AVG-checklist voor de kleine ondernemer: 10 vragen die u moet kunnen beantwoorden

De Algemene Verordening Gegevensbescherming (AVG) klinkt zwaar, maar voor de meeste MKB-bedrijven gaat het over een handvol concrete punten. Doorloop deze 10 vragen — kunt u "ja" zeggen op alle? Dan heeft u de basis op orde.

De 10 controle-vragen

1. Heeft u een privacyverklaring op uw website? Eenvoudige tekst die uitlegt wélke gegevens u verwerkt, waarom, en hoe lang u ze bewaart.
2. Vraagt u expliciet toestemming voor nieuwsbrieven? Vooraf aangevinkte vakjes mogen niet meer sinds 2019.
3. Heeft u een cookie-banner met opt-in voor tracking? Functionele cookies mogen zonder, marketing/analytics niet.
4. Heeft u een verwerkersovereenkomst (DPA) met partijen die voor u data verwerken? Denk aan uw boekhouder, ICT-leverancier, marketing-bureau.
5. Zijn back-ups versleuteld? Een gestolen laptop met onversleutelde klantgegevens is een meldplichtig datalek.
6. Wist u dat een datalek binnen 72 uur gemeld moet worden? Bij de Autoriteit Persoonsgegevens — bij ernstige gevallen ook bij de betrokkenen.
7. Heeft u 2FA op uw e-mail en cloud-systemen? Voorkomt 99% van de phishing-incidenten.
8. Wist u welk type data u verzamelt? Maak één keer een lijst: naam, e-mail, factuuradres, IP-logs, etc. Dat is uw verwerkingsregister.
9. Bewaart u alleen wat u nodig heeft, niet langer dan nodig? Oude offertes uit 2014 horen niet meer in uw inbox.
10. Kunt u een verzoek "geef mij al mijn data" verwerken? Betrokkenen hebben recht op inzage. U moet binnen één maand reageren.

Wat als u één of meer "nee"-antwoorden heeft?

Geen paniek. De meeste tekortkomingen kunt u zelf in een paar uur fixen. Begin bij de privacyverklaring (er zijn gratis generatoren) en de cookie-banner. Voor de DPA's: vraag uw IT-leverancier — een goede partij heeft die kant-en-klaar.

Heeft u een ICT-partner nodig die zelf compliant werkt? Wij leveren een DPA bij elke hosting- of beheer-overeenkomst. Geen extra kosten.