ChatGPT
Claude
Perplexity
Gemini
GrokWaarom gegevensoverdracht buiten de EU zo urgent is voor Nederlandse hogescholen
Uw hogeschool gebruikt Google Workspace, een CRM in de cloud en een recruitingplatform. Uw IT-afdeling weet dat de data ergens "in de cloud" staat. Maar welk land? Onder welke juridische waarborg? Wie heeft toegang?
58% van de prospects bij private hogescholen zijn niet-moedertaalsprekers — dit creëert directe grensoverschrijdende gegevensstromen via CRM, chatbot en marketingtools. (Bron: Skolbot automatische taaldetectie, 8.500 gesprekken, 2025-2026)
Elke keer dat een internationale student zijn naam, e-mailadres of studiekeuze invult in een formulier dat is gekoppeld aan een Amerikaans SaaS-product, vindt er een doorgifte van persoonsgegevens buiten de EER plaats. De AVG (Algemene Verordening Gegevensbescherming) reguleert die doorgifte streng — en de Autoriteit Persoonsgegevens (AP) handhaaft actief.
Voor het overkoepelende AVG-kader verwijzen wij naar onze complete AVG-gids voor studentengegevens.
Wat de AVG verstaat onder "doorgifte buiten de EER"
Elke overdracht van persoonsgegevens aan een ontvanger in een land buiten de Europese Economische Ruimte (EER) is een doorgifte in de zin van de AVG — ook als het gaat om een subverwerker die uw data verwerkt zonder dat u het doorheeft. De EER omvat de 27 EU-lidstaten plus IJsland, Noorwegen en Liechtenstein.
Concrete voorbeelden van doorgiften die dagelijks plaatsvinden bij hogescholen:
- Een marketeer verstuurt een nurturing-e-mail via HubSpot. De data wordt verwerkt op servers in de VS.
- Een recruitmentmedewerker voert kandidaatgegevens in een Salesforce-instantie in. Salesforce's datacentra liggen deels in de VS.
- Een student vult een inschrijfformulier in via een Google Form. Google verwerkt de gegevens in zijn globale infrastructuur.
- Een docent start een Zoom-vergadering met een buitenlandse kandidaat. Gespreksdata kan via Amerikaanse servers lopen.
De AVG staat deze doorgiften niet automatisch toe. Artikel 44 bepaalt dat elke doorgifte buiten de EER een geldige juridische basis vereist.
De drie mechanismen die uw hogeschool moet kennen
Adequaatheidsbesluiten: de eenvoudigste route
Een adequaatheidsbesluit is een besluit van de Europese Commissie dat een derde land een toereikend beschermingsniveau biedt. Als een adequaatheidsbesluit van kracht is, kunt u persoonsgegevens zonder aanvullende waarborgen doorgeven aan dat land.
Op dit moment hebben de volgende landen een adequaatheidsbesluit: Zwitserland, Noorwegen, IJsland, Liechtenstein, Andorra, Argentinië, Canada (deels), Faeröer, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay, Zuid-Korea en het Verenigd Koninkrijk. De volledige en actuele lijst vindt u via de Europese Commissie.
De Verenigde Staten hebben géén volledig adequaatheidsbesluit voor alle organisaties. Het EU-VS Data Privacy Framework (DPF) is een deeloplossing: alleen bedrijven die gecertificeerd zijn onder het DPF mogen profiteren van een versoepeld doorgifteregime. Google, Microsoft en Salesforce zijn gecertificeerd. Controleer altijd via de DPF-lijst of uw specifieke leverancier gecertificeerd is.
Standaard Contractbepalingen (SCB): de praktische standaard
De Standaard Contractbepalingen (SCB) — in EU-jargon ook Standard Contractual Clauses (SCC) — zijn modelcontractclausules die door de Europese Commissie zijn goedgekeurd. Wanneer u een SCB-overeenkomst sluit met een leverancier buiten de EER, bent u in principe AVG-compliant voor die doorgifte.
