Hoe u documentatie voor GDPR-naleving borgt met ISMS Copilot
Overzicht
U leert hoe u ISMS Copilot gebruikt om uitgebreide documentatie voor de AVG/GDPR-naleving te creëren en te onderhouden, van inventarissen van gegevensverwerking en privacybeleid tot effectbeoordelingen inzake gegevensbescherming en procedures voor inbreuken.
Voor wie dit is
Deze gids is bedoeld voor:
Functionarissen voor gegevensbescherming (FG's) die AVG-nalevingsprogramma's beheren
Privacyprofessionals die AVG-documentatie opstellen
In de EU gevestigde organisaties die persoonsgegevens verwerken
Bedrijven buiten de EU die diensten aanbieden aan inwoners van de EU
Organisaties die de AVG combineren met ISO 27001 of SOC 2
Vereisten
Zorg voordat u begint dat u beschikt over:
Een ISMS Copilot-account (gratis proefversie beschikbaar)
Inzicht in de persoonsgegevens die uw organisatie verwerkt
Toegang tot bestaande privacyverklaringen en verwerkersovereenkomsten
Kennis van uw gegevensstromen en externe verwerkers
Voordat u begint
Wat is de AVG? De Algemene Verordening Gegevensbescherming (AVG/GDPR) is EU-verordening 2016/679 die regelt hoe organisaties persoonsgegevens van EU-inwoners verzamelen, verwerken, opslaan en verwijderen. Het stelt individuele rechten en organisatorische verplichtingen vast, en handhaving geschiedt via aanzienlijke boetes (tot €20 miljoen of 4% van de wereldwijde omzet).
De AVG is op u van toepassing als: U goederen of diensten aanbiedt aan inwoners van de EU OF gedrag van EU-inwoners monitort, ongeacht waar uw organisatie is gevestigd. Bedrijven uit de VS, het VK en de rest van de wereld moeten hieraan voldoen wanneer zij persoonsgegevens uit de EU verwerken. Niet-naleving kan leiden tot onderzoeken van toezichthouders en substantiële boetes.
Documentatie is verplicht: Artikel 5(2) van de AVG vereist dat naleving wordt aangetoond door middel van documentatie. Mondeling beleid of informele processen zijn onvoldoende — u moet uitgebreide registers van verwerkingsactiviteiten (ROPA), besluiten en nalevingsmaatregelen bijhouden.
De AVG-documentatie-eisen begrijpen
Verplichte documentatie
De AVG vereist expliciet de volgende gedocumenteerde elementen:
Document | AVG-artikel | Doel |
|---|---|---|
Privacyverklaring / Privacybeleid | Artikelen 13-14 | Betrokkenen informeren over hoe hun gegevens worden verwerkt |
Register van verwerkingsactiviteiten (ROPA) | Artikel 30 | Inventarisatie van alle verwerkingsactiviteiten van persoonsgegevens |
Verwerkersovereenkomsten (VWO/DPA) | Artikel 28 | Contracten met externe gegevensverwerkers |
Gegevensbeschermingseffectbeoordeling (GEB/DPIA) | Artikel 35 | Beoordelen van verwerkingsactiviteiten met een hoog risico |
Toestemmingsregisters | Artikel 7 | Aantonen dat geldige, geïnformeerde toestemming is verkregen |
Datalekregister | Artikel 33 | Documenteren van alle inbreuken in verband met persoonsgegevens |
Procedures voor rechten van betrokkenen | Artikelen 15-22 | Verwerken van verzoeken om inzage, rectificatie, wissing en overdraagbaarheid |
Gerechtvaardigd belangbeoordeling (LIA) | Artikel 6(1)(f) | Verwerking rechtvaardigen op basis van gerechtvaardigde belangen |
Rolspecifieke vereisten
Documentatieverplichtingen variëren per rol:
Verwerkingsverantwoordelijke: Bepaalt de doeleinden en middelen van de verwerking; verantwoordelijk voor ROPA, privacyverklaringen, DPIA en toestemmingsbeheer
Verwerker: Verwerkt gegevens namens de verantwoordelijke; vereist verwerkersovereenkomsten, verwerkingsregisters en documentatie van beveiligingsmaatregelen
Beide rollen: Veel organisaties zijn verantwoordelijke voor sommige verwerkingen (bijv. personeelsgegevens) en verwerker voor andere (bijv. klantgegevens namens cliënten)
Stap 1: Richt uw AVG-werkruimte in
Maak een speciale werkruimte aan
Log in op ISMS Copilot
Maak een nieuwe werkruimte: "AVG-naleving - [Uw Organisatie]"
Voeg aangepaste instructies toe:
GDPR compliance context:
Organization: [Company name]
Location: [HQ location, operating regions]
Role: [Data Controller / Data Processor / Both]
Industry: [SaaS, e-commerce, healthcare, marketing, etc.]
