Een grondige privacy-audit die je verwerkingsregister, DPIA-verplichting, datalekprocedures en verwerkersovereenkomsten toetst aan de AVG-vereisten.
De Algemene Verordening Gegevensbescherming (AVG) is sinds 2018 van kracht, maar in de praktijk blijkt dat veel organisaties nog steeds niet volledig compliant zijn. Een verwerkingsregister dat niet is bijgewerkt, ontbrekende verwerkersovereenkomsten, geen DPIA uitgevoerd terwijl dat wel had gemoeten, of een datalekprocedure die alleen op papier bestaat. De Autoriteit Persoonsgegevens handhaaft steeds actiever, met boetes die oplopen tot miljoenen euro's, ook voor MKB-bedrijven.
Een AVG compliance audit brengt systematisch in kaart waar je organisatie staat ten opzichte van de privacy-wetgeving. We toetsen niet alleen de formele documenten, maar ook de dagelijkse praktijk. Want een verwerkingsregister dat niet overeenkomt met de werkelijke verwerkingen is erger dan helemaal geen register — het laat zien dat je organisatie de wetgeving niet serieus neemt.
Onze audit begint met een inventarisatie van alle persoonsgegevensverwerkingen in je organisatie. Van klantgegevens in je CRM tot medewerkersdata in je HR-systeem, van websitebezoekersdata in Google Analytics tot leverancierscontactpersonen in je inkoopapplicatie. Veel organisaties onderschatten hoeveel persoonsgegevens ze verwerken en in hoeveel verschillende systemen die staan.
Per verwerking beoordelen we of er een geldige verwerkingsgrondslag is, of het doel duidelijk en rechtmatig is, of de bewaartermijn is vastgelegd en of de gegevens adequaat beveiligd zijn. We controleren of verwerkersovereenkomsten aanwezig en actueel zijn met alle partijen die namens jou persoonsgegevens verwerken. En we toetsen of je privacyverklaring klopt met de werkelijke praktijk.
Daarnaast beoordelen we of een Data Protection Impact Assessment (DPIA) vereist is. De AVG verplicht een DPIA bij verwerkingen die een hoog risico opleveren voor betrokkenen, zoals grootschalige verwerking van bijzondere persoonsgegevens, systematische monitoring of geautomatiseerde besluitvorming. Veel organisaties weten niet dat ze DPIA-plichtig zijn.
Tot slot toetsen we je datalekprocedure. Kun je binnen 72 uur een datalek melden bij de Autoriteit Persoonsgegevens? Weten medewerkers hoe ze een datalek herkennen en bij wie ze het moeten melden? Is er een intern register van datalekken? Bij CleverTech combineren we juridische kennis van de AVG met technische expertise om een compleet beeld te geven van je privacy-compliance.
Concrete onderdelen en wat u kunt verwachten
Het verwerkingsregister is het fundament van AVG-compliance. Artikel 30 verplicht elke organisatie om een register bij te houden van alle verwerkingsactiviteiten. In de praktijk blijkt dit register vaak onvolledig, verouderd of afwezig. Onze audit inventariseert alle verwerkingen en toetst ze aan je bestaande register — of stelt het register op als dat nog ontbreekt. Per verwerking beoordelen we de verwerkingsgrondslag. De AVG kent zes grondslagen: toestemming, overeenkomst, wettelijke verplichting, vitaal belang, publiek belang en gerechtvaardigd belang. De keuze van grondslag heeft directe gevolgen voor de rechten van betrokkenen en de eisen aan je verwerking. We zien regelmatig dat organisaties ten onrechte toestemming als grondslag gebruiken terwijl overeenkomst of gerechtvaardigd belang meer geschikt is, of andersom. We controleren ook de bewaartermijnen. De AVG eist dat persoonsgegevens niet langer worden bewaard dan noodzakelijk voor het verwerkingsdoel. Maar wat is noodzakelijk? We helpen je bij het vaststellen van realistiche bewaartermijnen die voldoen aan de wet zonder dat je bedrijfsvoering in gevaar komt.
