Data Protection Impact Assessment (DPIA)
EduGPT - Pilotfase
Organisatie:
CivAI B.V. (EduGPT)
Versie:
1.0 PILOT
Datum:
30 augustus 2025
Status:
Definitief voor Pilot
Contact:
privacy@edugpt.nl
Managementsamenvatting
EduGPT biedt Europese onderwijsinstellingen een AVG-compliant alternatief voor ChatGPT tijdens een pilotfase van 3 maanden (oktober – december 2025). Het platform draait op Microsoft Azure binnen de EU en verwerkt alleen persoonsgegevens die noodzakelijk zijn voor het leveren van AI-diensten.
Belangrijkste kenmerken pilot
- Gebruikers: Maximaal 20 gebruikers per instelling (docenten, onderwijsondersteuners, onderzoekers)
- Locatie: Data blijft binnen de EU (Azure West-Europe)
- Training: Geen gebruik van data voor AI-training
- Logging: Volledige audit logging
- Kosten: Gratis tijdens pilot
Risicoklassificatie
| Risico Level | Beschrijving | Maatregelen |
|---|---|---|
| HOOG | Onbedoelde verwerking bijzondere persoonsgegevens | Technische en organisatorische maatregelen |
| GEMIDDELD | Mogelijke datalekken, AI-hallucinaties | Encryptie, training, disclaimers |
| LAAG | Ongeautoriseerde toegang door derden | Access control, MFA |
1. Beschrijving van de gegevensverwerking
1.1 Context en probleem
Meer dan 70% van docenten en studenten gebruikt ChatGPT of soortgelijke tools via privé-accounts voor studie- en werkdoeleinden. Dit creëert substantiële risico's:
- • AVG-overtredingen door dataverwerking buiten EU
- • Shadow IT via WhatsApp en privé-tools
- • Geen controle over onderwijsdata
- • Training van AI-modellen op gevoelige gegevens (bijv. leerlingverslagen)
1.2 EduGPT oplossing
EduGPT biedt tijdens de pilot een veilig alternatief dat:
- • Dezelfde ChatGPT-functionaliteit biedt
- • Data binnen EU houdt (Azure datacenter Europa)
- • Geen training uitvoert op gebruikersdata
- • Audit trails voor verantwoording biedt
- • Europese support levert
1.3 Pilot opzet
- Periode: oktober – december 2025 (3 maanden)
- Deelnemers: max. 10 onderwijsinstellingen
- Gebruikers: max. 20 per instelling
- Kosten: gratis
- Doel: valideren product-market fit en onderwijsbehoeften verzamelen
2. Persoonsgegevens
2.1 Overzicht persoonsgegevens
| Categorie betrokkenen | Type | Persoonsgegevens | Bron |
|---|---|---|---|
| Gebruikers (docenten, studenten, medewerkers) | Gewoon | Naam, emailadres, functie, instelling | Aanmelding door gebruiker |
| Gebruikers | Gewoon | IP-adres, browserinfo, timestamps | Systeem logging |
| Gebruikers | Gewoon | Prompts, chatgeschiedenis | Gebruikersinteractie |
| Derden (in documenten) | Onbekend | Potentieel alle categorieën, incl. bijzondere gegevens | Documenten geüpload door gebruikers |
2.2 Kritieke risico's
Waarschuwing: Gebruikers kunnen documenten uploaden met persoonsgegevens van leerlingen of studenten, zoals:
- • Medische gegevens (dyslexie, ADHD)
- • Studievoortgang, cijfers, begeleidingsverslagen
- • Gedrags- of zorginformatie
- • Financiële gegevens (studiefinanciering, betalingsachterstanden)
3. Verwerkingsactiviteiten
3.1 Overzicht verwerkingen
| Verwerking | Persoonsgegevens | Doel |
|---|---|---|
| Registratie | Naam, email, instelling | Account aanmaken |
| Authenticatie | Email, wachtwoord | Toegang verlenen |
| Opslag | Alle gebruikersdata | Service leveren |
| AI-processing | Prompts, documenten | Antwoorden genereren |
| Logging | Alle acties + metadata | Audit trail, security |
| Backup | Alle data | Continuïteit |
| Verwijdering | Alle data | Op verzoek gebruiker |
3.2 Uitgesloten verwerkingen
Geen verwerking voor:
- ❌ Marketing
- ❌ Productontwikkeling
- ❌ Verkoop aan derden
- ❌ Profiling
4. Betrokken partijen
| Partij | Rol | Functies | Toegang tot |
|---|---|---|---|
| CivAI B.V. (EduGPT) | Verwerker | Platformbeheer, support | Alle data (encrypted) |
| Microsoft Ireland | Sub-verwerker | Azure hosting | Encrypted data, geen keys |
| Onderwijsinstellingen | Verwerkingsverantwoordelijke | Bepalen gebruik | Data eigen gebruikers |
| Gebruikers | Betrokkene/invoerder | Gebruik platform | Eigen data |
5. Technische en organisatorische maatregelen
5.1 Verwerkingslocaties
- Primaire hosting: Azure West-Europe
- Backup: Azure paired region (België)
- Support: CivAI kantoor (Nederland)
- ❌ Geen doorgifte buiten EER
5.2 Technische specificaties
- AI-verwerking: Azure OpenAI Service (GPT-4)
- Security: TLS 1.3, AES-256 encryptie, bcrypt hashing, JWT sessies
- Geen gebruik van: profiling, automatische besluitvorming met rechtsgevolgen
6. Rechtsgronden
| Verwerking | Rechtsgrond (Art. 6 AVG) | Motivatie |
