Persoonsgegevens verwerken | AVG-handleiding & checklist

Persoonsgegevens verwerken mag alleen als u daarvoor een duidelijk doel heeft, een geldige juridische basis kiest en passende beveiliging toepast. Onder persoonsgegevens verwerken valt elke handeling met herleidbare informatie, zoals verzamelen, bewaren, delen, aanpassen of verwijderen. Organisaties moeten daarbij rekening houden met de AVG, transparante communicatie, bewaartermijnen en de rechten van betrokkenen. In dit artikel leest u kort en praktisch wat mag, wat verplicht is en welke stappen nodig zijn om zorgvuldig en aantoonbaar compliant te werken.

U mag gegevens alleen gebruiken als daar een rechtmatige basis voor is.
Elke verwerking moet een duidelijk doel, bewaartermijn en passende beveiliging hebben.
Mensen hebben rechten, zoals inzage, correctie, verwijdering en bezwaar.
Met externe partijen die namens u data verwerken, legt u afspraken contractueel vast.
Een register, risicoanalyse en periodieke controle helpen bij aantoonbare naleving.

Of u nu werkt in HR, marketing, IT of als ondernemer zelf verantwoordelijk bent: hieronder vindt u de definities, regels, voorbeelden, checklist en veelgestelde vragen die u direct kunt toepassen.

Bekijk ook onze pagina over privacyverklaring voor een praktisch voorbeeld van transparante informatie aan betrokkenen. Heeft u hulp nodig bij AVG naleving of zoekt u gericht privacyadvies, dan kunt u contact opnemen.

Inhoudsopgave

Wat betekent persoonsgegevens verwerken?

Definitie en voorbeelden van verwerking

Persoonsgegevens verwerken betekent dat u iets doet met informatie die direct of indirect naar een persoon te herleiden is. Dat is veel breder dan alleen verzamelen. Ook opslaan, combineren, analyseren, doorsturen, aanpassen, raadplegen, afschermen en verwijderen vallen onder de verwerking van persoonsgegevens.

Voorbeelden uit de praktijk:

een klant opnemen in een CRM-systeem;
een cv ontvangen via een sollicitatieformulier;
een nieuwsbrief versturen naar abonnees;
toegangspassen registreren op kantoor;
IP-adressen en logbestanden opslaan voor beveiliging;
camerabeelden gebruiken voor toegangscontrole;
loon- en verzuimgegevens verwerken binnen HR.

De wet kijkt niet alleen naar de persoonlijke data zelf, maar ook naar het doel, de noodzaak, de bewaartermijn en de maatregelen voor data bescherming. Werkt u met geautomatiseerde analyses of slimme toepassingen, lees dan ook meer over AI en privacy.

Welke gegevens vallen hieronder?

Niet alle informatie is even gevoelig. In de praktijk maakt de privacywetgeving onderscheid tussen gewone gegevens, gevoelige categorieën en gegevens over strafrechtelijke feiten.

Gewone persoonsgegevens zijn bijvoorbeeld naam, adres, e-mailadres, telefoonnummer, klantnummer en IP-adres.

Bijzondere persoonsgegevens vragen extra zorg. Denk aan gezondheidsinformatie, biometrische gegevens, religieuze overtuiging, etnische afkomst of politieke opvattingen. Voor deze bijzondere persoonsgegevens gelden strengere verwerkingsvoorwaarden en meestal is een aparte wettelijke uitzondering nodig.

Strafrechtelijke persoonsgegevens gaan over strafbare feiten, verdenkingen of opgelegde maatregelen. Ook hiervoor gelden aanvullende beperkingen.

Hoe gevoeliger de gegevens, hoe zwaarder uw plicht op het gebied van gegevensbescherming en privacybescherming.

Het wettelijke kader — AVG en Nederlandse regels

Belangrijkste verplichtingen onder de AVG

De AVG is het centrale kader voor gegevensbescherming binnen de EU. Deze regels verplichten organisaties om zorgvuldig, transparant en aantoonbaar met persoonsgegevens om te gaan. Dat betekent niet alleen dat u de juiste keuzes maakt, maar ook dat u die keuzes kunt onderbouwen.

