Geen ruimte voor nattevingerwerk: Coöperatie Examens MBO maakt privacy en AI toetsbaar

Coöperatie Examens MBO heeft een bijzondere positie in het mbo. De organisatie werd zo’n vijf en een half jaar geleden opgericht om digitale instellingsexamens mogelijk te maken voor mbo-scholen. Inmiddels ondersteunt de coöperatie zo’n 120 bekostigde en niet-bekostigde scholen met digitale examenomgevingen en examenproducten. Dat betekent niet alleen dat de techniek altijd moet werken, maar ook dat de gegevensverwerking en beveiliging op orde moeten zijn.

“Wij zijn examenleverancier,” vertelt Richard Wilms, hoofd digitalisering en communicatie. “Dat betekent dat we verantwoordelijk zijn voor al die afnameomgevingen. Als de omgeving niet bereikbaar is, hebben studenten een probleem. Maar misschien nog belangrijker: als gegevens op straat komen te liggen, dan hebben we pas echt een uitdaging. Dan gaat het niet alleen om examengegevens, maar ook om studentgegevens.”

Die verantwoordelijkheid werd nog groter toen de coöperatie zich verder ontwikkelde. Naast rekenen kwam ook burgerschap erbij, en ook AI kan mogelijk een rol spelen in onderdelen van de beoordeling van rekenexamens. Daarmee ontstond een nieuwe vraag: hoe zorg je ervoor dat je juridisch, technisch en organisatorisch goed blijft handelen in een keten waarin scholen, platformleveranciers, subverwerkers en beoordelaars allemaal een rol spelen?

Een collectieve DPIA als logisch startpunt

De eerste stap kwam via een collectieve kans vanuit SURF en MBO Digitaal. Er was al een verwerkersovereenkomst met scholen, maar de vraag was of alles ook echt optimaal was ingericht. “We kregen de kans om in collectief verband een DPIA te laten uitvoeren,” zegt Richard. “Daarmee konden we scherper krijgen: waar zitten de aandachtspunten, wat doen we goed en waar kunnen we verbeteren?”

Die pilot kwam terecht bij ICTRecht. “Voor ons was dat een mooie ingang,” vertelt Richard. “De samenwerking verliep vanaf het begin prettig. Er was veel juridische kennis aanwezig, maar nauwelijks voorkennis van het hele examineringsproces. Toch hadden ze na uitleg verrassend snel begrip voor wat wij doen, waar de gevoeligheden zitten en hoe onze keten werkt. Dat vond ik echt heel waardevol.”

De eerste DPIA werd begin 2025 afgerond. Daar bleef het niet bij. In de tussentijd werkte de coöperatie verder aan AI in het beoordelingsproces van rekenexamens. Dat vroeg om een actualisatie. “We hebben toen zelf gezegd: laten we de DPIA updaten voor het stuk AI,” vertelt Richard. “En toen kwam ook de vraag op of we een FRIA moesten doen.”

Niet verplicht, wel verstandig

Formeel bleek een FRIA niet verplicht. Toch koos de coöperatie ervoor om die analyse vrijwillig te laten uitvoeren. Richard hoefde daar niet lang over na te denken. “Wij maken examens voor ongeveer vijfhonderdduizend mbo-studenten. Dan vind ik de schaal en de impact zo groot dat je het gewoon goed moet willen doen. Niet omdat het moet, maar omdat het hoort.”

De combinatie van de geactualiseerde DPIA en de vrijwillige FRIA leverde een compleet beeld op van de verwerking van gegevens, de rol van AI, de technische en organisatorische inrichting en de risico’s die daarbij horen. “Met de FRIA hebben we echt gekeken: komt AI niet in de buurt van fundamentele rechten van studenten? Komt er nergens iets in de knel? En op zowel de DPIA als de FRIA kregen we eigenlijk een hele dikke voldoende. De aandachtspunten hebben we vertaald naar een actieplan.”

Procesbeschrijvingen fileren

Een belangrijk deel van het traject zat in het scherp krijgen van processen. Richard noemt dat zelf bijna het belangrijkste onderdeel van de hele exercitie. “Je moet heel precies uitleggen wat wij doen als examenleverancier. Wie heeft toegang tot welke gegevens? Welke gegevens verwerken we wel en welke niet? Welke partij doet wat? Daar moesten we echt doorheen fileren.”

Dat bleek complexer dan het op papier misschien lijkt. De coöperatie is examenleverancier, maar werkt met een digitaal platform van een derde partij. Daarnaast is er een aparte module met menselijke beoordelaars, waarvoor weer een subverwerker in beeld komt. “Dan moet je dus goed uit elkaar trekken wat ons stukje is, wat het platform doet, wat de subverwerker doet en waar de verantwoordelijkheid van de instelling zelf ligt,” zegt Richard. “Dat zijn precies de momenten waarop het fijn is dat iemand je een juridische spiegel voorhoudt.”

