Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Kritieke AI-gegevensbeheer kloof in het hoger onderwijs: Wat instellingen nu moeten doen
Kritieke AI-gegevensbeheer kloof in het hoger onderwijs: Wat instellingen nu moeten doen

Kritieke AI-gegevensbeheer kloof in het hoger onderwijs: Wat instellingen nu moeten doen

by Patrick Spencer updated januari 20, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 10 minutes

De cijfers vertellen een verontrustend verhaal. Vierennegentig procent van de medewerkers in het hoger onderwijs gebruikt nu AI-tools in hun dagelijkse werk, maar slechts 54 procent weet of hun instelling überhaupt beleid heeft dat dit gebruik regelt. Deze kloof, onthuld in nieuw onderzoek gepubliceerd op 13 januari 2026, vertegenwoordigt een van de meest significante governance-falen waar hogescholen en universiteiten vandaag de dag mee te maken hebben.

Belangrijkste bevindingen

  1. De kloof tussen beleid en praktijk is enorm. Vrijwel alle medewerkers in het hoger onderwijs (94%) gebruiken AI-tools voor hun werk, terwijl slechts 54% op de hoogte is van het AI-beleid van hun instelling. Deze kloof zorgt voor aanzienlijke risico’s op schendingen van de wet bescherming persoonsgegevens, beveiligingsincidenten en niet-naleving van regelgeving.
  2. Shadow AI brengt directe risico’s met zich mee. Meer dan de helft van de medewerkers in het hoger onderwijs (56%) gebruikt AI-tools die niet door hun instelling zijn geleverd. Gevoelige studentgegevens die via niet-goedgekeurde systemen van derden stromen, omzeilen institutionele beveiligingsmaatregelen en kunnen in strijd zijn met FERPA, COPPA en andere wettelijke vereisten.
  3. Bewustzijn bij het leiderschap is verrassend laag. Zelfs besluitvormers hebben weinig duidelijkheid over AI-governance: 38% van de directieleden, 43% van de managers en 30% van de cybersecurity-professionals zijn niet op de hoogte van het bestaande AI-beleid. Dit suggereert dat veel instellingen simpelweg geen formeel beleid hebben, in plaats van dat ze het bestaande beleid niet communiceren.
  4. Onderwijssector loopt achter op andere sectoren bij kritieke controles. De onderwijssector laat een achterstand van 19 punten zien op het gebied van privacy impact assessments vergeleken met wereldwijde benchmarks, waarbij slechts 6% van de instellingen systematische privacy-evaluaties uitvoert voor AI-systemen. Ook red-teaming en adversariële tests blijven achter met slechts 6% adoptie.
  5. Derde-partij EdTech vergroot de governance-complexiteit. Slechts 18% van de onderwijsinstellingen heeft AI-specifiek beleid voor leveranciers die studentgegevens verwerken. Door de explosieve groei van AI-gedreven EdTech-producten—van adaptieve leerplatforms tot geautomatiseerde proctoring—stromen studentgegevens door systemen met minimale institutionele controle.

De bevindingen zijn afkomstig uit een baanbrekende gezamenlijke studie van Educause, de National Association of College and University Business Officers (NACUBO), de College and University Professional Association for Human Resources (CUPA-HR) en de Association for Institutional Research (AIR). Onderzoekers ondervroegen bijna 2.000 medewerkers, bestuurders en docenten van meer dan 1.800 instellingen. Wat zij ontdekten, zou elke leider in het hoger onderwijs zorgen moeten baren: een kloof tussen beleid en praktijk die aanzienlijke risico’s creëert voor gegevensprivacy, beveiliging en institutionele naleving.

Kloof tussen AI-gebruik en AI-bewustzijn

De kloof tussen wat medewerkers doen en wat ze begrijpen over de verwachtingen van de instelling is enorm. Meer dan de helft van de respondenten gaf aan AI-tools te gebruiken die niet door hun instelling zijn geleverd voor werkgerelateerde taken. Dit betekent dat docenten communicatie opstellen met ChatGPT, medewerkers spreadsheets analyseren met AI-assistenten en bestuurders geautomatiseerde workflows uitvoeren via tools van derden—allemaal zonder institutioneel toezicht of gegevensbeheermaatregelen.