De belangrijkste verplichtingen zijn:

werk met een duidelijk, specifiek en rechtmatig doel;
gebruik niet meer gegevens dan nodig;
informeer mensen helder over wat u doet;
houd gegevens juist en actueel;
bewaar informatie niet langer dan noodzakelijk;
pas passende technische en organisatorische maatregelen toe;
leg vast hoe u werkt, zodat AVG naleving aantoonbaar is.

Onderdeel van goede privacybescherming is ook dat u uw processen documenteert. Denk aan een register, beleid, interne instructies en een actuele privacyverklaring. Verzamelt u gegevens via formulieren, tracking of cookies, dan is ook een goed cookiebeleid belangrijk.

Rol van de Autoriteit Persoonsgegevens

In Nederland ziet de Autoriteit Persoonsgegevens toe op naleving van de privacywetgeving. Deze toezichthouder kan onderzoeken doen, waarschuwingen geven, corrigerende maatregelen opleggen en boetes uitdelen. Ook publiceert de toezichthouder richtsnoeren die organisaties helpen bij een correcte toepassing van de regels.

Handige bronnen:

Wanneer mag u persoonsgegevens verwerken?

Overzicht van de 6 grondslagen

U mag persoonsgegevens verwerken als daarvoor een geldige verwerkingsgrondslag bestaat. De AVG kent zes grondslagen:

Grondslag	Korte uitleg	Praktijkvoorbeeld
Toestemming	De betrokkene kiest vrij, specifiek en geïnformeerd.	Aanmelding voor een nieuwsbrief.
Uitvoering van een overeenkomst	De gegevens zijn nodig voor een contract of de voorbereiding daarvan.	Adresgegevens gebruiken voor bezorging.
Wettelijke verplichting	De wet verplicht u tot verwerking.	Loonadministratie bewaren voor fiscale regels.
Vitaal belang	De verwerking beschermt leven of gezondheid.	Medische gegevens delen in een noodsituatie.
Algemeen belang of openbaar gezag	De verwerking hoort bij een publieke taak.	Gemeente verwerkt gegevens voor vergunningen.
Gerechtvaardigd belang	Uw belang weegt, na afweging, zwaarder dan de impact op privacy.	Logbestanden gebruiken voor systeembeveiliging.

De juiste verwerkingsgrondslag kiezen is essentieel. Een verkeerde keuze is een van de meest voorkomende oorzaken van non-compliance.

Praktische voorbeelden per grondslag

Toestemming: Een bezoeker schrijft zich vrijwillig in voor een nieuwsbrief. Toestemming moet echt vrij zijn. In een arbeidsrelatie is die vrijheid vaak beperkt, waardoor toestemming daar regelmatig ongeschikt is.
Uitvoering van een overeenkomst: Een webshop gebruikt naam, adres en betaalgegevens om een bestelling te verwerken en te leveren.
Wettelijke verplichting: Een werkgever bewaart loonstroken en fiscale informatie omdat de wet dat vereist.
Vitaal belang: In een acute noodsituatie kan medische informatie worden gedeeld om direct hulp te bieden.
Algemeen belang of openbaar gezag: Een gemeente verwerkt inwonergegevens voor paspoorten of vergunningverlening.
Gerechtvaardigd belang: Een organisatie bewaart IT-logbestanden om misbruik, inbraakpogingen en fraude te detecteren, mits een belangenafweging is gemaakt.

Belangrijk: kies niet automatisch voor toestemming. In veel processen is een andere grondslag juridisch sterker. Toestemming moet bovendien altijd kunnen worden ingetrokken. Wilt u hulp bij de juiste verwerkingsgrondslag of bredere AVG naleving, vraag dan gericht advies aan.

Hoe persoonsgegevens verwerken volgens de AVG in de praktijk werkt

In de praktijk betekent zorgvuldig werken met persoonsgegevens dat u per proces vijf vragen stelt:

Welk doel heeft deze verwerking?
Welke juridische basis past hierbij?
Welke gegevens zijn echt noodzakelijk?
Hoe beschermt u deze informatie technisch en organisatorisch?
Hoe informeert u betrokkenen en respecteert u hun rechten?

Met deze simpele toets voorkomt u dat persoonlijke data zonder noodzaak worden verzameld of te lang blijven staan.

