Digitalisering van processen neemt toe, zo ook in het onderwijs. Van adaptieve leerplatforms tot digitale toetsen en leerlingvolgsystemen: onderwijsinstellingen maken op grote schaal gebruik van technologie. Deze ontwikkeling biedt enerzijds veel mogelijkheden, maar brengt anderzijds de nodige verplichtingen met zich mee. Een van die verplichtingen is het kunnen garanderen van de veilige inzet van digitale leermiddelen. Daarnaast zijn onderwijsinstellingen verantwoordelijk voor de rechtmatigheid van de gegevensverwerkingen op grond van de Algemene verordening gegevensbescherming (AVG). Hoe ga je als onderwijsinstelling om met het moeras van digitale leermiddelen? In dit blog staan we stil bij de inkoop van digitale leermiddelen. Het blog bespreekt belangrijke aandachtspunten en hoe onderwijsinstellingen deze kunnen toepassen tijdens en voorafgaand aan het inkoopproces. Tot slot belicht dit blog het IBP-normenkader en hoe dit kader als vertrekpunt dient voor de inkoop van elk digitaal leermiddel.
Wat zijn digitale leermiddelen?
Digitale leermiddelen omvatten een breed scala aan digitale toepassingen die onderwijsinstellingen inzetten ter ondersteuning van het leerproces. Deze middelen bestaan niet alleen uit digitale lesmethodes of online leeromgevingen, maar ook uit educatieve apps, digitale toetsen, leerlingvolgsystemen en platforms die adaptief leren mogelijk maken. Deze toepassingen faciliteren gepersonaliseerd onderwijs, doordat zij leerprestaties analyseren en de lesstof daarop aanpassen.
Het gebruik van deze toepassingen brengt meestal met zich mee dat onderwijsinstellingen persoonsgegevens van leerlingen en studenten verwerken. Zij verwerken bijvoorbeeld basisgegevens zoals namen en inloggegevens, maar ook meer gevoelige informatie zoals leerprestaties, gedragsgegevens en voortgangsanalyses. In sommige gevallen passen zij zelfs profilering of geautomatiseerde besluitvorming toe. Door deze, vaak intensieve en soms grootschalige, gegevensverwerkingen moeten onderwijsinstellingen zich bewust zijn van de privacyrechtelijke implicaties van digitale leermiddelen en de verplichtingen die de AVG daaraan stelt.
Rolverdeling partijen
Een belangrijk startpunt bij de inkoop van digitale leermiddelen is het bepalen van de rol van de leverancier op basis van de AVG. Is de leverancier puur verwerker, of ook verwerkingsverantwoordelijke? Je stelt dit vast door te beoordelen of de leverancier alleen in opdracht handelt, of ook eigen beslissingen neemt over het gebruik van persoonsgegevens. Handelt de leverancier puur in opdracht van de onderwijsinstelling? Dan sluit je met de leverancier een verwerkersovereenkomst. Blijkt dat de leverancier ook de doeleinden van de verwerkingen bepaalt en hoe zij de leermiddelen inzetten? Dan past een samenwerkingsovereenkomst of (data)delingsovereenkomst.
Daarnaast is het belangrijk om in kaart te brengen hoe je als onderwijsinstelling met persoonsgegevens omgaat. Je bepaalt en legt vervolgens vast welke persoonsgegevens je precies gebruikt, waarom je deze gegevens nodig hebt en of je hetzelfde doel ook met minder gegevens kunt bereiken. Ook controleer je of de gegevens binnen Europa blijven of dat je ze doorgeeft aan partijen buiten Europa.
Tot slot beoordeel je of de inzet van het digitale leermiddel extra privacyrisico’s met zich meebrengt. Dit speelt bijvoorbeeld wanneer je grote hoeveelheden leerlinggegevens verwerkt of het gedrag van leerlingen volgt. In zulke gevallen voer je vooraf een grondige risicoanalyse (een Data Protection Impact Assessment, ofwel DPIA) uit.
Contractuele afspraken met leveranciers
Een ander belangrijk aandachtspunt is de contractuele inrichting van digitale leermiddelen. Als de leverancier optreedt als verwerker, sluit je een verwerkersovereenkomst. Hierin staan afspreken over onder meer beveiliging, subverwerkers, audits en datalekken. Wanneer de leverancier (mede) als verwerkingsverantwoordelijke optreedt, sluiten partijen doorgaans een samenwerkingsovereenkomst of (data)delingsovereenkomst in plaats van een verwerkersovereenkomst. Daarnaast zijn overeenkomsten die zien op de dienstverlening, zoals een licentieovereenkomst, contractuele afspraken over intellectueel eigendom of een ‘service level agreement’ noodzakelijk.