Misschien nog alarmerender is wat het onderzoek onthult over het bewustzijn bij het leiderschap. Achtendertig procent van de directieleden, 43 procent van de managers en directeuren, en 35 procent van de technologieprofessionals gaf aan niet op de hoogte te zijn van beleid dat hun AI-gebruik moet sturen. Zelfs 30 procent van de cybersecurity- en privacyprofessionals—de mensen die verantwoordelijk zijn voor het beschermen van institutionele data—zei niet te weten van het bestaan van AI-beleid.

Jenay Robert, senior onderzoeker bij Educause en auteur van het rapport, merkte op dat deze kloof “implicaties kan hebben voor zaken als gegevensprivacy en beveiliging en andere data governance-vraagstukken die de instelling en [haar] datagebruikers beschermen.” De observatie wijst op een fundamenteel probleem: veel instellingen hebben waarschijnlijk helemaal geen formeel beleid, in plaats van dat ze het bestaande beleid niet communiceren.

Waarom dit belangrijk is voor de bescherming van studentgegevens

Het hoger onderwijs verwerkt buitengewoon gevoelige informatie. Studentendossiers bevatten gegevens over academische prestaties, disciplinaire geschiedenis, informatie over studiefinanciering en gezondheidsinformatie. Onder FERPA dragen instellingen de wettelijke verantwoordelijkheid voor het beschermen van studentendossiers. Onder COPPA gelden strikte vereisten voor het verzamelen van gegevens van kinderen onder de 13 jaar—direct relevant voor instellingen die jongere doelgroepen of K-12-partnerschappen bedienen.

Een afzonderlijke analyse van Kiteworks naar AI data governance in diverse sectoren laat zien dat onderwijs wereldwijd achterloopt op benchmarks bij kritieke controles. De onderwijssector laat een achterstand van 19 punten zien bij privacy impact assessments, waarbij slechts 6 procent van de onderwijsinstellingen systematische privacy-evaluaties uitvoert voor AI-systemen, tegenover 25 procent wereldwijd. Dit is de op één na grootste capaciteitskloof die in het onderzoek werd vastgesteld over alle sectoren en meetpunten.

De gevolgen zijn direct: AI-systemen die studentprestaties analyseren, uitkomsten voorspellen en leerpaden personaliseren, werken direct met beschermde gegevenscategorieën. Wanneer 94 procent van de instellingen deze systemen inzet zonder systematische privacy-evaluatie, stromen studentgegevens door tools en processen die nooit formeel zijn beoordeeld op naleving of risico.

De realiteit van beperkte middelen voor instellingen

Begrijpen waarom deze kloof bestaat, vereist erkenning van de unieke beperkingen waar het hoger onderwijs mee te maken heeft. In tegenstelling tot de financiële sector of zorgporcessen met toegewijde compliance-teams, werken de meeste hogescholen en universiteiten met sterk beperkte IT- en beveiligingsmedewerkers. De analyse van Kiteworks liet zien dat nul procent van de onderwijsrespondenten aangaf dat het bestuur aandacht besteedt aan het tekort aan vaardigheden en personeelskwesties, tegenover 14 procent wereldwijd.

Dit is geen gebrek aan bewustzijn. Onderwijs toont sterke bestuurlijke aandacht voor algemeen cyberrisico met 65 procent—gelijk aan het hoogste percentage wereldwijd. Leiders begrijpen het belang. Maar de operationele mogelijkheden vertellen een ander verhaal. De sector weet wat er zou moeten gebeuren, maar mist de middelen om goede governance-raamwerken te implementeren.

