ChatGPT
Claude
Perplexity
Gemini
GrokIs een functionaris gegevensbescherming verplicht voor uw instelling?
De vraag "moeten wij een FG aanstellen?" is voor de meeste private hogescholen en universiteiten in Nederland al beantwoord — alleen zijn niet alle instellingen zich daarvan bewust.
Artikel 37 van de AVG (Algemene Verordening Gegevensbescherming — Verordening EU 2016/679) verplicht tot aanstelling van een functionaris gegevensbescherming (FG) wanneer de kerntaak van de organisatie bestaat uit de verwerking op grote schaal van bijzondere categorieën persoonsgegevens, of uit systematische en grootschalige monitoring van betrokkenen. Voor een private hogeschool of universiteit betekent dit concreet:
- Gezondheids- en functiebeperkingengegevens van studenten (toegankelijkheid, studie-aanpassingen)
- Financiële gegevens (collegegeld, beurzen, schulden)
- Academische dossiers van honderden of duizenden studenten
- Inschrijvingsgegevens via Studielink die persoonsgegevens van aankomende studenten bevatten
- Gedragsgegevens uit digitale leeromgevingen en campusbewaking
De Autoriteit Persoonsgegevens (AP) heeft in haar richtsnoeren bevestigd dat onderwijsinstellingen die op grote schaal persoonsgegevens verwerken — inclusief HBO- en WO-instellingen geaccrediteerd door de NVAO (Nederlands-Vlaamse Accreditatieorganisatie) — in de regel verplicht zijn een FG aan te stellen. De AP heeft onderwijssector actief gecontroleerd: in 2024 en 2025 heeft zij instellingen gesanctioneerd voor het ontbreken van een FG of een non-functionerende FG.
Twijfelt u? De AP biedt een zelfevaluatietool waarmee u in minder dan 15 minuten kunt vaststellen of de verplichting op uw instelling van toepassing is. In de praktijk geldt: elke NVAO-geaccrediteerde private instelling met meer dan 500 studenten verwerkt voldoende gegevens om de drempel te overschrijden.
Voor het brede kader van AVG-compliance verwijzen wij naar onze complete AVG-gids voor studentengegevens.
Wie moet een FG aanstellen? AVG artikel 37 in het onderwijs
AVG artikel 37 lid 1 omschrijft drie gevallen waarbij de aanstelling van een FG verplicht is:
- Publiekrechtelijke instanties — altijd verplicht, ongeacht omvang
- Grootschalige verwerking van bijzondere persoonsgegevens — relevant voor vrijwel elke hogeschool
- Grootschalige en systematische monitoring — relevant bij campusbewaking, online proctoring of digitale leeromgevingen
Voor private hogescholen is met name geval 2 van belang. "Grootschalig" is niet absoluut gedefinieerd, maar de AP hanteert factoren als het aantal betrokkenen, de geografische omvang, de duur en de omvang van de verwerkingen. Een HBO-instelling met 2.000 studenten die ook gezondheids- en financiële gegevens verwerkt, voldoet aan deze criteria.
De FG kan intern zijn (een medewerker die de functie fulltime of deeltijd vervult) of extern (een externe dienstverlener of bureau). In beide gevallen blijven de wettelijke verplichtingen identiek: de FG moet onafhankelijk zijn, geen instructies ontvangen over de uitvoering van taken en rechtstreeks rapporteren aan de hoogste leidinggevende.
Het externe model heeft voor private instellingen drie praktische voordelen: geen vaste arbeidsrelatie, directe beschikbaarheid van specialistische expertise en de mogelijkheid om te schalen bij piekmomenten (NVAO-audits, AVG-incidenten, verwerkingsregister-updates).
Wat doet een externe FG voor uw instelling?
De taken van de FG zijn vastgelegd in AVG artikel 39 en omvatten — maar zijn niet beperkt tot:
Toezicht op en advisering over AVG-naleving
De FG adviseert het bestuur, de directeur admissions, de IT-directie en de marketingafdeling over de rechtmatigheid van verwerkingen. Dit omvat: beoordeling van nieuwe digitale tools (waaronder AI-chatbots), advies bij campagnes en open dagenregistratie, en evaluatie van verwerkersovereenkomsten met leveranciers als CRM-systemen en e-mailmarketingplatforms.
72% van de vragen die kandidaten via een chatbot stellen, zijn automatiseerbaar — van aanmeldprocedures via Studielink tot collegegeldvragen en NVAO-accreditaties. (Bron: automatische classificatie van 12.000 Skolbot-gesprekken, 2025.) Elke chatbotinteractie is ook een verwerkingshandeling waarvoor de FG een rechtmatige grondslag moet bevestigen.
