AVG en studentengegevens: complete gids voor onderwijsinstellingen

De AVG is van toepassing op elk gegeven dat uw instelling verzamelt over een kandidaat of student

Sinds 25 mei 2018 reguleert de Algemene Verordening Gegevensbescherming (AVG — Verordening 2016/679) iedere verwerking van persoonsgegevens in de Europese Unie. Voor een hogeschool of universiteit reikt dat veel verder dan het inschrijvingsdossier: contactformulieren, chatbot-interacties, websiteanalytics, open-dagenregistraties, studieresultaten, gezondheidsgegevens en zelfs foto's genomen tijdens campusevenementen.

Non-compliance is geen theoretisch risico. De Autoriteit Persoonsgegevens (AP) heeft in recente jaren miljoenenboetes opgelegd voor onrechtmatige gegevensverwerking, en in het hoger onderwijs trok de AP hard aan de bel over proctoringsoftware die zonder adequate rechtsgrondslag werd ingezet. Het boeteplafond — 20 miljoen euro of 4 % van de jaarlijkse wereldwijde omzet — maakt de risico's concreet.

Deze gids behandelt de feitelijke verplichtingen voor hoger-onderwijsinstellingen in Nederland: typen gegevens, rechtsgrondslagen, toestemming, rechten van betrokkenen, de rol van de Functionaris Gegevensbescherming (FG), en de gevolgen van de AI Act voor toelatingstools en chatbots.

Categorieën persoonsgegevens die een instelling verwerkt

Gegevens van kandidaten (vóór inschrijving)

De gegevens die vóór de inschrijving worden verzameld vormen de eerste AVG-scope van uw instelling:

• Identificatiegegevens — naam, e-mailadres, telefoonnummer, verzameld via contactformulieren, chatbot of aanmelding voor een open dag
• Navigatiegegevens — bezochte pagina's, sessieduur, verkeersbron, verzameld via Google Analytics of vergelijkbare tools
• Gespreksgegevens — vragen gesteld aan de chatbot, gesprekshistorie, gebruikte taal
• Aanmeldgegevens — cv, motivatiebrief, cijferlijsten, identiteitsbewijzen

89 % van de kandidaten stelt een vraag over het collegegeld en 78 % informeert naar mogelijkheden voor duale trajecten of stages (Bron: analyse van 12.000 chatbotgesprekken Skolbot, sept. 2025 — feb. 2026). Zodra een identificatiemiddel (naam, e-mail) aan het gesprek gekoppeld wordt, kwalificeren deze uitwisselingen als persoonsgegevens.

Gegevens van ingeschreven studenten

Na inschrijving genereert een student een aanzienlijk groter gegevensvolume:

• Studiegegevens — cijfers, aanwezigheid, voortgang, diploma's
• Financiële gegevens — collegegeld, betalingsregelingen, beurzen, DUO-leningen
• Campusgegevens — gebouwtoegang (studentenpas), mensa, studentenhuisvesting
• Bijzondere persoonsgegevens — functiebeperking, sociale omstandigheden, gezondheidsgegevens (studentenarts, individueel studieplan)

Bijzondere persoonsgegevens (artikel 9 AVG) vereisen versterkte waarborgen: specifieke rechtsgrondslag, strikte toegangsbeperking en een verbod op geautomatiseerde besluitvorming, behoudens uitdrukkelijke uitzonderingen.

Gegevens van alumni

De verwerking van alumnigegevens (adressenbestand, donaties, netwerkevenementen) vereist een andere rechtsgrondslag dan die welke tijdens de studie gold. De toestemming die bij inschrijving is gegeven dekt niet automatisch het contact na het afstuderen.

Toepasselijke rechtsgrondslagen in het hoger onderwijs

De 6 rechtsgrondslagen van de AVG en hun toepassing op instellingen

De AVG (artikel 6) definieert zes rechtsgrondslagen voor de verwerking van persoonsgegevens. In het hoger onderwijs worden er vier voornamelijk gebruikt:

• Uitvoering van een overeenkomst (artikel 6.1.b) — De sterkste grondslag voor gegevens die verband houden met de inschrijving, de opleiding en de facturering. De onderwijsovereenkomst rechtvaardigt de verwerking van de daarvoor noodzakelijke gegevens.

