ChatGPT
Claude
Perplexity
Gemini
GrokDit artikel is informatief. Raadpleeg uw FG (functionaris voor gegevensbescherming) voor specifiek juridisch advies.
Welke gegevens van uw studenten-prospects de EU verlaten
Elke keer dat een prospect een contactformulier invult, een open dag-pixel triggert of een vraag stelt via een AI-tool, kunnen persoonsgegevens buiten de Europese Economische Ruimte (EER) terechtkomen — vaak automatisch en zonder dat uw instelling dit actief heeft geconfigureerd.
De meest voorkomende categorieën die de EU verlaten via standaardintegraties zijn: naam en e-mailadres uit aanmeldformulieren gesynchroniseerd naar een CRM dat draait op Amerikaanse infrastructuur; gedragsgegevens (paginabezoeken, klikpaden, tijdsduur) verzameld door de Meta Pixel of Google Analytics en opgeslagen op servers buiten de EER; en conversatiegegevens uit AI-chatgesprekken die worden verwerkt door aanbieders met datacentra in de VS.
58% van de studenten-prospects die contact opnemen met scholen spreekt niet de moedertaal — de meeste gesprekken verlopen via meertalige tools van Amerikaanse aanbieders. (Bron: Automatische taaldetectie in 8.500 Skolbot-gesprekken, 2025–2026.) Dit betekent dat een groot deel van uw internationale prospects gegevens achterlaat in systemen die onderworpen zijn aan Amerikaanse wetgeving zoals de CLOUD Act en de Foreign Intelligence Surveillance Act (FISA) — wetgeving die strijdig kan zijn met de bescherming die de AVG biedt.
Het gaat niet alleen om directe identificatoren. IP-adressen, cookie-ID's en apparaatidentificatoren worden door de Autoriteit Persoonsgegevens (AP) en het Europees Comité voor gegevensbescherming (EDPB) aangemerkt als persoonsgegevens zodra ze gekoppeld kunnen worden aan een individu. De grens tussen «anonieme analysedata» en «persoonsgegevens die de EER verlaten» is in de praktijk dunner dan veel instellingen veronderstellen.
Raadpleeg voor het bredere kader onze complete AVG-gids voor studentengegevens.
AVG-regels voor internationale gegevensoverdracht
De overdracht van persoonsgegevens naar landen buiten de EER is geregeld in Hoofdstuk V van de AVG (artikelen 44 t/m 49). De basisregel is eenvoudig: u mag persoonsgegevens alleen doorgeven aan een derde land als dat land een adequaat beschermingsniveau biedt, of als u passende waarborgen heeft getroffen.
Het EU-VS Gegevensbeschermingskader (Data Privacy Framework, DPF), van kracht sinds juli 2023, biedt een adequaatheidsbesluit voor gecertificeerde Amerikaanse bedrijven. Dit betekent dat overdracht naar een DPF-gecertificeerde aanbieder in beginsel is toegestaan zonder aanvullende waarborgen — zolang het certificaat geldig is en de verwerkingsactiviteiten binnen de reikwijdte van het DPF vallen. Het DPF is de opvolger van Privacy Shield (ongeldig verklaard door het HvJEU in Schrems II, arrest C-311/18, 2020) en incorporeert aanvullende waarborgen voor EU-burgers, waaronder toegang tot een onafhankelijk arbitragemechanisme.
Wanneer een aanbieder niet DPF-gecertificeerd is, of wanneer de specifieke verwerkingsactiviteit buiten het DPF-bereik valt, zijn Standaard Contractbepalingen (SCB — ook wel SCC's of standaardcontractclausules) de gebruikelijke uitwijkmogelijkheid. SCB's zijn modelcontracten goedgekeurd door de Europese Commissie die de aanbieder (verwerker) binden aan AVG-equivalente verplichtingen, ongeacht waar de servers staan. De AP geeft specifieke richtsnoeren over doorgifte naar landen buiten de EU en verwijst naar de aanbevelingen van het EDPB voor de praktische uitwerking.
Na Schrems II beveelt het EDPB bovendien een Data Transfer Impact Assessment (DTIA) aan — een gedocumenteerde beoordeling van het recht en de praktijk in het ontvangende land — voor elke doorgifte die steunt op SCB's. Voor overdrachten naar de VS is de kernvraag of FISA Section 702 een reëel risico op toegang door de Amerikaanse overheid creëert voor de specifieke gegevens die u doorstuurt. Het EDPB heeft hiervoor aanbevelingen gepubliceerd die u als startpunt voor uw DTIA kunt gebruiken.