Beheer van het verwerkingsregister
De FG draagt zorg voor het up-to-date houden van het verwerkingsregister (artikel 30 AVG). Voor een hogeschool omvat dit minimaal: toelatingsprocessen, studentenadministratie, financieel beheer, marketing en alumni-relaties.
Samenwerking met de AP
Bij inspecties van de AP is de FG het eerste aanspreekpunt. Een externe FG met AP-dossierervaring weet hoe te communiceren, welke documentatie te prioriteren en hoe de instelling adequaat te vertegenwoordigen — wat de reactietijd en het sanctierisico aanzienlijk kan verminderen.
Uitvoering van gegevensbeschermingseffectbeoordelingen (DPIA)
Artikel 35 AVG vereist een DPIA bij elke verwerking met hoog risico. Voor hogescholen zijn dit minimaal: AI-proctoring-systemen, profilingtools voor studentenwerving, digitale leeromgevingen met uitgebreide gedragsanalyse en camerabewaking.
Behandeling van verzoeken van betrokkenen
Studenten, kandidaten en alumni kunnen hun AVG-rechten uitoefenen (inzage, rectificatie, wissing, beperking). De FG zorgt voor de correcte behandeling binnen de wettelijke termijn van één maand.
Wat kost een externe FG?
De kosten variëren afhankelijk van de omvang van de instelling, de complexiteit van de verwerkingen en de beschikbaarheidsgraad van de externe FG.
| Omvang instelling | Verwerkingscomplexiteit | Maandelijkse kosten | Jaarlijkse kosten |
|---|---|---|---|
| Klein (<500 studenten, HBO) | Laag | €600–€800 | €7.200–€9.600 |
| Middelgroot (500–2.000 studenten) | Gemiddeld | €800–€1.100 | €9.600–€13.200 |
| Groot (>2.000 studenten, meerdere campussen) | Hoog | €1.100–€1.500 | €13.200–€18.000 |
| Instelling met bijzondere gegevens (gezondheid, research) | Hoog | €1.200–€1.500+ | €14.400–€18.000+ |
Indicatieve marktprijzen Nederland 2026. Tarieven inclusief basisbeschikbaarheid, register-updates en AP-contactpuntenrol. Exclusief additionele uren voor DPIA's, incidentenbehandeling en auditbegeleiding.
Deze kosten zijn laag in vergelijking met het risico: de AP kan boetes opleggen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet. Een reputatieschade bij kandidaten en hun ouders — bij een openbare AP-last — is bovendien moeilijk te kwantificeren maar structureel schadelijk voor de inschrijfcijfers.
Instellingen die investeren in een externe FG zien overigens ook indirecte voordelen: scholen met een sterke dataprivacy-propositie en transparante communicatie richting kandidaten boeken +62% gekwalificeerde leads en -38% kostprijs per lead ten opzichte van instellingen zonder gestructureerde digitale compliance (Bron: Skolbot-resultaten, 18 instellingen, 2024-2025).
Alternatieven voor een externe FG
Wanneer de aanstelling van een externe FG niet direct mogelijk is, bestaan er tussenoplossingen. Wij beschrijven ze eerlijk, inclusief de beperkingen:
Interne FG (medewerker) — Theoretisch de meest geïntegreerde optie. In de praktijk kampen interne FG's bij hogescholen met drie problemen: belangenconflicten (de FG mag geen beslissingsbevoegdheid hebben over de verwerkingen die hij toeziet), gebrek aan specialistische kennis en overbelasting. Een IT-directeur of juridisch adviseur die "er ook de FG-taken bij doet" is meestal geen duurzame oplossing.
FG-pool bij koepelorganisatie — Sommige koepels (zoals Vereniging Hogescholen) faciliteren gedeelde FG-dienstverlening voor leden. Dit verlaagt de kosten maar beperkt de beschikbaarheid per instelling.
Privacy Officer zonder FG-status — Een privacy officer is geen FG in de wettelijke zin. Als de instelling wettelijk verplicht is een FG aan te stellen, voldoet een privacy officer niet. Dit is de meest risicovolle "oplossing" — de instelling denkt compliant te zijn terwijl dat niet zo is.
Geen FG bij twijfel — Als er geen verplichting is én de instelling klein is met beperkte gegevensverwerkingen, kan het zinvol zijn de FG-aanstelling te documenteren als optioneel maar niet verplicht. Dit vereist een gedocumenteerde analyse die de AP kan opvragen. Raadpleeg daarvoor onze AVG-audit checklist voor hogescholen.
Hoe kiest u uw externe FG?
De keuze van een externe FG is een strategische beslissing. Vijf criteria maken het verschil:
1. Sectorkennis hoger onderwijs — Een FG die de NVAO-accreditatieprocedures, de Studielink-architectuur, de DUO-rapportage en de specifieke gegevenscategorieën van een onderwijsinstelling kent, biedt direct meerwaarde. Vraag naar referenties bij vergelijkbare instellingen.
