Sommige regels blijken pas lastig zodra je ze wilt naleven. De Algemene verordening gegevensbescherming (AVG) is daar een voorbeeld van. De wet is helder in haar bedoeling (bescherming van persoonsgegevens) maar in de praktijk worstelen veel organisaties met de vraag: wanneer ben je eigenlijk compliant?
De Kamer van Koophandel omschrijft het als een proces van bewustwording en borging. Niet één vinkje, maar een reeks maatregelen die samen aantonen dat je zorgvuldig met persoonsgegevens omgaat. Hieronder: vijf stappen die dat proces concreet maken.
In het kort
- AVG-compliance begint met inzicht – zonder een actueel verwerkingsregister (gegevens, doelen, bewaartermijnen, risico’s) is naleving vrijwel niet aantoonbaar.
- Toestemming is niet altijd de juiste grondslag – per gegevenscategorie moet een juridisch verdedigbare basis worden gekozen en vastgelegd.
- Privacy moet organisatorisch geborgd zijn – via beleid, rollen, processen, datalek-meldprocedures en indien nodig een FG.
- Beveiliging is zowel technisch als organisatorisch – encryptie, toegangsbeheer en 2FA zijn niets waard zonder afspraken, training en verwerkersovereenkomsten.
- Naleving is geen momentopname – periodieke controle, updates en herbeoordeling zijn essentieel; een statisch AVG-dossier is per definitie niet compliant.
1. Breng in kaart welke gegevens je verzamelt en waarom
AVG-compliance begint niet met een privacyverklaring, maar met inzicht. Welke persoonsgegevens verzamel je precies? Van wie? En met welk doel?
Een praktisch hulpmiddel is een verwerkingsregister: een overzicht waarin je per gegevensstroom noteert wat er wordt verzameld, hoe lang het wordt bewaard en met wie het eventueel wordt gedeeld. Denk aan:
- klantgegevens in je CRM
- nieuwsbriefabonnees in Mailchimp
- sollicitanten in een HR-systeem
- contactformulieren op de website
Cruciaal is dat je per gegevenscategorie concrete bewaartermijnen vastlegt. “Zo lang als nodig” is te vaag. Bepaal bijvoorbeeld: factuurgegevens 7 jaar (fiscale bewaarplicht), sollicitatiegegevens 4 weken na afwijzing, nieuwsbriefadressen tot uitschrijving. Deze termijnen documenteer je in het verwerkingsregister en zorg je dat gegevens daadwerkelijk worden verwijderd wanneer de termijn verloopt.
Dat register is niet alleen wettelijk verplicht voor veel organisaties (artikel 30 AVG), maar ook de basis voor elk gesprek met de Autoriteit Persoonsgegevens (AP) of een auditor. Het dwingt je bovendien na te denken over proportionaliteit: verzamel je niet meer dan nodig is?
Bij verwerkingen die waarschijnlijk een hoog risico voor betrokkenen opleveren, moet je een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een gestructureerde analyse waarin je beschrijft welke gegevens je verwerkt, welke risico’s dat oplevert en welke maatregelen je neemt om die risico’s te beperken.
Een DPIA is bijvoorbeeld verplicht bij:
- grootschalige camerabewaking
- verwerking van bijzondere persoonsgegevens (zoals medische of biometrische data)
- systematische monitoring of profilering met rechtsgevolgen
- gebruik van nieuwe technologieën zoals AI of gezichtsherkenning
De Autoriteit Persoonsgegevens biedt een lijst met verwerkingen waarvoor een DPIA verplicht is. In twijfelgevallen geldt: beter één te veel dan één te weinig.
2. Zorg voor een duidelijke grondslag
De AVG kent zes rechtsgronden voor gegevensverwerking. De bekendste is toestemming, maar die geldt niet overal. Een webshop mag klantgegevens bijvoorbeeld verwerken omdat dat “noodzakelijk is voor de uitvoering van een overeenkomst”, niet omdat iemand een vinkje zet.
De kunst is om per gegevenscategorie een passende grondslag te kiezen en te documenteren.
- Toestemming – bijvoorbeeld bij nieuwsbrieven.
- Overeenkomst – bij klantadministratie.
- Wettelijke plicht – bij loonadministratie.
- Gerechtvaardigd belang – bijvoorbeeld cameratoezicht of fraudepreventie.
Wie zijn grondslagen op orde heeft, voorkomt willekeur en beperkt risico’s bij klachten of datalekken.
3. Leg verantwoordelijkheid vast in beleid en processen
De AVG vraagt niet alleen om goede bedoelingen, maar om aantoonbare verantwoordelijkheid. Dat betekent dat privacy onderdeel moet zijn van je organisatie, niet van één persoon met “AVG” in zijn functietitel.
Een degelijk privacybeleid beschrijft onder meer:
- wie verantwoordelijk is voor naleving
- hoe verzoeken van betrokkenen worden afgehandeld
- hoe en wanneer datalekken worden gemeld
- hoe medewerkers worden getraind in dataveiligheid
- hoe en wanneer datalekken worden gemeld 1)
Voor grote organisaties is onder bepaalde voorwaarden2) het aanstellen van een functionaris voor gegevensbescherming (FG) verplicht, maar ook kleinere bedrijven kunnen baat hebben bij een aangewezen contactpersoon. Het maakt de lijn van verantwoordelijkheid helder en voorkomt dat naleving verdampt tussen afdelingen.
4. Beveilig je data technisch én organisatorisch
Zonder beveiliging geen privacy. De AVG schrijft voor dat persoonsgegevens adequaat beschermd moeten zijn tegen verlies, diefstal of ongeoorloofde toegang.