Rechten van betrokkenen en hoe u daarop reageert

Inzage, rectificatie en wissen

Mensen van wie u gegevens gebruikt, hebben wettelijke rechten. Deze rechten van betrokkenen zorgen ervoor dat zij controle houden over hun eigen informatie. Zij mogen opvragen welke gegevens u heeft, waarom u die gebruikt en met wie u ze deelt.

De belangrijkste rechten zijn:

recht op inzage;
recht op rectificatie;
recht op wissen.

Niet elk verzoek tot verwijdering hoeft automatisch te worden ingewilligd. Soms moet u gegevens bewaren vanwege een wettelijke plicht of lopend geschil. U moet wel altijd uitleggen waarom.

Bezwaar, beperking en dataportabiliteit

Daarnaast kunnen betrokkenen bezwaar maken tegen bepaald gebruik van hun gegevens, vragen om beperking van de verwerking of verzoeken om overdracht in een gangbaar digitaal formaat. Dat speelt vaak bij direct marketing, online accounts en diensten die op toestemming of overeenkomst zijn gebaseerd.

Bij bezwaar tegen direct marketing moet u in de regel direct stoppen met dat gebruik.

Stappenplan voor afhandeling van verzoeken

Bevestig de ontvangst van het verzoek.
Controleer de identiteit van de verzoeker zorgvuldig.
Bepaal welk recht wordt ingeroepen.
Verzamel de relevante systemen, data en context.
Beoordeel of er uitzonderingen gelden.
Reageer duidelijk en meestal binnen één maand.
Leg het verzoek en de afhandeling intern vast.

Maak hiervoor bij voorkeur een vaste procedure. Dat voorkomt vertraging en fouten.

Rollen en contracten — verantwoordelijkheden in de keten

Verwerkingsverantwoordelijke vs verwerker

De verwerkingsverantwoordelijke bepaalt waarom en hoe gegevens worden gebruikt. De verwerker voert die verwerking uit namens de verantwoordelijke. Denk aan een hostingpartij, salarisverwerker, CRM-leverancier of cloudprovider.

Het onderscheid is belangrijk, omdat verantwoordelijkheden verschillen. De verantwoordelijke moet kunnen aantonen dat de verwerking rechtmatig is. De verwerker moet zich houden aan de instructies en passende beveiliging toepassen.

Verwerkersovereenkomst: wat moet erin?

Werkt een externe partij namens u met gegevens, dan heeft u meestal een verwerkersovereenkomst nodig. In deze overeenkomst legt u vast hoe de externe partij met data omgaat en welke beveiligings- en meldafspraken gelden.

Een goede verwerkersovereenkomst bevat in elk geval:

het doel en de duur van de verwerking;
de categorieën gegevens en betrokkenen;
afspraken over geheimhouding;
maatregelen voor data bescherming;
de inzet van subverwerkers;
de procedure bij een datalek;
audit- of controlemogelijkheden;
afspraken over teruggave of verwijdering na afloop.

Meer weten? Bekijk ook onze uitleg over de verwerkersovereenkomst.

Wanneer is er een DPO nodig?

Sommige organisaties moeten een functionaris voor gegevensbescherming aanstellen, ook wel functionaris gegevensbescherming of DPO genoemd. Dat is vooral aan de orde bij overheidsinstanties, grootschalige monitoring of grootschalige verwerking van gevoelige gegevens.

Ook als het niet verplicht is, kan zo’n rol helpen bij governance, audits en structurele privacybescherming.

Verplichte en aanbevolen documentatie en maatregelen

Register van verwerkingsactiviteiten

Veel organisaties moeten een register van verwerkingsactiviteiten bijhouden. Daarmee maakt u per proces inzichtelijk wat u doet, waarom u dat doet en welke risico’s en maatregelen daarbij horen.

Leg per verwerking vast:

het doel;
de categorieën persoonsgegevens;
de verwerkingsgrondslag;
ontvangers of derden;
eventuele doorgifte buiten de EU;
de bewaartermijn;
de beveiligingsmaatregelen;
de verantwoordelijke afdeling.

DPIA: hoe en wanneer

Een DPIA is een gegevensbeschermingseffectbeoordeling. Die is nodig als een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van mensen. Denk aan grootschalige monitoring, profilering, gevoelige datasets of nieuwe technologie met grote impact.

Een DPIA beoordeelt onder meer:

het doel van de verwerking;
de noodzaak en proportionaliteit;
de risico’s voor betrokkenen;
de maatregelen om die risico’s te verlagen.