Size: [employees, EU customers/users]
Data processing:
- Personal data types: [names, emails, IPs, health data, financial data, etc.]
- Special category data: [Yes/No - if yes, specify: health, biometric, etc.]
- Processing purposes: [marketing, service delivery, analytics, etc.]
- Data sources: [website forms, API, third parties]
- Third-party processors: [cloud providers, payment processors, tools]
Compliance status:
- DPO appointed: [Yes/No]
- Existing documentation: [list what you have]
- Main gaps: [areas needing work]
- Integration: [also pursuing ISO 27001/SOC 2]
Preferences:
- Reference specific GDPR articles
- Provide DPA-ready language
- Consider multi-framework alignment (GDPR + ISO 27001)
- Suggest practical implementations for [startup/SMB/enterprise]Stap 2: Maak een Register van Verwerkingsactiviteiten (ROPA)
Wat is een ROPA en wie heeft het nodig?
Artikel 30 vereist dat organisaties met 250+ werknemers OF die hoogrisico/regelmatige gegevens verwerken, een ROPA bijhouden waarin alle verwerkingsactiviteiten van persoonsgegevens zijn gedocumenteerd.
Genereer een ROPA-structuur
Vraag ISMS Copilot om uw ROPA-sjabloon te maken:
"Maak een register van verwerkingsactiviteiten (ROPA) sjabloon conform AVG Artikel 30 voor een [verwerkingsverantwoordelijke/verwerker]. Voeg kolommen toe voor: Naam verwerkingsactiviteit, Doel van de verwerking, Rechtsgrondslag (Artikel 6), Categorieën betrokkenen, Categorieën persoonsgegevens, Categorieën ontvangers (wie ontvangt de data), Doorgifte naar derde landen (indien van toepassing), Bewaartermijn, Beveiligingsmaatregelen. Leg de vereisten per kolom uit."
Inventariseer verwerkingsactiviteiten
Identificeer alle verwerkingshandelingen:
"Identificeer voor een [type bedrijf: SaaS-platform, e-commerce site, marketingbureau] veelvoorkomende verwerkingsactiviteiten van persoonsgegevens voor in de ROPA. Denk aan: klantaccountbeheer, marketingcommunicatie, betalingsverwerking, klantondersteuning, analytics, HR-management van werknemers, leveranciersbeheer. Beschrijf per activiteit welke persoonsgegevens worden verwerkt en waarom."
Documenteer elke verwerkingsactiviteit
Maak gedetailleerde vermeldingen:
"Vul voor onze verwerkingsactiviteit [klantaccountbeheer] de ROPA-vermelding in: Naam verwerking: 'Registratie en beheer van klantaccounts'. Doel: [beschrijving]. Rechtsgrondslag: [Uitvoering overeenkomst / Gerechtvaardigd belang / Toestemming]. Betrokkenen: [bestaande klanten, prospects]. Categorieën persoonsgegevens: [naam, e-mail, bedrijf, IP-adres, gebruiksgegevens]. Ontvangers: [interne teams, cloudprovider AWS]. Bewaring: [levensduur account + 2 jaar]. Beveiliging: [encryptie bij opslag/verzending, toegangscontroles, MFA]."
Behandel bijzondere categorieën gegevens
Indien u gevoelige gegevens verwerkt:
"Wij verwerken [gezondheidsgegevens / biometrische gegevens / rasgegevens] voor [doel]. Welke aanvullende AVG-eisen zijn van toepassing? Update onze ROPA-vermelding met: wettelijke voorwaarde Artikel 9 (uitdrukkelijke toestemming, medische doeleinden, etc.), vereiste verscherpte beveiligingsmaatregelen, rechtvaardiging van noodzaak en proportionaliteit, en beoordeling van de DPIA-plicht."
De ROPA is een levend document: Werk de ROPA bij telkens wanneer u nieuwe verwerkingsactiviteiten toevoegt, doeleinden wijzigt, externe partijen toevoegt of bewaartermijnen aanpast. Een verouderde ROPA bij een inspectie vormt een nalevingsrisico en ondermijnt uw bewijs van verantwoording.