• Gerechtvaardigd belang (artikel 6.1.f) — Toepasbaar op wervingsmarketing (verzending van brochures, herinneringen) en websiteanalytics. Vereist een gedocumenteerde belangenafweging: het belang van de instelling mag niet zwaarder wegen dan de rechten van de betrokkene. Het EDPB (Europees Comité voor gegevensbescherming) beveelt formele documentatie van deze afweging per verwerking aan.

• Toestemming (artikel 6.1.a) — Vereist voor marketingnieuwsbrieven, niet-essentiële cookies en het delen van gegevens met partners. Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Een contactformulier met een vooraf aangevinkt vakje "Ik wil communicatie ontvangen" vormt geen geldige toestemming.

• Wettelijke verplichting (artikel 6.1.c) — Betreft de gegevensoverdracht aan autoriteiten (DUO, NVAO, Inspectie van het Onderwijs, ministerie van OCW) en de wettelijke bewaartermijn van diploma's.

Veelgemaakte fout: toestemming als standaardgrondslag

Veel instellingen gebruiken toestemming als enige rechtsgrondslag voor alle verwerkingen. Dat is een strategische fout. Toestemming is te allen tijde intrekbaar (artikel 7.3), wat betekent dat de instelling het recht op verwerking verliest zodra een student de toestemming intrekt — inclusief de gegevens die noodzakelijk zijn voor de opleiding.

De juiste aanpak: gebruik de uitvoering van de overeenkomst voor verwerkingen die verband houden met de opleiding, de wettelijke verplichting voor overheidsrapportages, het gerechtvaardigd belang voor werving (met gedocumenteerde belangenafweging), en toestemming uitsluitend voor marketing en cookies.

Toestemming in de onderwijscontext

Toestemming van minderjarigen

De AVG (artikel 8) stelt de leeftijdsgrens voor digitale toestemming op 16 jaar, maar iedere lidstaat mag die verlagen tot 13 jaar. In Nederland is deze grens vastgesteld op 16 jaar in de Uitvoeringswet AVG (UAVG). Voor het hoger onderwijs zijn de meeste kandidaten meerderjarig, maar mbo-hbo-doorstromers en studenten van versnelde trajecten kunnen nog minderjarig zijn.

Voor minderjarige kandidaten: de toestemming van ouders of wettelijk vertegenwoordigers is vereist voor iedere verwerking op basis van toestemming (marketingnieuwsbrief, marketingcookies). Formulieren moeten voorzien in een verificatiemechanisme (ouderlijk e-mailadres, dubbele opt-in).

Toestemming en AI-chatbot

Een AI-chatbot die persoonsgegevens verzamelt moet de kandidaat vóór aanvang van het gesprek informeren:

• Dat hij of zij communiceert met een kunstmatige intelligentie (transparantieverplichting AI Act, artikel 52)
• Welke gegevens worden verzameld en met welk doel
• Hoe rechten uitgeoefend kunnen worden (inzage, rectificatie, wissing)
• Hoe lang gesprekken bewaard worden

Een informatiebanner bij het starten van de chatbot, met een link naar het privacybeleid, voldoet aan deze verplichting. De chatbot mag de toegang tot informatie niet afhankelijk maken van het verstrekken van persoonsgegevens: een kandidaat moet vragen kunnen stellen over opleidingen zonder naam of e-mailadres op te geven.

Rechten van betrokkenen

De 8 rechten die uw instelling moet waarborgen

De AVG kent betrokkenen (kandidaten, studenten, alumni) acht fundamentele rechten toe. Uw instelling moet beschikken over werkprocedures om elk verzoek binnen één maand te beantwoorden:

