AI-chatbot en AVG: welke gegevens mag uw hogeschool verzamelen?

Welke gegevens verzamelt een AI-chatbot op uw hogeschoolwebsite?

Een AI-chatbot op de website van uw hogeschool of universiteit verwerkt persoonsgegevens vanaf het eerste bericht dat een studiekiezer typt. Die gegevensverwerking valt volledig onder de Algemene Verordening Gegevensbescherming (AVG — Verordening 2016/679) en het toezicht van de Autoriteit Persoonsgegevens (AP). De AP heeft AI en algoritmen in het onderwijs expliciet aangemerkt als een handhavingsprioriteit voor 2024–2025.

In de praktijk verzamelt een chatbot voor een hogeschool vier categorieën persoonsgegevens:

1. Contactgegevens die de studiekiezer zelf verstrekt — naam, e-mailadres, telefoonnummer.
2. Studiegegevens — opleiding van interesse, gewenste locatie, instroomniveau, starttijdstip.
3. Gespreksinhoud — de volledige tekst van de conversatie, inclusief vragen en antwoorden.
4. Technische metadata — IP-adres, tijdstempel, sessie-ID, browsertype.

72% van de chatbot-interacties op hogeschoolwebsites betreft standaard FAQ-vragen — elk daarvan een gegevensverwerking waarvoor uw instelling een geldige AVG-rechtsgrondslag nodig heeft. (Bron: automatische classificatie van 12.000 Skolbot-gesprekken, 2025)

Voor het bredere kader van uw AVG-verplichtingen als onderwijsinstelling verwijzen wij naar onze AVG-gids voor onderwijsinstellingen.

Welke AVG-rechtsgrondslag geldt voor elk gegevenstype?

De AVG erkent zes rechtsgrondslagen (artikel 6, lid 1). Voor een hogeschool-chatbot zijn er drie relevant: toestemming (sub a), uitvoering van een overeenkomst of precontractuele maatregelen (sub b) en gerechtvaardigd belang (sub f). De keuze van de rechtsgrondslag bepaalt welke rechten de studiekiezer heeft en hoe lang u gegevens mag bewaren.

Reactietijd als praktische overweging: een AI-chatbot reageert binnen 3 seconden, 24/7. Ter vergelijking: e-mail 47 uur, contactformulier 72 uur. (Bron: Skolbot mystery shopping-audit, 2025, 80 Nederlandse instellingen.) Die snelheid is alleen volhoudbaar als uw gegevensverwerkingsinfrastructuur AVG-conform is ingericht — een datalek of handhavingsactie vertraagt uw wervingsproces onmiddellijk.

Dataminimalisatie: het principe dat uw chatbot kleiner maakt

Dataminimalisatie is een van de kernbeginselen van de AVG (artikel 5, lid 1, sub c) en het meest genegeerde bij chatbot-implementaties. De regel is eenvoudig: u verzamelt alleen de gegevens die strikt noodzakelijk zijn voor het doel van de verwerking.

Wat dit betekent in de praktijk voor een hogeschool-chatbot:

• Vraag niet naar het telefoonnummer als u uitsluitend per e-mail communiceert.
• Vraag niet naar geboortedatum tenzij u het instroomniveau of de leeftijdsgrens voor een opleiding moet vaststellen.
• Sla de volledige gespreksgeschiedenis niet onbeperkt op. Gespreksinhoud die geen actief studietraject heeft opgeleverd, heeft na 12 maanden geen operationeel doel meer.
• Anonimiseer IP-adressen zo snel mogelijk — bij voorkeur binnen 24–48 uur na de sessie.
• Gebruik geen tracking-pixels in de chatbotinterface zonder geldige toestemmingsbasis.

De AP hanteert dataminimalisatie als toetscriterium bij inspecties van onderwijsinstellingen. De vraag die u zichzelf moet stellen bij elk veld in uw chatbot: "Is dit gegeven absoluut noodzakelijk voor het beantwoorden van de vraag van de studiekiezer?" Als het antwoord "nee" of "handig, maar niet noodzakelijk" is, verzamelt u het niet.

Bijzondere persoonsgegevens: extra voorzichtigheid vereist

Studiekiezers delen in chatgesprekken vrijwillig informatie die zij niet altijd als gevoelig beschouwen, maar die juridisch wel onder de bijzondere categorieën van artikel 9 AVG valt:

• Gezondheidsgegevens: "Ik heb een beperking en vraag me af of jullie campus toegankelijk is."
• Gegevens over etnische of raciale afkomst: "Als internationale student uit Ghana…"
• Gegevens over seksuele gerichtheid: vragen over LGBTQ+-inclusiviteit op de campus.
• Financiële moeilijkheden (relevant als indicator van kwetsbare groepen, ook al is dit geen bijzondere categorie in de strikte zin).