Een Data Protection Impact Assessment (DPIA) is verplicht wanneer een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd met verwerkingen waarvoor een DPIA verplicht is, maar die lijst is niet uitputtend. Onze audit beoordeelt per verwerking of een DPIA vereist is. Indicatoren voor een DPIA-verplichting zijn: systematische en uitgebreide profilering, grootschalige verwerking van bijzondere persoonsgegevens, systematische monitoring van openbare ruimten, gebruik van nieuwe technologieen, geautomatiseerde besluitvorming met rechtsgevolgen en op grote schaal verzamelen van gegevens via internet of apps. Als een DPIA vereist is, begeleiden we je door het proces. We inventariseren de risico's voor betrokkenen, beoordelen de noodzaak en evenredigheid van de verwerking, identificeren maatregelen om de risico's te beperken en documenteren het hele proces. Het resultaat is een DPIA-rapport dat aan de wettelijke eisen voldoet en dat je kunt overleggen als de Autoriteit Persoonsgegevens erom vraagt.
Sinds 2016 geldt in Nederland de meldplicht datalekken, die met de AVG verder is aangescherpt. Een datalek — elke inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens — moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens als het risico oplevert voor betrokkenen. Onze audit toetst je datalekprocedure op volledigheid en werkbaarheid. Weten medewerkers wat een datalek is? Is er een meldpunt binnen de organisatie? Kan er binnen 72 uur een melding worden gedaan bij de AP? Worden betrokkenen geinformeerd wanneer het datalek een hoog risico voor hen oplevert? Is er een intern datalekregister? We testen de procedure ook op praktische uitvoerbaarheid. Een datalekprocedure die alleen in het hoofd van de IT-manager zit, werkt niet als die persoon op vakantie is. We adviseren over het inrichten van een datalekteam, het trainen van medewerkers op het herkennen van datalekken en het opstellen van meldingsformulieren die het 72-uurproces versnellen.
Elke partij die namens jouw organisatie persoonsgegevens verwerkt — van je hosting provider tot je salarisverwerker, van je e-maildienst tot je cloudopslag — moet een verwerkersovereenkomst hebben ondertekend. In de praktijk ontbreken deze overeenkomsten vaak, zijn ze verouderd of dekken ze niet alle verwerkingen af. Onze audit inventariseert alle verwerkers en subverwerkers, controleert of er geldige verwerkersovereenkomsten zijn en toetst de inhoud aan de AVG-vereisten van artikel 28. We letten specifiek op beveiligingseisen, subverwerkersbepaling, auditrechten, bijstandsverplichtingen en de afspraken over bewaartermijnen en teruggave van gegevens bij beeindiging. Bijzondere aandacht besteden we aan internationale doorgifte van persoonsgegevens. Gebruik je Amerikaanse cloudiensten? Dan moet je borgen dat er een geldig doorgiftemechanisme is, zoals de EU-US Data Privacy Framework-listing van de aanbieder of Standard Contractual Clauses. We beoordelen je internationale gegevensstromen en adviseren over de juiste beschermingsmaatregelen.
Concrete voorbeelden van hoe bedrijven avg/gdpr compliance audit inzetten
Antwoorden op veelgestelde vragen over avg/gdpr compliance audit
Vraag niet beantwoord?
Neem contact met ons op - ga naar de contactpaginaGDPR-boetes kunnen oplopen tot 20 miljoen of 4% van je jaaromzet. Leer hoe je AI inzet zonder de Autoriteit Persoonsgegevens op je dak te krijgen.
De EU AI Act deadline nadert. Ontdek wat Nederlandse bedrijven nu moeten doen: risicoclassificatie, documentatie-eisen en een praktische compliance checklist.
Elk bedrijf dat AI gebruikt heeft een AI-beleid nodig. Deze praktische gids met template helpt je om in 5 stappen een compleet AI-beleid op te stellen.
Ontdek andere aspecten van onze security audit dienst
Van servers en werkplekken tot cloud-configuraties en netwerksegmentatie — ontdek kwetsbaarheden voordat aanvallers dat doen.
Meer infoEen systematische analyse van je systemen op bekende kwetsbaarheden, met CVSS-scoring en een concreet verbeterplan op volgorde van urgentie.
Meer infoDe NIS2-richtlijn stelt nieuwe eisen aan cybersecurity voor een brede groep organisaties. Ontdek met een gap-analyse exact welke stappen jij nog moet zetten.
Meer infoEen gestructureerd 30-60-90 dagen verbeterplan dat je stap voor stap naar een aantoonbaar hoger beveiligingsniveau brengt, met heldere prioriteiten en budgetramingen.
Meer infoOntdek hoe je team reageert op realistische phishing-aanvallen en social engineering-technieken, en verhoog het bewustzijn met gerichte training.
Meer infoOntdek hoe avg/gdpr compliance audit uw bedrijf kan versterken. Geen verplichtingen.
