1. Wat is een verordening en hoe werkt de AVG?
1.1 Het juridische karakter van een verordening
Een verordening is een bindende wettelijke regel die automatisch en uniform geldt in alle EU-lidstaten. In tegenstelling tot richtlijnen, die doelen stellen maar de nationale overheden vrijlaten om te bepalen hoe ze die invoeren, is een verordening direct van kracht zonder dat er nationale wetgeving nodig is.
Voor bedrijven betekent dit dat een EU-verordening zoals de Algemene Verordening Gegevensbescherming (AVG) overal in Europa op dezelfde manier moet worden toegepast.
1.2 De AVG: rechtstreeks toepasselijk EU-recht
De AVG verplicht alle organisaties in de EU om persoonsgegevens zorgvuldig, transparant en veilig te verwerken. Omdat het een verordening is:
- Gelden dezelfde regels in alle EU-landen.
- Kunnen individuen (klanten, werknemers, partners) hun rechten direct inroepen op basis van de AVG.
- Moeten organisaties zelf hun naleving organiseren, zonder te wachten op nationale instructies.
De AVG legt verplichtingen op zoals:
- Het beveiligen van persoonsgegevens
- Het documenteren van verwerkingsactiviteiten
- Het faciliteren en naleven van rechten van betrokkenen
2. Rechten van betrokkenen die organisaties moeten respecteren
| Recht | Wat dit betekent voor organisaties | Voorbeeld |
|---|---|---|
| Recht op informatie | Transparante communicatie over de verwerking van gegevens | Duidelijke privacyverklaring op de website |
| Recht op inzage | Een overzicht geven van opgeslagen persoonsgegevens | Klant ontvangt lijst van alle opgeslagen gegevens |
| Recht op rectificatie | Onjuiste of verouderde gegevens corrigeren | Adres van werknemer aanpassen |
| Recht op gegevenswissing | Gegevens verwijderen zonder geldige rechtsgrond | Verwijderen van oud klantenaccount |
| Recht op beperking van verwerking | Tijdelijk stoppen van verwerking op verzoek | Verwerking pauzeren tijdens een geschil |
| Recht op overdraagbaarheid | Gegevens in een gestructureerd, machineleesbaar formaat aanleveren | Klantgegevens in CSV-formaat |
| Recht van bezwaar | Verwerking voor bepaalde doelen stoppen na bezwaar | Uitschrijven van marketingmails |
| Recht op menselijke tussenkomst | Menselijke beoordeling bij geautomatiseerde besluiten | Handmatige beoordeling van afgewezen lening |
3. Het faciliteren van deze rechten
Organisaties moeten het eenvoudig maken voor betrokkenen om hun rechten uit te oefenen:
Toegestaan:
- Eenvoudige procedures: aanvraagformulieren zijn prima, maar mogen niet de enige optie zijn.
- Evenredige identiteitscontrole: vraag alleen de minimaal noodzakelijke gegevens.
- Reactietermijn van één maand: verlengbaar tot maximaal twee maanden in uitzonderlijke gevallen.
- Kosteloos: tenzij verzoeken buitensporig of herhaald zijn.
Verboden obstakels zijn o.a.:
- Onnodig complexe aanvraagprocedures
- Overmatige eisen aan persoonsgegevens
- Onnodig vertragen of negeren van verzoeken
- Kosten rekenen voor standaardverzoeken
4. Toegestane en verboden procedures
✅ Toegestaan
- Gebruiksvriendelijke formulieren met alternatieven zoals e-mail
- Minimale identiteitsverificatie (bijvoorbeeld een verificatiecode per e-mail)
- Digitale logging van verzoeken voor audits
- Duidelijke interne instructies voor snelle afhandeling
- Automatiseren van eenvoudige verzoeken met behoud van transparantie
🚫 Verboden
- Verplichte registratie op een platform om een verzoek in te dienen
- Overmatige gegevensvragen (zoals een volledige paspoortkopie)
- Doorverwijzen naar derden als je zelf verantwoordelijk bent
- Vertraging zonder geldige reden
- Kosten rekenen voor standaardverzoeken
5. Praktische handleiding: AVG-verzoeken afhandelen
Stap 1 – Ontvangst: Bevestig binnen 5 werkdagen.