Essentieel daarbij is het principe van ‘privacy by design en by default’: privacy moet vanaf het ontwerp in systemen en processen worden ingebouwd, niet achteraf worden toegevoegd. Nieuwe software, werkprocessen of diensten moeten standaard zo worden ingericht dat alleen noodzakelijke persoonsgegevens worden verzameld en verwerkt. Denk aan standaardinstellingen die privacyvriendelijk zijn, zoals vooraf uitgevinkte nieuwsbriefvakjes of beperkte toegangsrechten voor nieuwe medewerkers.
Dat betekent in de praktijk:
- versleuteling van data (SSL/TLS, encryptie van opslagmedia)
- sterke wachtwoorden en tweefactorauthenticatie
- beperkte toegang voor medewerkers (need-to-know-principe)
- regelmatige updates van software en systemen
Organisatorische maatregelen zijn even belangrijk. Denk aan procedures voor het melden van datalekken, beleid voor het gebruik van privéapparatuur (BYOD) en afspraken met externe verwerkers.
Wie gebruikmaakt van clouddiensten of hostingpartners moet bovendien verwerkersovereenkomsten sluiten waarin beveiligingsafspraken zijn vastgelegd. Die overeenkomsten vormen een essentieel onderdeel van aantoonbare compliance.
Let extra op wanneer persoonsgegevens buiten de EU/EER worden verwerkt of opgeslagen. Veel cloudservices (zoals Amerikaanse platforms) vallen hieronder. Sinds het wegvallen van Privacy Shield in 2020 zijn er striktere eisen: je moet kunnen aantonen dat gegevens buiten Europa een vergelijkbaar beschermingsniveau krijgen. Dit doe je via standaard contractbepalingen (SCC’s), bindende bedrijfsregels of een adequaatheidsbesluit van de Europese Commissie. Controleer bij je leveranciers waar data fysiek wordt opgeslagen en welke waarborgen zijn getroffen.
5. Communiceer transparant en blijf toetsen
De AVG draait om vertrouwen. Mensen moeten weten wat je met hun gegevens doet en hoe ze daar invloed op kunnen uitoefenen. Een begrijpelijke privacyverklaring is daarom onmisbaar. Geen juridische muur van tekst, maar een leesbare uitleg van:
- welke gegevens je verzamelt
- waarom en hoe lang je die bewaart
- met wie je gegevens eventueel deelt
- welke rechten betrokkenen hebben
Die laatste zijn wettelijk verankerd en omvatten meer dan alleen inzage. Betrokkenen hebben recht op:
- Inzage: weten welke gegevens je over hen verwerkt
- Rectificatie: onjuiste gegevens laten corrigeren
- Verwijdering (‘recht op vergetelheid’): gegevens laten wissen onder bepaalde voorwaarden
- Beperking van verwerking: tijdelijk bevriezen van gegevensverwerking
- Dataportabiliteit: gegevens in een gangbaar formaat ontvangen om elders te gebruiken
- Bezwaar: protest tegen verwerking op basis van gerechtvaardigd belang of direct marketing
- Geen geautomatiseerde besluitvorming: niet onderworpen worden aan volledig geautomatiseerde beslissingen met rechtsgevolgen (zoals profilering)
Zorg dat duidelijk is hoe mensen deze rechten kunnen uitoefenen: via welk e-mailadres, binnen welke termijn (meestal één maand) en met welke verificatie. Een heldere procedure voorkomt frustratie en klachten bij de Autoriteit Persoonsgegevens.
Daarnaast is compliance nooit “klaar”. Technologie verandert, nieuwe tools worden geïntroduceerd, medewerkers wisselen. Plan daarom periodieke controles of audits. Controleer of alle verwerkersovereenkomsten actueel zijn, of er nieuwe gegevensstromen zijn ontstaan en of beveiligingsmaatregelen nog voldoen.
De waarde van consistentie
AVG-naleving is geen verplicht nummer voor juristen, maar een graadmeter voor professionaliteit. Een organisatie die weet wat zij met data doet, heeft overzicht, beheersing en minder risico.
Wie vandaag investeert in structurele privacyzorg, voorkomt morgen reputatieschade en juridische drukte. En misschien belangrijker: het dwingt helderheid af in de eigen bedrijfsvoering.
Samenvattend: de vijf stappen nog eens kort
- Inventariseer welke persoonsgegevens je verwerkt en waarom.
- Bepaal per gegevenscategorie de juiste grondslag.
- Leg vast wie verantwoordelijk is en hoe naleving is georganiseerd.
- Beveilig data technisch én organisatorisch, inclusief afspraken met verwerkers.
- Communiceer transparant en toets periodiek of alles nog op orde is.
Tot slot
De Autoriteit Persoonsgegevens heeft sinds 2018 duizenden meldingen ontvangen van datalekken en overtredingen. De meeste daarvan zijn het gevolg van slordigheid, niet van kwade wil.
AVG-compliance begint dus niet bij regels, maar bij houding. Wie gegevens behandelt met dezelfde zorg als zijn eigen reputatie, is al een eind op weg.
Toelichtingen
1) zodra een datalek wordt ontdekt dat waarschijnlijk risico oplevert voor betrokkenen, moet dit binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld. Bij een hoog risico moeten ook de betrokkenen zelf worden geïnformeerd. Zorg dat medewerkers weten hoe ze een datalek moeten herkennen en bij wie ze het moeten melden. Snelheid is essentieel: de klok tikt vanaf het moment dat je van het lek op de hoogte bent.
2) Een FG is verplicht bij:
1) overheidsinstanties
2) organisaties die grootschalige systematische monitoring uitvoeren
3) grootschalige verwerking van bijzondere/strafrechtelijke gegevens.
Grootte op zich is niet het criterium.