ChatGPT
Claude
Perplexity
Gemini
GrokWettelijke disclaimer: Dit artikel bevat geen juridisch advies. Raadpleeg een gekwalificeerde privacy-jurist of functionaris gegevensbescherming voor uw specifieke situatie.
Het verwerkingsregister is de ruggengraat van uw AVG-verantwoording. Toch ontbreekt het bij veel privéscholen en hogescholen aan een actuele, volledige versie — juist voor de drie verwerkingen die toezichthouder Autoriteit Persoonsgegevens (AP) het vaakst controleert: aanmelding, prospectenmarketing en de AI-chatbot. Dit artikel geeft u een direct invulbaar sjabloon op basis van artikel 30 AVG.
Wie is verplicht een verwerkingsregister bij te houden?
Artikel 30 AVG verplicht iedere organisatie die persoonsgegevens verwerkt een register bij te houden. De wet kent één uitzondering: ondernemingen met minder dan 250 medewerkers hoeven geen register bij te houden, tenzij de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkenen, de verwerking niet incidenteel is of er bijzondere categorieën persoonsgegevens worden verwerkt.
In de praktijk vallen vrijwel alle private hogescholen en grotere privéscholen buiten deze uitzondering, om twee redenen:
- Scholen verwerken structureel (niet incidenteel) persoonsgegevens van studenten, medewerkers en prospects.
- Aanmeldingsdossiers bevatten regelmatig gegevens die als bijzonder worden aangemerkt, zoals gezondheidsverklaringen voor vrijstellingsverzoeken of nationaliteitsgegevens bij EU-tarifering.
Telt uw instelling minder dan 250 medewerkers maar verwerkt u leerlingdossiers, marketinglijsten of chatbotgesprekken? Dan bent u alsnog registerverplicht. De AP bevestigt dit expliciet in haar richtlijnen voor scholen en instellingen. Zie ook onze uitgebreide toelichting in de AVG-gids studentengegevens.
De drie kernverwerkingen van een privéschool of hogeschool
Een verwerkingsregister documenteert iedere afzonderlijke verwerkingsactiviteit. Voor private hogescholen komen steeds drie clusters terug als aandachtsgebied tijdens AP-onderzoeken: de aanmeldingsprocedure, de prospectenwerving en de inzet van digitale tools zoals AI-chatbots.
1. Aanmelding via Studielink of directe inschrijving
HBO-instellingen die deelnemen aan Studielink ontvangen aanmeldingsgegevens via een gezamenlijke keten. Studielink treedt op als verwerker; uw instelling is verwerkingsverantwoordelijke voor de verdere verwerking van die gegevens. Private hogescholen zonder Studielink-koppeling verwerken aanmeldingsformulieren rechtstreeks en dragen daarvoor volledige verantwoordelijkheid.
Kritisch punt: de rechtsgrondslag voor aanmeldingsverwerking is in de meeste gevallen uitvoering van een overeenkomst (artikel 6 lid 1 sub b AVG), maar voor aanvullende gegevens — denk aan kopieën van identiteitsbewijzen of taalcertificaten — moet u toestemming of een wettelijke verplichting als grondslag aanwijzen.
2. Marketing en prospectenwerving
Leads die via open dagen, landingspagina's of advertentiecampagnes binnenkomen, worden doorgaans opgeslagen in een CRM zoals HubSpot of Salesforce. De rechtsgrondslag is hier vrijwel altijd toestemming (artikel 6 lid 1 sub a AVG) of gerechtvaardigde belangen — de keuze heeft directe gevolgen voor uw opt-in-formulieren en bewaartermijnen. Meer hierover leest u in Bewaartermijnen persoonsgegevens studenten AVG.
3. AI-chatbot
Een AI-chatbot op uw website of in uw studentenportaal is een verwerking in de zin van de AVG zodra de chatbot persoonsgegevens ontvangt — en dat gebeurt bijna altijd. Bezoekers stellen vragen als "Ik ben 28 jaar en heb een hbo-p diploma, mag ik instromen?" en delen daarmee direct herleidbare gegevens.
72% van de vragen van studenten is automatisch beantwoordbaar door een AI-chatbot (Bron: Skolbot-analyse, 12.000 gesprekken 2025–2026). Dat maakt de chatbot operationeel aantrekkelijk, maar het vergroot ook het volume aan te verwerken persoonsgegevens. Elke chatbotleverancier die gespreksdata opslaat of verwerkt, is een verwerker waarvoor u een verwerkersovereenkomst nodig heeft. Bekijk ons overzicht van AVG-conforme chatbot-aanbieders voor scholen.