Stap 2 – Identificatie: Vraag alleen wat strikt noodzakelijk is.
Stap 3 – Beoordeling: Controleer wettelijke uitzonderingen en zoek relevante systemen op.
Stap 4 – Uitvoering: Voer het verzoek uit en registreer het.
Stap 5 – Reactie: Antwoord binnen één maand en leg helder uit.
Stap 6 – Archiveren: Documenteer voor audits en bewaar alleen noodzakelijke gegevens.
6. Voorbeeld standaardreacties
Ontvangstbevestiging
Wij bevestigen de ontvangst van uw AVG-verzoek en zullen binnen één maand reageren.
Toekenning
Uw verzoek is goedgekeurd. De gevraagde gegevens zijn [verstrekt / aangepast / verwijderd].
Afwijzing
Helaas kunnen wij uw verzoek niet inwilligen wegens [wettelijke reden]. U kunt een klacht indienen bij de toezichthouder.
7. Interne compliance checklist
- Is er een duidelijke interne procedure?
- Zijn medewerkers getraind in het herkennen en afhandelen van verzoeken?
- Wordt elk verzoek geregistreerd?
- Is de privacyverklaring actueel en duidelijk?
- Zijn er geen onnodige belemmeringen?
8. Uitvoeringswet AVG (UAVG) in Nederland
In Nederland vult de UAVG de AVG aan met o.a.:
- Uitzonderingen voor bepaalde sectoren (journalistiek, veiligheid)
- Eisen voor toegankelijke communicatie
- Extra sectorregels (zoals zorg of publieke sector)
Conclusie voor bedrijven
AVG‑naleving is meer dan een privacyverklaring op papier. Het vraagt om toegankelijke, transparante en efficiënte processen waarmee betrokkenen hun rechten eenvoudig kunnen uitoefenen. Door onnodige drempels te vermijden, voorkom je boetes en bouw je vertrouwen op.
Toegestane en verboden procedures voor bedrijven onder de AVG
Naleving gaat verder dan beleid. Organisaties moeten ook zorgen dat de praktische uitvoering van privacyrechten goed is geregeld. Hieronder voorbeelden van toegestane en verboden werkwijzen.
✅ Toegestane procedures
- Gebruiksvriendelijke formulieren voor inzage, correctie of verwijdering, met alternatieven zoals e‑mail
- Identiteitsverificatie met minimale gegevens (bijvoorbeeld verificatiecode per e‑mail) ter voorkoming van misbruik
- Digitale registratie van verzoeken en afhandeling voor auditdoeleinden
- Duidelijke interne instructies zodat medewerkers direct kunnen handelen
- Automatisering van eenvoudige verzoeken, mits rechten niet worden beperkt
🚫 Verboden procedures
- Verplichte registratie op platform of app om een verzoek te doen
- Overmatige gegevens eisen (bijvoorbeeld volledige paspoortkopie inclusief BSN voor een simpel verzoek)
- Verzoeker doorverwijzen naar derden terwijl je zelf verantwoordelijk bent
- Onnodige vertraging of verlenging zonder geldige reden
- Kosten rekenen voor standaardverzoeken
Stappen om compliant te blijven
- Breng alle verwerkte persoonsgegevens in kaart en leg vast in een register
- Stel een interne procedure op met termijnen en verantwoordelijkheden
- Communiceer helder hoe betrokkenen hun rechten uitoefenen
- Voer periodieke controles uit en train medewerkers
- Werk samen met de Functionaris Gegevensbescherming (indien aangesteld)
- Evalueer processen regelmatig om onbedoelde obstakels te voorkomen
Conclusie voor bedrijven
Naleving betekent niet alleen juridische verplichtingen nakomen, maar ook rechten praktisch faciliteren. Met toegankelijke procedures en zonder verboden barrières verlaag je het risico op klachten en boetes en toon je verantwoording richting klanten en medewerkers.
Praktijkdocument: naleving van de AVG voor bedrijven
Dit onderdeel biedt een praktische leidraad om AVG‑verplichtingen correct na te leven. Het bevat:
- Een modelprocedure voor het afhandelen van verzoeken van betrokkenen
- Voorbeeldteksten voor standaardreacties
- Een interne audit‑checklist voor compliance
1. Modelprocedure: AVG‑verzoeken afhandelen
Stap 1: Ontvangst van het verzoek
Verzoeken kunnen schriftelijk of per e‑mail worden ingediend.