Om dit punt te benadrukken, deed de Autoriteit Persoonsgegevens onlangs een oproep aan scholen en schoolbesturen om duidelijke afspraken te maken met leveranciers bij de inkoop van digitale leermiddelen, met name over het gebruik van gegevens voor eigen doeleinden, zoals profilering of productverbetering. Open normen of vage bepalingen zijn daarbij onvoldoende.
Beoordeel de beveiliging van het digitale leermiddel
Onderwijsinstellingen dragen als verwerkingsverantwoordelijke de verantwoordelijkheid voor een passend beveiligingsniveau van digitale leermiddelen. Beoordeel daarom altijd of leveranciers hun beveiliging op orde hebben. Vraag bij de inkoop naar relevante certificeringen, uitgevoerde audits en het informatiebeveiligingsbeleid van de leverancier.
Daarnaast brengen onderwijsinstellingen in kaart waar gegevens worden opgeslagen en welke andere partijen toegang hebben tot deze gegevens. Ook maak je als onderwijsinstelling afspraken met de leverancier over de beschikbaarheid en controle over data. Zo zorg je ervoor dat je als onderwijsinstelling gegevens kunt terugkrijgen in een bruikbaar formaat of laten verwijderen wanneer de dienstverlening eindigt. Hiermee voorkom je onnodige afhankelijkheid van één leverancier.
Toegankelijkheid digitale leermiddelen
Op basis van de European Accessibility Act moeten digitale leermiddelen toegankelijk zijn voor leerlingen met een beperking. Beoordeel daarom bij de inkoop of leermiddelen voldoen aan toegankelijkheidsstandaarden en of alternatieve voorzieningen beschikbaar zijn. Maak daarnaast heldere afspraken over beschikbaarheid en support. Betrek vanaf het begin zowel docenten, ICT als de Functionaris Gegevensbescherming, en test een nieuw leermiddel eerst op kleine schaal voordat je het organisatiebreed uitrolt. Zo zorg je er als onderwijsinstelling voor dat een digitaal leermiddel niet alleen goed werkt in de les, maar ook veilig, rechtmatig en beheersbaar blijft.
Informeer, informeer, informeer!
Een van de pijlers van gegevensbescherming, vooral in het kader van verwerkingen bij digitale leermiddelen, is transparantie en de informatieplicht naar betrokkenen toe.
Informeer daarom leerlingen, hun ouders of wettelijk vertegenwoordigers altijd over welke persoonsgegevens worden verwerkt met het digitale leermiddel, voor welke doeleinden dit gebeurt en welke rechten zij ten opzichte van deze verwerkingen hebben. Dit kan via privacyverklaringen, leerportalen of specifieke communicatie bij de introductie van nieuwe digitale leermiddelen.
Het IBP-normenkader in het onderwijs
Tot slot biedt het IBP-normenkader (Informatiebeveiliging en Privacy) onderwijsinstellingen praktische handvatten voor het inrichten van privacy- en informatiebeveiligingsbeleid. Het normenkader helpt onderwijsinstellingen bij het identificeren van risico’s, het implementeren van passende maatregelen en daarmee aan te kunnen tonen te voldoen aan de wet. Het IBP-normenkader probeert daarmee een uniform en volwassen niveau van gegevensbescherming binnen het onderwijs te realiseren. Wij publiceerden onlangs een factsheet om onderwijsinstellingen en organisaties op weg te helpen met het kader.
Wil je meer weten over de toepassing van het IBP-normenkader? Lees dan dit blog.
Conclusie
De inkoop van digitale leermiddelen vraagt om een integrale benadering waarin privacy, beveiliging, toegankelijkheid en transparantie centraal staan. Onderwijsinstellingen moeten zorgvuldig bepalen welke gegevens de digitale leermiddelen verwerken, op basis van welke grondslag en met welke waarborgen. Maak heldere contractuele afspraken met leveranciers, wees kritisch in de beoordeling van beveiligingsmaatregelen en houd daarbij aandacht voor de toegankelijkheid van digitale leermiddelen. Vergeet tot slot vooral niet om betrokkenen voorafgaand aan de inzet van digitale leermiddelen te informeren over de verwerking van hun gegevens. Het IBP-normenkader biedt hierbij een waardevol kader om deze verplichtingen structureel en aantoonbaar te borgen.
In samenwerking met het IBP-platform organiseren wij op dinsdag 2 juni 2026 een evenement voor onderwijsinstellingen, ‘IBP in het funderend onderwijs’. Tijdens dit evenement bespreekt het IBP-platform de bestuurlijke en praktische vereisten en hoe je dat vertaalt naar een haalbaar plan. Wil je deelnemen aan dit evenement? Schrijf je dan in!