Stap 3: Ontwikkel privacyverklaringen en beleid
Maak een externe privacyverklaring
Transparantie-eisen uit Artikel 13-14:
"Maak een AVG-conforme Privacyverklaring voor onze [website/app/dienst] inclusief: identiteit en contactgegevens verwerkingsverantwoordelijke, contactgegevens FG (indien van toepassing), doeleinden van verwerking, rechtsgrondslag voor elk doel, ontvangers of categorieën ontvangers, details over internationale doorgifte, bewaartermijnen of criteria, rechten van betrokkenen (inzage, rectificatie, wissing, beperking, bezwaar, overdraagbaarheid, intrekken toestemming), recht om klacht in te dienen bij toezichthouder, of verstrekken gegevens contractueel/wettelijk verplicht is, en details over geautomatiseerde besluitvorming (indien van toepassing). Maak het helder en toegankelijk voor een niet-juridisch publiek."
Ontwikkel een intern gegevensbeschermingsbeleid
Voor werknemers en interne processen:
"Maak een intern gegevensbeschermingsbeleid voor AVG-naleving dat het volgende dekt: reikwijdte en toepasbaarheid, beginselen van gegevensbescherming (rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit/vertrouwelijkheid, verantwoording), rollen en verantwoordelijkheden (FG, data-eigenaren, verwerkers), vereisten voor gegevenshantering (verzameling, verwerking, opslag, verwijdering), beveiligingsverplichtingen, procedures voor melding van datalekken, proces voor het voldoen aan rechten van betrokkenen, trainingseisen en handhaving van het beleid. Doelgroep: alle werknemers."
Maak een cookiebeleid en toestemmingsmechanisme
Voor websites die cookies gebruiken:
"Maak een cookiebeleid voor onze website waarin wordt uitgelegd: wat cookies zijn, welke cookies we gebruiken (essentieel, analytisch, marketing), doel van elk type cookie, cookies van derden (Google Analytics, etc.), hoe gebruikers cookievoorkeuren kunnen beheren en de impact van het weigeren van cookies. Geef ook tekst voor een cookiebanner die AVG-conform is: granulaire toestemmingsopties, vooraf aangevinkte vakjes verboden, eenvoudige opt-out."
Stem af op specifieke betrokkenen
Verschillende verklaringen voor verschillende contexten:
"Maak afzonderlijke privacyverklaringen voor: 1) Websitebezoekers (browsen, cookies), 2) Klantaccounts (dienstverlening), 3) E-mail marketing abonnees (marketingcommunicatie), 4) Sollicitanten (werving), 5) Werknemers (HR-verwerking). Specificeer per verklaring: relevante persoonsgegevens, verwerkingsdoeleinden, rechtsgrondslagen en bewaartermijnen specifiek voor die relatie."
Pro tip: Privacyverklaringen moeten WORDEN verstrekt VOORDAT gegevens worden verzameld, niet achteraf. Voeg bij webformulieren de tekst van de verklaring of een link direct naast de velden voor gegevensverzameling toe. Vraag: "Ontwerp een strategie voor de presentatie van de privacyverklaring voor ons [registratieformulier/checkout-pagina/contactformulier]."
Stap 4: Maak verwerkersovereenkomsten (DPA's)
Wanneer verwerkersovereenkomsten vereist zijn
Artikel 28 verplicht schriftelijke contracten met elke derde partij die persoonsgegevens namens u verwerkt (verwerkers).
Genereer een sjabloon voor de verwerkersovereenkomst
Maak een overeenkomst tussen verantwoordelijke en verwerker:
"Maak een sjabloon voor een verwerkersovereenkomst conform AVG Artikel 28 tussen onze organisatie (verantwoordelijke) en [cloudprovider / betalingsverwerker / e-mail marketingtool] (verwerker). Neem verplichte clausules op: onderwerp en duur, aard en doel van de verwerking, soorten persoonsgegevens en categorieën betrokkenen, verplichtingen en rechten van de verantwoordelijke, verplichtingen van de verwerker (Artikel 28(3) eisen: alleen verwerken op instructie, vertrouwelijkheid borgen, beveiligingsmaatregelen treffen, sub-verwerkers alleen inschakelen met toestemming, assisteren bij rechten van betrokkenen, assisteren bij beveiligingsincidenten en DPIA's, data verwijderen of retourneren bij einde contract, naleving aantonen). Maak het juridisch bindend en AVG-conform."