- Bevestig ontvangst binnen 5 werkdagen.
- Controleer of duidelijk is welk recht wordt ingeroepen (inzage, rectificatie, wissing, enzovoort).
Stap 2: Identificatie van de betrokkene
- Vraag alleen aanvullende informatie indien nodig voor verificatie.
- Gebruik bij voorkeur een veilige methode, bijvoorbeeld via een bestaand klantaccount.
- Vraag geen onnodige kopieën of gevoelige data (zoals volledige paspoortkopie).
Stap 3: Beoordeling van het verzoek
- Controleer of wettelijke uitzonderingen gelden (bijvoorbeeld in de UAVG).
- Bepaal welke systemen en dossiers moeten worden geraadpleegd.
- Beoordeel of uitvoering binnen de wettelijke termijn mogelijk is.
Stap 4: Uitvoering van het verzoek
- Voer de gevraagde handeling uit (inzage, correctie, wissing, beperking, enzovoort).
- Documenteer elke stap in het interne AVG‑register.
Stap 5: Reactie aan de betrokkene
- Reageer binnen één maand, of met onderbouwing binnen maximaal drie maanden.
- Leg duidelijk en begrijpelijk uit welke acties zijn ondernomen.
- Bij afwijzing: geef een juridisch onderbouwde reden en wijs op het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Stap 6: Archiveren
- Leg verzoek, beoordeling en reactie vast voor interne audits.
- Bewaar alleen wat noodzakelijk is voor het verzoek.
2. Voorbeeldteksten voor standaardreacties
📧 Ontvangstbevestiging
Geachte [Naam],
Wij bevestigen de ontvangst van uw verzoek op grond van de AVG.
Wij beoordelen uw verzoek en informeren u binnen één maand over de uitkomst.
Met vriendelijke groet,
[Organisatienaam]
📧 Toekenning
Geachte [Naam],
In reactie op uw verzoek op grond van de AVG laten wij u weten dat uw verzoek is gehonoreerd.
De gevraagde gegevens zijn [bijgevoegd / bijgewerkt / verwijderd] zoals verzocht.
Met vriendelijke groet,
[Organisatienaam]
📧 Afwijzing (met reden)
Geachte [Naam],
Wij hebben uw verzoek op grond van de AVG zorgvuldig beoordeeld.
Helaas kunnen wij uw verzoek niet inwilligen wegens [wettelijke reden].
U kunt bezwaar maken of een klacht indienen bij de Autoriteit Persoonsgegevens ([URL]).
Met vriendelijke groet,
[Organisatienaam]
3. Interne audit‑checklist: AVG‑compliance
✅ Procedure
- Is there a clear internal process for handling GDPR requests?
- Zijn medewerkers getraind om verzoeken te herkennen en af te handelen?
✅ Documentatie
- Wordt elk verzoek geregistreerd?
- Is de afhandeling audit‑proof gedocumenteerd?
✅ Termijnen
- Worden alle verzoeken binnen een maand beantwoord?
- Worden verlengingen tijdig en gemotiveerd gecommuniceerd?
✅ Communicatie
- Is de privacyverklaring up‑to‑date en begrijpelijk?
- Zijn betrokkenen geïnformeerd over hun rechten?
✅ Drempels
- Zijn er geen onnodige obstakels zoals complexe formulieren of kosten?
- Is identiteitscontrole proportioneel?
Conclusie voor bedrijven
AVG‑naleving is geen eenmalige taak maar een continu proces dat duidelijke procedures, bewust personeel en transparantie vereist. Door de verordening te begrijpen, de rechten van betrokkenen te respecteren, alleen toegestane procedures toe te passen en een gedocumenteerd proces te volgen, verklein je juridische risico’s en bouw je duurzaam vertrouwen op bij klanten, medewerkers en partners.
Met RealCob wordt AVG‑naleving praktisch en efficiënt. Van ingebouwde sjablonen en automatische tracking van verzoeken tot deadlinebewaking en auditklare rapportages, RealCob geeft je de tools om privacyverplichtingen met vertrouwen te managen.