ChatGPT
Claude
Perplexity
Gemini
GrokEen AVG-audit doe je niet op gevoel — maar met een checklist
Een AVG-audit bij een hogeschool of universiteit is een methodische inventarisatie: wat verzamelt u, waarom verzamelt u het, hoe slaat u het op, en wat doet u ermee. Zonder gestructureerde checklist zijn vergissingen gegarandeerd: het Excel-bestand van de onderwijsbeurs dat niemand heeft geanonimiseerd, de verwerkersovereenkomst die nooit is getekend met de chatbot-leverancier, de gesprekken met kandidaten die zonder bewaartermijn worden opgeslagen.
62 % van de onderwijsinstellingen heeft geen gedocumenteerde procedure voor de verwerking van kandidaatgegevens (Bron: enquête Skolbot onder 62 marketingverantwoordelijken van onderwijsinstellingen, december 2025). Deze checklist met 20 punten bestrijkt het volledige AVG-bereik van een private hogeschool of universiteit, inclusief de verplichtingen van de AI Act. Elk punt is uitvoerbaar en geprioriteerd.
Raadpleeg voor het overkoepelende kader onze complete AVG-gids voor studentengegevens.
Deel 1 — Governance en rechtsgrondslag (punten 1 tot 5)
1. Controleer de aanstelling en onafhankelijkheid van de FG
De FG (Functionaris Gegevensbescherming) is verplicht voor elke instelling die op grote schaal persoonsgegevens verwerkt (AVG, artikel 37). Wat de audit controleert: is de FG formeel aangesteld? Heeft de FG rechtstreeks toegang tot de directie? Combineert de FG de functie met een besluitvormende rol (IT-directeur, juridisch directeur) — waardoor een belangenconflict ontstaat?
Actie: controleer de aanstellingsbrief van de FG, bevestig de onafhankelijkheid en verifieer dat de registratie bij de Autoriteit Persoonsgegevens (AP) actueel is.
2. Stel het verwerkingsregister op en houd het bij
Het verwerkingsregister (artikel 30) is het sleuteldocument van AVG-compliance. Het moet elke verwerking van persoonsgegevens bevatten: doeleinde, categorieën gegevens, rechtsgrondslag, bewaartermijnen en ontvangers. De AP biedt een model, maar de meeste instellingen houden het niet bij.
Actie: doorloop elke afdeling (toelatingen, studentenadministratie, marketing, IT, financiën) en verifieer dat hun verwerkingen in het register staan met een expliciete rechtsgrondslag.
3. Valideer de rechtsgrondslag van elke verwerking
Vier rechtsgrondslagen dekken 95 % van de verwerkingen bij een instelling: uitvoering van de overeenkomst (inschrijving, facturering), wettelijke verplichting (rapportage aan DUO, diplomering), gerechtvaardigd belang (marketing, analytics) en toestemming (nieuwsbrieven, cookies). De klassieke fout: alles baseren op toestemming, die op elk moment kan worden ingetrokken.
Actie: controleer voor elke verwerking in het register of de rechtsgrondslag correct is. Migreer verwerkingen die ten onrechte op toestemming zijn gebaseerd naar de juiste grondslag.
4. Controleer het bestaan en de kwaliteit van gegevensbeschermingseffectbeoordelingen (DPIA)
Artikel 35 van de AVG vereist een DPIA voor elke verwerking met hoog risico. Voor een hogeschool betreft dit minimaal: de inzet van een AI-chatbot, het gebruik van AI-tools voor toelatingen, camerabewaking op de campus en marketingprofilering.
Actie: inventariseer de verwerkingen met hoog risico, controleer of voor elk een DPIA bestaat en of deze actueel is (minder dan 2 jaar oud of bijgewerkt na wijziging van de verwerking).
5. Documenteer de procedures voor de uitoefening van rechten van betrokkenen
De AVG kent acht rechten aan betrokkenen toe (inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar, geautomatiseerde besluitvorming, intrekking van toestemming). Uw instelling moet op elk verzoek binnen een maand kunnen reageren. De acquisitiekosten per student variëren van 1.500 tot 2.200 EUR in Nederland (Bron: schattingen EAIE, StudyPortals, EAB) — elk verwijderingsverzoek vertegenwoordigt een meetbaar verlies op de marketinginvestering.
Actie: test de procedure door een verwijderingsverzoek te simuleren. Meet de werkelijke responstijd en het aantal betrokken systemen (CRM, chatbot, e-mailmarketing, analytics, back-ups).