Identificeer uw verwerkers
Inventariseer externe partijen die uw gegevens beheren:
"Wij gebruiken deze externe diensten: [lijst: AWS, Google Workspace, Stripe, Mailchimp, Zendesk, etc.]. Bepaal voor elk: Zijn zij verwerker of verantwoordelijke? Tot welke persoonsgegevens hebben zij toegang? Hebben we een verwerkersovereenkomst met hen nodig? Bieden ze al standaardovereenkomsten aan? Welke extra contractuele bescherming hebben we nodig buiten hun standaardvoorwaarden?"
Behandel sub-verwerkers
Wanneer verwerkers hun eigen verwerkers gebruiken:
"Onze verwerker [naam leverancier] gebruikt sub-verwerkers voor [diensten]. Welke AVG-eisen zijn van toepassing? Stel taal op voor de overeenkomst over: algemene machtiging voor sub-verwerkers (met kennisgeving) versus specifieke vereiste machtiging, aansprakelijkheid van de verwerker voor naleving door de sub-verwerker, verplichting om gelijkwaardige AVG-verplichtingen op te leggen aan sub-verwerkers, en ons recht om naleving door de sub-verwerker te auditeren."
Stap 5: Voer effectbeoordelingen inzake gegevensbescherming (DPIA's) uit
Wanneer een DPIA verplicht is
Artikel 35 vereist een DPIA voor verwerkingen die waarschijnlijk een hoog risico inhouden, waaronder:
Systematische en uitgebreide geautomatiseerde verwerking met rechtsgevolgen of vergelijkbare significante effecten (profilering)
Grootschalige verwerking van bijzondere categorieën gegevens (gezondheid, biometrie, etc.)
Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten (cameratoezicht)
Gebruik van nieuwe technologieën of innovatieve verwerkingsmethoden
Beoordeel of een DPIA nodig is
Evalueer uw verwerking:
"Wij verwerken persoonsgegevens voor [beschrijf activiteit: AI-gestuurde klantscoring, app voor gezondheidsmonitoring, gezichtsherkenning, behavioral advertising]. Beoordeel of een AVG Artikel 35 DPIA vereist is. Overweeg: Is er sprake van geautomatiseerde besluitvorming met rechtsgevolgen? Is het grootschalige verwerking? Gaat het om bijzondere categorieën gegevens? Is er stelselmatige monitoring? Is het een nieuwe technologie? Geef een aanbeveling met onderbouwing."
Maak een DPIA-sjabloon en proces
Structureer uw effectbeoordeling:
"Maak een DPIA-sjabloon voor AVG Artikel 35 naleving inclusief secties: beschrijving van verwerkingsactiviteiten en doeleinden, beoordeling van noodzaak en proportionaliteit, beoordeling van risico's voor de rechten en vrijheden van betrokkenen (kans en ernst), maatregelen om risico's aan te pakken (technisch en organisatorisch), waarborgen en beveiligingsmaatregelen, en het aantonen dat risico's afdoende zijn beperkt. Voeg een risicobeoordelingsmethodiek toe (kans × impact matrix)."
Voer DPIA uit voor specifieke verwerking
Voltooi de beoordeling voor activiteiten met een hoog risico:
"Voer een DPIA uit voor ons [AI-gestuurd platform voor klantanalyse]. Verwerkingsdetails: We analyseren gedragsgegevens van klanten (browsegeschiedenis, aankooppatronen, demografie) met machine learning om churn-risico te voorspellen en marketing te personaliseren. Betrokkenen: 100.000+ EU-klanten. Beoordeel: Wat zijn de risico's voor rechten van betrokkenen (profilering, discriminatie, inbreuk op privacy)? Welke waarborgen beperken deze risico's (menselijke tussenkomst, opt-out, transparantie, dataminimalisatie)? Is het restrisico acceptabel of moet de verwerking worden aangepast?"
Raadpleeg de FG en belanghebbenden
DPIA's vereisen overleg:
"Wie moeten we raadplegen voor onze DPIA over [verwerkingsactiviteit]? Stel consultatievragen op voor: de FG (nalevingsbeoordeling), betrokkenen of hun vertegenwoordigers (acceptatie van verwerking en waarborgen), IT-securityteam (technische risicobeperking), juridisch team (juridische naleving) en zakelijke belanghebbenden (noodzaak en proportionaliteit). Hoe documenteren we de resultaten van het overleg?"
