In dit artikel leggen we uit welke GDPR-verplichtingen gelden voor e-learning, wat u concreet moet controleren bij uw LMS-leverancier, en hoe u als Belgische organisatie veilig kunt leren.
Welke persoonsgegevens verwerkt een LMS?
Een Learning Management System (LMS) is veel meer dan een cursusbibliotheek. Het registreert:
- Identiteitsgegevens: naam, e-mailadres, functie, afdeling
- Leergedrag: welke cursussen gevolgd, hoe lang, wanneer, hoe vaak
- Prestaties: toetsresultaten, slaagcijfers, behaalde certificaten
- Voortgang: welke modules afgewerkt, welke openstaand
- Technische data: IP-adres, browsertype, apparaat
Dit zijn zonder uitzondering persoonsgegevens in de zin van de AVG (Algemene Verordening Gegevensbescherming). U bent als organisatie de verwerkingsverantwoordelijke. Uw LMS-leverancier is de verwerker. En die relatie brengt verplichtingen mee.
Wat moet u verplicht regelen?
1. Verwerkersovereenkomst (DPA)
Elke Belgische organisatie die een LMS gebruikt, is wettelijk verplicht een verwerkersovereenkomst (Data Processing Agreement of DPA) te sluiten met de LMS-leverancier. Zonder DPA bent u niet compliant — punt.
Die overeenkomst moet beschrijven:
- Welke data verwerkt wordt
- Voor welk doel
- Hoe lang data bewaard wordt
- Welke beveiligingsmaatregelen de verwerker neemt
- Wat er bij een datalek gebeurt
Controleer of uw huidige LMS-leverancier een DPA aanbiedt. Veel internationale platforms doen dit enkel op aanvraag — of niet op een manier die AVG-conform is.
2. Gegevensoverdracht buiten de EU
Worden gegevens van uw lerende medewerkers opgeslagen op servers buiten de Europese Unie? Dit is een cruciaal GDPR-aandachtspunt.
Overdracht naar de VS is enkel toegestaan onder specifieke voorwaarden (Standard Contractual Clauses of adequaatheidsbesluit). Maar in de praktijk hanteren veel internationale LMS-providers geen of onvoldoende waarborgen.
Vraag uw leverancier expliciet: waar staan de servers?
3. Recht op inzage, correctie en verwijdering
Medewerkers hebben het recht om:
- Hun leerdata in te zien
- Foute gegevens te laten corrigeren
- Hun gegevens te laten verwijderen (binnen redelijke grenzen)
Uw LMS moet dit technisch mogelijk maken. Kunt u als beheerder op verzoek van een medewerker eenvoudig alle data verwijderen? Bij veel grote platforms is dit een handmatig en tijdrovend proces.
4. Bewaartermijnen
Hoe lang bewaart u leerdata? Voor compliance-trainingen (bv. veiligheid op het werk) kan langere bewaring vereist zijn. Voor andere data geldt: bewaar niet langer dan noodzakelijk.
Stel duidelijke bewaartermijnen in en zorg dat uw LMS automatische verwijdering ondersteunt — of dat u dit handmatig kunt beheren.
5. Sub-verwerkers
Uw LMS-leverancier maakt zelf gebruik van andere diensten (hosting, e-mail, analytics). Dit zijn sub-verwerkers. Ook zij moeten GDPR-conform zijn, en u moet op de hoogte zijn van wie ze zijn.
Een transparante leverancier publiceert zijn sub-verwerkers en informeert u bij wijzigingen.
De meest voorkomende GDPR-fouten bij e-learning
Fout 1: Een gratis of goedkoop internationaal platform gebruiken zonder DPA
Veel organisaties gebruiken gratis of goedkope Amerikaanse e-learning tools zonder na te gaan of er een GDPR-conforme DPA beschikbaar is. U bent als organisatie verantwoordelijk — ook als de leverancier nalatig is.
Fout 2: Ervan uitgaan dat "cloud" automatisch GDPR-conform is
"Cloud" zegt niets over compliance. Een server in de VS is een server in de VS, ongeacht de marketingtaal. Vraag altijd naar de exacte locatie van dataopslag.
Fout 3: Vergeten dat ook externe leerders in scope zijn
Geeft u toegang aan vrijwilligers, partners, externen of klanten? Dan verwerkt u ook hún persoonsgegevens. Uw GDPR-verplichtingen gelden voor alle lerenden, niet enkel vaste medewerkers.
Fout 4: Geen documentatie bijhouden
De AVG vereist dat u kunt aantonen dat u compliant bent (accountability-principe). Houd bij: welk LMS u gebruikt, welke DPA er is, welke categorieën data verwerkt worden, en wanneer u dit gecontroleerd heeft.
Checklist: GDPR-conformiteit van uw LMS
Gebruik deze checklist om uw huidig of toekomstig LMS te beoordelen:
- Is er een GDPR-conforme verwerkersovereenkomst (DPA)?
- Staan de servers in de EU (bij voorkeur België)?
- Worden persoonsgegevens enkel gebruikt voor de afgesproken doelen?
- Zijn sub-verwerkers bekend en GDPR-conform?
- Kunnen leerders hun recht op inzage en verwijdering uitoefenen?
- Zijn er bewaartermijnen ingesteld?
- Is er een procedure bij een datalek (meldplicht: 72 uur)?
- Zijn de verwerkingsactiviteiten gedocumenteerd in het verwerkingsregister?
Hoe StrideLMS dit aanpakt
StrideLMS is gebouwd met GDPR-compliance als startpunt, niet als afterthought:
- Hosting in België — geen data buiten de EU
- Verwerkersovereenkomst standaard inbegrepen — geen gedoe, geen extra aanvraag
- Sub-verwerkers transparant gedocumenteerd
- Gegevensbeheer via beheerderspanel — inzage en verwijdering eenvoudig mogelijk
- Belgische organisatie met kennis van de lokale regelgeving
Voor organisaties in de zorgsector, het onderwijs, de non-profitsector of de publieke sector — sectoren waar GDPR bijzonder kritisch is — biedt StrideLMS de zekerheid die u nodig heeft. Bekijk onze formules en wat inbegrepen is →
Conclusie
GDPR en e-learning zijn geen tegengestelden. Maar u moet bewuste keuzes maken: welk platform u kiest, waar data opgeslagen wordt, en welke afspraken u maakt met uw leverancier.
De vraag is niet óf u GDPR moet naleven bij e-learning. De vraag is: doet uw huidige platform dat?
Wilt u weten of StrideLMS de juiste keuze is voor uw organisatie? Plan een gratis gesprek — wij helpen u de juiste vragen te stellen.
StrideLMS is een volledig beheerd leerplatform voor Belgische organisaties. Vast maandelijks bedrag, onbeperkte gebruikers, GDPR-conform, hosting in België.
Lees ook: Compliance-training in België: verplichtingen voor werkgevers in 2026 | Waarom Belgische organisaties een beheerd LMS nodig hebben | Compliance-training: verplichte opleidingen bijhouden (2026) | Arbeidsdeal: hoe voldoet u aan de opleidingsverplichting?