Neem het paradoxale beeld bij bias- en eerlijkheidscontroles. Onderwijsinstellingen rapporteren 35 procent toepassing van bias- en eerlijkheidsaudits—6 punten hoger dan het wereldwijde gemiddelde. Toch blijven red-teaming en actieve bias-tests dramatisch achter met slechts 6 procent. Instellingen documenteren beleid zonder te testen of AI-systemen daadwerkelijk vooringenomen uitkomsten opleveren. Audits beoordelen documentatie; testen onthult gedrag in de praktijk.

Shadow AI: het onzichtbare risico

De bevindingen van Educause benadrukken een fenomeen dat IT-beveiligingsprofessionals in alle sectoren herkennen: shadow AI. Wanneer 56 procent van de medewerkers in het hoger onderwijs AI-tools gebruikt die niet door hun instelling zijn geleverd, stromen gevoelige gegevens door systemen die mogelijk informatie opslaan, trainen of delen op manieren die in strijd zijn met institutioneel beleid, wettelijke vereisten of contractuele verplichtingen.

Shadow AI creëert verschillende specifieke risico’s in de onderwijscontext. Ten eerste kunnen studentgegevens die in publieke AI-tools worden ingevoerd, worden gebruikt om modellen te trainen, waardoor beschermde informatie mogelijk wordt blootgesteld. Ten tweede kunnen docenten die AI gebruiken voor beoordeling of toetsing onbewust studentprivacy schenden. Ten derde kunnen bestuurders die processen automatiseren via tools van derden, exportpaden voor data creëren die institutionele beveiligingsmaatregelen omzeilen.

Uit het onderzoek bleek dat 92 procent van de instellingen een vorm van AI-strategie heeft, waaronder het testen van tools, het evalueren van kansen en risico’s, en het stimuleren van gebruik. Maar strategie zonder handhaving laat instellingen kwetsbaar achter. Wanneer bijna de helft van de medewerkers niet op de hoogte is van het bestaande beleid, bestaat de strategie alleen op papier.

Derde-partij EdTech vergroot de uitdaging

De sterke afhankelijkheid van het hoger onderwijs van externe EdTech-leveranciers vergroot de governance-complexiteit. De analyse van Kiteworks liet zien dat slechts 18 procent van de onderwijsinstellingen AI-specifiek beleid en attesteringsvereisten heeft voor leveranciers die studentgegevens verwerken—een achterstand van 15 punten ten opzichte van wereldwijde benchmarks.

De EdTech-markt is geëxplodeerd met AI-gedreven producten: adaptieve leerplatforms, geautomatiseerde essaybeoordelingssystemen, proctoringsoftware, monitors voor studentbetrokkenheid en vroegtijdige waarschuwingssystemen. Veel onderwijsinstellingen missen de technische expertise om het AI data governance-beleid van deze systemen te beoordelen. Zonder attesteringsvereisten accepteren instellingen de garanties van leveranciers zonder verificatie, waardoor de bescherming van studentgegevens grotendeels aan het beleid van EdTech-bedrijven wordt overgelaten.

Dit creëert aansprakelijkheidsrisico’s die veel instellingen mogelijk niet volledig overzien. Wanneer een AI-systeem van een leverancier vooringenomen uitkomsten oplevert of een datalek ervaart, blijft de instelling verantwoordelijk tegenover studenten, families en toezichthouders. Leverancierscontracten die geen afspraken maken over AI data governance laten instellingen risico’s dragen die ze niet hebben beoordeeld en niet kunnen beheersen.

Transparantie en vertrouwen staan op het spel

Onderwijs opereert binnen een web van verantwoordingsrelaties die uniek zijn ten opzichte van andere sectoren. Ouders verwachten te begrijpen hoe technologie het onderwijs van hun kinderen beïnvloedt. Schoolbesturen eisen uitleg die zij kunnen communiceren naar hun gemeenschap. Accreditatie-instanties vragen steeds vaker naar technologie-governance. Alumni, donateurs en wetgevers hebben allemaal belang bij het functioneren van de instelling.