2. AP-dossierervaring — Heeft de kandidaat FG aantoonbare ervaring met AP-correspondentie? Heeft hij instellingen begeleid bij AP-inspecties of handhavingstrajecten? Dit is bij een actieve toezichthouder als de AP een reële differentiator.
3. Onafhankelijkheid en beschikbaarheidsgaranties — De FG moet binnen 24 uur bereikbaar zijn bij een datalek. Controleer de SLA op responstijd, escalatieprocedure en vervanging bij afwezigheid.
4. Transparantie over uitbesteding — Sommige "externe FG"-bureaus doen het feitelijke werk door junior-medewerkers. Vraag wie de formele FG is die bij de AP staat geregistreerd en wie daadwerkelijk de adviezen opstelt.
5. Compatibiliteit met uw digitale stack — Gebruikt uw instelling AI-tools, een chatbot of Amerikaans SaaS (CRM, e-mailmarketing)? Zorg dat de FG ervaring heeft met internationale gegevensoverdrachten, verwerkersovereenkomsten en DPIA's voor AI-systemen. De AP heeft specifieke richtsnoeren gepubliceerd voor AI-gebruik in het onderwijs.
Voor de specifieke eisen aan verwerkersovereenkomsten met digitale leveranciers, lees onze gids over bescherming van kandidaatgegevens conform de AVG.
FAQ
Moet de FG worden geregistreerd bij de AP?
Ja. Artikel 37 lid 7 AVG verplicht de organisatie om de contactgegevens van de FG te publiceren en mee te delen aan de AP. De AP biedt een online registratieportaal. Vergeet ook niet de naam en contactgegevens te vermelden in uw privacyverklaring op de website — dit is een directe verplichting en een van de eerste dingen die een kandidaat of toezichthouder controleert.
Mag de FG ook andere taken vervullen binnen de instelling?
Gedeeltelijk. De AVG staat toe dat de FG andere taken heeft, maar verbiedt dat hij of zij in een rol functioneert die leidt tot een belangenconflict. De FG mag niet ook directeur admissions, IT-directeur of hoofd marketing zijn — functies waarbij hij toezicht zou moeten houden op zijn eigen verwerkingsbeslissingen. De AP hanteert dit strikt bij inspecties.
Wat is het verschil tussen een FG en een privacy officer?
Een FG is een wettelijk gedefinieerde functie met specifieke taken en bevoegdheden (AVG artikel 37–39) en een formele beschermingsstatus (artikel 38 lid 3: de FG mag niet worden ontslagen of benadeeld wegens de uitoefening van zijn taken). Een privacy officer is een functietitel zonder wettelijke definitie of bescherming. Als uw instelling wettelijk verplicht is een FG aan te stellen, biedt het aanstellen van een privacy officer geen compliance.
Hoe werkt de aanstelling van een externe FG praktisch?
De instelling sluit een dienstverleningsovereenkomst met de externe FG of het bureau. Vervolgens: (1) formele aanstellingsbrief met taakomschrijving en onafhankelijkheidsgarantie, (2) registratie bij de AP, (3) vermelding in de privacyverklaring, (4) toegang verlenen aan het verwerkingsregister en relevante systemen, (5) afspraken maken over rapportagefrequentie aan het bestuur. De gehele onboarding neemt doorgaans 2–4 weken in beslag.
Wat doet de externe FG bij een datalek?
Bij een datalek heeft de FG een centrale coördinerende rol: de instelling beoordelen of de AP-meldplicht van toepassing is (artikel 33 AVG: binnen 72 uur melden als er risico is voor betrokkenen), de melding opstellen, de communicatie naar betrokkenen begeleiden (artikel 34 AVG) en de post-incident analyse uitvoeren. De externe FG die een AP-melding heeft afgehandeld, weet precies welke informatie de AP verwacht en in welk format. Voor cookiebeheer en toestemmingsbeheer als aanvullende AVG-plicht, lees onze gids over cookie-toestemming voor hogescholen.
Een externe functionaris gegevensbescherming is voor de meeste NVAO-geaccrediteerde private hogescholen en universiteiten geen optie maar een wettelijke verplichting. Het uitbesteden ervan biedt directe expertise, onafhankelijkheidsgaranties en kostprijszekerheid. De vraag is niet óf u een FG nodig heeft — maar welke FG het best past bij de schaal, de digitale complexiteit en de accreditatieambities van uw instelling.
Vraag een gepersonaliseerde demo aanLees ook: AVG-conforme chatbot voor hogescholen: 8 technische criteria · Vergelijking AI-chatbots voor het hoger onderwijs
