ChatGPT
Claude
Perplexity
Gemini
GrokDe basisregel: maximaal 3 jaar voor prospectgegevens
Drie jaar na het laatste actieve contact — dat is de maximale bewaartermijn voor persoonsgegevens van studiekandidaten die zich niet hebben ingeschreven. Deze termijn vloeit rechtstreeks voort uit het beginsel van opslagbeperking in artikel 5(1)(e) AVG: persoonsgegevens mogen niet langer worden bewaard in een vorm die identificatie van de betrokkene mogelijk maakt dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
De Autoriteit Persoonsgegevens (AP) heeft in haar toezichtspraktijk consistent vastgehouden aan deze termijn voor wervings- en marketingdoeleinden in het onderwijs. Voor hogescholen en universiteiten die zijn geaccrediteerd door de NVAO — zowel bekostigde als niet-bekostigde instellingen — geldt dezelfde AVG-verplichting. Het boeteplafond van 20 miljoen euro of 4 % van de wereldwijde jaaromzet maakt naleving geen vrijblijvende keuze.
Onze volledige AVG-gids voor studentengegevens biedt het bredere kader waarbinnen deze bewaartermijnen gelden.
Bewaartermijnen per gegevenscategorie: overzichtstabel
De juiste bewaartermijn hangt af van de aard van de gegevens, het doel van de verwerking en — bij sommige categorieën — van wettelijke bewaarplichten buiten de AVG. Onderstaande tabel geeft de geldende termijnen voor een Nederlandse hogeschool:
| Gegevenscategorie | Actieve bewaartermijn | Grondslag |
|---|---|---|
| Contactgegevens niet-ingeschreven kandidaat (e-mail, telefoon) | 3 jaar na laatste actieve contact | AVG art. 5(1)(e), opslagbeperking |
| Aanmeldings- en sollicitatiedossier (afgewezen) | 2 jaar na afwijzingsbeslissing | AVG + AWGB-verjaringstermijn |
| Studentendossier ingeschreven student | 5 jaar na einde studie | Burgerlijk Wetboek, verjaring |
| Financiële en boekhoudkundige gegevens | 7 jaar | Artikel 2:10 BW, fiscale bewaarplicht |
| Betaalgegevens creditcard | 15 maanden | Chargebacktermijn betalingsverkeer |
| Navigatiegegevens en cookies | Maximaal 13 maanden | AVG art. 5(1)(e), AP-richtlijn cookies |
| Chatbot-gesprekken zonder persoonsidentificator | 30 dagen | Dataminimalisatie |
| Chatbot-gesprekken met persoonsidentificator (kandidaat) | 3 jaar (onderdeel van kandidaatprofiel) | AVG art. 5(1)(e) |
Specifiek voor Nederlandse instellingen: Studielink-gegevens worden beheerd door DUO en vallen onder een afzonderlijk wettelijk regime. Gegevens die uw instelling vanuit Studielink ontvangt, moeten in uw verwerkingsregister worden opgenomen met de bij u geldende bewaartermijn — het beheer door DUO ontslaat u niet van uw eigen verantwoordelijkheid voor de kopie in uw systemen.
Actieve opslag versus tussenarchivering: het onderscheid dat telt
De AVG maakt impliciet onderscheid tussen twee fasen, die hogescholen in de praktijk regelmatig door elkaar halen:
Actieve opslag is de periode waarin gegevens worden gebruikt voor het oorspronkelijke doel: begeleiding van studiekandidaten, verwerking van aanmeldingen, uitvoering van de onderwijsovereenkomst. De gegevens zijn toegankelijk voor de operationele teams — studieadviseurs, marketing, studentenadministratie.
Tussenarchivering geldt wanneer de gegevens niet meer nodig zijn voor het oorspronkelijke doel, maar vanwege juridische risico's nog niet vernietigd kunnen worden — een lopende of potentiële rechtszaak, een wettelijke bewaarplicht, accreditatiedocumentatie voor de NVAO. Tijdens deze fase is de toegang beperkt tot functionarissen gegevensbescherming (FG) en de juridische afdeling, en zijn de gegevens gescheiden van de operationele systemen.
De meest voorkomende fout: kandidaatprofielen blijven jarenlang actief in het CRM staan "voor het geval ze nog eens terugkomen". Zonder actief contact in drie jaar ontbreekt de rechtsgrondslag voor verdere verwerking volledig.
