Als je een online bijlesbedrijf runt dat studenten in Europa bedient, geldt de Algemene Verordening Gegevensbescherming (AVG) voor jou. Dit is geen bureaucratie — het gaat over het beschermen van de persoonsgegevens van je studenten, inclusief minderjarigen.
Dit artikel biedt een praktisch overzicht. Het is geen juridisch advies — raadpleeg een professional voor je specifieke situatie — maar het zou je moeten helpen begrijpen wat erbij komt kijken.
Over welke gegevens hebben we het?
Online bijles omvat aanzienlijke persoonsgegevens:
- Studentidentiteiten: Namen, e-mailadressen, leeftijden, soms foto's
- Sessiegegevens: Wie welke sessies bijwoonde, wanneer, hoe lang
- Video en audio: Als je sessies opneemt, leg je gezichten en stemmen vast
- Academische informatie: Prestatiegegevens, notities, beoordelingen
- Betalingsinformatie: Voor factureringsdoeleinden
Bij het werken met minderjarigen worden deze gegevens als extra gevoelig beschouwd. De AVG biedt aanvullende bescherming voor kinderdata.
Belangrijke AVG-principes
Rechtmatige grondslag voor verwerking: Je hebt een wettelijke reden nodig om persoonsgegevens te verzamelen en te gebruiken. Voor bijles is dit typisch toestemming of contractuele noodzaak (je hebt de gegevens nodig om de dienst te leveren waarvoor ze betalen).
Gegevensminimalisatie: Verzamel alleen wat je nodig hebt. Verzamel geen gegevens "voor het geval dat" — heb een duidelijk doel voor alles wat je verzamelt.
Doelbinding: Gebruik gegevens alleen voor de doelen die je noemde bij het verzamelen. Studentgegevens verzameld voor bijles mogen niet worden gebruikt voor ongerelateerde marketing.
Opslagbeperking: Bewaar gegevens niet voor altijd. Definieer bewaartermijnen en verwijder gegevens wanneer ze niet meer nodig zijn.
Beveiliging: Bescherm de gegevens die je bewaart met passende beveiligingsmaatregelen.
Transparantie: Wees duidelijk tegen studenten en ouders over welke gegevens je verzamelt en hoe je ze gebruikt.
Toestemming voor minderjarigen
De AVG heeft specifieke regels voor kinderdata. In de meeste EU-landen kunnen kinderen onder de 16 geen eigen toestemming geven voor gegevensverwerking — ouderlijke toestemming is vereist.
Voor bijlesinstituten betekent dit:
- Verkrijg duidelijke toestemming van ouders voordat je kinderdata verwerkt
- Maak toestemmingsverzoeken begrijpelijk (geen juridisch jargon)
- Wees specifiek over waarvoor je toestemming vraagt
- Maak het makkelijk om toestemming in te trekken
Opname en AVG
Sessie-opname creëert aanvullende gegevensbeschermingsverplichtingen:
Expliciete toestemming: Het opnemen van gezichten en stemmen vereist duidelijke toestemming. Een algemene "door deel te nemen stem je in met opname" is twijfelachtig — expliciete, specifieke toestemming is veiliger.
Toegangscontrole: Wie kan opnames bekijken? Dit moet beperkt zijn tot degenen met legitieme behoefte.
Bewaring: Hoe lang worden opnames bewaard? Definieer een periode en houd je eraan.
Verwijdering: Wanneer een student vertrekt of verwijdering van gegevens verzoekt, moeten opnames worden meegenomen.
De rol van je platform
Wanneer je een videoplatform gebruikt voor lesgeven, verwerkt dat platform gegevens namens jou. Onder de AVG maakt dit hen een "verwerker" — en je hebt een verwerkersovereenkomst met hen nodig.
Belangrijke vragen over je platform:
- Waar wordt data opgeslagen? EU-hosting vereenvoudigt compliance aanzienlijk.
- Welke verwerkersovereenkomst bestaat er? Grote platforms hebben standaard DPA's beschikbaar.
- Welke beveiligingsmaatregelen zijn er? Encryptie, toegangscontroles, audit trails.
- Kun je verzoeken van betrokkenen vervullen? Als een student zijn gegevens of verwijdering verzoekt, kun jij (en je platform) voldoen?
Praktische stappen
1. Documenteer wat je verzamelt. Maak een duidelijke lijst van alle persoonsgegevens die je verwerkt, waarom je ze nodig hebt, en hoe lang je ze bewaart.
2. Maak een privacybeleid. Maak het toegankelijk voor studenten en ouders. Leg in duidelijke taal uit welke gegevens je verzamelt en hoe je ze gebruikt.
3. Implementeer toestemmingsprocessen. Vooral voor minderjarigen, heb duidelijke toestemmingsformulieren die ouders ondertekenen. Bewaar records van toestemming.
4. Beveilig je gegevens. Gebruik sterke wachtwoorden, schakel twee-factor authenticatie in, beperk toegang tot wie het nodig heeft.
5. Plan voor gegevensverzoeken. Weet hoe je reageert als iemand toegang tot zijn gegevens verzoekt of om verwijdering vraagt.
6. Review je platform. Begrijp de AVG-compliance van je videoplatform. Heb een verwerkersovereenkomst.
Niet-EU platforms gebruiken
Platforms van buiten de EU gebruiken (zoals US-gebaseerde bedrijven) is mogelijk maar vereist extra aandacht. Gegevensoverdrachten buiten de EU hebben passende waarborgen nodig — typisch standaard contractuele clausules of vergelijkbare mechanismen.
EU-gehoste platforms vereenvoudigen dit aanzienlijk. Wanneer je gegevens binnen de EU blijven, vermijd je de complexiteit van internationale gegevensoverdrachten.
Simpleclass is een Nederlands bedrijf met datahosting in de EU (Nederland en Frankrijk). AVG-compliance is ingebouwd in hoe we opereren.
De conclusie
AVG-compliance vereist aandacht maar is niet onmogelijk complex voor kleine bijlesbedrijven. De kernvereisten zijn redelijk: weet welke gegevens je hebt, bescherm ze passend, wees transparant tegen studenten en ouders, en verwijder gegevens wanneer je ze niet meer nodig hebt.
Voor specifieke begeleiding bij jouw situatie, raadpleeg een gegevensbeschermingsprofessional. Maar deze basis wijst je in de goede richting.