Welke compliance- en accreditatie-eisen gelden voor commerciële opleiders?

Het compliance-landschap voor commerciële opleiders

Compliance voor commerciële opleiders is geen één-aspect-vraag. Drie werelden komen samen, met deels overlappende eisen aan jouw administratie:

• Privacywetgeving (AVG/GDPR) — geldt voor iedereen die persoonsgegevens verwerkt. Voor opleiders is dat per definitie het geval: je verwerkt naam, geboortedatum, soms BSN, soms medische gegevens (BHV), soms diploma's.
• Kwaliteitskeurmerken — vrijwillig maar commercieel relevant: CRKBO voor BTW-vrijstelling op vakgerichte opleidingen, NRTO voor consumenten-vertrouwen, CEDEO voor B2B-aanbestedingen.
• Sector-specifieke accreditaties — verplicht zodra je trainingen geeft waarvoor de overheid of een branche-organisatie eisen stelt aan de inhoud of de geldigheid: BHV (NIBHV), VCA (SSVV), Code 95 voor chauffeurs (CCV), Wft voor financieel adviseurs.

De vraag is dus niet of er compliance-eisen voor jou gelden — die zijn er — maar welke combinatie van toepassing is en waar de software-kant binnenkomt.

AVG en privacy: wat moet je echt regelen?

De AVG is geen checklist met vinkjes; het is een principe-gedreven kader. Voor opleiders komt het neer op zes operationele beslissingen:

1. Grondslag voor verwerking. Bij open inschrijving werkt meestal "uitvoering van een overeenkomst" als grondslag — een deelnemer schrijft zich in, je voert de overeenkomst uit. Voor marketing (nieuwsbrief, herinnering aan hercertificering) heb je toestemming nodig, of een aantoonbaar gerechtvaardigd belang.

2. Bewaartermijnen. Hoe lang houd je een deelnemerdossier? Voor certificaten met juridische werking (VCA, Code 95) zijn er sectorale bewaartermijnen. Voor de rest geldt: zo kort als redelijk. Een dossier dat tien jaar later nog "voor het geval dat" rondzwerft, is een datalek-wachtend-te-gebeuren.

3. Dataminimalisatie. Verzamel je BSN-nummers omdat je ooit subsidie aanvroeg? Schrap het zodra het niet meer nodig is. Hetzelfde voor medische gegevens, identiteitsbewijzen, pasfoto's.

4. Toegang en rolverdeling. Wie mag welke data zien? Een trainer hoeft het BSN-nummer van zijn cursisten niet te kennen. Een opdrachtgever ziet zijn eigen medewerkers wel, maar niet die van een andere klant.

5. Verwerkers-overeenkomsten. Met elke leverancier die persoonsgegevens namens jou verwerkt — je opleidingsplatform, je boekhouder, je marketing-tool — heb je een verwerkersovereenkomst. Inclusief afspraken over sub-verwerkers, locatie van data en meldplicht bij incidenten.

6. Meldplicht datalekken. Een datalek meldt zich binnen 72 uur bij de Autoriteit Persoonsgegevens. Dat lijkt veel tijd; het is in de praktijk weinig, vooral als je niet wist dat er een datalek was. Audit trails maken het verschil tussen "we wisten het niet" en "we hebben het ontdekt".

Voor een dieper inzicht in de audit-trail-kant: Waarom AVG en audit trails onmisbaar zijn voor opleiders.

Kwaliteitskeurmerken: CRKBO, NRTO en CEDEO

Vrijwillig, maar commercieel relevant. Drie keurmerken die je tegenkomt:

CRKBO (BTW-vrijstelling)

Het Centraal Register Kort Beroepsonderwijs is bestuurd door CPION. Erkenning geeft recht op BTW-vrijstelling op vakgerichte opleidingen die korter dan een academisch jaar zijn. Voor commerciële opleiders met B2C-klanten of overheidsklanten is dit vaak een no-brainer: 21% prijsvoordeel of marge-ruimte. De audit kijkt naar kwaliteitsborging, didactische deskundigheid en organisatorische opzet. Eens per vier jaar herhaling.