• Recht van inzage (artikel 15) — De student kan een kopie opvragen van alle gegevens die u over hem of haar verwerkt.
• Recht op rectificatie (artikel 16) — Correctie van onjuiste of onvolledige gegevens.
• Recht op wissing (artikel 17) — Het "recht om vergeten te worden". Beperkt door wettelijke bewaarverplichtingen (diploma's, financiële administratie).
• Recht op beperking van de verwerking (artikel 18) — Bevriezing van de verwerking bij betwisting.
• Recht op overdraagbaarheid (artikel 20) — Overdracht van gegevens in een gestructureerd formaat naar een andere instelling.
• Recht van bezwaar (artikel 21) — Verzet tegen verwerking op basis van gerechtvaardigd belang, inclusief profilering voor marketingdoeleinden.
• Recht om niet onderworpen te worden aan geautomatiseerde besluitvorming (artikel 22) — Essentieel voor toelatingstools die AI gebruiken.
• Recht om toestemming in te trekken (artikel 7.3) — Op elk moment, zonder opgaaf van redenen.

Wissing in cascade: een technische uitdaging

Wanneer een kandidaat het recht op wissing uitoefent, moeten alle persoonsgegevens uit alle systemen verwijderd worden: CRM, chatbot, e-mailtool, nominatieve analytics, back-ups. De wervingskosten per ingeschreven student liggen in Nederland tussen 1.800 en 2.400 EUR (Bron: schattingen op basis van gegevens van EAIE, StudyPortals, EAB en Nuffic). Elk wissingsverzoek vertegenwoordigt een verlies aan marketinginvestering — des te meer reden om de gegevensverzameling vanaf het begin te minimaliseren.

De wissing moet binnen één maand effectief zijn. Een gedocumenteerd cascadewissingsproces, periodiek getest, is onmisbaar.

De FG: rol en verplichtingen voor instellingen

Wanneer is de aanstelling van een FG verplicht?

De AVG (artikel 37) verplicht de aanstelling van een Functionaris Gegevensbescherming (FG) wanneer de verwerking wordt uitgevoerd door een overheidsorgaan, of wanneer de kernactiviteiten van de verwerkingsverantwoordelijke regelmatige en stelselmatige observatie van betrokkenen op grote schaal vereisen.

Voor een hoger-onderwijsinstelling beschouwt de AP de verwerking van gegevens van honderden of duizenden kandidaten en studenten als grootschalige verwerking. In de praktijk is de aanstelling van een FG vrijwel altijd verplicht. De AP heeft specifiek richtlijnen voor het onderwijs gepubliceerd.

Interne of externe FG?

Beide opties zijn toegestaan. Een interne FG kent de processen van de instelling beter, maar loopt risico op belangenverstrengeling als de functie gecombineerd wordt met een besluitvormende rol (IT-directeur, juridisch directeur). Een externe FG brengt gespecialiseerde expertise en gegarandeerde onafhankelijkheid, maar heeft tijd nodig om de eigenheid van het hoger onderwijs te doorgronden.

De FG moet rechtstreeks toegang hebben tot het bestuur, mag niet worden bestraft voor de uitoefening van de functie, en moet beschikken over voldoende middelen (budget, tijd, tooling).

De AI Act en de gevolgen voor het onderwijs

Classificatie van AI-systemen in het onderwijs

De AI Act van de EU (Verordening 2024/1689) classificeert systemen voor kunstmatige intelligentie op risiconiveau. Voor het hoger onderwijs zijn twee categorieën relevant:

Hoog risico (Bijlage III) — AI-systemen die worden ingezet voor toelating, beoordeling van aanmeldingen of geautomatiseerde tentamenbeoordeling worden als hoog risico geclassificeerd. Ze vereisen:

• Een gedocumenteerd risicobeheersysteem
• Trainingsdata van hoge kwaliteit, representatief en vrij van bias
• Effectief menselijk toezicht (de AI adviseert, de mens beslist)
• Volledige transparantie richting betrokkenen
• Registratie in de Europese databank voor hoog-risico-AI-systemen

Beperkt risico (artikel 52) — Informatieve chatbots in de voorlichtingsfase vallen onder beperkt risico. De belangrijkste verplichting is transparantie: de kandidaat moet weten dat hij of zij met AI communiceert. Geen conformiteitsbeoordeling, geen registratie, maar wel een duidelijke informatieplicht.

