ChatGPT
Claude
Perplexity
Gemini
GrokWat de AVG en Telecomwet van uw hogeschoolwebsite vragen
Elke website van een Nederlandse hogeschool of universiteit verwerkt persoonsgegevens — van het moment dat een studiekiezer de homepagina bezoekt tot de bevestigingsmail na een open-daginschrijving. Dat maakt twee wetgevende kaders direct van toepassing: de Algemene Verordening Gegevensbescherming (AVG — Verordening 2016/679) en artikel 11.7a van de Telecommunicatiewet (Tw), beter bekend als de cookiebepaling van de Telecomwet.
Het onderscheid is cruciaal. De AVG regelt de verwerking van persoonsgegevens in de brede zin — wie u bent, wat u verzamelt, hoe lang u het bewaart en op welke rechtsgrondslag. Artikel 11.7a Tw is specifieker: het verbiedt het plaatsen van cookies of vergelijkbare technologieën op het apparaat van een bezoeker zonder diens voorafgaande, geïnformeerde toestemming, tenzij die cookies strikt noodzakelijk zijn voor de gevraagde dienst. De Autoriteit Persoonsgegevens (AP) is de primaire toezichthouder voor AVG-kwesties; de Autoriteit Consument & Markt (ACM) heeft een handhavingsrol voor de cookieregels uit de Telecomwet.
Voor private hogescholen, ROC's en mbo-instellingen die NVAO-accreditatie willen behouden en die met Studielink werken, is non-compliance geen abstracte dreiging. De AP heeft eerder actie ondernomen tegen onderwijsinstellingen die proctoringsoftware inzetten zonder adequate rechtsgrondslag, en cookies vallen onder hetzelfde toezichtsregime.
De kernregel luidt: u plaatst geen niet-essentiële cookies vóórdat de bezoeker actief toestemming heeft gegeven. Niet na drie seconden, niet via een vooraf aangevinkt vakje, niet via een banner met alleen een "Accepteer"-knop zonder gelijkwaardige weigeroptie.
72% van de chatbot-interacties op de websites van hogescholen zijn standaard FAQ-vragen — elk daarvan een gegevensverwerking die uw cookiebeleid moet omvatten. (Bron: automatische classificatie van 12.000 Skolbot-gesprekken, 2025)
Voor een volledig overzicht van uw AVG-verplichtingen als onderwijsinstelling verwijzen wij naar onze volledige AVG-gids voor onderwijsinstellingen.
Welke cookies vereisen toestemming?
Niet alle cookies zijn gelijk. De Telecomwet maakt een helder onderscheid tussen cookies waarvoor toestemming verplicht is en cookies die zonder toestemming geplaatst mogen worden.
| Cookietype | Voorbeelden | Toestemming vereist? | Rechtsgrondslag |
|---|---|---|---|
| Strikt noodzakelijke cookies | Sessiecookie, inlogtoken, winkelwagentje, taalvoorkeur | Nee | Noodzaak voor dienstverlening (art. 11.7a Tw lid 3) |
| Functionele cookies (niet strikt noodzakelijk) | Onthouden van invulvelden, persoonlijke instellingen buiten sessie | Ja | Toestemming (art. 6 lid 1 sub a AVG + art. 11.7a Tw) |
| Analytische cookies zonder persoonsgegevens | Cookieloze statistieken, volledig geanonimiseerde data | Nee* | Gerechtvaardigd belang of vrijstelling Tw |
| Analytische cookies met persoonsgegevens | Google Analytics (standaard), Matomo zonder anonimisering | Ja | Toestemming |
| Marketingcookies en trackingpixels | Meta Pixel, Google Ads remarketing, LinkedIn Insight Tag | Ja | Toestemming |
| Social-mediaplug-ins | Geïntegreerde YouTube-spelers, Facebook Like-knop | Ja | Toestemming |
| A/B-testtools | Optimizely, VWO, Google Optimize | Ja | Toestemming |
* De AP heeft een beperkte vrijstelling voor puur analytische cookies die geen gegevens naar derde partijen sturen en waarbij het IP-adres volledig wordt gemaskeerd. Google Analytics valt hier niet automatisch onder — u dient IP-anonimisering actief in te stellen én een verwerkersovereenkomst met Google te sluiten.
Aandachtspunt voor hogescholen: open-dagsystemen, chatbots, videoplatforms voor virtuele rondleidingen en Studielink-integraties genereren elk hun eigen cookies. Breng alle cookies op uw website systematisch in kaart via een cookiescan voordat u uw banner configureert.
