Werk je met een online leeromgeving, dan verwerk je persoonsgegevens van je cursisten: namen, e-mailadressen, voortgang, soms certificaten of betaalgegevens. Daarmee val je onder de AVG, de Europese privacywet. Goed nieuws: je hoeft geen jurist te zijn om dit op orde te krijgen. In deze gids lees je precies wat je als opleider, coach of L&D-professional moet regelen rond AVG en e-learning, van grondslag tot verwerkersovereenkomst, bewaartermijn en datalek. Praktisch, zonder gedoe.
Let op: dit artikel geeft een praktisch overzicht, geen juridisch advies. Twijfel je over jouw specifieke situatie, raadpleeg dan een privacyjurist of de Autoriteit Persoonsgegevens.
Wat betekent de AVG voor e-learning?
De AVG (Algemene Verordening Gegevensbescherming) geldt zodra je persoonsgegevens verwerkt. In een leeromgeving gebeurt dat continu: je schrijft cursisten in, je volgt hun voortgang, je stuurt berichten en je geeft certificaten uit. Stuk voor stuk verwerkingen van persoonsgegevens.
Als opleider ben je in de meeste gevallen de verwerkingsverantwoordelijke. Jij bepaalt welke gegevens je verzamelt en waarom. Het e-learningplatform dat je gebruikt, verwerkt die gegevens namens jou en is daarmee de verwerker. Dat onderscheid is belangrijk, want het bepaalt wie wat moet regelen.
Welke persoonsgegevens verwerk je in een leeromgeving?
Voordat je iets kunt regelen, moet je weten wat je verwerkt. In een typische e-learningomgeving gaat het om:
- Contactgegevens: naam, e-mailadres, soms telefoonnummer en organisatie.
- Accountgegevens: inloggegevens en gebruikersrollen.
- Leergegevens: voortgang, resultaten, afgeronde modules en behaalde certificaten.
- Communicatie: berichten, vragen en reacties binnen de leeromgeving.
- Eventueel betaalgegevens: als je cursussen direct verkoopt.
Verwerk je gevoelige gegevens, bijvoorbeeld over gezondheid bij een zorgopleiding, dan gelden strengere regels. Beperk je in dat geval tot wat echt nodig is. Het principe van dataminimalisatie is een kern van de AVG: verzamel niet meer dan je voor het doel nodig hebt.
Op welke grondslag verwerk je cursistengegevens?
De AVG kent zes grondslagen om persoonsgegevens te verwerken. Je hebt er minstens een nodig. De Autoriteit Persoonsgegevens noemt: toestemming, overeenkomst, wettelijke verplichting, vitaal belang, algemeen belang en gerechtvaardigd belang.
Voor opleiders en coaches zijn er twee die het meest voorkomen:
- Overeenkomst: de cursist koopt of volgt een cursus bij je. Je hebt de gegevens nodig om die cursus te kunnen leveren, een factuur te sturen en een certificaat uit te geven. Dit is vaak de logische grondslag.
- Gerechtvaardigd belang: bijvoorbeeld voor het bijhouden van voortgang of het verbeteren van je traject, mits je het belang van de cursist niet schaadt.
Stuur je daarnaast nieuwsbrieven of marketingmails, dan heb je daarvoor meestal aparte toestemming nodig. Belangrijk: iedereen moet kunnen weten op welke grondslag jij hun gegevens bewaart. Leg dit dus helder vast in je privacyverklaring.
Verwerkersovereenkomst: wanneer en met wie?
Gebruik je een extern e-learningplatform, dan verwerkt dat platform persoonsgegevens namens jou. De AVG verplicht je om met elke partij die jouw gegevens namens jou verwerkt een verwerkersovereenkomst te sluiten. Daarin leg je vast welke gegevens je deelt, voor welk doel, en welke beveiligings- en geheimhoudingsafspraken gelden.
Een goede verwerkersovereenkomst regelt onder andere:
- Welke persoonsgegevens worden verwerkt en met welk doel.
- Hoe de verwerker je helpt bij verzoeken van cursisten en bij datalekken.
- Welke beveiligingsmaatregelen de verwerker neemt.
- Wat er met de gegevens gebeurt als de samenwerking stopt.
- Of en hoe gegevens buiten de Europese Economische Ruimte worden verwerkt.
Kies je voor een leeromgeving, vraag dan altijd vooraf of de aanbieder een standaard verwerkersovereenkomst klaar heeft liggen en waar de data wordt opgeslagen. Een serieuze partij regelt dit zonder dat je erom hoeft te vragen.
Hoe lang mag je cursistengegevens bewaren?
De AVG noemt geen vaste bewaartermijn. In plaats daarvan geldt het principe van opslagbeperking: je bewaart persoonsgegevens niet langer dan nodig is voor het doel waarvoor je ze hebt verzameld. Zijn de gegevens niet meer nodig, dan verwijder of anonimiseer je ze.
Je bepaalt de termijn dus zelf, met oog voor wettelijke minimum- en maximumtermijnen. Een paar voorbeelden uit de praktijk:
- Factuur- en betaalgegevens: de Belastingdienst hanteert een fiscale bewaarplicht van zeven jaar voor je administratie.
- Certificaten en accreditatiepunten: bewaar je zolang ze aantoonbaar relevant zijn, bijvoorbeeld voor permanente educatie.