|---|---|---|
| Platformgebruik | 6.1.b (overeenkomst) | Dienstverlening |
| Onderwijsdata | 6.1.e (taak algemeen belang) | Onderwijsdoeleinden |
| Security logging | 6.1.f (gerechtvaardigd belang) | Beveiliging |
| Wettelijke bewaring | 6.1.c (wettelijke plicht) | Compliance |
7. Bewaartermijnen
| Gegevens | Bewaartermijn | Motivatie | Actie |
|---|---|---|---|
| Chatgeschiedenis | Zolang gebruiker wil | Gebruikerscontrole | Delete op commando |
| Geüploade documenten | Gekoppeld aan chat | Onderdeel gesprek | Met chat verwijderd |
| Accountgegevens | Actief + 6 maanden | Administratie | Automatisch verwijderd |
| Security logs | 12 maanden | Incident response | Automatisch rollover |
| Audit logs | 7 jaar | Onderwijsverantwoording | Archivering |
| Backup | 30 dagen rollend | Disaster recovery | Overschreven |
8. Rechten van betrokkenen
| Recht | Implementatie | Doorlooptijd |
|---|---|---|
| Inzage | Exportfunctie | 5 werkdagen |
| Rectificatie | Accountinstellingen | Direct |
| Verwijdering | Deletefunctie | 5 werkdagen |
| Portabiliteit | JSON/CSV export | 5 werkdagen |
| Bezwaar | Beoordeling privacy officer | 5 werkdagen |
9. Risicobeoordeling
9.1 Geïdentificeerde risico's
Datalek persoonsgegevens
HOOG
Hack/leak van leerling- of studentgegevens. Kans: Laag, Impact: Zeer hoog
Bijzondere gegevens
HOOG
Upload medische/zorgdata. Kans: Hoog, Impact: Hoog
AI-hallucinaties
GEMIDDELD
Onjuiste output in lescontext. Kans: Gemiddeld, Impact: Gemiddeld
Ongeautoriseerde toegang
GEMIDDELD
Accountcompromise. Kans: Laag, Impact: Hoog
Vendor lock-in
LAAG
Azure afhankelijkheid. Kans: Hoog, Impact: Laag
9.2 Risicobeheersing
| Risico | Technische maatregelen | Organisatorische maatregelen | Restrisico |
|---|---|---|---|
| Datalek | Encryptie, TLS, access control | Incident response, training | Laag |
| Bijzondere gegevens | Encryptie, audit logs | Waarschuwingen, onboarding | Gemiddeld |
| AI-hallucinaties | Model settings | Training, disclaimers in UI | Gemiddeld |
| Ongeautoriseerde toegang | MFA, session timeout | Awareness training | Laag |
| Vendor lock-in | Containerarchitectuur | Exit-strategie 2026 | Laag |
10. Bijzondere persoonsgegevens (Artikel 9 AVG)
10.1 Risico-identificatie
Hoog risico: Gebruikers kunnen bijzondere gegevens uploaden zoals:
- • Zorgdossiers
- • Medische verklaringen
- • Studiebegeleiding
10.2 Mitigatiemaatregelen
- Technisch: Encryptie van alle data
- Interface: Waarschuwingen in UI
- Training: Instructie docenten/onderzoekers
- Beleid: Geen inhoudelijke analyse door EduGPT
11. Doelbinding en evenredigheid
11.1 Toegestane doelen
✅ Alleen voor onderwijsgerelateerde AI-dienstverlening
11.2 Uitgesloten doelen
- ❌ Geen productontwikkeling met data
- ❌ Geen verkoop/delen met derden
- ❌ Geen marketing
11.3 Noodzaak en evenredigheid
- Noodzakelijkheid: Gebruik van AI is realiteit, veilig alternatief is enige optie
- Proportionaliteit: Minimale dataverzameling, gebruiker houdt controle
- Subsidiariteit: Verbieden werkt niet, commerciële tools zijn niet AVG-compliant
12. Aanbevelingen en implementatie
12.1 Aandachtspunten voor onderwijsinstellingen
- Verwerkersovereenkomst afsluiten
- Gebruikers instrueren over verantwoord gebruik
- Procedures datalekken en bewaartermijnen afstemmen
- Interne procedures aanpassen
12.2 Besluitvorming onderwijsinstelling
- Akkoord met deelname pilot
- Verwerkersovereenkomst getekend
- Gebruikers geïnstrueerd
- Interne procedures aangepast
13. Planning en mijlpalen
| Mijlpaal | Datum | Status |
|---|---|---|
| DPIA definitief | September 2025 | ✅ |
| Pilot start | Oktober 2025 | ⏳ |
| Tussentijdse evaluatie | November 2025 | ⏳ |
| Pilot evaluatie | December 2025 | ⏳ |
| Go/No-go productie | Januari 2026 | ⏳ |
14. Juridisch kader
- AVG/GDPR: Volledig van toepassing
- Onderwijswetgeving (WVO, WHW): Indirect relevant, instellingen blijven eindverantwoordelijk
- BIO 2.0: Baseline overheid/onderwijs, ontwerp conform, niet gecertificeerd
- EU AI Act: Voorbereid (laag risico)
Bijlagen
- Bijlage A: Technische specificaties (Azure Web Apps, PostgreSQL, OpenAI Service, Blob Storage, Key Vault)
- Bijlage B: Incident Response Plan
- Bijlage C: Verwerkersovereenkomst
- Bijlage D: Contactgegevens CivAI/EduGPT
Document goedkeuring
| Functie | Naam | Datum | Handtekening |
|---|---|---|---|
| Privacy Officer | |||
| CISO | |||
| Management |
Dit document is opgesteld conform de vereisten van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en bevat een grondige analyse van de privacy-impact van de EduGPT pilotfase.