Het verwerken van de gegevens is noodzakelijk omdat de wet dit verplicht. Dit is bijvoorbeeld het geval bij de gegevens voor het Nederlandse Diplomaregister (DUO). In de Wet op het onderwijstoezicht is geregeld dat bepaalde gegevens hiervoor ter beschikking worden gesteld.

Grondslag: Uitvoering overeenkomst

Het verwerken van de gegevens is noodzakelijk om een overeenkomst uit te voeren. Een onderdeel van de overeenkomst tussen onderwijsinstelling en student is bijvoorbeeld de registratie van de student bij de centrale studentenadministratie bij contractonderwijs.

Grondslag: Gerechtvaardigd belang

In sommige gevallen kun je als onderwijsinstelling persoonsgegevens verwerken met gerechtvaardigd belang als grondslag. De verwerking moet hiervoor noodzakelijk, proportioneel en subsidiair zijn. Per verwerking zal deze belangenafweging gemaakt moeten worden.

Grondslag: Toestemming

De student geeft toestemming om gegevens te verwerken. Deze toestemming moet de student ‘in vrijheid’ geven, wat inhoudt dat hij toestemming zonder consequenties moet kunnen weigeren. Daarnaast moet de toestemming ondubbelzinnig zijn en moet de student goed geïnformeerd worden over de verwerkingen in kwestie.

In de praktijk

Ook als het verwerken van persoonsgegevens niet direct noodzake­lijk is voor het onderwijs, maar gerelateerd is aan de opleiding, is er zeer waarschijnlijk een grondslag. Denk bijvoorbeeld aan informatie delen over activiteiten die de ‘community building’ bevorderen of de kansen op de arbeidsmarkt verhogen, inhoudelijk binnen het domein van de opleiding vallen, of waarover de student het niet vreemd vindt informatie te ontvangen.

Wanneer de verwerking van persoonsgegevens echt niet noodzakelijk voor het onderwijsproces is of niet gerelateerd aan de opleiding , dan moet je als docent expliciet toestemming vragen aan de studenten.

De instelling moet zelf beoordelen of de verwerking van persoonsgegevens te rechtvaardigen is op basis van één of meer van de grondslagen.

Leg de antwoorden voor de zekerheid op stappen 1 t/m 3 voor aan de privacy-officer van je instelling. Bepaal samen met de privacy-officer of een data protection impact assessment (DPIA) noodzakelijk is uit. Elke instelling hanteert hiervoor zijn eigen proces. Bespreek hierna samen stap 4 en 5.

Stap 4: Realisatie

Nu is het tijd om de nodige juridische, technische en organisatorische maatregelen te treffen. Aan de hand van je ontwerp in stap 2 moet je als instelling en/of docent regelingen treffen op het gebied van bescherming en het sluiten van overeenkomsten wanneer je een partij inschakelt die persoonsgegevens gaat verwerken.

Verwerkersovereenkomst opstellen

Een verwerkersovereenkomst beschrijft de relatie tussen een ingeschakelde partij (de verwerker) die in opdracht van een instelling (de verwerkingsverantwoordelijke) persoonsgegevens verwerkt. Deze overeenkomst is verplicht. Grote leveranciers hebben vaak een eigen model. Een verwerker mag alleen persoonsgegevens verwerken waartoe hij opdracht heeft van de verwerkingsverantwoordelijke op basis van de verwerkersovereenkomst.

Hiervoor kun je de modelovereenkomst van SURF gebruiken. Deze hebben we samen met de instellingen opgesteld als onderdeel van het SURF Juridisch Normenkader (Cloud)services. Dit document stelt normen op het gebied van vertrouwelijkheid, privacy, eigendom en beschikbaarheid.

Buitenland

De AVG garandeert in ieder land in de Europese Unie dezelfde gegevensbescherming voor individuen. Maar voor de doorgifte van persoonsgegevens naar partijen buiten Europese Unie - naar entiteiten in zogeheten derde landen - gelden aparte regels. Derde landen zijn alle landen buiten de EU plus Noorwegen, Liechtenstein, Engeland en IJsland (de Europese Economische Ruimte).

Controleer daarom welke oplossing partijen in derde landen hanteren om de doorgifte van persoonsgegevens mogelijk te maken. Zie meer informatie van de Autoriteit Persoonsgegevens over internationaal verkeer.

Bescherming gegevens

SURF helpt instellingen in het hoger onderwijs bij de beveiliging van informatie. We ontwikkelen gemeenschappelijk beleid en tools. Voor meer informatie over informatiebeveiliging.

Meer over (digitale) informatiebeveiliging en privacy vind je ook op Cybersave Yourself.

Stap 5: Evaluatie

De organisatie en de buitenwereld veranderen. Daarom is het van belang periodiek te evalueren of het systeem nog steeds verantwoord is. Hierdoor ontdek je nieuwe risico’s op tijd en creëer je een feedbackloop.

Meer lezen? Check de SURF Wiki met uitleg over de AVG en de interpretatie ervan.