Ingevuld sjabloon verwerkingsregister — privéschool / hogeschool
Gebruik de onderstaande tabel als basis. Vul kolommen aan op basis van uw eigen systemen, leveranciers en beleid. Sla het register op in een intern beheersysteem (bijv. OneTrust, SharePoint of een eenvoudige Excel) en dateer iedere wijziging.
| Verwerking | Doel | Rechtsgrondslag (AVG art. 6) | Datacategorieën | Ontvangers / verwerkers | Bewaartermijn | Doorgifte buiten EU |
|---|---|---|---|---|---|---|
| Studielink-aanmelding | Inschrijving opleiding | Uitvoering overeenkomst (1b) | NAW, BSN, diplomagegevens, nationaliteit | Studielink (verwerker), DUO (wettelijke verplichting), examencommissie | 5 jaar na uitschrijving (fiscaal); diplomaregister permanent | Nee |
| Directe aanmelding (eigen formulier) | Inschrijving opleiding | Uitvoering overeenkomst (1b) | NAW, geboortedatum, vooropleiding, ID-kopie | SIS (studentinformatiesysteem), examenbureau | 5 jaar na uitschrijving; diplomaregister permanent | Afhankelijk van SIS-leverancier |
| Open dag registratie | Evenementbeheer + opvolging | Toestemming (1a) of gerechtvaardigd belang (1f) | Naam, e-mailadres, studieinteresse | CRM-leverancier (bijv. HubSpot), e-mailmarketingplatform | 12 maanden na evenement of tot intrekking toestemming | VS (adequaatheidsbesluit / DPF of SCCs vereist) |
| Prospecten-e-mailmarketing | Werving toekomstige studenten | Toestemming (1a) | E-mailadres, naam, studieinteresse, klikgedrag | E-mailplatform (verwerker), CRM | Tot intrekking toestemming + 3 maanden afhandeling | Afhankelijk van leverancier (VS: SCCs of DPF) |
| AI-chatbot websitebezoeker | Informatieverstrekking prospectief student | Gerechtvaardigd belang (1f) of toestemming (1a) | Gespreksinhoud (naam, studievraag, evt. achtergrond), IP-adres | Chatbotleverancier (verwerker), eventueel LLM-provider | Sessieduur + 30 dagen logbewaring (configureerbaar) | Afhankelijk van LLM-provider (VS: SCCs vereist) |
| AI-chatbot ingeschreven student | Studieloopbaanondersteuning | Uitvoering overeenkomst (1b) | Studentnummer, studieresultaten, persoonlijke vragen | Chatbotleverancier, SIS-koppeling | Studieduur + 1 jaar | Zelfde als hierboven |
| Personeelsdossier medewerker | HR-administratie | Wettelijke verplichting (1c) + overeenkomst (1b) | NAW, BSN, salarisgegevens, gezondheidsdata (bijzonder) | Salarisadministrateur, UWV, Belastingdienst | 7 jaar fiscaal; 2 jaar na uitdiensttreding overige | Nee |
Toelichting doorgifte buiten EU: Gebruikt u Amerikaanse diensten zoals Google Workspace, Salesforce, OpenAI of Microsoft Azure? Controleer dan per dienst of zij beschikken over standaardcontractbepalingen (SCCs) of deelnemen aan het EU-VS Data Privacy Framework (DPF). Zie ook ons artikel Gegevens prospects buiten de EU voor een actueel overzicht.
Veelgemaakte fouten in verwerkingsregisters van hogescholen
Een intern onderzoek van privacyaudits bij Nederlandse onderwijsinstellingen laat steeds dezelfde tekortkomingen zien:
Ontbrekende verwerkers. Instellingen vermelden het eigen systeem maar vergeten de SaaS-leverancier die achter dat systeem zit. Elk platform waaraan persoonsgegevens worden doorgegeven — ook een analysepixel of een enquêtetool — is een verwerker die in het register thuis hoort.
Verkeerde rechtsgrondslag voor marketing. Scholen noteren "gerechtvaardigd belang" voor e-mailmarketing, terwijl de Telecommunicatiewet (Tw) voor elektronische direct marketing vrijwel altijd toestemming vereist. De AVG-grondslag en de Tw-grondslag moeten beide kloppen.