Voorafgaande raadpleging bij de toezichthouder: Als een DPIA een hoog restrisico laat zien, zelfs na maatregelen, verplicht Artikel 36 u om de Autoriteit Persoonsgegevens te raadplegen VOORDAT u met de verwerking begint. Het overslaan van deze raadpleging wanneer dit verplicht is, is een ernstige overtreding.
Stap 6: Stel procedures vast voor rechten van betrokkenen
De rechten van betrokkenen begrijpen (Artikelen 15-22)
De AVG verleent individuen acht rechten:
Recht op inzage (Art. 15): Een kopie van hun persoonsgegevens verkrijgen
Recht op rectificatie (Art. 16): Onjuiste gegevens corrigeren
Recht op gegevenswissing / "Recht om vergeten te worden" (Art. 17): Gegevens laten verwijderen in bepaalde situaties
Recht op beperking (Art. 18): De verwerking beperken in bepaalde gevallen
Recht op overdraagbaarheid (Art. 20): Gegevens ontvangen in een machineleesbaar formaat
Recht van bezwaar (Art. 21): Bezwaar maken tegen verwerking, vooral voor marketing
Rechten bij geautomatiseerde besluitvorming (Art. 22): Geautomatiseerde besluiten aanvechten
Recht om toestemming in te trekken (Art. 7(3)): Toestemming even eenvoudig intrekken als geven
Maak procedures voor het inwilligen van rechten
Documenteer hoe u met elk recht omgaat:
"Maak procedures voor het afhandelen van AVG-verzoeken van betrokkenen, inclusief: intake-proces (hoe gebruikers verzoeken indienen, sjabloon voor aanvraagformulier), identiteitsverificatie (hoe de aanvrager te authenticeren), responstermijnen (standaard 1 maand, verlengingen met motivering), stappen voor uitvoering per type recht, tarievenbeleid (meestal gratis, buitensporige verzoeken kunnen een vergoeding kosten), weigeringscriteria (wanneer verzoeken kunnen worden afgewezen, hoe te onderbouwen), documentatievereisten (logboek van alle verzoeken en antwoorden) en escalatieproces voor complexe verzoeken. Maak het operationeel voor customer support teams."
Ontwerp een reactie op een inzageverzoek (SAR)
Het meest voorkomende type verzoek:
"Maak voor AVG-inzageverzoeken: 1) Exportformaat voor gegevens (welke informatie op te nemen: categorieën gegevens, doeleinden, ontvangers, bewaring, bronnen, geautomatiseerde besluitvorming), 2) Formaat voor gegevenspresentatie (gestructureerd, begrijpelijk, gangbaar), 3) Technische implementatie (hoe gebruikersgegevens uit [uw systemen] te exporteren, formatteren en veilig af te leveren), 4) Sjabloonbrief voor antwoord waarin de verstrekte gegevens worden toegelicht. Zorg dat we verzoeken binnen 30 dagen kunnen afhandelen."
Behandel de complexiteit van wisverzoeken
Verwijderen is niet altijd eenvoudig:
"Behandel voor recht op gegevenswissing: Wanneer kunnen we weigeren (wettelijke verplichtingen, contractuele noodzaak, gerechtvaardigde belangen)? Welke gegevens moeten worden verwijderd versus geanonimiseerd versus bewaard? Hoe te verwijderen uit back-ups? Hoe delen we dit mede aan derde partijen waarmee we gegevens hebben gedeeld? Hoe documenteren we de wissing voor de audit trail? Maak een beslisboom voor het beoordelen van wisverzoeken."
Pro tip: Automatiseer workflows voor rechten van betrokkenen waar mogelijk. Vraag: "Hoe kunnen we technische geautomatiseerde data-export implementeren voor inzageverzoeken? Welke database-queries, scripts of tools kunnen alle gegevens extraheren die horen bij een specifiek e-mailadres/ID van een gebruiker?"