NRTO-keurmerk (consumenten)

De Nederlandse Raad voor Training en Opleiding is een brancheorganisatie. Hun keurmerk wordt door consumenten herkend en is voorwaarde voor sommige subsidies. Audit door een onafhankelijke certificerende instelling (Hobéon SKO of CIIO). Eens per drie jaar.

CEDEO-erkenning (B2B)

Voor B2B-georiënteerde opleiders: een klanttevredenheid-gebaseerde erkenning waarbij CEDEO opdrachtgevers belt om kwaliteit te verifiëren. Veel zakelijke afnemers (HR-afdelingen) en aanbestedingen vragen dit. Tweejaarlijkse herhaling.

Een keurmerk is geen verplichting maar een marktpositioneringsbeslissing. Wat ze gemeen hebben: ze vragen dat je je proces kunt aantonen. Dat begint bij administratie die voldoet aan de eis "wie deed wat, wanneer, en waarom".

Sector-specifieke accreditaties

Zodra je trainingen levert waarvoor de overheid of een branche-organisatie eisen aan de inhoud stelt, kom je in een ander register terecht. De grote vier voor Nederlandse commerciële opleiders:

• BHV (NIBHV) — Bedrijfshulpverlening, jaarlijkse herhaling. Strakke eisen aan instructeurskwalificatie, lesstof en examinering.
• VCA (SSVV) — Veiligheid Checklist Aannemers, geldig 10 jaar. Examinering vindt plaats bij een onafhankelijk exameninstituut.
• Code 95 (CCV) — Verplichte nascholing voor beroepschauffeurs, 35 uur per 5 jaar. Trainingscentra moeten erkend zijn door CBR.
• Wft (CDFD) — Verplichte permanente educatie voor financieel adviseurs, jaarlijks gevalideerd.

De software-implicatie is bij alle vier hetzelfde: vervaldatum-bewaking is een fiduciaire verplichting. Wanneer een werkgever via jouw certificaten compliance aantoont, mag een vervaldatum niet door de mazen vallen. Een gemist hercertificeringssignaal kan een werkgever-aansprakelijkheid creëren, en jou als opleider in de claim trekken.

Hoe je dit operationeel oplost: Geldigheidsbewaking voor BHV, VCA en Code 95.

Audit trails: bewijs is belangrijker dan beleid

Iedere auditor — AVG, kwaliteitskeurmerk, sector-erkenning — vraagt eerst beleid en daarna bewijs. Beleid heeft iedereen op papier. Bewijs is waar het misgaat.

Een goed audit-trail-mechanisme legt automatisch vast:

• Wie — welke gebruiker (niet "het systeem") deed iets met deze data
• Wat — exact welke wijziging plaatsvond (oude waarde → nieuwe waarde)
• Wanneer — tot op de seconde, onverwijderbaar
• Vanuit welke context — namens welke rol (administrateur, trainer, opdrachtgever)

Zonder dit kan een audit niet positief aflopen. Mét dit wordt een audit een routinecheck. Het verschil voor de auditor is niet het beleid; het is of jij in 30 seconden kunt aantonen dat dit certificaat is uitgegeven door de juiste persoon op basis van de juiste examenuitslag.

Audit trails staan typisch los van je dagelijks gebruik. Je merkt ze pas wanneer ze ontbreken — bij een datalek-melding, een aansprakelijkheidsvraag, of een audit. Reden te meer om ze als infrastructuur in te richten, niet als afterthought.

Volgende stap

Compliance en software hangen samen zodra een opleider voorbij de Excel-fase groeit. Voor het bredere kader rond opleidersadministratie: pillar Opleidingsadministratie: van losse tools naar één werkend systeem. Voor de selectievraag wat een platform op compliance moet kunnen: pillar software voor opleiders. En voor het concrete probleem certificaat-vervaldatums: Geldigheidsbewaking voor BHV, VCA en Code 95.