Open dag-formulieren, contactformulieren en nieuwsbrieven: nalevingsregels
Formulieren zijn de belangrijkste contactpunten tussen uw hogeschool en aankomende studenten. Ze zijn ook het meest voorkomende punt van AVG-overtreding: te veel velden, gebundelde toestemming, onduidelijke informatie. De regels zijn eenvoudig, maar vergen discipline in de uitvoering.
Wat elk formulier verplicht moet bevatten
Artikel 13 van de AVG verplicht u de studiekiezer te informeren op het moment van gegevensverzameling. Dat betekent: elke formulierpagina — niet alleen het privacybeleid via een kleine link onderaan — toont de identiteit van de verwerkingsverantwoordelijke, het doel van de verwerking, de rechtsgrondslag, de bewaartermijn en de rechten van de betrokkene.
Voor een open dag-inschrijvingsformulier ziet dat er in de praktijk als volgt uit:
- Identiteit: "[Naam hogeschool], gevestigd te [Stad], is verwerkingsverantwoordelijke."
- Doel: "Uw gegevens worden gebruikt om uw inschrijving voor de open dag te verwerken en u voorlichtingsmateriaal te sturen."
- Rechtsgrondslag: voor de inschrijving zelf kunt u de uitvoering van precontractuele maatregelen (artikel 6 lid 1 sub b AVG) hanteren; voor marketingcommunicatie is toestemming vereist.
- Bewaartermijn: "Wij bewaren uw gegevens maximaal 12 maanden na de open dag, tenzij u zich aanmeldt als studiekiezer."
- Rechten: "U kunt uw gegevens inzien, corrigeren of laten verwijderen via [e-mailadres of webformulier]."
Toestemming voor marketingcommunicatie
De open dag-inschrijving en de toestemming voor marketingnieuwsbrieven zijn twee afzonderlijke handelingen. U mag de inschrijving niet afhankelijk maken van de marketingtoestemming. Een studiekiezer moet de open dag kunnen bijwonen zonder tegelijkertijd in te stemmen met een nurturingcampagne.
Concreet: de nieuwsbriefopt-in is een apart, standaard uitgeschakeld selectievakje met een duidelijke omschrijving van wat de studiekiezer ontvangt ("Wekelijkse updates over het studieaanbod van [hogeschool]"). Geen vage formuleringen als "Ik ga akkoord met communicatie."
Toestemmingsleeftijd: 16 jaar in Nederland
Nederland heeft in de Uitvoeringswet AVG (UAVG) de toestemmingsleeftijd voor digitale diensten vastgesteld op 16 jaar — het AVG-maximum. Voor minderjarigen onder de 16 is ouderlijke toestemming vereist voor elke verwerking op toestemmingsbasis. Mbo-instellingen en hogescholen met verkorte trajecten die minderjarige studiekiezers bereiken, moeten in hun formulieren voorzien in een leeftijdsvraag met een bijbehorende verificatieprocedure.
Contactformulieren en bewaartermijnen
Een contactformulier op uw website is een verwerkingsmoment. De gegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel. De AP hanteert als uitgangspunt een maximale bewaartermijn van 12 maanden na het laatste actieve contact voor gegevens van studiekiezers die zich niet hebben aangemeld. Na die termijn volgt wissing of hernieuwde toestemming.
Voor de operationele details over de bescherming van gegevens van studiekiezers in alle fasen van het wervingsproces leest u meer in ons artikel over bescherming van gegevens van studiekiezers.
Een AVG-conform cookiebanner implementeren
Een cookiebanner is geen formaliteit. De AP en de ACM beoordelen of de banner daadwerkelijk informatieve en vrije keuze biedt — of dat hij is ontworpen om de bezoeker richting acceptatie te sturen. De term voor het laatste is "dark pattern", en de toezichthouders handhaven er actief op.
Minimumvereisten voor een conforme cookiebanner
Een AVG-conforme cookiebanner voor een hogeschoolwebsite voldoet aan de volgende vereisten:
Gelijkwaardigheid van opties. "Accepteer alle cookies" en "Weiger niet-essentiële cookies" zijn even prominent weergegeven — zelfde kleur, zelfde lettergrootte, zelfde positie. Een groen "Accepteer"-blok naast een grijs tekstlinkje "meer opties" voldoet niet.