Stap 7: Ontwikkel procedures voor de melding van datalekken
De meldingsplicht begrijpen
AVG-verplichtingen bij datalekken:
Artikel 33 - Melding aan toezichthouder: Meld inbreuken binnen 72 uur aan de toezichthouder (tenzij onwaarschijnlijk dat dit een risico inhoudt)
Artikel 34 - Melding aan betrokkene: Meld aan getroffen individuen zonder onredelijke vertraging als er een hoog risico is voor rechten en vrijheden
Maak een plan voor respons op inbreuken
Bereid u voor op incidenten:
"Maak een AVG-procedure voor respons op inbreuken in verband met persoonsgegevens, inclusief: definitie van een inbreuk (wat vormt een datalek), detectie en rapportage (hoe inbreuken worden geïdentificeerd, interne escalatie), beoordeling van de inbreuk (evaluatie ernst, risico voor individuen), 72-uurs workflow voor melding aan toezichthouder (welke informatie te verstrekken volgens Artikel 33, sjabloon voor melding), proces voor melding aan individuen (wanneer vereist, sjabloon voor communicatie, verzendmethode), bijhouden van een datalekregister (alle inbreuken loggen volgens Artikel 33(5)), evaluatie na het incident en rollen/verantwoordelijkheden. Maak het actiegericht voor gebruik onder tijdsdruk."
Maak sjablonen voor meldingen
Stel sjablonen vooraf op:
"Maak twee sjablonen voor inbreukmeldingen: 1) Melding aan toezichthouder (Artikel 33) inclusief: beschrijving inbreuk, categorieën persoonsgegevens en geschat aantal betrokkenen, contactpunt (FG), waarschijnlijke gevolgen, genomen of voorgestelde maatregelen om inbreuk aan te pakken en schade te beperken. 2) Melding aan individu (Artikel 34) in gewone taal met beschrijving van: aard van de inbreuk, contactpunt, waarschijnlijke gevolgen, genomen/voorgestelde maatregelen, aanbevolen acties voor getroffen individuen. Zorg dat de sjablonen klaar staan om te worden ingevuld met incidentdetails."
Stel een datalekregister op
Documenteer alle inbreuken:
"Maak een sjabloon voor een datalekregister inclusief: ID inbreuk, Datum van ontdekking, Datum gemeld aan toezichthouder (indien van toepassing), Beschrijving van inbreuk, Betroffen persoonsgegevens (categorieën en omvang), Betrokken personen (aantal), Grondoorzaak, Onderzochte/genomen herstelacties, Melding toezichthouder vereist (Ja/Nee/Beoordeling), Melding individu vereist (Ja/Nee), Risiconiveau (Laag/Medium/Hoog), Status (Open/In onderzoek/Opgelost), Geleerde lessen. Dit register moet worden bijgehouden, ook voor inbreuken die niet aan de toezichthouder worden gemeld."
De 72-uurs termijn start bij kennisname: Wanneer u zich bewust wordt van een mogelijke inbreuk, gaat de 72-uurs termijn onmiddellijk in. "Kennisname" betekent wanneer u over voldoende informatie beschikt om vast te stellen dat er een inbreuk heeft plaatsgevonden, niet pas wanneer het onderzoek is afgerond. Plan beoordelingsprocessen die binnen 72 uur kunnen worden afgerond.
Stap 8: Documenteer toestemmingsbeheer
Wanneer toestemming geschikt is
Toestemming (Artikel 6(1)(a)) is SLECHTS EÉN rechtsgrondslag, niet altijd vereist:
"Bepaal voor onze verwerkingsactiviteiten [lijst activiteiten] de juiste rechtsgrondslag: Toestemming (vrijelijk gegeven, specifiek, geïnformeerd, ondubbelzinnig), Overeenkomst (noodzakelijk voor uitvoering contract), Wettelijke verplichting (vereist door de wet), Vitale belangen (levensbelang), Publieke taak (officieel gezag), of Gerechtvaardigd belang (met afwegingstoets). Beveel per activiteit een rechtsgrondslag aan met onderbouwing. Wanneer is toestemming de juiste keuze versus andere grondslagen?"
Ontwerp geldige toestemmingsmechanismen
AVG-eisen voor toestemming (Artikel 7):
"Ontwerp mechanismen voor het verzamelen van toestemming die voldoen aan de AVG-eisen: vrijelijk gegeven (geen koppelverkoop, echte keuze, geen nadeel bij weigering), specifiek (afzonderlijke toestemming voor verschillende doeleinden), geïnformeerd (duidelijke informatie over verwerking), ondubbelzinnig (actieve handeling, vooraf aangevinkte vakjes verboden), eenvoudig in te trekken (even eenvoudig als geven) en gedocumenteerd (wie, wanneer, wat, hoe). Ontwerp toestemmingsformulieren en cookiebanners dienovereenkomstig."