De data van Kiteworks laten een transparantiekloof van 16 punten zien: slechts 24 procent van de onderwijsinstellingen voert transparantiepraktijken door, tegenover 40 procent wereldwijd. Documentatie over modeluitlegbaarheid blijft 14 punten achter op slechts 12 procent. Voor een sector die aan de gemeenschap verantwoording aflegt op manieren die commerciële organisaties niet kennen, ontstaan hierdoor kwetsbaarheden die technische beveiligingsmaatregelen alleen niet kunnen oplossen.

Wanneer AI-systemen invloed hebben op cursusplaatsingen, gedragsproblemen signaleren of leerpaden personaliseren, willen families weten hoe beslissingen worden genomen. Ouders accepteren educatieve AI die ze begrijpen. Ze zullen zich verzetten tegen—en mogelijk procederen tegen—AI die als een black box opereert en ingrijpende beslissingen neemt over hun kinderen.

Meten wat ertoe doet

Het onderzoek van Educause bracht nog een belangrijke kloof aan het licht: slechts 13 procent van de instellingen meet het rendement op investering voor werkgerelateerde AI-tools. Dit betekent dat de overgrote meerderheid van hogescholen en universiteiten AI inzet zonder systematisch te beoordelen of deze tools daadwerkelijk waarde opleveren.

De meetkloof is belangrijker dan alleen efficiëntie. Zonder data over de prestaties van AI-systemen kunnen instellingen niet vaststellen wanneer tools problematische uitkomsten opleveren, bias in geautomatiseerde beslissingen detecteren of verdere investeringen rechtvaardigen. Wanneer budgetbeperkingen tot moeilijke keuzes dwingen, worden AI-initiatieven zonder aangetoonde ROI kwetsbaar voor bezuinigingen—zelfs als ze daadwerkelijk waarde leveren die simpelweg niet werd gemeten.

Instellingen die de effectiviteit van AI kunnen aantonen, zijn beter in staat om weloverwogen beslissingen te nemen over uitbreiding, aanpassing of stopzetting. Instellingen die zonder metingen werken, nemen deze beslissingen op basis van anekdotes, politiek of de luidste stemmen in plaats van op bewijs.

Vijf acties die instellingen nu moeten nemen

Het onderzoek wijst op specifieke stappen die elke instelling moet prioriteren, ongeacht de beschikbare middelen.

Stel heldere AI-governance-raamwerken op. Dit vereist geen uitgebreide documentatie of commissiestructuren. Het vraagt om duidelijke uitspraken over welke AI-tools zijn goedgekeurd, welke data wel en niet via AI-systemen mogen worden verwerkt en wie verantwoordelijk is voor naleving. Zelfs een beleidsverklaring van twee pagina’s is beter dan het huidige vacuüm bij veel instellingen.

Breng Shadow AI-inzet in kaart. Instellingen kunnen niet sturen wat ze niet kennen. Vraag afdelingen welke AI-tools zij gebruiken. Identificeer datastromen via niet-officiële kanalen. Haal shadow AI naar boven zodat het kan worden beoordeeld en, indien passend, goedgekeurd met de juiste controles of stopgezet.

Implementeer dataclassificatieschema’s. Niet alle gegevens zijn even gevoelig. Burgerservicenummers van studenten vereisen andere bescherming dan informatie uit de studiegids. Dataclassificatie maakt proportionele controles mogelijk—grondige governance voor zeer gevoelige data, gestroomlijnde processen voor informatie met een lager risico.

Bied uitgebreide training aan. De kloof van 46 punten tussen AI-gebruik en beleidsbewustzijn is een communicatieprobleem, niet alleen een beleidsprobleem. Training moet docenten en medewerkers helpen begrijpen welke data in AI-tools mogen worden ingevoerd, hoe AI-uitvoer te beoordelen en wanneer zorgen moeten worden geëscaleerd. Deze training hoeft niet uitgebreid te zijn—korte, gerichte instructies werken vaak beter dan lange compliance-modules.