Deel 2 — Verzameling en toestemming (punten 6 tot 10)
6. Auditeer elk punt van gegevensverzameling
Persoonsgegevens stromen uw systeem binnen via tientallen kanalen: websiteformulieren, chatbot, aanmelding voor open dagen, onderwijsbeurzen, Studielink, spontane aanmeldingen, telefonische contacten. De audit moet ze allemaal inventariseren.
89 % van de kandidaten stelt een vraag over het collegegeld en 78 % over duale trajecten of stages (Bron: analyse van 12.000 chatbotgesprekken Skolbot, sept. 2025 — feb. 2026). Deze gesprekken genereren persoonsgegevens zodra er een identificatiemiddel aan wordt gekoppeld.
Actie: breng elk formulier, chatbot en fysiek contactpunt in kaart. Controleer per punt: welke gegevens worden verzameld? Is de kandidaat geïnformeerd? Wordt de rechtsgrondslag getoond?
7. Controleer de conformiteit van de toestemmingsformulieren
De AVG-toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn: geen vooraf aangevinkte vakjes, geen gebundelde toestemming, geen voorwaardelijke toegang tot informatie in ruil voor gegevens.
Actie: auditeer elk formulier. Marketingvakjes standaard uitgeschakeld, tekst die elk doeleinde apart vermeldt, zichtbare link naar het privacybeleid.
8. Controleer het cookiebeheer
De richtlijnen van de AP over cookies vereisen voorafgaande toestemming voor elk niet-essentieel cookie. De audit controleert: biedt uw cookiebanner een weigering die even eenvoudig is als de acceptatie? Worden cookies daadwerkelijk geblokkeerd vóór toestemming (niet alleen de banner getoond)? Wordt het bewijs van toestemming bewaard?
Actie: test de website met een schone browser. Verifieer dat Google Analytics, Meta-pixels en andere trackers niet worden geladen vóór het klikken op "Accepteren".
9. Controleer de verwerking van gegevens van minderjarigen
In Nederland geldt de leeftijdsgrens voor digitale toestemming op 16 jaar. Mbo-opleidingen en voorbereidende trajecten verwelkomen minderjarigen van 15-17 jaar waarvoor ouderlijke toestemming vereist is.
Actie: controleer of formulieren en de chatbot minderjarigen identificeren en een verificatiemechanisme voor ouderlijke toestemming activeren (e-mail aan ouders, dubbele opt-in).
10. Controleer de dataminimalisatie
Het principe van dataminimalisatie (artikel 5.1.c) verplicht om alleen het strikt noodzakelijke te verzamelen. Een chatbot zou geen naam en e-mailadres moeten eisen om een vraag over het opleidingsaanbod te beantwoorden.
Actie: inventariseer per formulier de verplichte velden en verifieer dat ze gerechtvaardigd worden door het verklaarde doeleinde.
Deel 3 — Opslag en beveiliging (punten 11 tot 15)
11. Controleer de bewaartermijnen en geautomatiseerde verwijdering
De AP adviseert 3 jaar na het laatste contact voor kandidaten, 10 jaar voor financiële gegevens en de wettelijke termijn voor diploma's. De audit verifieert dat de verwijdering effectief is, niet alleen theoretisch.
Actie: bevraag de database. Staan er nog kandidaten van meer dan 3 jaar geleden in? Zo ja, dan werkt de automatische verwijdering niet.
12. Controleer de versleuteling in transit en in rust
Versleuteling in transit (TLS 1.3) en in rust (AES-256) over de gehele keten: website, API's, databases, back-ups.
Actie: controleer het SSL-certificaat van elk endpoint via SSL Labs. Bevestig de versleuteling in rust van de database.
13. Controleer de Europese hosting van gegevens
Conform de aanbevelingen van het EDPB (Europees Comité voor gegevensbescherming) moeten persoonsgegevens binnen de EU worden gehost. Elke doorgifte buiten de EU vereist waarborgen (standaardcontractbepalingen, adequaatheidsbesluit).
Actie: inventariseer alle diensten die persoonsgegevens verwerken (hosting, CRM, e-mailmarketing, analytics, chatbot). Controleer per dienst de serverlocatie en het bestaan van standaardcontractbepalingen indien de doorgifte buiten de EU plaatsvindt.
14. Auditeer de toegangsrechten en logging
Wie heeft toegang tot welke gegevens, en sinds wanneer? De audit verifieert dat de toegang beperkt is tot het strikt noodzakelijke (least privilege-principe) en dat toegang wordt gelogd.
