DPIA op Ans Exam: kan worden gebruikt mits maatregelen worden doorgevoerd

December 16, 2025

Samen met SURF heeft Privacy Company een uitgebreide Data Protection Impact Assessment (DPIA) uitgevoerd op het SaaS-beoordelingsplatform en de API van Ans Exam B.V. Ans Exam wordt ingezet door meer dan twintig Nederlandse onderwijsinstellingen voor het ontwikkelen, afnemen en beoordelen van examens in diverse formats, waaronder peer-reviewed en groeps- en papieren beoordelingen. Op basis van de huidige bevindingen luidt de voorlopige aanbeveling dat Ans Exam gebruikt kan blijven worden, mits de afgesproken verbetermaatregelen volledig worden doorgevoerd.

Uitkomsten van de DPIA

In totaal zijn 17 risico’s geïdentificeerd:

• 13 hoge risico’s

• 3 gemiddelde risico’s

• 1 laag risico

De belangrijkste aandachtspunten betreffen:

• Onvolledige beschrijving van verwerkingsactiviteiten in de Verwerkingsovereenkomst (DPA)

• Onduidelijkheid over de rolverdeling tussen de betrokken partijen

• Onvoldoende transparantie over subverwerkers, cookiemeldingen en onderdelen van de gebruikersinterface.

Aanvullende risico’s hangen samen met het gebruik van e-mailtracking, applicatielogging, bewaartermijnen en de mogelijkheid om effectief te reageren op verzoeken van betrokkenen.

Concrete verbetermaatregelen

De bevindingen zijn zorgvuldig besproken met Ans Exam en vertaald naar concrete maatregelen. Tijdens het DPIA-proces heeft Ans Exam duidelijk laten zien dat het sterk gemotiveerd is om de geïdentificeerde risico’s aan te pakken en is het proactief begonnen met het implementeren van de aanbevolen maatregelen. Hierdoor zijn al vóór afronding van de DPIA een groot aantal risico’s succesvol ziijn gemitigeerd.

Ans Exam heeft toegezegd om:

• de beschrijving van de gegevensverwerking in bijlage 1 van de verwerkersovereenkomst te actualiseren. Hiermee zijn alle verwerkingsactiviteiten inzichtelijk. De aangepaste bijlage is relevant voor alle bestaande en toekomstige overeenkomsten met klanten.

• de verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker te beschrijven in zowel de privacyverklaring als de verwerkersovereenkomst.

• informatie over subverwerkers aan te vullen en te corrigeren.

• meldingen over e-mailtracking uit te schakelen.

• het cookiebeleid te actualiseren.

• aanvullende technische en organisatorische beveiligingsmaatregelen te implementeren die tijdens de DPIA zijn afgesproken.

Follow-up

Ans Exam heeft zich gecommitteerd om alle resterende geïdentificeerde risico’s te mitigeren in de periode Q1–Q3 van 2026. Wij zullen samen met SURF de implementatie van de afgesproken maatregelen door de leverancier verifiëren en gedurende 2026 updates van de DPIA publiceren.

Daarnaast werken wij samen met SURF verder aan een verbeterde versie van Bijlage 1 van de DPA voor de instellingen. Zo luidt het advies aan de instellingen om een geactualiseerde DPA af te sluiten, zodat zij kunnen profiteren van verbeterde privacybepalingen en functionaliteiten.

Ook wordt aanbevolen om:

• een single sign-on (SSO) te verplichten bij gebruik van Ans Exam;

• een dedicated domein te gebruiken.

Deze maatregelen versterken de algehele privacy- en beveiligingspositie van het platform.

‍

Privacy Company publiceert deze blog over de bevindingen met toestemming van SURF. Zie het persbericht en de volledige DPIA op de website van SURF.

Download

—

Sanne

Adviseur