Ontwikkel EdTech-leveranciersvereisten. Instellingen hebben gezamenlijke inkoopkracht die ze zelden benutten. Ontwikkel standaard contracttaal over AI data governance, sluit je aan bij gezamenlijke inkoopprogramma’s met gedeelde verantwoordingsnormen en eis attesten voordat EdTech-producten die studentgegevens verwerken worden ingezet.

Vooruitblik: de inzet voor 2026 en daarna

Het rapport van Educause schetst een personeelsbestand dat tegelijkertijd enthousiast en voorzichtig is over AI. Drieëndertig procent van de respondenten omschreef zichzelf als “zeer enthousiast” of “enthousiast” over AI, terwijl 48 procent een mix van voorzichtigheid en enthousiasme rapporteerde. Slechts 17 procent gaf aan uitsluitend voorzichtig te zijn.

Deze gemengde houding weerspiegelt de juiste complexiteit. AI biedt reële mogelijkheden om administratieve lasten te verminderen, leerervaringen te personaliseren en de werking van instellingen te verbeteren. De risico’s zijn even reëel: schendingen van privacy, vooringenomen uitkomsten, beveiligingsincidenten en het verlies van menselijk toezicht bij belangrijke beslissingen.

De instellingen die zullen floreren, zijn degenen die enthousiasme kanaliseren via passend governance-beleid, in plaats van AI-gebruik volledig te onderdrukken. Medewerkers willen deze tools duidelijk gebruiken—86 procent zegt van plan te zijn AI te blijven gebruiken, ongeacht het huidige beleid. De vraag is of dat gebruik plaatsvindt binnen governance-raamwerken die studenten en instellingen beschermen, of daarbuiten.

Gevolgen van niets doen

Het hoger onderwijs heeft eerdere technologische transities met wisselend succes doorstaan. De overstap naar online leren tijdens de pandemie liet zien welke instellingen hadden geïnvesteerd in digitale infrastructuur en welke niet. De huidige kloof in AI data governance zal voor een vergelijkbare tweedeling zorgen.

Instellingen die heldere kaders opstellen, hun personeel trainen en passende controles implementeren, zullen in staat zijn de voordelen van AI te benutten en de risico’s te beheersen. Instellingen die de huidige kloof tussen beleid en praktijk laten voortbestaan, lopen risico op wettelijke sancties, reputatieschade en mogelijk schade aan de studenten die zij bedienen.

De analyse van Kiteworks gaf een scherpe beoordeling: Onderwijs gaat 2026 in “opgerekt tussen concurrerende realiteiten: het beheer van de meest gevoelige gegevens over de meest kwetsbare groep in de samenleving, met governance-mogelijkheden die onacceptabel zouden zijn in sectoren die veel minder belangrijke informatie verwerken.” De beperkingen qua middelen zijn reëel. De kloven zijn gedocumenteerd. De gevolgen komen terecht bij de studenten.

Onderwijs heeft zijn missie gebouwd rond het welzijn van studenten. Die missie doortrekken naar AI data governance is geen keuze—het is dezelfde toewijding toegepast op nieuwe technologie. Het onderzoek is duidelijk over waar de gaten zitten. De vraag is nu of instellingen deze zullen dichten.

Veelgestelde vragen

De AI-governancekloof verwijst naar de discrepantie tussen het wijdverbreide gebruik van AI-tools onder medewerkers in het hoger onderwijs en hun kennis van het beleid van de instelling hierover. Uit onderzoek blijkt dat 94% van de medewerkers AI-tools gebruikt, maar slechts 54% weet dat hun instelling AI-beleid heeft. Deze kloof creëert risico’s voor gegevensprivacy, beveiliging en naleving van regelgeving, omdat medewerkers onbewust FERPA, COPPA of andere vereiste kunnen overtreden bij het verwerken van studentinformatie met AI.