Alle grote cloudleveranciers (Google, Microsoft, Zoom, Salesforce, HubSpot) bieden SCB aan als onderdeel van hun Data Processing Agreement (DPA). U moet die DPA wel actief accepteren — ze is niet automatisch van kracht.
Na de uitspraak van het Europees Hof van Justitie in de zaak Schrems II (2020) moet u aanvullend een Transfer Impact Assessment (TIA) uitvoeren wanneer u SCB gebruikt voor doorgifte naar de VS. Daarin beoordeelt u of de overheidstoegang in het ontvangende land de SCB-bescherming uitholt. In de praktijk volstaat voor de meeste commerciële toepassingen een gedocumenteerde risicoanalyse met verwijzing naar de DPF-certificering van de leverancier.
Raadpleeg voor verdieping de EDPB-gids voor internationale gegevensoverdrachten.
Bindende bedrijfsvoorschriften (BCR)
Bindende bedrijfsvoorschriften (BCR) zijn goedgekeurde interne regels voor multinationals die gegevens overdragen binnen dezelfde bedrijfsgroep. Dit instrument is relevant voor grote instellingen met vestigingen buiten de EU, maar te complex voor de meeste Nederlandse hogescholen. Voor de volledigheid: de AP keurt BCR goed namens Nederlandse verantwoordelijken.
Overzicht: doorgifte-mechanisme per tool
| Tool | Serverlocatie | Mechanisme | DPA beschikbaar | Aandachtspunten |
|---|---|---|---|---|
| Google Workspace | VS (en EU-regio beschikbaar) | DPF + SCB | Ja, via Google Admin | EU-dataopslag instellen in Admin Console |
| Microsoft 365 | VS + EU | DPF + SCB | Ja, via Microsoft Admin | EU-datagrens beschikbaar (Sovereign Cloud) |
| Zoom | VS | DPF + SCB | Ja, via Zoom-portaal | Gespreksdata kan via VS-servers lopen |
| Salesforce | VS (EU-sandbox beschikbaar) | DPF + SCB | Ja, via Salesforce | EU-instantie selecteren bij onboarding |
| HubSpot | VS (EU-hosting beschikbaar) | DPF + SCB | Ja, via HubSpot | EU-serverregio instellen in accountinstellingen |
Opmerking: DPF-certificering verandert. Controleer de status van elke leverancier jaarlijks via de officiële DPF-lijst.
Praktische stappen voor uw instelling
Stap 1 — Inventariseer alle verwerkers met buitenlandse data
Maak een register van alle tools die persoonsgegevens van studenten en kandidaten verwerken. Per tool noteert u: naam, land van verwerking, mechanisme (DPF, SCB, adequaatheidsbesluit) en of de DPA is getekend. Dit register is het startpunt van elke AVG-audit en het eerste dat de AP opvraagt bij een controle.
Stap 2 — Teken of accepteer de DPA van elke verwerker
De meeste SaaS-leveranciers bieden een DPA aan via hun beheerdersconsole. Die accepteren doet u actief, niet stilzwijgend. Google Workspace: via Google Admin → Account → Juridisch. HubSpot: via Settings → Privacy & Consent. Salesforce: via het klantportaal. Zoom: via het Zoom-beheerportaal.
Stap 3 — Voer een Transfer Impact Assessment uit voor VS-doorgiften
Voor elke doorgifte naar de VS die uitsluitend op SCB steunt (en dus niet op DPF), documenteert u:
- Welke categorie gegevens worden doorgegeven?
- Heeft de leverancier DPF-certificering?
- Wat zijn de risico's op overheidstoezicht in de VS (FISA 702, EO 12333)?
- Welke technische maatregelen (versleuteling, pseudonimisering) beperken dat risico?
Stap 4 — Stel de verwerkersovereenkomst op voor uw chatbot
Als uw hogeschool een AI-chatbot inzet voor kandidaatbegeleiding, is het taalmodel een verwerker in de zin van artikel 28 AVG. Controleer waar het model wordt gehost, welk SCB van toepassing is en of de chatbot-leverancier een DPA biedt. Lees voor de specifieke AVG-vereisten bij chatbots onze gids over cookie-toestemming en AVG voor hogescholen.