Houd toestemmingsregisters bij
Artikel 7(1) vereist dat toestemming kan worden aangetoond:
"Maak een systeem voor het vastleggen van toestemming waarin wordt gedocumenteerd: wie toestemming gaf (ID van betrokkene), wanneer toestemming werd gegeven (tijdstempel), waarvoor toestemming werd gegeven (beschrijving specifiek doel en verwerking), hoe toestemming werd verkregen (versie formulier, tekst bij selectievakje), welk mechanisme is gebruikt (opt-in vinkje, expliciete actie) en de status van de toestemming (actief, ingetrokken, verlopen). Hoe slaan we dit op en halen we dit op om naleving aan te tonen?"
Stap 9: Voer gerechtvaardigd belangbeoordelingen (LIA) uit
Wanneer gerechtvaardigd belang te gebruiken
Artikel 6(1)(f) staat verwerking toe voor gerechtvaardigde belangen als deze niet zwaarder wegen dan de rechten van de betrokkene:
"Leg het gerechtvaardigd belang onder de AVG uit als rechtsgrondslag. Wanneer is dit geschikter dan toestemming of overeenkomst? Wat is de drieledige toets: 1) Doelmatigheidstoets (wordt een gerechtvaardigd belang nagestreefd), 2) Noodzakelijkheidstoets (is de verwerking noodzakelijk voor dat belang), 3) Afwegingstoets (wegen de belangen niet zwaarder dan de rechten van de betrokkene). Geef voorbeelden waarbij gerechtvaardigd belang werkt (fraudepreventie, direct marketing aan bestaande klanten, netwerkbeveiliging) versus niet werkt (bijzondere categorieën gegevens, gegevens van kinderen)."
Voer de afwegingstoets uit
Documenteer de gerechtvaardigd belangbeoordeling:
"Maak een sjabloon voor een gerechtvaardigd belangbeoordeling (LIA) inclusief: beschrijving van verwerkingsactiviteit, nagestreefd gerechtvaardigd belang (bedrijfsbelang of belang van derden), noodzaakanalyse (is verwerking noodzakelijk, zijn er minder ingrijpende alternatieven), afwegingstoets (aard en bron van gerechtvaardigd belang, impact op betrokkene, redelijke verwachtingen, gevoeligheid gegevens, geïmplementeerde waarborgen, uitkomst afweging), conclusie (kan verwerking doorgaan op basis van gerechtvaardigd belang) en herzieningsdatum. Maak het bestand tegen toetsing door de toezichthouder."
Voorbeeld LIA voor veelvoorkomende scenario's
Pas het kader toe:
"Voer een gerechtvaardigd belangbeoordeling uit voor: het verzenden van marketingmails naar bestaande klanten ter promotie van soortgelijke producten. Gerechtvaardigd belang: [klantrelatie, commercieel belang]. Noodzaak: [hoe dit noodzakelijk is voor de bedrijfsvoering]. Afweging: [verwachting klant op basis van relatie, eenvoudige afmelding, geen gevoelige gegevens, minimale impact op privacy]. Conclusie: [is gerechtvaardigd belang gerechtvaardigd]? Welke waarborgen beperken de impact (prominente uitschrijflink, voorkeurencentrum, beperkte frequentie)?"
Stap 10: Integreer de AVG met andere nalevingskaders
Afstemming tussen de AVG en ISO 27001
Veel vereisten overlappen elkaar:
"Breng AVG-eisen in kaart ten opzichte van ISO 27001:2022 Annex A maatregelen. Identificeer per AVG-eis (gegevensbeveiliging, toegangscontroles, melding datalekken, dataminimalisatie, privacy by design): bijbehorende ISO 27001 maatregelen, hoe het implementeren hiervan voldoet aan de AVG, en welke aanvullende AVG-specifieke acties nodig zijn buiten ISO 27001. Maak een nalevingsmatrix die laat zien waar het ene kader het andere afdekt."
Afstemming tussen de AVG en SOC 2 Privacy
Benut de SOC 2 Privacy-criteria:
"Hoe ondersteunt de SOC 2 Privacy Trust Services Criteria de AVG-naleving? Breng AVG-eisen (transparantie, inzagerechten, verwijdering, toestemming, DPIA's) in kaart ten opzichte van de SOC 2 Privacy-criteria (kennisgeving, keuze, toegang, openbaarmaking aan derden, beveiliging, bewaring). Welke controls dienen beide doelen? Welke AVG-specifieke documentatie is nodig buiten SOC 2 Privacy?"
