De voorwaarden voor transparantie

Inleiding

Het onderwijs omarmt het gebruik van AI, bewust èn onbewust. Docenten gebruiken het bij de voorbereiding van hun lessen, leerlingen gebruiken het bij het maken van huiswerk, en IT-leveranciers voegen AI functionaliteiten toe aan hun producten. Voor privacy professionals is dat laatste de grootste uitdaging: niet de AI die je bewust hebt ingevoerd, maar de AI die er al in zit zonder dat je het wist.

De Autoriteit Persoonsgegevens (hierna: AP) heeft deze uitdaging ook erkend en roept scholen en leveranciers van digitale leermiddelen op om transparanter te zijn over de verwerking van leerlinggegevens.[1] De aanleiding voor de oproep is de toenemende complexiteit van digitale ecosystemen en de verwevenheid met AI- en cloudleveranciers. Ook zijn er privacyrisico’s bij overnames van leveranciers door andere partijen. Hierdoor hebben scholen vaak onvoldoende zicht op wat er precies met persoonsgegevens van hun leerlingen en medewerkers gebeurt.

Hoewel de oproep van de AP zich richt op het onderwijs, zien wij bij Privacy1 dat dit probleem breder speelt. Naast scholen staan onder meer zorginstellingen en gemeenten voor precies dezelfde uitdaging. Ze zijn afhankelijk van leveranciers, maar hebben vaak onvoldoende inzicht in hun verwerkingen om hun transparantieverplichtingen richting betrokkenen vervullen.

Als organisatie moet je transparant zijn naar betrokkenen over de persoonsgegevens die je van hen verwerkt. Dit houdt in dat je duidelijk, open, en eerlijk moet zijn over hoe je persoonsgegevens verzamelt, gebruikt, en beheert. Hierbij wordt vaak gedacht aan een privacyverklaring op de website, maar transparantie begint veel eerder: met grip op je eigen verwerkingen. Want hoe kun je aan burgers, patiënten, leerlingen, of medewerkers uitleggen wat je met hun persoonsgegevens doet, als je dat zelf onvoldoende scherp hebt?

[1] https://www.autoriteitpersoonsgegevens.nl/actueel/privacyrisicos-voor-leerlingen-door-digitale-leermiddelen-in-de-klas

AVG-rollen en leveranciersmanagement

Transparantie begint met het helder krijgen van je AVG-rol: ben je verwerkingsverantwoordelijke, verwerker, of gezamenlijk verantwoordelijke? In de meeste gevallen is dit een simpele vaststelling: bepaal jij het doel en de middelen van de verwerking, dan ben je verwerkingsverantwoordelijke. Maar de AP benadrukt dat een leverancier onder omstandigheden zelf als verwerkingsverantwoordelijke kan worden aangemerkt wanneer deze buiten de gemaakte afspraken om de gegevens voor haar eigen doelen gaat gebruiken. De rolverdeling is belangrijk omdat de uitkomst ervan bepaalt hoe jouw organisatie de informatievoorziening naar betrokkenen moet inrichten. Maar we zien dat dit lang niet altijd goed gaat.

Daarom is leveranciersmanagement een essentieel onderdeel van privacy compliance. Een goede verwerkersovereenkomst alleen is niet voldoende. Om grip te krijgen op je leveranciers, moet je minimaal het volgende in kaart brengen:

Welke gegevensstromen schuilen achter een dienst?
Welke subverwerkers worden ingezet?
Waar worden gegevens opgeslagen?
Welke beveiligingsmaatregelen zijn getroffen?
Hebben nieuwe functionaliteiten (zoals AI) gevolgen voor de verwerking?

Vraag daarom je leverancier om een datastroomdiagram en controleer of deze klopt met de afspraken in de verwerkersovereenkomst.

Controleer bovendien jaarlijks of het datastroomdiagram nog actueel is. Stuur je leverancier bijvoorbeeld ieder jaar in januari een verzoek om updates. Zijn er wijzigingen? Pas dan je verwerkersovereenkomst en privacyverklaring aan.

Privacy Governance

Voor Privacy Officers betekent grip op gegevensstromen dat zij niet alleen de AVG moeten begrijpen, maar ook de juiste vragen kunnen stellen, zoals: Welke informatie heb ik nodig om transparant te kunnen zijn naar betrokkenen? Welke contractuele afspraken zijn noodzakelijk? Welke risico’s ontstaan wanneer een leverancier onvoldoende inzicht geeft in zijn verwerkingen? En wanneer is dat reden om een leverancier niet te selecteren of bestaande afspraken te herzien?