Statische bewaartermijnen. Registers vermelden "conform wettelijke termijn" zonder verdere specificatie. De AP verwacht een concrete termijn per verwerking, inclusief de trigger (bijv. "5 jaar na datum uitschrijving").
Chatbot niet opgenomen. Instellingen beschouwen de chatbot als een "informatietool" en vergeten dat elke sessie met herleidbare inhoud een verwerking is. Zeker als de chatbotleverancier logs bewaart of de gespreksdata gebruikt voor modelverbetering, is een verwerkersovereenkomst vereist.
Geen versiehistorie. Artikel 30 AVG schrijft geen versiebeheer voor, maar de AP verwacht dat u kunt aantonen wanneer het register voor het laatst is bijgewerkt en of wijzigingen zijn doorgevoerd na een DPIA of een nieuw systeem.
De FG en het register: wie beheert wat?
Als uw instelling een functionaris gegevensbescherming (FG) heeft aangesteld, is die verantwoordelijk voor het toezicht op het register — maar niet voor het opstellen ervan. Dat is de taak van de verwerkingsverantwoordelijke, in de praktijk de directie of het bestuur. De FG toetst, adviseert en signaleert lacunes. Heeft u nog geen FG? Lees dan wanneer uw instelling er een nodig heeft in ons artikel over de externe functionaris gegevensbescherming voor scholen.
Veelgestelde vragen
Geldt artikel 30 AVG voor kleine privéscholen?
Artikel 30 AVG kent een uitzondering voor organisaties met minder dan 250 medewerkers, maar alleen als de verwerking uitsluitend incidenteel is, geen bijzondere categorieën persoonsgegevens betreft en geen risico vormt voor betrokkenen. Scholen verwerken structureel leerlinggegevens en vallen daarmee vrijwel altijd onder de registerplicht, ongeacht hun omvang. De AP bevestigt dit in haar sectorrichtlijnen.
Wat is het verschil tussen een verwerkingsregister en een privacyverklaring?
Het verwerkingsregister (artikel 30 AVG) is een intern beheerdocument voor de verwerkingsverantwoordelijke en de toezichthouder. Het hoeft niet gepubliceerd te worden. De privacyverklaring is een externe communicatie aan betrokkenen (artikel 13/14 AVG) en moet wél openbaar beschikbaar zijn, bijvoorbeeld op uw website. Beide moeten inhoudelijk overeenkomen: wat u intern registreert, dient terug te vinden te zijn in wat u extern communiceert.
Hebben we een functionaris gegevensbescherming nodig?
Private hogescholen en andere onderwijsinstellingen die op grote schaal persoonsgegevens van studenten verwerken, zijn op grond van artikel 37 AVG verplicht een FG aan te stellen. De AP beschouwt onderwijs als een sector waarin stelselmatige grootschalige verwerking de norm is. Twijfelt u? Raadpleeg een gespecialiseerde privacyjurist of lees meer in ons artikel Externe functionaris gegevensbescherming voor scholen.
Hoe lang mogen we gegevens van aankomende studenten bewaren?
Voor prospects (studenten die zich nog niet hebben ingeschreven) geldt geen wettelijke bewaartermijn; u bent gebonden aan het beginsel van opslagbeperking (artikel 5 lid 1 sub e AVG). Gebruikelijk is 12 maanden na het laatste contactmoment of na de relevante inschrijfperiode, mits u toestemming als grondslag gebruikt. Na inschrijving gelden fiscale termijnen (7 jaar) en onderwijsspecifieke termijnen voor het diplomaregister (permanent). Een gedetailleerd overzicht vindt u in Bewaartermijnen persoonsgegevens studenten AVG.
Moet een AI-chatbot in het verwerkingsregister staan?
Ja, zodra de chatbot persoonsgegevens ontvangt of verwerkt. In de praktijk is dat vrijwel altijd het geval: gebruikers stellen persoonlijke vragen, geven hun naam of studentnummer en het IP-adres wordt gelogd. U dient de chatbot als afzonderlijke verwerking op te nemen, met als verwerker de chatbotleverancier én eventueel de onderliggende LLM-provider. Vergeet de verwerkersovereenkomst en een eventuele DPIA niet als er profilering of geautomatiseerde besluitvorming plaatsvindt.
Wilt u uw verwerkingsregister laten toetsen en uw chatbotstrategie AVG-conform inrichten? Bekijk hoe Skolbot uw instelling ondersteunt.
Vraag een persoonlijke demo aan