Actie: exporteer de lijst van gebruikers met toegang tot het CRM, de studentendatabase en de e-mailmarketingtools. Controleer of accounts van voormalige medewerkers zijn gedeactiveerd. Bevestig dat toegangslogs worden bewaard en bruikbaar zijn.
15. Test de back-ups en het herstel
Back-ups moeten versleuteld, regelmatig en — bovenal — getest zijn. Een back-up die nooit succesvol is hersteld, is geen back-up.
Actie: vraag de datum van de laatste hersteltest op. Als die meer dan 6 maanden geleden is (of nooit heeft plaatsgevonden), plan dan onmiddellijk een test.
Deel 4 — Verwerkers en doorgiften (punten 16 tot 18)
16. Controleer de verwerkersovereenkomsten met elke verwerker
Artikel 28 vereist een verwerkersovereenkomst met elke partij die gegevens voor uw rekening verwerkt: hosting, CRM, e-mailmarketing, chatbot, analytics, videoconferentie. De overeenkomst specificeert: object, duur, categorieën gegevens, verplichtingen en verdere verwerking.
Actie: inventariseer alle verwerkers. Controleer het bestaan van een ondertekende en actuele verwerkersovereenkomst. Prioriteer hoge volumes (CRM, chatbot) en verwerkers van gevoelige gegevens.
17. Controleer de internationale doorgiften van gegevens
Elke doorgifte buiten de EER vereist een juridische basis: adequaatheidsbesluit, standaardcontractbepalingen (SCC) of bindende bedrijfsvoorschriften. Doorgiften naar de Verenigde Staten vragen bijzondere waakzaamheid, zelfs onder het Data Privacy Framework.
Actie: controleer per verwerker uit punt 16 de serverlocatie en het doorgifte-mechanisme. Een Amerikaans SaaS-product zonder SCC vormt een risico op non-compliance.
18. Auditeer de subverwerkers van uw verwerkers
De AVG vereist kennis van subverwerkers (artikel 28, lid 2). Gebruikt uw CRM AWS? Draait uw chatbot op een AI-model dat bij een derde partij wordt gehost? Deze ketens moeten worden gedocumenteerd.
Actie: vraag elke verwerker naar de lijst van subverwerkers. Controleer of gelijkwaardige waarborgen gelden.
Deel 5 — AI en specifieke verplichtingen (punten 19 tot 20)
19. Classificeer uw AI-systemen volgens de AI Act
De AI Act (Verordening EU 2024/1689) classificeert AI-systemen naar risiconiveau. Voor een onderwijsinstelling zijn de belangrijkste categorieën:
- Hoog risico — scoring van aanmeldingen, geautomatiseerde beoordeling, ondersteuning bij toelatingsbeslissingen. Verplichtingen: risicomanagement, menselijk toezicht, transparantie, registratie in de Europese database.
- Beperkt risico — informatiechatbot, FAQ-assistent. Belangrijkste verplichting: de kandidaat informeren dat hij met een AI interageert.
De verplichtingen voor systemen met hoog risico treden in augustus 2026 in werking. Instellingen die AI-tools voor de selectie van kandidaten gebruiken, moeten zich nu voorbereiden.
Raadpleeg voor de details per categorie ons artikel over de AI Act en het hoger onderwijs.
Actie: maak een inventaris van alle AI-systemen die in de instelling worden gebruikt (chatbot, scoring, plagiaatdetectie, aanbeveling). Classificeer elk systeem naar het AI Act-risiconiveau. Controleer voor systemen met hoog risico het bestaan van een compliance-dossier.
20. Controleer de algoritmische transparantie en het menselijk toezicht
De AI Act en de AVG (artikel 22) convergeren: elke geautomatiseerde beslissing met een significant effect (toelating, uitsluiting, beurs) vereist effectief menselijk toezicht. De AI doet een aanbeveling, de mens beslist.
Actie: controleer per AI-systeem met hoog risico: (a) gedocumenteerd menselijk toezicht, (b) informatie aan de kandidaat of student, (c) functionele bezwaarprocedure.