Rechtsgrondslag voor werving: gerechtvaardigd belang of toestemming?
Voor de benadering van studiekandidaten zijn twee rechtsgrondslagen van toepassing, afhankelijk van de situatie:
Gerechtvaardigd belang (artikel 6(1)(f) AVG) is de geschikte grondslag wanneer de kandidaat actieve interesse heeft getoond: een contactformulier ingevuld, een open dag bijgewoond, een brochure gedownload. De bestaande relatie rechtvaardigt verdere benadering, mits een gedocumenteerde belangenafweging is gemaakt en elke communicatie een eenvoudige afmeldmogelijkheid biedt.
Toestemming (artikel 6(1)(a) AVG) is verplicht voor cold e-mailing — het benaderen van personen via gekochte lijsten of zonder voorafgaande interactie. De toestemming moet vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn: geen vooraf aangevinkte vakjes, geen koppeling van informatietoegang aan het geven van toestemming.
Voor de bewaartermijn is het cruciaal: ook met een geldige rechtsgrondslag vervalt na 3 jaar inactiviteit de basis voor verdere verwerking voor marketingdoeleinden. De rechtsgrondslag "geneest" een verlopen bewaartermijn niet.
Artikel 30 AVG: bewaartermijnen vastleggen in het verwerkingsregister
Artikel 30 AVG verplicht iedere verwerkingsverantwoordelijke een register van verwerkingsactiviteiten bij te houden. Voor prospectgegevens moet dit register minimaal bevatten:
- De actieve bewaartermijn (3 jaar na het laatste actieve contact)
- De trigger voor verwijdering of overgang naar tussenarchivering
- De verantwoordelijke voor uitvoering (FG, CRM-beheerder, externe verwerker)
- De betrokken systemen (CRM, e-mailmarketingplatform, chatbot, analytics)
Hoe u deze documentatie concreet opbouwt, leest u in ons artikel over bescherming van prospectgegevens onder de AVG, inclusief voorbeeldformuleringen voor het verwerkingsregister.
Chatbot-gegevens: een blinde vlek in de AVG-compliance van veel hogescholen
72 % van de vragen die studiekandidaten stellen aan chatbots van hogescholen zijn eenvoudige FAQ die automatisch beantwoord kunnen worden — 7 % vereist menselijke behandeling (Bron: automatische classificatie op basis van 12.000 Skolbot-gesprekken, 2025 — content/zpd-bank.json#question-complexity-distribution). Elk van die gesprekken genereert gegevens waarvan de bewaartermijn in de meeste verwerkingsregisters ontbreekt. Een instelling die twee jaar een chatbot heeft draaien zonder gedefinieerde verwijderingsroutine heeft potentieel duizenden gesprekslogboeken verzameld zonder geldige grondslag — een stille compliance-overtreding die pas zichtbaar wordt bij een AP-onderzoek.
De toepasselijke termijn hangt af van identificatie tijdens het gesprek:
- Zonder persoonsidentificator: gesprekslogboeken mogen 30 dagen worden bewaard voor kwaliteitsverbetering, daarna verwijderen of anonimiseren.
- Met persoonsidentificator (e-mail of telefoonnummer opgegeven voor terugbelverzoek): de gespreksgegevens horen bij het kandidaatprofiel en volgen de termijn van 3 jaar.
Geautomatiseerde verwijderingsroutines zijn hier geen optie maar noodzaak — handmatige opruimprocessen falen structureel door personeelswisselingen en prioriteitstelling. Hoe u de toestemmingsinfrastructuur voor chatbot-gebruik inricht, beschrijft ons artikel over cookie-toestemming onder de AVG.
Vijf systemen die gelijktijdig gewist moeten worden
Wanneer een kandidaat verwijdering vraagt of de bewaartermijn verloopt, moet de verwijdering in alle systemen aantoonbaar plaatsvinden:
- CRM — contactrecord verwijderen of pseudonimiseren; interactiegeschiedenis verwijderen
- E-mailmarketingplatform — uitschrijving vastleggen; verzendlogboeken met e-mailadres verwijderen
- Chatbot-platform — gespreksgegevens gekoppeld aan de persoonsidentificator verwijderen
- Analytics-tool — gebruiksgegevens met identificeerbare kenmerken verwijderen of anonimiseren
- Back-ups en archiefbestanden — verwijderingsprocedure verankeren in de back-upcyclus (doorgaans bij de volgende rotatie)
Dit verwijderingspad moet schriftelijk zijn vastgelegd en periodiek worden getest. Ons artikel over het recht op verwijdering voor prospects biedt een stapsgewijze handleiding inclusief de wettelijke antwoordtermijnen (maximaal één maand).