De verwerking van bijzondere persoonsgegevens is in beginsel verboden (artikel 9 AVG) tenzij een van de uitzonderingsgronden van toepassing is. Voor een hogeschool-chatbot geldt: u hebt voor het beantwoorden van algemene studievragen geen bijzondere persoonsgegevens nodig. Configureer uw chatbot zo dat:

1. Conversaties automatisch worden gescand op bijzondere categorieën.
2. Die gegevens na <30 dagen automatisch worden geanonimiseerd of verwijderd.
3. Gesprekken die bijzondere persoonsgegevens bevatten, niet worden gebruikt voor het trainen van het AI-model zonder expliciete toestemming.

Voor meer achtergrondinformatie over de bescherming van gegevens van studiekiezers in alle fasen van het wervingsproces, raadpleeg ons artikel over cookie-toestemming en AVG voor hogescholen.

DPIA: wanneer is een gegevensbeschermingseffectbeoordeling verplicht?

De AVG verplicht u een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren voordat u start met een verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen (artikel 35). De AP heeft een lijst gepubliceerd van verwerkingen waarvoor een DPIA verplicht is.

Een AI-chatbot voor een hogeschool vereist vrijwel zeker een DPIA omdat:

• Geautomatiseerde verwerking op grote schaal: chatbots verwerken gesprekken van duizenden studiekiezers.
• Profilering: als de chatbot studiekiezers categoriseert op basis van hun vragen (populaire opleiding, risicogroep, locatievoorkeur), is sprake van profilering.
• Verwerking van bijzondere persoonsgegevens: ook als u dit niet beoogt, kunnen gesprekken dergelijke gegevens bevatten.
• AI Act aanwijzing: de AP verwijst naar de EU AI Act als aanvullend kader; AI-systemen voor onderwijs worden per augustus 2026 mogelijk aangemerkt als hoog-risico systemen.

De DPIA documenteert de risico's, de maatregelen die u neemt om die risico's te mitigeren, en — als risico's niet volledig kunnen worden weggenomen — de voorafgaande raadpleging van de AP. Bewaar de DPIA en herzie deze bij elke materiële wijziging van uw chatbotsysteem.

Transparantie en rechten van betrokkenen: wat de chatbot zelf moet communiceren

De AVG verplicht u de studiekiezer te informeren op het moment van gegevensverzameling (artikel 13). Voor een chatbot betekent dit een privacymelding bij het openen van het chatvenster — niet alleen een link naar uw privacybeleid, maar directe, begrijpelijke informatie.

Wat de welkomstboodschap of de eerste interactie van de chatbot verplicht moet bevatten:

• Identiteit van de verwerkingsverantwoordelijke: uw hogeschool, bij naam.
• AI-melding: de verplichting van artikel 52 van de AI Act om te melden dat de gebruiker met een AI communiceert (verplicht per augustus 2026, maar al nu een AVG-transparantievereiste).
• Doel van de gegevensverwerking: "Wij verwerken uw gegevens om uw vragen te beantwoorden en u te informeren over onze opleidingen."
• Bewaartermijn: "Gespreksinhoud wordt maximaal 12 maanden bewaard."
• Rechten: "U kunt uw gegevens inzien, corrigeren of laten verwijderen via [e-mailadres]."

De studiekiezer heeft als betrokkene de volgende rechten die uw instelling operationeel moet kunnen faciliteren:

• Inzagerecht (artikel 15): u verstrekt een kopie van alle gespreksgegevens binnen één maand.
• Recht op rectificatie (artikel 16): u corrigeert onjuiste gegevens.
• Recht op verwijdering (artikel 17): u wist de gegevens als de rechtsgrondslag toestemming was en de studiekiezer die intrekt, of als de gegevens niet langer noodzakelijk zijn.
• Recht op beperking (artikel 18): u stopt de actieve verwerking terwijl een bezwaar wordt beoordeeld.
• Recht van bezwaar (artikel 21): bij verwerking op basis van gerechtvaardigd belang.

Zorg dat uw verwerkersovereenkomst met de chatbot-leverancier (artikel 28 AVG) expliciet bepaalt hoe en binnen welke termijn de leverancier reageert op verzoeken tot inzage, correctie of verwijdering.

Praktische checklist voor een AVG-conforme hogeschool-chatbot

Gebruik de onderstaande checklist als startpunt voor uw interne audit. Een volledige AVG-auditchecklist voor uw instelling vindt u in onze AVG-auditchecklist voor hogescholen.

• Verwerkingsactiviteiten van de chatbot zijn opgenomen in het verwerkingsregister (artikel 30 AVG)
• DPIA is uitgevoerd en gedocumenteerd vóór livegang
• Verwerkersovereenkomst met chatbot-leverancier is ondertekend en up-to-date
• Subverwerkers van de leverancier (hosting, AI-model) zijn geïdentificeerd en gedocumenteerd
• Bij hosting buiten de EER: passende waarborgen voor internationale doorgifte aanwezig (SCC's)
• Privacymelding zichtbaar bij openen chatvenster (identiteit, doel, bewaartermijn, rechten)
• AI-melding aanwezig (gebruiker weet dat hij met een AI communiceert)
• Bewaartermijnen technisch geconfigureerd (automatische verwijdering na 12 maanden)
• Automatische anonimisering van gevoelige gespreksinhoud na <30 dagen geconfigureerd
• Procedure voor afhandeling van AVG-verzoeken (inzage, verwijdering) operationeel
• Chatbot is opgenomen in uw cookiebeleid als u sessiecookies of localStorage gebruikt

FAQ

Heeft onze hogeschool een verwerkersovereenkomst nodig met de aanbieder van de chatbot?