Overzicht: samenvattende tabel van de checklist
| # | Auditpunt | Domein | Prioriteit | Frequentie |
|---|---|---|---|---|
| 1 | Aanstelling en onafhankelijkheid van de FG | Governance | Kritiek | Jaarlijks |
| 2 | Verwerkingsregister up-to-date | Governance | Kritiek | Halfjaarlijks |
| 3 | Rechtsgrondslag per verwerking | Governance | Kritiek | Bij elke nieuwe verwerking |
| 4 | Gegevensbeschermingseffectbeoordelingen (DPIA) | Governance | Hoog | Jaarlijks of bij elke wijziging |
| 5 | Procedures voor rechten van betrokkenen | Governance | Hoog | Jaarlijks + gesimuleerde test |
| 6 | Inventarisatie van verzamelpunten | Verzameling | Hoog | Halfjaarlijks |
| 7 | Conformiteit van toestemmingsformulieren | Verzameling | Kritiek | Driemaandelijks |
| 8 | Cookiebeheer | Verzameling | Kritiek | Driemaandelijks |
| 9 | Verwerking van gegevens van minderjarigen | Verzameling | Hoog | Jaarlijks |
| 10 | Dataminimalisatie | Verzameling | Gemiddeld | Halfjaarlijks |
| 11 | Bewaartermijnen en verwijdering | Opslag | Kritiek | Halfjaarlijks |
| 12 | Versleuteling in transit en in rust | Beveiliging | Kritiek | Jaarlijks |
| 13 | Europese hosting van gegevens | Beveiliging | Hoog | Bij elke nieuwe leverancier |
| 14 | Toegangsrechten en logging | Beveiliging | Hoog | Driemaandelijks |
| 15 | Back-ups en herstel | Beveiliging | Hoog | Halfjaarlijks |
| 16 | Verwerkersovereenkomsten | Verwerkers | Kritiek | Jaarlijks |
| 17 | Internationale doorgiften | Verwerkers | Hoog | Bij elke nieuwe leverancier |
| 18 | Subverwerkers | Verwerkers | Gemiddeld | Jaarlijks |
| 19 | Classificatie AI Act | AI | Hoog | Jaarlijks |
| 20 | Algoritmische transparantie | AI | Hoog | Jaarlijks |
Hoe de audit in de praktijk te organiseren
De audit vereist minimaal vier betrokkenen: de FG, de directeur toelatingen, de IT-directie en de marketingdirectie. Planning: volledige audit jaarlijks (20 punten) + driemaandelijkse controles op de kritieke punten (toestemming, cookies, toegang). Elk geauditeerd punt resulteert in een fiche: resultaat (conform / niet-conform / gedeeltelijk), bewijs en corrigerende actie. Dat is het eerste wat de AP zal opvragen bij een controle.
Raadpleeg voor de technische maatregelen ter bescherming van kandidaatgegevens onze specifieke gids.
FAQ
Hoelang duurt een volledige AVG-audit voor een onderwijsinstelling?
Tussen 3 en 6 weken, afhankelijk van de omvang van de instelling en de volwassenheid van het systeem. Instellingen die al een actueel verwerkingsregister en een actieve FG hebben, winnen tijd. De langste fase is de audit van de verwerkers (punten 16 tot 18), omdat die afhangt van de responstijd van de leveranciers.
Is een specifieke audit nodig als de instelling een AI-chatbot gebruikt?
Ja. Een AI-chatbot vormt een afzonderlijke verwerking die in het register moet worden opgenomen. Als het taalmodel buiten de EU wordt gehost, zijn de punten 13 en 17 rechtstreeks van toepassing. De AI Act voegt de verplichting toe om de kandidaat te informeren dat hij met een AI interageert. 91 % van de websitebezoekers van een onderwijsinstelling vertrekt zonder eerste contact (Bron: analyse trechter Skolbot, 30 instellingen, cohort 2025-2026) — de chatbot is vaak het enige verzamelpunt vóór de aanmelding, waardoor de compliance ervan cruciaal is.
Wat zijn de sancties bij non-compliance met de AVG voor een onderwijsinstelling?
Tot 20 miljoen euro of 4 % van de jaarlijkse wereldwijde omzet. De AP heeft in recente jaren organisaties beboet voor ontbreken van een rechtsgrondslag en buitensporige gegevensverzameling. Naast de boete schaadt een openbare last onder dwangsom de reputatie bij kandidaten en hun ouders.
Dekt de AVG-audit ook de verplichtingen van de AI Act?
Niet standaard. De punten 19 en 20 van deze checklist breiden het bereik uit naar AI-classificatie en algoritmische transparantie. AVG en AI Act zijn complementair: de ene beschermt de gegevens, de andere reguleert de systemen die ze verwerken. Een geïntegreerde audit voorkomt dubbel werk. Raadpleeg voor de details onze gids AI Act.
Deze checklist met 20 punten vormt de basis van elke auditcyclus. Instellingen die haar integreren in hun jaarlijkse governance verminderen hun blootstelling aan sancties en versterken het vertrouwen van kandidaten.