Deze belangrijke vragen kun je alleen stellen als privacy al in een vroeg stadium onderdeel van de besluitvorming is. In de praktijk zien wij regelmatig dat Privacy Officers pas worden betrokken wanneer een nieuw systeem al is aangeschaft, een contract al is getekend of een samenwerking al is gestart. Hieruit blijkt het belang van een goede interne Privacy Governance, dat begint met heldere rollen en verantwoordelijkheden. Want wanneer deze niet duidelijk zijn afgebakend en belegd, ontstaat het risico dat privacyvraagstukken tussen afdelingen blijven hangen of over het hoofd worden gezien. Het is dus van belang dat je maandelijks overleg pleegt met de afdelingen inkoop en ICT zodat je op tijd op de hoogte bent van wijzigingen in jullie werkprocessen.

Dat vraagt ook iets van de positie van de Privacy Officer. Een Privacy Officer die onzichtbaar is of alleen wordt geraadpleegd wanneer er problemen ontstaan, kan zijn rol moeilijk effectief vervullen. Je blijft dan achter de feiten aanlopen, bent al je tijd kwijt aan brandjes blussen en komt er maar niet aan toe om structurele verbetering door te voeren. Medewerkers moeten weten waar zij terecht kunnen met vragen, twijfels of signalen. De Privacy Officer moet toegankelijk zijn, bijvoorbeeld door een wekelijks vragenuurtje te plannen.

Een effectieve Privacy Governance vraagt om meer dan alleen regels en procedures. Het gaat om samenwerking: de Privacy Officer moet zichtbaar en toegankelijk zijn, en in nauw contact staan met afdelingen als ICT, inkoop en HR. Pas als privacy integraal onderdeel wordt van de besluitvorming, kun je structureel grip houden op je verwerkingen. Voor een diepere blik op hoe wij Privacy Governance benaderen, is deze blog van mijn collega een waardevolle bron.

Transparantie is het resultaat van goede privacyorganisatie

Wanneer toezichthouders organisaties oproepen om transparanter te zijn, ligt de verleiding op de loer om direct te denken aan privacyverklaringen, informatiebrieven of communicatie richting betrokkenen. Maar transparantie is niet alleen een verzameling van documenten. Transparantie is het resultaat van een organisatie die haar privacyhuishouding op orde heeft.

Dat begint met het begrijpen van je eigen rol, het stellen van de juiste vragen aan leveranciers, en het verkrijgen van inzicht in de gegevensstromen waarvoor je verantwoordelijk bent. Vervolgens vraagt het om een organisatie waarin privacy structureel onderdeel is van besluitvorming, waarin taken en verantwoordelijkheden duidelijk zijn belegd en waarin medewerkers privacyrisico’s tijdig herkennen en bespreken.

Juist op die punten zien wij dat veel beginnende Privacy Officers behoefte hebben aan praktische handvatten. Niet alleen kennis van de AVG, maar vooral de vaardigheden om privacy binnen hun organisatie daadwerkelijk te organiseren.

Wil jij meer structuur aanbrengen in hoe jouw organisatie omgaat met privacy?

In onze opleiding Privacy Professional: Vaardigheden leer je aan de hand van onze praktische modellen alle vaardigheden die je nodig hebt om privacy in de praktijk te brengen. Met onze ervaring en inzichten zorgen we ervoor dat jij over de tools en competenties beschikt om privacy compliance cyclisch en dynamisch in jouw organisatie te verankeren. Zo wordt privacy een continue verbeterproces in plaats van een eenmalig project.

Kijk op onze opleidingspagina voor meer informatie of om je aan te melden!

Geschreven door Joren Kwee, privacy- en IT-jurist.

11 juni 2026

Wil je jouw organisatie privacy-volwassen maken of heb je vragen over gegevensbescherming?

Neem vrijblijvend contact met ons op en ontdek hoe Privacy1 je kan helpen.

Neem contact met ons op

Ook interessant:

Lees meer

#NieuwsAlgemeenAVGComplianceCookiesMediaPrivacy Professional

Is jouw cookiebanner nog van deze tijd?

In deze blog leggen we je uit wat dark patterns zijn en hoe ze worden ingezet om betrokkenen keuzes te laten maken (zoals het accepteren van onnodige cookies) terwijl ze dat misschien eigenlijk niet willen.

Lees meer

#NieuwsAlgemeenAVGComplianceMediaPrivacy Professional

Altijd zichtbaar: Teams en het moderne kantoor

Microsoft komt met een nieuwe Teams-functie die automatisch de werklocatie van gebruikers kan bepalen via wifi. Hoewel dit handig kan zijn voor hybride werken, brengt het ook privacyrisico’s met zich mee. De functie kan leiden tot ongewenst toezicht, waardoor Teams mogelijk als personeelsvolgsysteem wordt gezien. Werkgevers moeten daarom zorgvuldig omgaan met deze functie.

Naam	Aanbieder	Doel	Vervaldatum
CookieConsent	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 jaar

Naam	Aanbieder	Doel	Vervaldatum
_ga	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	2 jaar
_gat	privacy1.nl	Gebruikt door Google Analytics om verzoeksnelheid te vertragen.	1 dag
_gid	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 dag
collect	google-analytics.com	Gebruikt om gegevens naar Google Analytics te versturen over het apparaat en het gedrag van de bezoeker.	Sessie