Instellingen in het hoger onderwijs verwerken buitengewoon gevoelige informatie over studenten, waaronder academische dossiers, details over studiefinanciering, gezondheidsinformatie en gedragsbeoordelingen. AI-systemen die studentprestaties analyseren, uitkomsten voorspellen of leerpaden personaliseren, werken direct met deze beschermde data. Zonder goed governance-beleid lopen instellingen risico op wettelijke overtredingen, datalekken, vooringenomen algoritmische beslissingen die studenten raken en verlies van vertrouwen bij ouders en gemeenschappen die transparantie verwachten over hoe technologie het onderwijs van hun kinderen beïnvloedt.

Shadow AI verwijst naar AI-tools die medewerkers gebruiken voor hun werk zonder goedkeuring of toezicht van de instelling. Uit het onderzoek van Educause blijkt dat 56% van de medewerkers in het hoger onderwijs AI-tools gebruikt die niet door hun instelling zijn geleverd. Dit is relevant omdat gevoelige studentgegevens die in publieke AI-tools worden ingevoerd, kunnen worden gebruikt om modellen te trainen, waardoor beschermde informatie mogelijk wordt blootgesteld. Shadow AI creëert ook exportpaden voor data die institutionele beveiligingsmaatregelen omzeilen en kan in strijd zijn met leverancierscontracten, accreditatie-eisen of federale regelgeving.

FERPA (Family Educational Rights and Privacy Act) verplicht onderwijsinstellingen om studentendossiers te beschermen tegen ongeoorloofde openbaarmaking. Wanneer AI-tools studentgegevens verwerken—of het nu gaat om hulp bij beoordeling, learning analytics of administratieve automatisering—moeten instellingen ervoor zorgen dat gegevensverwerking voldoet aan de FERPA-vereiste. Dit houdt in dat AI-leveranciers moeten kwalificeren als “school officials” onder FERPA, dat er passende gegevensverwerkingsovereenkomsten zijn en dat studentinformatie niet wordt bewaard of gebruikt door AI-systemen op manieren die de privacyrechten van studenten schenden.

Effectief AI data governance-beleid moet specificeren welke AI-tools zijn goedgekeurd voor gebruik binnen de instelling, welke categorieën data wel en niet via AI-systemen mogen worden verwerkt en wie verantwoordelijk is voor naleving. Het beleid moet zowel intern ingezette AI als externe EdTech-producten adresseren, dataclassificatie vereisen, transparantieverplichtingen richting studenten en families definiëren en trainingsvereisten voor docenten en medewerkers vastleggen. Zelfs een eenvoudig beleidsdocument van twee pagina’s biedt meer bescherming dan het beleidsvacuüm dat veel instellingen nu kennen.

Slechts 13% van de instellingen meet momenteel de ROI van AI-tools, waardoor de meeste instellingen geen bewijs hebben of deze investeringen waarde opleveren. Effectieve meting moet efficiëntiewinst in specifieke processen bijhouden, foutpercentages voor en na implementatie van AI, tevredenheid van gebruikers onder docenten en medewerkers, en eventuele impact op studentresultaten. Instellingen moeten ook monitoren op ongewenste gevolgen zoals bias in geautomatiseerde beslissingen, incidenten met gegevensprivacy en overtredingen van regelgeving. Zonder systematische meting kunnen instellingen geen weloverwogen beslissingen nemen over het voortzetten, uitbreiden of stopzetten van AI-initiatieven.

De belangrijkste risico’s zijn handhaving van regelgeving en juridische procedures als gevolg van AI-systemen die zijn ingezet zonder adequate privacy impact assessments, vooral systemen die gegevens van minderjarigen verwerken onder FERPA- en COPPA-bescherming. Andere risico’s zijn vooringenomen AI-uitkomsten in systemen voor studenten, zoals cursusaanbevelingen en vroegtijdige waarschuwingssystemen, verlies van vertrouwen bij ouders en de gemeenschap door gebrek aan transparantie over hoe AI studenten beïnvloedt, en beveiligingsincidenten via shadow AI-inzet die institutionele controles omzeilen. Instellingen die deze risico’s niet aanpakken, lopen kans op sancties, reputatieschade en, het belangrijkste, schade aan de studenten die zij bedienen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks