Zo voldoe je in 10 stappen aan privacywet AVG

  • Astrid Feitsma
  • De basis
  • Bijgewerkt 20 november 2025
  • 4 min
  • Wetten en regels

Als je bedrijf of organisatie met persoonsgegevens werkt, geldt de privacywet AVG. In deze wet staat hoe je om moet gaan met persoonsgegevens. Zet 10 stappen om te voldoen aan de privacywet.

Houvast voor ondernemers

Je bent druk met je zaak. Ondertussen krijg je te maken met allerlei wetten en regels. Met de kennis van KVK weet je wat je wel of niet moet doen.

Ontdek meer

1. Bekijk welke persoonsgegevens je verwerkt

Controleer welke persoonsgegevens je verwerkt. Persoonsgegevens zijn gegevens die iets over iemand zeggen. Denk daarbij aan een naam, adres en telefoonnummer. Maar ook aan klant- en personeelsnummers, aankoopgedrag op internet en video- en geluidsopnames waarop een persoon herkenbaar is.

Er zijn ook bijzondere persoonsgegevens. Die gaan bijvoorbeeld over iemands gezondheid, ras of op welke politieke partij iemand stemt. Tot slot zijn er gevoelige persoonsgegevens. Denk bijvoorbeeld aan het bsn en gegevens over geldzaken. Werk je met bijzondere of gevoelige persoonsgegevens, dan moet je aan strenge regels voldoen.

2. Controleer of je een goede reden hebt om persoonsgegevens te verwerken

Je moet een goede reden ofwel ‘grondslag’ hebben om persoonsgegevens te verwerken.

In de AVG staan zes grondslagen:

  1.  Je hebt toestemming nodig van de persoon om wie het gaat. Voorbeeld: Iemand wil jouw nieuwsbrief ontvangen en klikt op ‘ja’ om toestemming te geven.
  2. Je moet persoonsgegevens bewaren om een overeenkomst uit te voeren. Voorbeeld: Een klant bestelt een product online. Je gebruikt de adresgegevens van de klant om het product te bezorgen.
  3. Je bent volgens de wet verplicht om gegevens te bewaren. Voorbeeld: Je bewaart salarisgegevens van je werknemers omdat in de wet staat dat dit moet.
  4. Je bewaart persoonsgegevens om iemands leven of gezondheid te beschermen. Voorbeeld: Na een ongeluk geeft een arts medische informatie door aan hulpdiensten om iemands leven te redden.
  5. Het is nodig om persoonsgegevens te bewaren om een taak van algemeen belang te vervullen of openbaar gezag uit te oefenen. Meestal zijn dit taken die de overheid volgens de wet moet uitvoeren. Voorbeeld: Een gemeente gebruikt persoonsgegevens om een paspoort aan te vragen of verkiezingen te organiseren.
  6. Je bewaart persoonsgegevens om een belang van de organisatie te beschermen. Dat belang moet belangrijker zijn dan de rechten van degene van wie de gegevens zijn. Voorbeeld: Een bedrijf gebruikt een 'smoelenboek' om ervoor te zorgen dat medewerkers elkaar makkelijker herkennen.

3. Bekijk of je een functionaris nodig hebt

Sommige organisaties moeten een functionaris gegevensbescherming hebben. Dit is iemand die controleert of de organisatie de AVG goed toepast en zich aan de privacyregels houdt. Ook geeft de functionaris advies.

De onafhankelijke functionaris is verplicht bij:

  1. Overheden en .
  2. Bedrijven die veel mensen volgen. Bijvoorbeeld met camera’s of door gezondheidsgegevens te bestuderen.
  3. Bedrijven die veel bijzondere persoonsgegevens bewaren. Denk bijvoorbeeld aan medische gegevens.

4. Controleer of een risico-analyse verplicht is

Als je persoonsgegevens verwerkt die waarschijnlijk een hoog risico voor de privacy opleveren, moet je een data protection impact assessment (DPIA) uitvoeren. Dat is een onderzoek naar de gevaren. Zijn de risico’s hoog? Dan moet je maatregelen nemen om die gevaren kleiner te maken.

Een DPIA is verplicht in deze gevallen:

  1. Als je bijzondere persoonsgegevens verwerkt.
  2. Als je mensen in een openbare ruimte volgt, bijvoorbeeld met beveiligingscamera’s.
  3. Als je gegevens combineert om mensen in een bepaalde categorie of groep in te delen. Dat heet profilering. Met profilering kun je iemand benaderen of beoordelen.
     

5. Werk volgens ‘privacy by design’ en ‘privacy by default’

Je moet in de ontwerpfase van een nieuw product of dienst al rekening houden met de bescherming van persoonsgegevens. Dat noem je ‘privacy by design’ (privacy door ontwerp).

De standaardinstellingen van je product of dienst moeten ook privacyvriendelijk zijn. Zo mag een vakje op een webformulier niet al standaard zijn aangevinkt. Of vraag je iemand die zich wil abonneren op je nieuwsbrief alleen om de gegevens die nodig zijn om de nieuwsbrief te versturen. Dat noem je ‘privacy by default’ (privacy door standaardinstellingen).

AVG: privacy en persoonsgegevens

6. Bekijk of je een verwerkingsregister moet opstellen

Bijna alle bedrijven of organisaties bewaren persoonsgegevens van bijvoorbeeld klanten, leveranciers en personeel. Je bent al snel verplicht om een verwerkingsregister bij te houden. Dat is een overzicht van alle soorten persoonsgegevens die je verwerkt. Het register moet voldoen aan een aantal eisen.

Je legt bijvoorbeeld deze zaken vast:

  • Wat is het doel van de gegevensverwerking?
  • Hoe lang bewaar je de gegevens?
  • Wie hebben er nog meer toegang tot de gegevens, zoals een boekhouder of leverancier.

Lees hier hoe je een verwerkingsregister AVG maakt.

7. Beveilig persoonsgegevens

In de AVG staat dat je persoonsgegevens goed moet beveiligen. Met een paar maatregelen voorkom je dat je eigen persoonsgegevens en die van je klanten openbaar worden. Zo voorkom je een datalek en misbruik van die gegevens. Bepaal welke maatregelen daarvoor nodig zijn. Werk jij digitaal veilig? Dat controleer je met deze checklist.

8. Maak afspraken met anderen die voor jou persoonsgegevens verwerken

Werkt een ander bedrijf of een andere organisatie met persoonsgegevens die je verzamelt en bewaart? Bijvoorbeeld een boekhouder of een accountant? Dan ben je verplicht om een ‘verwerkersovereenkomst’ af te sluiten.

Hierin zet je uitleg over onder meer de verwerking, geheimhoudingsplicht, beveiliging en privacyrechten. Je moet zeker zijn dat ook anderen veilig met jouw data omgaan, want jij blijft verantwoordelijk.

9. Check of je aan de informatieplicht voldoet

Maak een privacyverklaring in eenvoudige taal. Zet daarin wat je doet met persoonlijke gegevens, waar je ze voor gebruikt, hoe lang je ze bewaart en waarom dat belangrijk is.

Zorg dat deze verklaring makkelijk te vinden is. Bijvoorbeeld op je website. Nieuwe en bestaande klanten hebben het recht te weten wat er met hun gegevens gebeurt. Jij moet ze daarover informeren.

10. Zorg dat personen toestemming kunnen intrekken

Je klanten, medewerkers en leveranciers hebben het recht over hun persoonsgegevens te beslissen. Een klant mag bijvoorbeeld een toestemming intrekken. Of bijvoorbeeld vragen welke persoonsgegevens je over hem of haar bewaart. Je moet je klanten daarvoor de mogelijkheid geven.

Heb je geen goede reden om persoonsgegevens te verwerken? Of heb je geen goede reden meer om die te bewaren? Dan moet je de gegevens verwijderen. Degene van wie je de gegevens hebt verwerkt of bewaard, heeft namelijk 'recht op vergetelheid'. Dat betekent dat de organisatie deze persoon ‘vergeet’.

Mensen kunnen een privacyklacht indienen bij Autoriteit Persoonsgegevens (AP). Als die klacht klopt, kun je een boete krijgen.

Aan de slag met AVG

Wil je weten hoe je nog beter met persoonsgegevens om kan gaan?  Ga dan aan de slag met de de Regelhulp AVG van de Autoriteit Persoonsgegevens. Met de Regelhulp kom je erachter wat de invloed is van de AVG op jouw bedrijf.

Anderen lezen ook