Wilt u een voorbeeld of nadere toelichting, lees dan ook onze pagina over DPIA uitleg.

Technische en organisatorische maatregelen

Goede gegevensbescherming vraagt om passende technische en organisatorische maatregelen, vaak afgekort als TOMs. Welke maatregelen passend zijn, hangt af van de gevoeligheid van de gegevens, de risico’s en de aard van uw organisatie.

Veelgebruikte maatregelen zijn:

rolgebaseerde toegangsrechten;
sterke wachtwoorden en multifactor-authenticatie;
encryptie van gevoelige informatie;
back-ups en herstelprocedures;
logging en monitoring;
patchmanagement en systeemupdates;
training van medewerkers;
een duidelijke datalekprocedure.

Voor websites is goede website beveiliging een logische basis. Lees ook meer over security maatregelen voor extra praktische handvatten.

Praktisch stappenplan & checklist

stappenplan voor persoonsgegevens verwerken volgens de AVG met grondslag risicoanalyse beveiliging en controle

Stap 1: inventarisatie van verwerkingen

Breng eerst alle processen in kaart waarin persoonsgegevens voorkomen. Kijk niet alleen naar klantcontact, maar ook naar HR, marketing, IT-beheer, finance, support en leveranciersbeheer.

Maak per proces duidelijk:

welk doel geldt;
welke gegevens worden gebruikt;
wie toegang heeft;
welke systemen betrokken zijn;
welke grondslag van toepassing is.

Stap 2: risicoanalyse en DPIA

Beoordeel vervolgens de risico’s. Een eenvoudige mailinglijst vraagt iets anders dan cameratoezicht, ziekteverzuimregistratie of grootschalige tracking. Kijk naar kans, impact en mogelijke schade voor betrokkenen. Bij verhoogd risico voert u een DPIA uit.

Stap 3: contracten en procedures

Leg daarna de noodzakelijke afspraken vast. Denk aan een verwerkersovereenkomst, bewaartermijnen, procedures voor inzageverzoeken, instructies voor medewerkers en een duidelijk intern escalatiepad bij incidenten.

Publiceer ook een heldere privacyverklaring. Werkt u met e-mailcampagnes of nieuwsbrieven? Lees dan meer over compliance bij dataverwerking in e-mail en AVG e-mailmarketing.

Stap 4: training en monitoring

Zorg dat medewerkers weten wat wel en niet mag. Regelmatige training is essentieel, zeker voor HR, marketing, klantenservice en IT. Controleer daarnaast periodiek of beleid, contracten en systemen nog aansluiten op de praktijk.

Checklist persoonsgegevens verwerken

Heeft u alle verwerkingen in kaart gebracht?
Is per verwerking een juiste juridische basis gekozen?
Zijn gevoelige gegevens apart beoordeeld?
Is er een actueel register van verwerkingen?
Zijn contracten met externe partijen up-to-date?
Kunnen betrokkenen hun rechten eenvoudig uitoefenen?
Zijn beveiligingsmaatregelen aantoonbaar passend?
Is er een procedure voor datalekken en incidenten?
Worden medewerkers periodiek getraind?
Wordt naleving regelmatig geëvalueerd?

Veelgemaakte fouten en (juridische) consequenties

Concrete cases

Case 1: marketing

Een organisatie mailt oude leads zonder geldige toestemming en zonder goede belangenafweging. Resultaat: klachten, uitschrijvingen en een verhoogd handhavingsrisico.

Case 2: HR

Sollicitatie-cv’s blijven jarenlang in mailboxen staan zonder duidelijke noodzaak of bewaartermijn. Dat vergroot het privacyrisico en is moeilijk te rechtvaardigen.

Case 3: IT-logbestanden

Een bedrijf verzamelt uitgebreide logdata, maar heeft geen duidelijke bewaartermijn en nauwelijks toegangsbeperking. Daardoor ontstaat een onnodig intern risico.

In al deze situaties ontbreekt vaak niet alleen een juridische onderbouwing, maar ook een praktische inrichting van privacy en data bescherming.

Boetes en reputatieschade

Onzorgvuldige verwerking kan leiden tot waarschuwingen, verplichte aanpassingen, claims van betrokkenen en boetes van de Autoriteit Persoonsgegevens. Daarnaast is reputatieschade vaak minstens zo ingrijpend. Klanten en medewerkers vertrouwen organisaties minder snel als blijkt dat informatie onzorgvuldig is behandeld.

