Dienst

AVG op orde

Aantoonbaar geregeld — praktisch en zonder onnodige ballast.

AVG op orde, zonder onnodige ballast

Veel organisaties weten dat ze "iets met de AVG moeten", maar missen overzicht. Wat is verplicht? Wat is verstandig? En hoe laat je zien dat je het op orde hebt? Wij helpen organisaties om privacy niet groter te maken dan nodig, maar wél aantoonbaar goed te regelen.

Wanneer is je AVG niet op orde?

  • Er is geen (actueel) register van verwerkingen
  • Verwerkersovereenkomsten zijn onvolledig of verouderd
  • Beleidsstukken bestaan, maar leven niet in de organisatie
  • Medewerkers weten niet wat te doen bij een datalek
  • Nieuwe systemen of AI-tools worden ingevoerd zonder privacy-afweging

Herkenbaar? Dan is de kans groot dat je organisatie risico loopt, ook als er nog nooit een incident is geweest.

AVG op orde

Wat hoort minimaal bij een AVG-basis op orde?

Register van verwerkingen

Overzicht van alle gegevensverwerkingen, doelen, grondslagen en bewaartermijnen.

  • Register van verwerkingen opzetten of opschonen

Verwerkersovereenkomsten & data-uitwisseling

Contractueel vastleggen wie wat doet, inclusief bewaartermijnen en beveiliging.

  • Verwerkersovereenkomst laten controleren (incl. bewaartermijnen)

Privacybeleid & werkinstructies

Geen juridische teksten, maar afspraken die aansluiten bij hoe mensen werken.

Datalekken & rechten van betrokkenen

Een werkbaar proces voor meldingen, verzoeken en toezicht.

Zo helpen wij je met AVG

  • Nulmeting / quickscan – waar sta je nu?
  • Prioriteren – wat móet, wat kan later?
  • Samen uitvoeren – geen overdracht, maar meewerken
  • Aantoonbaar maken – klaar voor vragen van klanten of toezichthouder

Voor wie?

  • MKB & zakelijke dienstverlening
  • Zorgorganisaties
  • Onderwijs & publieke sector

FAQ

Veelgestelde vragen

Wanneer is een register van verwerkingen verplicht?

Vrijwel altijd zodra je als organisatie structureel persoonsgegevens verwerkt (denk: klanten, leerlingen, patiënten, personeel, leveranciers). In de praktijk is een register één van de eerste dingen waar je op wordt bevraagd, omdat het laat zien dat je grip hebt op wat je verwerkt, waarom en hoe lang.

Moeten we altijd toestemming vragen om gegevens te verwerken?

Nee. Toestemming is maar één van de grondslagen en vaak juist de minst handige, omdat mensen die toestemming ook weer mogen intrekken. In veel situaties verwerk je gegevens op basis van uitvoering van een overeenkomst, een wettelijke verplichting of een gerechtvaardigd belang. De kunst is dat je dit per verwerking netjes onderbouwt en vastlegt.

Wanneer is een DPIA verplicht?

Een DPIA is nodig als een verwerking waarschijnlijk een hoog privacy-risico oplevert voor mensen. Dat speelt vaak bij:

  • nieuwe systemen of grote wijzigingen;
  • grootschalige verwerking van bijzondere gegevens (zoals gezondheidsgegevens);
  • structurele monitoring of profilering;
  • AI-toepassingen of koppelingen tussen systemen.

Twijfel je? Dan doen we eerst een korte DPIA-scan: snel bepalen of een volledige DPIA nodig is.

Wat moet je regelen rond datalekken (en hoe snel moet je melden)?

Je hoeft niet elk incident te melden, maar je moet wél een werkbaar proces hebben: herkennen → beoordelen → vastleggen → eventueel melden.
Als het een datalek is, geldt meestal: binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Daarnaast kan het nodig zijn betrokkenen te informeren. Minstens zo belangrijk: je houdt een datalekregister bij, ook van niet-meldplichtige incidenten.

Hebben wij een Functionaris Gegevensbescherming (FG) nodig?

Soms wel, vaak niet. Een FG is verplicht in specifieke situaties, bijvoorbeeld als je organisatie grootschalig bijzondere persoonsgegevens verwerkt of als je als publieke organisatie onder die verplichting valt. Als er geen verplichting is, kan een FG of Privacy Officer alsnog slim zijn om toezicht en advies goed te borgen, maar dan passend bij je omvang en risico.

Wat verwacht een klant of toezichthouder meestal als "bewijs" dat je AVG op orde is?

In de praktijk wordt vaak gevraagd om:

  • een actueel register van verwerkingen;
  • verwerkersovereenkomsten en afspraken over data-uitwisseling;
  • basisbeleid en werkinstructies (niet te juridisch);
  • aantoonbaar proces voor datalekken en privacyverzoeken;
  • (waar nodig) DPIA's.

Kort gezegd: niet "perfecte papieren", maar aantoonbare grip en een logische aanpak.

Meer lezen: richtlijnen van de Autoriteit Persoonsgegevens over datalekken.

Wil je weten waar je staat?

Plan een vrijblijvende kennismaking. In ±30 minuten krijg je helderheid over je AVG-positie en logische vervolgstappen.

Plan een privacy quickscan