Stap 5 — Documenteer en bewaar het bewijs
De AP verwacht bij een controle dat u kunt aantonen dat u de doorgifte hebt geëvalueerd. Bewaar: de getekende DPA's, de TIA-documentatie, de verwijzingen naar DPF-certificering en de datum van uw jaarlijkse controle.
Internationale studenten werven en de gevolgen voor gegevensdoorgifte
Het werven van internationale studenten versterkt de gegevensdoorgifte op drie punten. Ten eerste gebruiken recruitmentteams platforms als LinkedIn, Hotjar of Typeform die buiten de EU worden gehost. Ten tweede verwerken marketing-automation tools (HubSpot, Mailchimp) de campagnecommunicatie naar niet-EU-studenten. Ten derde leggen chatbots de conversaties op met studenten die vanuit niet-EER-landen surfen.
Voor een bredere kijk op de AVG-implicaties bij internationale studentenwerving, raadpleeg onze gids internationale studenten werven.
FAQ
Is Google Workspace AVG-compliant voor leerlinggegevens?
Ja, mits correct geconfigureerd. Google is gecertificeerd onder het EU-VS Data Privacy Framework en biedt SCB als onderdeel van zijn DPA. U moet twee stappen zetten: (1) de DPA actief accepteren via Google Admin en (2) de opslagregio instellen op "Europa" in de beheerdersconsole. Zonder die configuratie kunnen gegevens standaard op VS-servers worden opgeslagen.
Wat is een adequaatheidsbesluit?
Een adequaatheidsbesluit is een formeel besluit van de Europese Commissie dat een land buiten de EER een beschermingsniveau biedt dat gelijkwaardig is aan de AVG. Bij een geldig adequaatheidsbesluit is geen aanvullende juridische waarborg nodig voor de doorgifte. De Commissie herziet bestaande besluiten periodiek; het Britse adequaatheidsbesluit wordt bijvoorbeeld opnieuw beoordeeld. Raadpleeg de actuele lijst van adequaatheidsbesluiten voor de meest recente status.
Wat zijn standaard contractbepalingen (SCB)?
Standaard contractbepalingen (SCB) — ook bekend als Standard Contractual Clauses (SCC) — zijn modelcontractclausules die door de Europese Commissie zijn goedgekeurd als mechanisme voor veilige doorgifte buiten de EER. U sluit ze als bijlage bij uw verwerkersovereenkomst. Grote leveranciers als Google, Microsoft, Salesforce, HubSpot en Zoom nemen SCB standaard op in hun DPA. Na de Schrems II-uitspraak (2020) moet u aanvullend een Transfer Impact Assessment uitvoeren om de effectiviteit van de SCB te beoordelen voor het ontvangende land.
Welke boetes staan er op niet-conforme doorgifte?
De AVG voorziet in boetes van maximaal 20 miljoen euro of 4% van de wereldwijde jaarlijkse omzet — het hoogste bedrag geldt. Niet-conforme doorgifte valt onder artikel 83, lid 5, de zwaarste boetecategorie. De AP heeft in recente jaren meerdere organisaties beboet voor ontbreken van een rechtsgrondslag bij internationale doorgiften. Naast de financiële sanctie schaadt een openbare boetebeschikking het vertrouwen van kandidaten en hun ouders — juist de doelgroep die uw school actief werft. Raadpleeg de AP-website voor actuele handhavingszaken.
Internationale gegevensoverdracht is geen technisch detail — het is een compliance-verplichting die elke hogeschool die gebruikmaakt van cloudtools al kent, maar vaak onvoldoende documenteert. De combinatie van internationale studenten, Amerikaanse SaaS-tools en een actief handhavend toezichthouder maakt dit een prioriteit voor elke FG of IT-manager.
Test Skolbot op uw school — gratis en vrijblijvend in 30 seconden