Creëer een geïntegreerd nalevingsprogramma
Voorkom dubbel werk:
"Wij streven naar zowel AVG-naleving als ISO 27001-certificering. Ontwerp een geïntegreerd nalevingsprogramma inclusief: een eenduidig informatiebeveiligings- en privacybeleid, een gecombineerde risicobeoordeling voor beveiligings- en privacyrisico's, een geïntegreerd beheerskader dat beide adresseert, een geconsolideerd auditprogramma, een gedeelde bewijslast-opslag en een gecombineerd dashboard voor nalevingsrapportage. Hoe documenteren we één keer om aan meerdere kaders te voldoen?"
Efficiëntiewinst: Organisaties met ISO 27001 kunnen 60-70% van de technische AVG-eisen realiseren via beveiligingsmaatregelen. Richt AVG-specifieke inspanningen op transparantie, individuele rechten en privacy-governance in plaats van het opnieuw opbouwen van het beveiligingsfundament.
Veelgemaakte fouten in de AVG-documentatie
Fout 1: Generieke privacyverklaring kopiëren en plakken - Het gebruiken van sjablonen zonder deze aan te passen. Oplossing: Stem elke verklaring af op UW werkelijke verwerkingen. Vraag: "Controleer deze privacyverklaring aan de hand van onze werkelijke ROPA. Beschrijft het accuraat wat we doen? Zijn er discrepanties tussen beleid en praktijk?"
Fout 2: Verouderde ROPA - Een ROPA eenmalig maken en nooit bijwerken. Oplossing: Controleer de ROPA elk kwartaal of bij het toevoegen van nieuwe verwerkingen. Vraag: "Vergelijk onze huidige ROPA met de werkelijke gegevensstromen. Welke verwerkingsactiviteiten vinden plaats maar zijn niet gedocumenteerd? Welke gedocumenteerde activiteiten vinden niet langer plaats?"
Fout 3: Ontbrekende verwerkersovereenkomsten - Tools gebruiken zonder ondertekende contracten. Oplossing: Audit alle diensten van derden. Vraag: "Lijst alle tools/leveranciers op met toegang tot persoonsgegevens. Hebben we voor elk: een getekende verwerkersovereenkomst, een voltooide beveiligingsbeoordeling, de sub-verwerkerslijst gecontroleerd en de naleving van het contract geverifieerd?"
Fout 4: Geen DPIA voor hoogrisicoverwerking - DPIA's overslaan wanneer deze verplicht zijn. Oplossing: Screen alle verwerkingsactiviteiten. Vraag: "Evalueer elke ROPA-vermelding op de noodzaak van een DPIA. Is er sprake van: geautomatiseerde besluitvorming, bijzondere categorieën gegevens, grootschalige verwerking, stelselmatige monitoring of nieuwe technologie? Indien ja, is er een DPIA voltooid?"
Volgende stappen na documentatie
U heeft uitgebreide AVG-documentatie opgesteld:
✓ Register van verwerkingsactiviteiten (ROPA) voltooid
✓ Privacyverklaringen en beleid gepubliceerd
✓ Verwerkersovereenkomsten met verwerkers gesloten
✓ DPIA's voor hoogrisicoverwerking uitgevoerd
✓ Procedures voor rechten van betrokkenen vastgesteld
✓ Procedures voor melding van datalekken gereed
✓ Toestemmingsbeheer gedocumenteerd
✓ Gerechtvaardigd belangbeoordelingen voltooid
Doorlopende naleving waarborgen:
Werk de ROPA elk kwartaal bij en bij nieuwe verwerkingen
Herzie privacyverklaringen jaarlijks en na wijzigingen in verwerking
Voer jaarlijks DPIA's uit voor hoogrisicoverwerkingen
Monitor het aantal verzoeken van betrokkenen en de reactietijden
Train personeel jaarlijks op AVG-eisen en procedures
Houd het datalekregister bij en voer oefeningen uit
Hulp krijgen
Documenten uploaden: Leer hoe u privacybeleid kunt uploaden voor een AVG-gap-analyse
Naleving verifiëren: Begrijp hoe u AI-hallucinaties voorkomt bij het valideren van AVG-advies
Best practices: Bekijk hoe u ISMS Copilot verantwoord gebruikt voor privacy-documentatie
Start vandaag met uw AVG-documentatie: Maak uw werkruimte aan op chat.ismscopilot.com en begin binnen een uur aan uw Register van Verwerkingsactiviteiten.