Ja, altijd. Als een externe leverancier persoonsgegevens verwerkt namens uw hogeschool — en een chatbot-leverancier doet dat per definitie — is een verwerkersovereenkomst (artikel 28 AVG) verplicht. Die overeenkomst legt vast wat de leverancier wél en niet mag doen met de gegevens, welke beveiligingsmaatregelen gelden, hoe lang gegevens worden bewaard, hoe datalekken worden gemeld en hoe de leverancier omgaat met AVG-verzoeken van betrokkenen. Een standaard servicecontract zonder AVG-clausules is niet voldoende. Controleer ook of de leverancier subverwerkers inzet (hosting, AI-modelaanbieder) en of die subverwerkers vermeld zijn in de overeenkomst.

Mag onze chatbot gespreksinhoud gebruiken om het AI-model verder te trainen?

Alleen met een expliciete, geldige rechtsgrondslag — en in de meeste gevallen betekent dat: toestemming van de studiekiezer (artikel 6 lid 1 sub a en artikel 22 lid 2 sub c). Gerechtvaardigd belang is hier moeilijk verdedigbaar omdat de studiekiezer geen redelijke verwachting heeft dat zijn gesprek met een hogeschoolchatbot wordt gebruikt voor AI-training. Uw verwerkersovereenkomst moet expliciet vermelden of de leverancier gegevens mag gebruiken voor modeltraining — en als u dit niet wenst, moet dit contractueel verboden zijn. Controleer de standaardcontractvoorwaarden van uw leverancier: in veel gevallen staat training op gebruikersdata als standaard ingeschakeld.

Wat is de maximale bewaartermijn voor chatbotgesprekken?

De AVG schrijft geen absolute maximumtermijn voor, maar verplicht u gegevens niet langer te bewaren dan noodzakelijk voor het doel (artikel 5 lid 1 sub e). Voor gesprekken die geen inschrijving hebben opgeleverd, geldt een bewaartermijn van maximaal 12 maanden als sectorale norm. Voor gesprekken die tot een inschrijving hebben geleid, mag u de gespreksinhoud bewaren zolang die operationeel relevant is voor de studieloopbaan — maar u verwijdert of anonimiseert gespreksinhoud die niet meer bijdraagt aan die doelstelling. Gevoelige gespreksinhoud (bijzondere persoonsgegevens die onbedoeld zijn gedeeld) anonimiseert u na <30 dagen, ook als het gesprek operationeel nog relevant is.

Is onze chatbot een 'hoog-risico AI-systeem' onder de AI Act?

Dat hangt af van de functionaliteit. AI-systemen die worden ingezet voor studieselectie, beoordeling of toelating vallen per augustus 2026 in de hoog-risico categorie van de EU AI Act. Een informatieve chatbot die FAQ-vragen beantwoordt en studiekiezers doorstuurt naar de juiste contactpersoon, valt waarschijnlijk buiten de hoog-risico categorie — maar u moet dit explicieter aantonen naarmate de chatbot complexere functies krijgt (zoals het filteren van aanmelders of het adviseren over studiekeuze op basis van capaciteiten). Raadpleeg voor uw specifieke situatie de AP-toelichting op de EU AI Act en documenteer uw beoordeling. Dit is ook een aandachtspunt in uw DPIA.

Wat doet u als de chatbot een datalek veroorzaakt?

Artikel 33 AVG verplicht u een datalek te melden bij de AP binnen 72 uur na ontdekking, als het lek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen. Voor chatbotdatalekken — zoals ongeautoriseerde toegang tot gespreksgeschiedenissen — is dit risico in de meeste gevallen aanwezig. Meld het lek, documenteer de aard van het lek, het aantal betrokkenen, de getroffen gegevenscategorieën en de maatregelen die u neemt. Als het lek een hoog risico inhoudt voor individuele betrokkenen, bent u ook verplicht die betrokkenen zelf te informeren (artikel 34 AVG). Zorg dat uw verwerkersovereenkomst met de chatbot-leverancier een contractuele meldtermijn van <24 uur bepaalt — zodat u de wettelijke 72-uurstermijn kunt halen.

Een AVG-conforme AI-chatbot voor uw hogeschool is geen bureaucratisch project — het is de technische en juridische infrastructuur waarmee u studiekiezers kunt helpen op de manier die zij verwachten: snel, persoonlijk en betrouwbaar. De 7% van gesprekken waarbij menselijke tussenkomst nodig is (Bron: Skolbot, 2025) zijn precies de gesprekken waarbij uw team het meeste waarde toevoegt. De overige 93% automatiseert u AVG-conform.