Choose language

Databescherming als gezamenlijke verantwoordelijkheid

Walter van Hest is inmiddels al ruim acht jaar werkzaam bij Xedule als Information Security Officer. Vanuit die rol is hij verantwoordelijk voor information security en begeleidt en onderhoudt hij verschillende certificeringen. Daarnaast is Walter binnen Xedule hét eerste aanspreekpunt op het gebied van security en privacy. Onderwijsinstellingen kunnen rechtstreeks bij hem terecht met vragen of opmerkingen over security en privacy, waarbij hij ook inzicht biedt in hoe Xedule hiermee omgaat.

foto1

Voor 2026 ligt de focus van Walter voornamelijk op het vernieuwen van certificeringen in samenwerking met Your Next Concepts én op de DPIA. Maar wat houdt een DPIA precies in? Waarom is het zo belangrijk? En welke rol speelt Xedule hierin richting onderwijsinstellingen? We vroegen Walter het hemd van het lijf.

Xedule_Portret_LR6-2

Wat is een DPIA?

Een Data Protection Impact Assessment (DPIA) is een controlemechanisme dat bepaalt welke risico’s van toepassing zijn op persoonsgegevens. Organisaties zijn verplicht om een DPIA uit te voeren wanneer zij bijzondere persoonsgegevens of grote hoeveelheden persoonsgegevens verwerken. Onderwijsinstellingen verwerken dagelijks grote hoeveelheden persoonsgegevens van studenten, medewerkers en andere betrokkenen. Daarom is het uitvoeren van een DPIA binnen onderwijsinstellingen vaak noodzakelijk.

“Xedule verwerkt de persoonsgegevens van ongeveer 1,7 miljoen studenten en docenten,” vertelt Walter. “Formeel gezien ligt de verantwoordelijkheid voor het waarborgen van de bescherming van die data, en dus ook het controleren daarvan, bij de verwerkingsinstelling zelf.”

Vragen? Ik help je graag!

Toch besloot Xedule hierin een extra stap te zetten. Omdat veel onderwijsinstellingen niet zelfstandig een DPIA-traject met Xedule opstarten, heeft Xedule zelf een verzoek voor DPIA ingediend bij SURF, de overkoepelende organisatie binnen het onderwijsdomein voor MBO en HO.

“Wij willen onze klanten hierin ondersteunen,” legt Walter uit. “Met een sectorbrede DPIA bieden we onderwijsinstellingen iets waarop ze kunnen leunen. We willen niet alleen aansluiting zoeken met onze applicaties en modules, maar ook op het gebied van informatiebeveiliging. Voor ons is het belangrijk dat iedere onderwijsinstelling, groot of klein, een goede basis heeft als het gaat om informatiebeveiliging. Ik zie dit echt als een aanvulling op onze dienstverlening.”

Van initiatief naar uitvoering

Het eerste contact met SURF over DPIA werd al in 2023 gelegd. “SURF was toen nog niet zo ver”, vertelt Walter. “In april 2024 zijn we daadwerkelijk gestart met de DPIA”. 
Dat traject nam de nodige tijd in beslag. Uiteindelijk werd in juli 2025 een rapport opgeleverd waarin risico’s in kaart werden gebracht. Vervolgens kreeg Xedule tot en met het eerste kwartaal van 2026 de tijd om deze risico’s op te lossen. 

“We hebben vrijwel alle risico’s binnen de gestelde termijn kunnen oplossen,” zegt Walter. “Alleen de risico’s rondom bewaartermijnen vroegen meer tijd. Daarvoor hebben we uitstel aangevraagd tot juni 2026.”

Getroffen maatregelen

In het eerste kwartaal van 2026 lag de focus vooral op het mitigeren van risico’s door middel van technische en administratieve werkzaamheden.

Bij administratieve werkzaamheden gaat het bijvoorbeeld om het updaten van privacy statements, het vernieuwen van verwerkingsovereenkomsten en het vergroten van de zichtbaarheid van wijzigingen in autorisaties.

