Voldoen aan de AVG, stap 5 en 6: inrichten en toezicht

De Algemene Verordening Gegevensbescherming (AVG) is een Europese regelgeving en vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. Met de AVG (GDPR) kent de Europese Unie één privacywet. Bij het inrichten van je gegevensbestanden en bij het opvragen van persoonsgegevens hou je hier rekening mee. Soms is een functionaris gegevensbescherming verplicht.

Stap 5: Inrichten systemen

Bij het inrichten van je systemen dwing je technisch een zorgvuldige omgang met persoonsgegevens af.

Privacy by design

Vraag geen gegevens op die je niet nodig hebt. Voor de verzending van een e-mailnieuwsbrief heb je bijvoorbeeld geen woonadres nodig. In de AVG wordt dat privacy by design genoemd.

Privacy by default

Bij het vragen om persoonsgegevens moet de standaardinstelling van je systemen zo privacyvriendelijk mogelijk zijn. De persoon kan zelf gegevens achterlaten of een actieve handeling verrichten om toestemming te geven (opt-in).

Je mag bijvoorbeeld geen (web)formulier gebruiken waarop al een vakje is aangevinkt. Ook mag je niet automatisch informatie naar iemand toezenden, zonder dat diegene daar vooraf toestemming voor heeft gegeven. De standaardinstellingen moeten de privacy van iemand respecteren (privacy by default) totdat de persoon zelf toestemming geeft.

Stap 6: Toezicht

Functionaris gegevensbescherming

In bepaalde gevallen is het verplicht om voor je organisatie een functionaris gegevensbescherming (FG) aan te stellen, ook wel data protection officer (DPO), genoemd. De funtionaris gegevenbescherming is een onafhankelijk persoon die binnen je organisatie adviseert en rapporteert over naleving van de AVG.

Aanstelling van een functionaris gegevensbescherming is verplicht wanneer:

  • het de kernactiviteit van je bedrijf is om op grote schaal gevoelige persoonsgegevens (zoals gezondheidsgegevens) te verwerken;
  • je organisatie structureel mensen observeert (fysiek of digitaal, bijvoorbeeld via cameraobservatie).

Voor overheidsorganisaties geldt dat de functionaris gegevensbescherming (FG) vrijwel altijd verplicht is.

Intern of extern

De positie functionaris gegevensbescherming kan vanuit je organisatie worden ingevuld, maar de functie kan ook door een externe partij worden vervuld.

Aandacht voor naleving van de AVG is ook van belang voor organisaties die niet verplicht zijn een functionaris gegevensbescherming aan te stellen.


Voldoen aan de AVG, dit artikel beschrijft stap 5 en 6.

Meer over de AVG

Alles over de AVG

Stappen om te voldoen aan de AVG

Voldoen aan de AVG

Voldoen aan de AVG, stap 1 en 2: bewustwording en informeren

Voldoen aan de AVG, stap 3 en 4: register en beoordeling impact

Voldoen aan de AVG, stap 7 en 8: datalekken en verwerkersovereenkomst

Voldoen aan de AVG, stap 9 en 10: toezichthouder en toestemming vragen

InfoPage