Google Workspace, Meta Ads, OpenAI — AVG-conformiteitsoverzicht 2026
Drie tools die vrijwel elke particuliere hogeronderwijsinstelling in Nederland gebruikt, maar waarvan de AVG-status per aanbieder sterk verschilt. Onderstaande tabel geeft de situatie per medio 2026.
| Aanbieder | DPF-gecertificeerd | SCB beschikbaar | Bijzonderheden | Conformiteitsoordeel |
|---|---|---|---|---|
| Google Workspace for Education | Ja | Ja (in GVO) | EU-dataresidentie beschikbaar; Gegevensverwerkingsovereenkomst (GVO) standaard inbegrepen; auditrapportages beschikbaar (ISO 27001, SOC 2) | CONFORM bij juiste configuratie |
| Meta Ads (inclusief Pixel) | Ja | Ja (in DPA) | AI-training op EU-gebruikersdata opgeschort na AP- en EDPB-interventie; pixel-data wordt nog steeds doorgestuurd naar VS; geen EU-dataresidentieoptie voor advertentiedata | CONFORM MET VOORBEHOUD — DTIA vereist; pixel-implementatie nauwkeurig documenteren |
| OpenAI (API) | Ja | Ja (in DPA) | EU-dataresidentie beschikbaar voor Enterprise; Zero Data Retention (ZDR) voor API-gebruik beschikbaar; ChatGPT-gebruikersdata valt buiten ZDR | CONFORM met Enterprise-instellingen en ZDR; consumenten-ChatGPT niet aanbevolen voor prospectdata |
Google Workspace for Education is voor de meeste instellingen de minst risicovolle keuze, mits u de GVO heeft ondertekend, de EU-dataresidentie heeft ingeschakeld in de beheerconsole, en u heeft gecontroleerd dat aanvullende diensten (add-ons van derden) geen afzonderlijke doorgiften introduceren.
Meta Ads verdient extra aandacht. Het DPF-certificaat dekt de doorgifte van advertentie-gerelateerde data formeel, maar de AP heeft in eerdere besluiten kritische vragen gesteld over de rechtmatigheid van het volgen van niet-Meta-gebruikers via de Pixel op externe websites. Een DTIA die de reikwijdte van de doorgifte nauwkeurig beschrijft — welke gegevensvelden, welke doeleinden, welke retentietermijn aan de kant van Meta — is voor instellingen die de Pixel inzetten op aanmeldings- of contactpagina's geen optie maar een vereiste.
OpenAI biedt via zijn Enterprise-overeenkomst zowel Zero Data Retention als EU-dataresidentie. Dat betekent dat gegevens die via de API worden verwerkt niet worden gebruikt voor modeltraining en bewaard blijven binnen de EER. De consumentenversie van ChatGPT biedt deze garanties niet; medewerkers die via chatgpt.com prospectgegevens invoeren, handelen buiten het AVG-conforme verwerkerskader.
Wat uw instelling nu concreet moet doen
De conformiteit is niet iets dat u eenmalig regelt bij het ondertekenen van een contract. Het vereist een gedocumenteerde werkwijze die u bij een AP-onderzoek kunt overleggen.
Stap 1: Stel een register van verwerkingsactiviteiten op (art. 30 AVG) en identificeer elke doorgifte naar een derde land. Voor elke tool in uw martech-stack — van CRM tot e-mailplatform tot chatbot — documenteert u: welke persoonsgegevens worden doorgegeven, naar welk land, op welke rechtsgrondslag (DPF, SCB of andere), en wie de verwerkersovereenkomst heeft ondertekend. De AP kan dit register opvragen bij een inspectie.
Stap 2: Sluit een Gegevensverwerkingsovereenkomst (GVO/DPA) met elke verwerker die persoonsgegevens van uw prospects verwerkt. Een GVO is wettelijk verplicht op grond van artikel 28 AVG voor elke verwerker, ongeacht of de doorgifte naar een derde land plaatsvindt. Voor Google, Meta en OpenAI zijn standaard-GVO's beschikbaar via hun beheerportalen; u moet ze echter actief aanvaarden en bewaren als onderdeel van uw verwerkersregister.
Stap 3: Voer een DTIA uit voor elke doorgifte die niet uitsluitend op DPF steunt. Prioriteer de Meta Pixel en eventuele andere tools zonder EU-dataresidentieoptie. De DTIA hoeft geen omvangrijk document te zijn, maar moet minimaal bevatten: een beschrijving van de doorgegeven data, een analyse van de rechtspositie in het ontvangende land (VS: FISA 702, CLOUD Act), en de aanvullende maatregelen die u neemt (contractuele clausules, pseudonimisering, minimalisatie).
Stap 4: Beperk de gegevens die de EU verlaten tot het strikt noodzakelijke. Configureer de Meta Pixel met Advanced Matching uitgeschakeld tenzij u dit actief nodig heeft en heeft gedocumenteerd. Gebruik server-side tagging waar mogelijk, zodat u controle houdt over welke velden worden doorgegeven. Activeer voor OpenAI Zero Data Retention via de API-instellingen en voorkom dat medewerkers prospectgegevens invoeren in consumentendiensten.