- Inactieve accounts: stel een redelijke termijn in waarna je gegevens opschoont.
Leg je bewaartermijnen vast in een eenvoudig overzicht. Zo houd je grip en kun je laten zien dat je bewust met data omgaat.
De rechten van je cursisten
Cursisten hebben onder de AVG een aantal rechten. Als verwerkingsverantwoordelijke moet je deze verzoeken kunnen afhandelen, meestal binnen een maand. De belangrijkste:
- Recht op inzage: welke gegevens heb je van iemand?
- Recht op rectificatie: onjuiste gegevens corrigeren.
- Recht op verwijdering: het recht om vergeten te worden.
- Recht op dataportabiliteit: gegevens meekrijgen in een gangbaar formaat.
- Recht van bezwaar: tegen bepaalde verwerkingen, zoals marketing.
Een leeromgeving die deze rechten ondersteunt, bijvoorbeeld door gegevens eenvoudig te kunnen exporteren of verwijderen, scheelt je veel handwerk.
Datalek: wat doe je binnen 72 uur?
Een datalek is elke inbreuk waarbij persoonsgegevens verloren raken of in verkeerde handen komen. Denk aan een gestolen laptop, een verkeerd geadresseerde mail of een hack. Gebeurt dit, dan moet je het als verwerkingsverantwoordelijke melden bij de Autoriteit Persoonsgegevens, en wel binnen 72 uur nadat je het hebt ontdekt. Meld je later, dan moet je uitleggen waarom.
Is er een hoog risico voor de betrokkenen, dan moet je ook hen informeren. Spreek vooraf met je platformaanbieder af hoe zij je bij een datalek ondersteunen. Die afspraken horen in de verwerkersovereenkomst.
Checklist: AVG en e-learning op orde
| Stap | Wat je regelt |
|---|---|
| 1. Breng in kaart | Welke persoonsgegevens verwerk je en waarom? |
| 2. Kies een grondslag | Meestal overeenkomst of gerechtvaardigd belang. |
| 3. Privacyverklaring | Leg helder uit wat je doet met welke gegevens. |
| 4. Verwerkersovereenkomst | Sluit er een met je e-learningplatform. |
| 5. Bewaartermijnen | Bepaal en documenteer hoe lang je bewaart. |
| 6. Beveiliging | Veilige inlog, toegangsrechten, back-ups. |
| 7. Rechten van cursisten | Zorg dat je verzoeken kunt afhandelen. |
| 8. Datalekprocedure | Weet wie wat doet binnen 72 uur. |
Hoe een goede leeromgeving je helpt
Privacy goed regelen wordt een stuk eenvoudiger met een platform dat er vanaf de basis op is ingericht. Bij Evolve werk je in een veilige, Nederlandse leeromgeving met moderne beveiliging, heldere toegangsrechten en grip op je cursistgegevens. Je houdt overzicht over wie welk traject volgt, en je kunt gegevens netjes beheren, exporteren of verwijderen wanneer dat nodig is.
Wil je weten hoe Evolve privacy en cursistenbeheer voor jouw organisatie regelt? Lees meer over Evolve voor organisaties, bekijk de prijzen, of verdiep je in goed cursistenbeheer van inschrijving tot afronding. Zo bouw je aan structuur, grip en groei, met privacy gewoon op orde.
Veelgestelde vragen over AVG en e-learning
Heb ik een verwerkersovereenkomst nodig met mijn e-learningplatform?
Ja. Verwerkt een extern platform persoonsgegevens namens jou, dan verplicht de AVG je om een verwerkersovereenkomst te sluiten. Daarin leg je vast welke gegevens worden verwerkt, met welk doel en welke beveiligingsafspraken gelden. Vraag je aanbieder of die een standaard verwerkersovereenkomst klaar heeft liggen.
Op welke grondslag mag ik cursistengegevens verwerken?
De AVG kent zes grondslagen. Voor opleiders en coaches is dat meestal de overeenkomst (je levert een cursus) of gerechtvaardigd belang (zoals voortgang bijhouden). Voor nieuwsbrieven en marketing heb je doorgaans aparte toestemming nodig.
Hoe lang mag ik gegevens van cursisten bewaren?
De AVG noemt geen vaste termijn. Je bewaart gegevens niet langer dan nodig voor het doel. Houd rekening met wettelijke termijnen, zoals de fiscale bewaarplicht van zeven jaar voor facturen, en verwijder of anonimiseer gegevens zodra ze niet meer nodig zijn.
Wat moet ik doen bij een datalek?
Meld een datalek binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens. Is er een hoog risico voor de betrokkenen, informeer dan ook hen. Spreek vooraf met je platformaanbieder af hoe zij je daarbij ondersteunen.
Mogen cursistengegevens buiten de EU worden opgeslagen?
Dat mag alleen met passende waarborgen. Verwerkt een platform gegevens buiten de Europese Economische Ruimte, dan moet daar een geldige grondslag en bescherming voor zijn. Kies je voor zekerheid, dan is een aanbieder die data binnen de EU opslaat de eenvoudigste route.
Klaar om je leertrajecten veilig en op orde te zetten? Plan een demo en ontdek hoe Evolve je helpt groeien, met privacy als fundament.