Geen toestemming vóór de keuze. Cookies worden pas geplaatst nadat de bezoeker actief een keuze heeft gemaakt. Niet na het scrollen, niet na vijf seconden, niet als de bezoeker de banner sluit zonder een keuze te maken.
Granulaire keuze. De bezoeker kan categorieën afzonderlijk accepteren of weigeren: analytische cookies los van marketingcookies.
Bewijs van toestemming. Uw systeem legt vast wanneer, door wie en voor welke categorieën toestemming is gegeven. Dit bewijs moet u kunnen overleggen aan de AP.
Intrekking even eenvoudig als toestemming. De bezoeker moet zijn cookievoorkeuren op elk moment kunnen herzien — via een zichtbare link in de footer ("Cookievoorkeuren aanpassen") die dezelfde banner opent.
Geen cookiemuur. U mag de toegang tot informatie over uw opleidingen niet afhankelijk maken van het accepteren van niet-essentiële cookies. Een studiekiezer heeft recht op voorlichting, ook zonder trackingcookies.
Technische implementatie: cookies daadwerkelijk blokkeren
De banner tonen is niet voldoende. De niet-essentiële cookies mogen technisch niet worden geladen vóór de toestemming. Test dit regelmatig: open uw website in een schone browser (zonder cookies) en controleer via de ontwikkeltools (F12) of Google Analytics, de Meta Pixel of andere trackers al worden geladen vóórdat u op "Accepteer" klikt. Als dat zo is, voldoet uw implementatie niet.
De Rijksoverheid geeft een duidelijke toelichting op wanneer cookies als ongevraagd worden beschouwd.
Cookiebanner en privacybeleid: samen, niet apart
Uw cookiebanner verwijst naar uw privacybeleid en cookiebeleid. Die documenten zijn actueel, specifiek voor uw instelling (geen generiek sjabloon zonder aanpassing) en vermelden alle cookies die u plaatst, inclusief derde-partijcookies van Studielink-integraties, YouTube-embeddings voor campusvideo's en eventuele chatbottechnologie.
Bijzonder geval: AI-chatbot en gespreksgegevens
Een AI-chatbot op uw hogeschoolwebsite is een verwerkingssysteem dat persoonsgegevens verzamelt vanaf het eerste bericht. Gesprekken bevatten namen, contactgegevens, vragen over opleidingen en soms gevoelige informatie die studiekiezers vrijwillig delen — een beperking, een financiële situatie, gezondheidsomstandigheden.
Transparantieverplichtingen voor de chatbot
De AI Act (Verordening 2024/1689, artikel 52) verplicht operators van AI-chatbotsystemen de gebruiker te informeren dat hij of zij met een kunstmatige intelligentie communiceert. Voor uw hogeschoolwebsite betekent dit een duidelijke melding bij het openen van het chatvenster: "U spreekt met een geautomatiseerde assistent van [hogeschool]. Gesprekken worden opgeslagen en verwerkt conform ons privacybeleid."
Deze melding is geen vervanging van uw cookiebanner. Als de chatbot cookies plaatst of gebruikmaakt van sessietrackers, valt dat onder de reguliere toestemmingsvereisten van de Telecomwet.
Chatbot en cookiebeleid: de overlap
Een chatbotoplossing van een externe leverancier plaatst doorgaans cookies of gebruikt lokale opslag (localStorage) om de sessie bij te houden. Die technologie valt onder artikel 11.7a Tw als er informatie op het apparaat van de bezoeker wordt opgeslagen — ook als het geen klassieke cookie is. Verifieer bij uw chatbot-leverancier welke technologieën worden gebruikt en neem deze op in uw cookiebeleid en -banner.
Gespreksgegevens en bewaartermijnen
Chatbotgesprekken bevatten persoonsgegevens zodra een studiekiezer zijn naam of e-mailadres deelt. De AP-richtlijnen schrijven voor dat u slechts bewaart wat noodzakelijk is voor het doel. Voor chatbotgesprekken die geen inschrijving hebben opgeleverd: een bewaartermijn van maximaal 12 maanden, met automatische anonimisering van gevoelige gegevens na 30 dagen.
Uw verwerkersovereenkomst met de chatbot-leverancier (artikel 28 AVG) moet expliciet de bewaartermijnen, de beveiligingsmaatregelen en de procedure bij een datalek bevatten.