Recente handhaving laat zien dat toezichthouders vooral scherp letten op gebrekkige beveiliging, onvoldoende transparantie, een ondeugdelijke grondslag en het ontbreken van passende documentatie.

Tools, templates en voorbeelden

Voorbeeld verwerkersovereenkomst

Een bruikbaar basisdocument bevat minimaal de partijen, het doel van de verwerking, beveiligingsafspraken, regels voor subverwerkers, auditmogelijkheden, instructies en de aanpak bij datalekken. Pas het document altijd aan op uw feitelijke situatie.

DPIA-checklist

Is de verwerking noodzakelijk voor het doel?
Gaat het om gevoelige of grootschalige gegevensverwerking?
Worden mensen gevolgd, beoordeeld of geprofileerd?
Wat zijn de grootste risico’s voor betrokkenen?
Welke maatregelen verlagen die risico’s?
Blijft een hoog restrisico bestaan?

Registratiesjabloon

Gebruik voor uw interne register een vast sjabloon met kolommen voor proces, doel, categorie gegevens, grondslag, bewaartermijn, ontvangers, beveiliging en verantwoordelijke afdeling. Dat maakt controle eenvoudiger en ondersteunt aantoonbare AVG naleving.

Bekijk de checklist, vraag vrijblijvend AVG-advies aan of bekijk onze pagina over de verwerkersovereenkomst voor een basisopzet.

Veelgestelde vragen over persoonsgegevens verwerken

Wat valt onder het verwerken van persoonsgegevens?

Vrijwel elke handeling met herleidbare informatie valt hieronder: verzamelen, opslaan, bekijken, delen, aanpassen, combineren en verwijderen. Het begrip is dus veel breder dan alleen registratie.

Wanneer heb ik toestemming nodig?

Toestemming is nodig als er geen betere juridische basis is en iemand echt vrij kan kiezen. In afhankelijkheidsrelaties, zoals werk, is toestemming vaak geen sterke grondslag.

Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker?

De verantwoordelijke bepaalt het doel en de middelen van de verwerking. De verwerker voert werkzaamheden uit namens die partij, bijvoorbeeld als software- of hostingleverancier.

Wanneer moet ik een DPIA uitvoeren?

Een DPIA is nodig als een verwerking waarschijnlijk een hoog risico oplevert voor betrokkenen, zoals bij grootschalige monitoring, profilering of het gebruik van gevoelige informatie.

Hoe reageer ik op een verzoek tot inzage?

Bevestig het verzoek, controleer de identiteit, verzamel de relevante gegevens en reageer duidelijk binnen de wettelijke termijn. Leg de afhandeling intern vast voor aantoonbaarheid.

Mag ik gegevens gebruiken voor marketing?

Dat hangt af van het kanaal, het doel en de gekozen grondslag. Voor sommige vormen van marketing is toestemming nodig, in andere gevallen kan een belangenafweging mogelijk zijn.

Hoe lang mag ik gegevens bewaren?

Niet langer dan nodig voor het oorspronkelijke doel, tenzij een wettelijke bewaarplicht geldt. Stel daarom per proces een concrete bewaartermijn vast.

Welke boetes kan de Autoriteit Persoonsgegevens opleggen?

De toezichthouder kan hoge boetes en corrigerende maatregelen opleggen. Daarnaast kunnen onderzoekskosten, herstelwerk en reputatieschade de impact aanzienlijk vergroten.

Conclusie

Persoonsgegevens verwerken vraagt om duidelijke keuzes, passende beveiliging en goede documentatie. Als u per proces het doel, de grondslag, de bewaartermijn, de risico’s en de rechten van betrokkenen goed regelt, werkt u niet alleen juridisch zorgvuldiger, maar ook praktischer en betrouwbaarder.

Wilt u direct aan de slag? Bekijk dan de gratis checklist, controleer uw contracten, actualiseer uw privacyverklaring en vraag vrijblijvend privacyadvies aan als u ondersteuning wilt bij AVG naleving. Heeft u behoefte aan structurele begeleiding, bekijk dan ook deze pagina voor een functionaris gegevensbescherming.