Tijdlijn van inwerkingtreding

De AI Act treedt gefaseerd in werking. De verboden op AI-systemen met onaanvaardbaar risico gelden sinds februari 2025. De verplichtingen voor hoog-risicosystemen zijn volledig van toepassing vanaf augustus 2026. Instellingen die AI-tools inzetten voor de voorselectie van aanmeldingen moeten zich nu al voorbereiden.

De NVAO (Nederlands-Vlaamse Accreditatieorganisatie) heeft nog geen specifieke richtlijnen voor AI in toelatingsprocessen uitgebracht, maar de verwachting is dat AI-gestuurde toelatingsbeslissingen onder haar toezicht zullen vallen zodra de hoog-risicoverplichtingen van kracht worden.

Landspecifieke verplichtingen

Nederland — AP

De AP (Autoriteit Persoonsgegevens) is de Nederlandse toezichthouder. Naast de AVG legt de UAVG (Uitvoeringswet AVG) aanvullende verplichtingen op:

• Digitale toestemmingsleeftijd op 16 jaar (gelijk aan de AVG-standaard)
• Strikte regels rond proctoring en online surveillance — de AP heeft meerdere instellingen gewaarschuwd en beboet voor het gebruik van proctoringsoftware zonder adequate rechtsgrondslag
• Het register van verwerkingsactiviteiten moet beschikbaar zijn voor de FG en op verzoek voor de AP
• Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht voor grootschalige verwerking van studentengegevens

De AP heeft specifiek aandacht besteed aan Studielink en de gegevensstromen tussen instellingen, DUO en het ministerie — instellingen die aanvullende gegevens buiten Studielink verwerken moeten hier bijzonder alert op zijn.

België — GBA/APD

De GBA (Gegevensbeschermingsautoriteit) is de Belgische toezichthouder. De digitale toestemmingsleeftijd is 13 jaar — de laagste in de EU. Vlaamse instellingen die Nederlandse studenten werven (en vice versa) moeten rekening houden met de verschillende leeftijdsgrenzen en de dubbele accreditatiestructuur via de NVAO.

Frankrijk — CNIL

De CNIL is de Franse toezichthouder. Zij hanteert een digitale toestemmingsleeftijd van 15 jaar en stelt aanvullende eisen aan cookies. De CNIL publiceert specifieke richtlijnen voor de opleidingssector.

Duitsland — BfDI

De BfDI houdt toezicht op federaal niveau, maar elk Land beschikt over een eigen toezichthouder voor het onderwijs. De soms uiteenlopende interpretaties bemoeilijken de compliance voor instellingen met vestigingen in meerdere Länder.

Verenigd Koninkrijk — ICO

Het ICO handhaaft de UK GDPR na Brexit. Nederlandse instellingen die in het VK werven moeten de gegevensoverdracht behandelen als internationale doorgifte, met passende waarborgen (modelcontractbepalingen). SURF heeft richtlijnen gepubliceerd over datasoevereiniteit bij internationale samenwerkingen.

Gegevensbeveiliging: technische en organisatorische maatregelen

Het beginsel van dataminimalisatie

Artikel 5.1.c van de AVG schrijft voor dat alleen de gegevens worden verzameld die strikt noodzakelijk zijn voor het aangegeven doel. Voor een chatbot betekent dit: vraag geen naam, e-mailadres of telefoonnummer om een vraag over opleidingen te beantwoorden. Identificatiegegevens mogen pas worden verzameld wanneer de kandidaat daadwerkelijk teruggebeld of gemaild wil worden.

Onmisbare technische maatregelen

• Versleuteling — Tijdens transport (TLS 1.3) en in opslag (AES-256) voor alle persoonsgegevens
• Europese hosting — Servers binnen de EU, conform de aanbevelingen van het EDPB over internationale doorgiften
• Pseudonimisering — Scheiding van directe identificatoren en gedragsgegevens
• Toegangsregistratie — Traceerbaarheid van wie welke gegevens raadpleegt, en wanneer
• Versleutelde back-ups — Met periodieke hersteltests
• Geautomatiseerde verwijdering — Wissing van gegevens na afloop van de vastgestelde bewaartermijn

Gegevensbeschermingseffectbeoordeling (DPIA)

Artikel 35 van de AVG vereist een DPIA vóór iedere verwerking die waarschijnlijk een hoog risico oplevert. Voor een instelling betreft dit:

• De inzet van een AI-chatbot die persoonsgegevens verzamelt
• Het gebruik van AI-tools voor de beoordeling van aanmeldingen
• Camerabewaking op de campus
• Profilering van kandidaten voor marketingdoeleinden

De DPIA moet de verwerking beschrijven, de noodzaak en evenredigheid beoordelen, de risico's identificeren en mitigatiemaatregelen voorstellen. De AP biedt een DPIA-model dat als startpunt kan dienen.