Voor praktische adviezen over de implementatie van een AVG-conforme chatbotstrategie en de volledige audit van uw compliance verwijzen wij naar onze AVG-auditchecklist voor hogescholen.
FAQ
Heeft onze hogeschool een cookiebanner nodig als we alleen Google Analytics gebruiken?
Ja. Google Analytics (in de standaardconfiguratie) plaatst cookies die persoonsgegevens verzamelen en verstuurt deze naar servers buiten de EU. Dat vereist toestemming op grond van zowel artikel 11.7a Tw als de AVG. Er bestaat een beperkte vrijstelling voor puur analytische cookies die volledig geanonimiseerd zijn en geen gegevens naar derden sturen — maar Google Analytics voldoet daar in de standaardinstelling niet aan. U heeft drie opties: een conforme cookiebanner implementeren met toestemming voor analytics, overstappen op een privacyvriendelijk alternatief zoals Matomo (self-hosted, met volledige IP-anonimisering), of Google Analytics correct configureren met IP-anonimisering én een geldige verwerkersovereenkomst, en dit opnemen in uw toestemmingsflow.
Hoe verzamelen we rechtsgeldige toestemming in formulieren voor open dagen?
Splits het formulier in twee delen: de inschrijving zelf (naam, e-mail, opleiding van interesse — rechtsgrondslag: precontractuele maatregelen) en de optionele marketingtoestemming (standaard uitgeschakeld selectievakje met expliciete omschrijving). Voeg een zichtbare privacyverklaring toe op de formulierpagina — niet alleen een link onderaan. Als studiekiezers mogelijk jonger dan 16 jaar zijn (mbo-doorstromers, versnelde trajecten), voeg dan een leeftijdsvraag toe en zorg voor een verificatiestap voor ouderlijke toestemming. Bewaar het bewijs van toestemming met tijdstempel, IP-adres en ingevulde formulierversie.
Kan een aankomend student na een open dag om verwijdering van zijn gegevens vragen?
Ja, en u bent verplicht binnen één maand te reageren (artikel 17 AVG). Als de verwerking gebaseerd is op toestemming, is verwijdering absoluut — de studiekiezer hoeft geen reden op te geven. Verwijdering moet plaatsvinden in alle systemen: uw CRM, e-mailmarketingplatform, chatbothistorie, analyticssystemen en eventuele back-ups. Documenteer de verwijdering schriftelijk. Als u de gegevens verwerkt op basis van gerechtvaardigd belang (bijvoorbeeld voor statistieken over open-dagenopkomst), kunt u geanonimiseerde aggregaatgegevens bewaren — maar alle direct of indirect identificerende gegevens verwijderen. Zorg dat uw team weet wie intern verantwoordelijk is voor het afhandelen van dergelijke verzoeken, zodat de termijn van één maand haalbaar blijft.
Hoe lang mogen we gegevens uit contactformulieren bewaren?
De AP hanteert als uitgangspunt: bewaar persoonsgegevens niet langer dan noodzakelijk voor het doel. Voor studiekiezers die via een contactformulier informatie hebben opgevraagd maar zich niet hebben aangemeld, geldt een maximum van 12 maanden na het laatste actieve contact. Voor studiekiezers die een open-dagsessie hebben bijgewoond maar geen aanmelding hebben ingediend: eveneens 12 maanden. Heeft u marketingtoestemming ontvangen voor een nieuwsbrief? Dan bewaart u de gegevens zolang de toestemming van kracht is — maar u bent verplicht jaarlijks te controleren of de toestemming nog actueel is en inactieve contacten te verwijderen of opnieuw te activeren. Leg deze bewaartermijnen vast in uw verwerkingsregister (artikel 30 AVG) en configureer automatische verwijdering in uw CRM of e-mailplatform.
Cookie-toestemming en formulierconformiteit zijn geen eenmalig project. Elke nieuwe tool die u toevoegt aan uw website — een chatbot, een eventregistratiesysteem, een videoplatform voor virtuele rondleidingen — brengt nieuwe verwerkingen met zich mee die in uw cookiebeleid, privacyverklaring en verwerkersovereenkomsten moeten worden opgenomen. Voer minimaal één keer per jaar een cookiescan uit, update uw cookiebanner na elke wijziging van uw toolstack en test regelmatig of uw technische implementatie daadwerkelijk cookies blokkeert vóór toestemming.
Ontdek hoe hogescholen de gegevens van studiekiezers beschermen
