AVG/GDPR compliance in Nederland

Wat is AVG/GDPR compliance

AVG/GDPR compliance betekent dat uw organisatie persoonsgegevens verwerkt op een manier die rechtmatig, transparant en aantoonbaar is. Het gaat niet alleen om “een privacyverklaring”, maar om een werkend systeem: rollen, contracten, beveiliging, processen en bewijs.

De Autoriteit Persoonsgegevens benadrukt de verantwoordingsplicht: u moet kunnen aantonen dat u aan de AVG voldoet.

Voor wie is deze dienst geschikt

• SaaS/IT en platforms met klantdata en subverwerkers
• E-commerce (tracking, marketing, retouren, klantaccounts)
• Dienstverleners met CRM, nieuwsbrief, leadforms en klantdossiers
• Bedrijven met personeel (HR/loonadministratie)
• Organisaties die enterprise klanten onboarden (vendor due diligence)
• Bedrijven die internationaal werken (EU/wereld, cloud leveranciers, data transfers)

Wat wij onder “compliance” concreet inrichten

1) Data mapping en risico-overzicht

We brengen in kaart:
• welke persoonsgegevens u verwerkt (klanten, leads, medewerkers)
• waarom u die verwerkt (doelen) en op welke grondslag
• waar data staat (tools, hosting, cloud) en wie toegang heeft
• welke processen “hoog risico” zijn (profiling, tracking, bijzondere gegevens)

Resultaat: een praktische kaart van uw datastromen waarmee u beslissingen kunt nemen.

2) Verwerkingsregister (Artikel 30)

We zetten een register van verwerkingsactiviteiten op (of herstellen het) en maken het onderhoudbaar. Het register is een kernstuk van de AVG-administratie.

3) Verwerkersovereenkomsten en subverwerkers (Artikel 28)

Als leveranciers namens u persoonsgegevens verwerken (hosting, e-mail, CRM, analytics, support), hoort daar een verwerkersovereenkomst en subverwerker-logica bij.

Wij borgen o.a.:
• duidelijke instructies en rollen (verwerkingsverantwoordelijke/verwerker)
• beveiligingsafspraken en incidentflow
• voorwaarden voor het inschakelen van subverwerkers
• audit-/controlemechanismen die uitvoerbaar blijven

4) Privacy- en cookie-documenten die matchen met de praktijk

We leveren teksten die niet “los” staan, maar aansluiten op:
• uw website, formulieren en tracking
• uw salesproces (lead → klant)
• uw supportproces (tickets, logs)
• uw bewaartermijnen en archivering

5) Datalek-proces en meldplicht (72 uur)

We richten een datalek-playbook in: detectie → triage → beslissen → documenteren → melden/communiceren.

De AP geeft aan dat u een datalek binnen 72 uur na kennisname moet melden, wanneer dit meldplichtig is.

6) DPO/FG assessment (wanneer is een functionaris nodig)

Niet elke organisatie heeft een DPO/FG nodig, maar in bepaalde gevallen is aanwijzing verplicht, o.a. bij grootschalige monitoring of grootschalige verwerking van gevoelige gegevens.
Wij doen een korte assessment en leggen de uitkomst vast voor uw dossier.

7) DPIA (Data Protection Impact Assessment) waar nodig

Wanneer verwerkingen waarschijnlijk een hoog risico opleveren, hoort daar een DPIA-proces bij. Wij leveren:
• DPIA-template + workflow
• rolverdeling en besluitmomenten
• technische en organisatorische maatregelen (TOMs) op “werkbaar” niveau

8) Rights requests en interne processen

We zetten procedures op voor verzoeken van betrokkenen (inzage, correctie, verwijdering), zodat uw team weet:
• wie het oppakt
• hoe u identiteit verifieert
• hoe u binnen termijnen reageert
• hoe u bewijs vastlegt (accountability)

Stappenplan: zo maken we u “audit-ready”

  1. Intake & quick scan
    Sector, tools, datastromen, klantenkanalen, grootste risico’s.

  2. Data mapping + gaps
    Wat ontbreekt of is inconsistent (contracten, register, processen).

  3. Documentset + procesinrichting
    Register, verwerkersovereenkomsten, policies, playbooks.

  4. Implementatie in uw team
    Rollen, checklists, owner per proces, opslagstructuur.

  5. Kwartaalreview (optioneel)
    Nieuwe tools, nieuwe landen, nieuwe features → gecontroleerde update.

Praktische compliance-checklist (kort)

• Verwerkingsregister actueel (Artikel 30)
• Verwerkersovereenkomsten + subverwerkerflow (Artikel 28)
• Datalekprocedure + 72-uurs route
• DPO/FG verplichting beoordeeld
• Bewaartermijnen en toegangsbeheer vastgelegd
• Cookie/marketingtracking afgestemd op werkelijkheid
• “Single source of truth” voor bewijs: wie, wat, wanneer, waarom

Veelgestelde vragen (FAQ)

1) Is een privacyverklaring genoeg?
Nee. Zonder processen (register, verwerkers, datalekflow) blijft uw compliance kwetsbaar.

2) Wanneer heb ik een verwerkersovereenkomst nodig?
Wanneer een leverancier namens u persoonsgegevens verwerkt (hosting, CRM, e-mail, analytics). De AVG stelt eisen aan de inhoud van die afspraken.

3) Moet ik altijd een DPO/FG aanstellen?
Niet altijd. De verplichting hangt af van uw kernactiviteiten (o.a. grootschalige monitoring of gevoelige data).

4) Wat moet ik doen bij een datalek?
Snel triage, documenteren, mitigeren, en bij een meldplichtig datalek: binnen 72 uur melden aan de AP.

5) Wat vragen enterprise klanten meestal in vendor due diligence?
Verwerkingsregister, verwerkersovereenkomsten/subverwerkers, incident-proces, basis securitymaatregelen, en bewijs dat dit echt wordt uitgevoerd.

6) Wij gebruiken veel SaaS-tools. Is dat een probleem?
Niet als u tooling governance opzet: vendor-lijst, DPA’s, subverwerkerupdates, toegang en retention.

Waarom kiezen klanten voor Yudey

• Compliance als werkend systeem, niet als papieren set
Audit-ready dossier voor bank, enterprise onboarding en due diligence
• Praktische templates + workflows die uw team kan uitvoeren
• Snelle implementatie en voorspelbaar onderhoud bij groei

Neem contact op

Wilt u AVG/GDPR compliance strak neerzetten of uw bestaande set opschonen? Stuur kort: type business (SaaS/e-commerce/dienstverlening), gebruikte tools (CRM, e-mail, analytics), en of u internationaal werkt. U ontvangt een concrete scope met deliverables.