Stap 5: Train uw medewerkers en actualiseer uw privacyverklaring. Uw privacyverklaring moet de doorgiften naar derde landen vermelden, inclusief de safeguards die u heeft getroffen (DPF-certificaatnummers of verwijzing naar SCB). Medewerkers op marketing, admissions en IT moeten weten welke tools zijn goedgekeurd voor het verwerken van prospectgegevens en welke niet. De AP beschouwt een gedocumenteerde bewustwordingsprocedure als een relevante maatregel bij de beoordeling van de ernst van een overtreding.
Zie ook ons artikel over AVG-conforme chatbots voor scholen voor een praktische vergelijking van conversationele AI-aanbieders die voldoen aan de bovenstaande eisen. En raadpleeg onze tabel met bewaartermijnen voor persoonsgegevens van studenten om te bepalen hoe lang u doorgegeven data mag bewaren.
Bekijk hoe Skolbot prospectgegevens AVG-conform verwerktVeelgestelde vragen
Is het EU-VS Gegevensbeschermingskader (DPF) juridisch houdbaar in 2026?
Ja, het DPF is van kracht en geldig als adequaatheidsbesluit van de Europese Commissie. Een derde juridische aanvechting — soms aangeduid als «Schrems III» — is niet uitgesloten, maar heeft op het moment van schrijven geen schorsende werking. Het EDPB monitort de uitvoering van het DPF en heeft de optie om een herzieningsprocedure te starten als de VS de toegezegde waarborgen niet naleeft. Instellingen doen er verstandig aan DPF-afhankelijke doorgiften ook met SCB's te onderbouwen als aanvullende laag, zodat zij niet volledig afhankelijk zijn van de politieke houdbaarheid van het adequaatheidsbesluit.
Mag ik de Meta Pixel gebruiken op mijn aanmeldpagina?
Dat is juridisch riskant zonder aanvullende maatregelen. De Pixel verzendt standaard persoonsgegevens — waaronder e-mailadressen via Advanced Matching en gedragsdata via de cookie — naar Meta-servers in de VS. Voor gebruik op pagina's waar prospects persoonsgegevens invoeren (contactformulieren, aanmeldpagina's) is een DTIA verplicht, moet de doorgifte zijn gedocumenteerd in uw GVO met Meta, en moet uw privacyverklaring de doorgifte vermelden. Overweeg server-side tagging en het uitsluiten van formuliervelden van de Pixel-doorgifte.
Wat is het verschil tussen een GVO en SCB's?
Een Gegevensverwerkingsovereenkomst (GVO of DPA — Data Processing Agreement) is het contract dat u afsluit met elke verwerker op grond van artikel 28 AVG. Het regelt de verhouding tussen u als verwerkingsverantwoordelijke en de aanbieder als verwerker. Standaard Contractbepalingen (SCB's) zijn een specifiek instrument voor internationale doorgiften: modelclausules goedgekeurd door de Europese Commissie die een verwerker buiten de EER binden aan AVG-equivalente verplichtingen. SCB's zijn doorgaans opgenomen als bijlage bij de GVO. U heeft beide nodig: de GVO als basis voor de verwerkersrelatie, de SCB's als safeguard voor de doorgifte naar een derde land.
Geldt de AVG ook voor gegevens van niet-EU-studenten die onze school benaderen?
Ja. De AVG is van toepassing op basis van de locatie van de verwerkingsverantwoordelijke (uw instelling), niet de nationaliteit of woonplaats van de betrokkene. Als uw instelling in Nederland gevestigd is en u verwerkt gegevens van een prospect uit Canada die via uw website een aanmelding indient, valt die verwerking volledig onder de AVG. Het staatsburgerschap van de prospect is irrelevant voor de toepasselijkheid van de verordening.
Welke sancties kan de AP opleggen bij onrechtmatige doorgifte naar de VS?
De AP kan bestuurlijke boetes opleggen van maximaal 20 miljoen EUR of 4% van de wereldwijde jaaromzet — het hoogste bedrag geldt. Voor onrechtmatige internationale doorgiften (schending van Hoofdstuk V AVG) behoort de maximale boete tot de categorie van artikel 83(5) AVG. Naast de boete kan de AP een verwerkingsverbod opleggen, wat operationeel ingrijpender kan zijn dan de financiële sanctie. De volledige tekst van de AVG geeft de boetecategorieën in artikel 83.
Voor meer informatie over AVG-compliance in het hoger onderwijs:
- AVG-gids voor studentengegevens — het volledige kader voor rechtsgrondslagen, FG en bewaarbeleid
- AVG-conforme chatbot voor hogescholen — vergelijking van conversationele AI-aanbieders
- Bewaartermijnen persoonsgegevens studenten — tabel per gegevenscategorie
Externe bronnen:
- AP — Doorgifte naar landen buiten de EU of EER
- EDPB — International data transfers
- AVG — volledige tekst (EUR-Lex)
