AVG-checklist voor het MKB: zo breng je het op orde
De AVG voelt voor veel ondernemers als een onafzienbare lijst verplichtingen, en dat maakt het moeilijk om te beginnen. Maar voor de meeste MKB-bedrijven is op AVG-orde komen behapbaarder dan het lijkt: het draait om een handvol kernzaken goed regelen, niet om een eindeloze papierwinkel. Een heldere checklist helpt je om grip te krijgen, te zien waar je staat, en te bepalen wat er nog moet gebeuren. Geen garantie op volledigheid, maar een praktisch startpunt dat je het overzicht geeft.
In dit artikel vind je een praktische AVG-checklist voor het MKB: de belangrijkste punten op een rij, zodat je kunt nagaan of je basis op orde is. Belangrijk vooraf: dit is een hulpmiddel met algemene punten, geen juridisch advies en geen garantie dat je volledig voldoet. Voor zekerheid in jouw specifieke situatie, zeker bij gevoelige of omvangrijke verwerkingen, raadpleeg je een privacydeskundige. Gebruik deze checklist om gestructureerd te beginnen en te zien waar aandacht nodig is.
Hoe je deze checklist gebruikt
Loop de punten hieronder langs en bepaal per punt: heb ik dit op orde, of moet hier nog iets gebeuren? De punten zijn geordend van "weten wat je hebt" naar "het goed geregeld hebben". Het eerste punt is het belangrijkste, want zonder overzicht kun je de rest niet goed doen.
Behandel deze lijst als een startpunt, niet als een afvinklijst die je volledig dekt. Hij helpt je de belangrijke gebieden langs te lopen en te zien waar je staat. Waar je merkt dat iets onduidelijk of ingewikkeld is, is dat het signaal om je te verdiepen of advies te halen.
De checklist
1. Overzicht van je persoonsgegevens
Heb je in kaart welke persoonsgegevens je verwerkt? Weet je welke gegevens je verzamelt, waar ze vandaan komen, waar ze staan en waarvoor je ze gebruikt? Dit overzicht is de basis voor al het andere. Zonder dit kun je de overige punten niet goed beoordelen.
2. Grondslag en dataminimalisatie
Heb je voor elke verwerking een geldige reden? En verzamel je niet meer gegevens dan nodig? Loop na of je gegevens hebt die je eigenlijk niet gebruikt, en of je een goede reden hebt voor wat je wel verzamelt.
3. Bewaartermijnen
Bewaar je gegevens niet langer dan nodig? Heb je bepaald hoe lang je verschillende soorten gegevens bewaart, met inachtneming van wettelijke bewaarplichten, en ruim je verlopen gegevens op? Zie Persoonsgegevens bewaren.
4. Beveiliging
Zijn je persoonsgegevens goed beveiligd? Goede beveiliging is een kernverplichting én je beste bescherming tegen datalekken. Dit raakt direct aan je cybersecurity: denk aan toegangsbeheer, tweefactorauthenticatie en back-ups.
5. Privacyverklaring
Heb je een actuele privacyverklaring die bij je praktijk past? En is hij vindbaar en begrijpelijk? Zie Privacyverklaring maken. Let op dat hij je werkelijke situatie beschrijft, niet een gekopieerd voorbeeld.
6. Verwerkersovereenkomsten
Heb je afspraken met partijen die voor jou persoonsgegevens verwerken? Denk aan clouddiensten, je boekhouder of je ICT-beheerder. Zie Verwerkersovereenkomst. Breng in kaart welke partijen dit zijn en of er een overeenkomst is.
7. Rechten van betrokkenen
Weet je hoe je omgaat met verzoeken van mensen over hun gegevens? Mensen hebben rechten rond hun persoonsgegevens, en je moet weten hoe je daarop reageert als iemand een verzoek doet. Spreek af wie dit oppakt en hoe.
8. Datalekken
Ben je voorbereid op een datalek? Weet je wat een datalek is, wanneer je moet melden, en wie wat doet als het gebeurt? Zie Datalek melden. Zorg dat medewerkers een vermoedelijk lek veilig en snel kunnen melden.
9. Bewustzijn bij medewerkers
Weten je medewerkers het belangrijkste over zorgvuldig omgaan met gegevens? Veel AVG-risico's, zoals datalekken, ontstaan door menselijke fouten. Bewustzijn bij je team is een onderschatte maar belangrijke beschermingslaag.
10. Verantwoordelijkheid
Is er iemand die de AVG binnen je bedrijf bewaakt? Niet per se een formele functionaris, maar iemand die zorgt dat het op orde blijft en aandacht houdt voor wijzigingen. Zonder eigenaar verwatert het snel.
Na de checklist
Heb je de punten langsgelopen, dan weet je waar je staat en wat er nog moet gebeuren. Pak de openstaande punten op in een logische volgorde, te beginnen bij het overzicht van je gegevens en de beveiliging, want die zijn het belangrijkst. Je hoeft niet alles tegelijk perfect te hebben; gestaag de basis op orde brengen is waardevoller dan eindeloos uitstellen omdat het geheel overweldigend lijkt.
En onthoud: de AVG is geen eenmalig project maar een doorlopende zorg. Je praktijk verandert, en je AVG-basis moet meeveranderen. Een periodieke check met deze lijst, bijvoorbeeld jaarlijks, helpt om op orde te blijven. Waar het ingewikkeld of risicovol wordt, is deskundig advies de verstandige volgende stap. Zie het bredere AVG-dossier voor de achtergrond bij elk punt.
Veelgestelde vragen
Wat zijn de belangrijkste AVG-punten voor het MKB?
De kern: weet welke persoonsgegevens je hebt en waarvoor, heb een geldige reden en verzamel niet meer dan nodig, bewaar niet langer dan nodig, beveilig de gegevens goed, heb een kloppende privacyverklaring, maak afspraken met partijen die voor jou verwerken, weet hoe je omgaat met rechten en datalekken, en maak iemand verantwoordelijk. Het overzicht van je gegevens en de beveiliging zijn het belangrijkst om mee te beginnen.
Hoe weet ik of ik aan de AVG voldoe?
Een checklist als deze helpt je de belangrijke gebieden langs te lopen en te zien waar je staat, maar geeft geen garantie op volledigheid. Echte zekerheid over of je in jouw specifieke situatie voldoet, zeker bij gevoelige of omvangrijke verwerkingen, krijg je het best via een privacydeskundige. Gebruik de checklist om gestructureerd te beginnen en te ontdekken waar aandacht of verdieping nodig is.
Waar begin ik met de AVG op orde brengen?
Begin met het in kaart brengen van welke persoonsgegevens je hebt en waarvoor, want zonder dat overzicht kun je de rest niet goed beoordelen. Pak daarna de beveiliging aan, want die is zowel een kernverplichting als je beste bescherming tegen datalekken. Werk vandaaruit de overige punten af in een logische volgorde. Gestaag de basis op orde brengen is beter dan uitstellen omdat het geheel overweldigt.
Moet ik een functionaris voor gegevensbescherming aanstellen?
Dat hangt af van je situatie; voor veel MKB-bedrijven is een formele functionaris niet verplicht, maar de verplichting is situatieafhankelijk. Belangrijker voor de meeste bedrijven is dat íemand de AVG bewaakt en zorgt dat het op orde blijft, ook zonder formele titel. Of een formele functionaris in jouw geval verplicht is, kun je het best bij een deskundige of de officiële bronnen controleren.
Is deze checklist juridisch advies?
Nee. Dit is een hulpmiddel met algemene punten om gestructureerd te beginnen, geen juridisch advies en geen garantie dat je volledig aan de AVG voldoet. Voor zekerheid in jouw specifieke situatie, zeker bij gevoelige of omvangrijke verwerkingen, raadpleeg je een privacydeskundige. Gebruik de checklist om te zien waar je staat en waar aandacht nodig is, en verdiep je of haal advies waar punten onduidelijk of ingewikkeld blijken.
---