Voor instellingen die AI-tools inzetten voor selectie of gepersonaliseerde benadering is het daarnaast verstandig de risico's van algoritmische vertekening in studentenwerving in kaart te brengen.
Verwijdering automatiseren: praktische aanpak in het hogeschool-CRM
Handmatige opruiming is onhoudbaar. Een werkbare automatisering vereist vier elementen:
Veld "datum laatste actieve contact" als verplicht veld in het CRM. Dit veld wordt bijgewerkt bij elke inkomende of uitgaande interactie: antwoord op een e-mail, klik op een call-to-action, bezoek aan een open dag, nieuw chatbotverzoek. Passief tracking zoals e-mailopeningen zonder klik telt doorgaans niet als actief contact.
Geautomatiseerde archiveringsregel na 36 maanden zonder actief contact: het record verschuift van het actieve CRM naar een afgeschermd archief. Toegang alleen nog voor FG en juridische afdeling.
Geautomatiseerde verwijderingsregel na afloop van de tussenarchiveringstermijn, of direct als er geen wettelijke bewaarplicht van toepassing is.
Halfjaarlijks monitoring-dashboard: het aantal records per leeftijdscategorie (0–1 jaar, 1–2 jaar, 2–3 jaar, >3 jaar) geeft de instellingsleiding direct inzicht in het compliance-risico van het prospectdatabestand. Een groeiende groep records ouder dan 3 jaar is een directe aanwijzing voor een handhavingsrisico bij een AP-onderzoek.
FAQ — AVG-bewaartermijnen voor studiekandidaatgegevens
Geldt de termijn van 3 jaar ook voor kandidaten die zich bij een andere instelling hebben ingeschreven? Ja. De status van de persoon bij een andere instelling is niet relevant voor uw verwerkingsverplichting. Vanuit uw verwerkingsregister blijft de persoon een niet-omgezette kandidaat. De termijn loopt vanaf het laatste actieve contact met uw instelling.
Kan men gegevens onbeperkt bewaren als ze worden geanonimiseerd? Werkelijk geanonimiseerde gegevens — waarbij heridentificatie met redelijke middelen is uitgesloten — vallen niet meer onder de AVG en mogen zonder tijdslimiet voor statistische doeleinden worden bewaard. Pseudonimisering (het vervangen van het e-mailadres door een ID) volstaat niet als heridentificatie via andere datavelden nog mogelijk is.
Hoe verhoudt de AVG-bewaartermijn zich tot de fiscale bewaarplicht van 7 jaar? Beide termijnen gelden naast elkaar voor verschillende gegevenscategorieën. Financiële en boekhoudkundige gegevens moeten 7 jaar worden bewaard op grond van artikel 2:10 BW — dat staat los van de 3-jaarstermijn voor prospectcontactgegevens. In de praktijk betekent dit dat een factuur aan een voormalige student 7 jaar bewaard mag worden, maar de marketingcontactgegevens van een niet-ingeschreven kandidaat na 3 jaar inactiviteit verwijderd moeten worden.
Moeten papieren formulieren van onderwijsbeurzen hetzelfde behandeld worden als digitale gegevens? Ja. De AVG maakt geen onderscheid tussen fysieke en digitale dragers. Papieren formulieren van onderwijsbeurzen zijn persoonsgegevens en vallen onder dezelfde bewaartermijnen. Ze dienen gedigitaliseerd, in het CRM opgenomen en aan hetzelfde verwijderingsbeleid onderworpen te worden.
Hoe meldt u een datalek aan de AP als bewaartermijnen zijn overschreden? Een onrechtmatige bewaartermijn op zichzelf is doorgaans geen datalek in de zin van artikel 33 AVG — tenzij er ook sprake is van een inbreuk op de beveiliging (onbevoegde toegang, verlies, vernietiging). Wel is het een overtreding van artikel 5(1)(e) AVG die de AP kan aanpakken bij een audit of klacht. Meld verouderd databestand proactief aan uw FG en implementeer een verwijderingsprocedure vóór een AP-onderzoek u dwingt tot reactief handelen.
Ontdek hoe scholen hun werving verbeteren