Daarnaast zijn er technische maatregelen genomen. “Denk bijvoorbeeld aan waarschuwingen rondom vrije invulvelden waarin persoonsgegevens kunnen worden ingevoerd,” legt Walter uit. “Gebruikers moeten zich ervan bewust zijn dat daar niet zomaar alles ingevuld kan worden. Ook hebben we maatregelen genomen om te voorkomen dat persoonsgegevens eenvoudig kunnen doorschuiven binnen My Xedule.”

Transparantie speelt hierin een belangrijke rol. “Je wilt kunnen zien wie welke aanpassing heeft gedaan, wie toegang heeft gehad tot bepaalde schermen en welke wijzigingen zijn uitgevoerd in autorisaties en access login.”

Xedule_Broll Still_7 (1)-4

Verantwoordelijkheid databescherming ligt bij onderwijsinstellingen

Hoewel Xedule een sectorbrede DPIA heeft uitgevoerd, blijft een belangrijk deel van de verantwoordelijkheid bij de onderwijsinstellingen zelf liggen.

“We hopen natuurlijk dat onderwijsinstellingen zelf ook actief met de risico’s aan de slag zijn gegaan,” zegt Walter. “De DPIA is uitgevoerd voor SURF en Xedule, en daarmee deels ook voor onderwijsinstellingen die met Xedule werken. Maar die DPIA geldt alleen voor databescherming binnen het gebruik van Xedule-applicaties en modules.”

Alle overige gebruikersgegevens die onderwijsinstellingen verwerken, vallen buiten het zicht van Xedule. “Als leverancier hebben wij geen inzicht in of onderwijsinstellingen hun eigen risico’s volledig in beeld hebben.”

De uitdaging rondom bewaartermijnen

In juni 2026 zal SURF opnieuw beoordelen welke risico’s nog aanwezig zijn. Daarbij wordt onder andere gekeken naar inzageverzoeken, contracten, verwerkingsovereenkomsten, privacy statements, technische maatregelen en bewaartermijnen.

Juist dat laatste onderwerp blijkt een complexe uitdaging. “De verantwoordelijkheid voor de verwerking van data ligt uiteindelijk bij de onderwijsinstellingen zelf,” legt Walter uit. “De Algemene verordening gegevensbescherming (AVG) zegt: sla zo min mogelijk informatie op en bewaar informatie niet langer dan nodig is.”

Maar in de praktijk roept dat veel vragen op. Hoeveel informatie mag je bewaren? Hoe lang precies? Hoe richt je dat organisatorisch én technisch in? En gebeurt dat automatisch of handmatig?

“Onderwijsinstellingen geven hierin, begrijpelijk, vaak nog te weinig richting,” zegt Walter. “Bewaartermijnen zijn regelmatig nog niet concreet bepaald. Terwijl het wettelijk verplicht is om afspraken over bewaartermijnen en dataopslag vast te leggen in verwerkingsovereenkomsten.” Om onderwijsinstellingen hierin verder te ondersteunen, werkt Xedule momenteel aan een praktische oplossing.
“Omdat we bezig zijn met een sectorbrede DPIA waarop onderwijsinstellingen kunnen leunen, moeten we een manier vinden om dit goed aan te pakken,” vertelt Walter. “Daarom hebben we een format ontwikkeld.”
Binnen dat format bepaalt Xedule als leverancier een dataset van informatie waarop bewaartermijnen van toepassing zijn. Vervolgens kunnen onderwijsinstellingen daar zelf de gewenste bewaartermijnen op instellen. “We verwachten dat dit format eind juni 2026 klaar is,” aldus Walter.
Met deze laatste stap hoopt Xedule ook de resterende risico’s rondom bewaartermijnen en dataopslag volledig te kunnen mitigeren.

Een waterdichte databescherming is de absolute randvoorwaarde om grote technologische sprongen te kunnen maken in het huidige onderwijslandschap. Ontdek de belangrijkste onderwijstrends voor 2025-2026 en de impact van de Europese AI Act.

Heb je na het lezen van dit artikel nog vragen?

arrow-blue-bottom_left

 

Neem dan gerust contact op met Walter.

Walter.vanHest@visma.com
+31613904335