Privacy & AVG

Privacyverklaring

Laatst bijgewerkt: 29 juni 2026

basis.school is een leerlingvolgsysteem (LVS) voor het primair onderwijs. We verwerken persoonsgegevens van leerlingen, ouders en medewerkers in opdracht van scholen. Deze verklaring beschrijft welke gegevens we verwerken, waarom, en welke rechten betrokkenen hebben onder de Algemene Verordening Gegevensbescherming (AVG).

Verantwoordelijken

Verwerkingsverantwoordelijke

De school waar de leerling staat ingeschreven. De school bepaalt het doel en de middelen van de verwerking.

Verwerker

Pionect B.V. (KVK 81812620, BTW NL862228852B01) — verwerkt gegevens uitsluitend in opdracht van de school, op basis van een verwerkersovereenkomst. Adres: Maashaven Zuidzijde 2, 3081 AE Rotterdam.

Welke gegevens verwerken we?

Leerlingen

  • • NAW, geboortedatum, geslacht
  • • BSN (alleen voor DUO-aanlevering)
  • • Groep, mentor, leerlingnummer
  • • Cijfers, LVS-toetsen, OPP
  • • Verzuim, kenmerken, dossier
  • • Foto (alleen na toestemming)

Ouders / verzorgers

  • • Naam, e-mail, telefoon
  • • Relatie tot het kind
  • • Gezagssituatie
  • • Toestemmingsregistratie
  • • Betalingsgegevens schoolkassa (via Mollie — wij zien geen IBAN)

Medewerkers

  • • NAW, geboortedatum
  • • Functietitel
  • • E-mail, telefoon
  • • Inlog-account & 2FA-status
  • • Audit-log van handelingen

Doeleinden en grondslag

  • Onderwijsuitvoering — de school heeft een wettelijke taak (artikel 6 lid 1 sub e AVG). Hieronder valt het bijhouden van vorderingen, het opstellen van OPP en het overdragen van leerlingen via OSO.
  • DUO-aanleveringen — wettelijke verplichting (artikel 6 lid 1 sub c AVG). ROD, Verzuimregister en BRON-leveringen.
  • Communicatie met ouders — uitvoering van de onderwijsovereenkomst (artikel 6 lid 1 sub b AVG).
  • Foto's, schoolkrant, social media — alléén op basis van uitdrukkelijke toestemming (artikel 6 lid 1 sub a AVG). Per categorie afzonderlijk vast te leggen.

Beveiliging

Hosting in EU

Frontend op Vercel (regio Frankfurt), backend op Laravel Cloud (Ierland). Persoonsgegevens verlaten de EER niet.

TLS overal

Alle verkeer versleuteld via HTTPS, HSTS afgedwongen.

2FA verplicht

Voor school- en platformbeheerders verplicht. Authenticator-app + recovery-codes.

Audit-log

Alle wijzigingen op gevoelige gegevens worden vastgelegd, inzichtelijk per school.

Encryptie at rest

2FA-secrets en recovery-codes versleuteld in de database.

Backups

Dagelijks, 30 dagen retentie, encrypted off-site.

Geen trackers

Geen Google Analytics, geen advertentiepixels, geen externe scripts in de SPA.

Pen-tests

Jaarlijkse pentest door een onafhankelijke partij; rapport beschikbaar voor scholen.

Subverwerkers

Pionect schakelt een beperkt aantal partijen in. Aan elk daarvan zijn eveneens verwerkersovereenkomsten gekoppeld.

PartijDoelLocatie
VercelHosting van de frontend (Nuxt SPA), edge-CDNEU — regio Frankfurt (fra1)
Laravel CloudHosting van de backend-API, database, file-storage, queueEU — regio Ierland (eu-west-1)
MollieiDEAL-betalingen schoolkassa & abonnementenNederland
Postmark / SMTP relayTransactionele e-mail (uitnodigingen, herinneringen)EU
Kennisnet (Entree Federatie)SAML-SSO voor scholen die ervoor kiezenNederland
Google Workspace / Microsoft 365SSO — alléén indien de school dit per school activeertEU (datacenter-keuze klant)

Bewaartermijnen

  • Onderwijskundig dossier — 5 jaar na uitschrijving (Wet primair onderwijs, art. 8).
  • Verzuim & leerplichtgegevens — 5 jaar na uitschrijving.
  • Toestemmingen — 2 jaar na uitschrijving als bewijs.
  • Logs / audit-trail — 12 maanden, daarna geanonimiseerd.
  • Backups — 30 dagen rolling.

Jouw rechten onder de AVG

Iedereen heeft het recht zijn eigen gegevens in te zien, te corrigeren of te laten verwijderen. In basis.school zit dat ingebouwd:

  • Inzage (art. 15) — een complete ZIP-export per persoon, op één klik. Bevat persoonsgegevens.json + alle dossierdocumenten.
  • Rectificatie (art. 16) — gegevens kunnen door school of betrokkene zelf worden aangepast in het portaal.
  • Vergetelheid (art. 17) — verwijdering na uitschrijving en buiten wettelijke bewaartermijn op verzoek.
  • Dataportabiliteit (art. 20) — OSO-overdracht naar een andere school in standaard XML-formaat.

Datalek of vraag?

Vermoed je een datalek of heb je een privacy-vraag? Neem direct contact op met de school of met onze Functionaris Gegevensbescherming.

Functionaris Gegevensbescherming

fg@pionect.nl

Klacht indienen

Autoriteit Persoonsgegevens →