67 % van de interacties met kandidaten vindt buiten kantooruren plaats (Bron: Skolbot-interactielogs, 200.000 sessies, okt. 2025 — feb. 2026). Dat betekent dat een chatbot die 24/7 draait continu persoonsgegevens verwerkt — en dat uw beveiligingsmaatregelen ook buiten kantooruren waterdicht moeten zijn.

FAQ

Is een AI-chatbot AVG-conform?

Ja, mits vier verplichtingen worden nageleefd: de kandidaat informeren dat hij of zij met AI communiceert (transparantieverplichting AI Act), uitsluitend strikt noodzakelijke gegevens verzamelen (dataminimalisatie), eenvoudige inzage, rectificatie en wissing bieden (rechten van betrokkenen) en de gegevens binnen de EU hosten. Een conforme chatbot informeert vóór het verzamelen en maakt de toegang tot informatie niet afhankelijk van het verstrekken van persoonsgegevens.

Hoe lang mogen gegevens van een niet-ingeschreven kandidaat bewaard worden?

De AP hanteert als uitgangspunt dat persoonsgegevens van kandidaten niet langer dan noodzakelijk bewaard worden. In de praktijk geldt een maximum van 2 tot 3 jaar na het laatste contact voor wervingsgegevens. Voor een kandidaat die niet is toegelaten: bewaring van het dossier gedurende 1 jaar (eventueel bezwaar), daarna wissing. Deze termijnen moeten zijn opgenomen in het register van verwerkingsactiviteiten.

Verbiedt de AI Act het gebruik van AI bij toelatingen?

Nee. De AI Act verbiedt het niet, maar classificeert het als hoog-risicosysteem (Bijlage III). Dat brengt aangescherpte verplichtingen met zich mee: risicobeheer, kwaliteit van trainingsdata, effectief menselijk toezicht, transparantie richting kandidaten en registratie. AI mag adviseren, maar de uiteindelijke toelatingsbeslissing moet door een mens worden genomen.

Is een FG verplicht bij een instelling met 500 studenten?

In de praktijk wel. De AP beschouwt de verwerking van gegevens van honderden studenten (cijfers, financiële gegevens, gezondheid) als grootschalige verwerking. De aanstelling van een FG is daarmee vrijwel altijd verplicht voor hoger-onderwijsinstellingen, ongeacht de omvang. De FG kan worden gedeeld met andere instellingen of extern worden ingehuurd.

Hoe gaat u om met een wissingsverzoek van een afgestudeerde student?

Volledige wissing is niet mogelijk: de instelling is wettelijk verplicht bewijs van diplomaverlening te bewaren (wettelijke verplichting, artikel 6.1.c). Financiële gegevens zijn onderworpen aan fiscale bewaartermijnen (7 jaar in Nederland). Campusgegevens, navigatiegegevens en marketingcommunicatie moeten echter wél worden gewist. Documenteer het antwoord schriftelijk, met vermelding van welke gegevens gewist zijn en welke bewaard blijven met de bijbehorende rechtsgrondslag.

AVG-compliance is geen eenmalig project. Het is een doorlopend proces dat ieder onderdeel van uw instelling raakt — toelatingen, studentenadministratie, marketing, IT, bestuur. Instellingen die gegevensbescherming vanaf het ontwerp in hun systemen integreren (privacy by design) beschermen hun studenten en beschermen zichzelf.

Meer weten over hoe de AI Act de verplichtingen voor onderwijsinstellingen verandert? Lees ons artikel over de AI Act en het hoger onderwijs. Voor de technische beveiligingsmaatregelen vindt u onze gids over de bescherming van kandidaatgegevens.