Minder gegevens, scherpere keuzes

Een van de concrete uitkomsten was dat de organisatie op bepaalde punten soberder moest worden in het verwerken van gegevens. “We moesten echt kijken: wat is noodzakelijk, wat is wenselijk en wat is overbodig?” vertelt Richard. “En dan kom je ook in grijze gebieden. Sommige informatie voelt handig, maar de vraag is of je die ook echt nodig hebt.”

Hij noemt het voorbeeld van studenten die recht hebben op extra tijd. In het systeem moet iets worden vastgelegd, zodat de examenomgeving het juiste aantal minuten toekent. Tegelijkertijd wil je geen medische termen of herleidbare informatie opslaan die je eigenlijk niet nodig hebt. “Daar zaten dilemma’s,” zegt Richard. “ICTRecht gaf de kaders: dit zijn de juridische grenzen. Vervolgens moesten wij zelf de afweging maken: accepteren we dit risico, of richten we het proces anders in zodat we niet in de buurt van dat dilemma komen?”

Dat leidde tot aanscherpingen in systemen, documentatie en werkwijzen. Ook de verwerkersovereenkomst werd aangepast en opnieuw gedeeld met de aangesloten scholen. Het overgrote deel is daar inmiddels mee akkoord gegaan.

AI in een hokje zonder deurtje

Bijzonder in deze case is dat de samenwerking zich niet beperkte tot traditionele privacyvraagstukken. Ook de inzet van AI werd juridisch en praktisch tegen het licht gehouden. “Ik snap eerlijk gezegd die hele reflex niet van sommige mensen die AI meteen willen verbieden,” zegt Richard. “Het is al zo groot en breedverspreid dat je het juist moet omarmen, maar wél onder hele duidelijke voorwaarden.”

Binnen de coöperatie is voor nu bewust gekozen voor een beperkte inzet van AI. “Wij hebben AI eigenlijk in een hokje gestopt, in een kubus zonder deurtje,” zegt Richard lachend. “Daarbinnen mag het precies doen wat wij hebben toegestaan. Het mag niet het internet op, niet zelf creatief worden, niet hallucineren. En het uiteindelijke cijfer mag nooit door AI worden vastgesteld. Dat is ook gewoon geborgd.”

Die keuzes sluiten direct aan op de analyses van ICTRecht. Niet alleen op het vlak van privacy en grondrechten, maar ook op het vlak van governance en verantwoordelijkheid. “Je wilt voorkomen dat AI de overhand krijgt. Dus je maakt hele strakke afspraken over wat het systeem wel en niet mag doen en wie eindverantwoordelijk is.”

Meer zekerheid, minder nattevingerwerk

Voor Richard zit de grootste meerwaarde niet alleen in documenten, maar in de combinatie van juridische onderbouwing en praktische toepasbaarheid. “Ze konden ons steeds het juridisch kader meegeven en tegelijk die spiegel voorhouden,” zegt hij. “Is dit juridisch onhaalbaar? Moeten we aanpassen? Of is dit een risico dat acceptabel is? Dat sparren was gewoon heel sterk.”

Ook buiten de projecten zelf bleef het contact levend. Richard bezocht webinars en fysieke bijeenkomsten van ICTRecht over thema’s als NIS2, DPIA’s en privacy. “Die fysieke bijeenkomsten vond ik heel prettig,” zegt hij. “In de pauzes en na afloop hoor je hoe andere organisaties ermee omgaan. Daar leer je minstens zoveel van als van de presentatie zelf.”

De basis is nu gelegd, en dat maakt het vervolg anders dan in de beginfase. “We zijn ooit vrij blanco gestart,” zegt Richard. “Toen hebben we snel een eerste verwerkersovereenkomst gemaakt op basis van de kennis van dat moment. Nu hebben we iets geactualiseerds staan en is het vooral de kunst om dat bij te houden. Dat is een heel andere situatie dan vanaf nul moeten beginnen.”

Onze ervaring

Pelçim Kaygusuz, Senior Legal Counsel en Sectiecoördinator AI bij ICTRecht: “Wat deze samenwerking bijzonder maakt, is de schaal en de maatschappelijke impact. Het gaat om examens voor een heel groot deel van het mbo, en dus om processen die je niet alleen juridisch goed moet neerzetten, maar ook werkbaar moet houden in de praktijk. Richard en zijn collega’s nemen gegevensbescherming en AI echt serieus. Dat merk je aan de bereidheid om verder te kijken dan alleen wat verplicht is en juist ook te investeren in zorgvuldigheid.”

Zorgvuldigheid als uitgangspunt

Voor Coöperatie Examens MBO draait deze samenwerking uiteindelijk om meer dan juridische compliance. Het gaat om vertrouwen. Vertrouwen van scholen, vertrouwen van studenten en vertrouwen in een examenproces dat digitaal, schaalbaar en veilig moet zijn.

“Je wilt gewoon zekerheid aan alle kanten,” zegt Richard. “Niet alleen voor onszelf, maar voor iedereen in de keten. Als wij dit goed doen, verkleinen we het risico op datalekken, op oneigenlijk gebruik van gegevens en op fouten in processen. En dat is precies wat je wilt als je voor zoveel studenten werkt.”