+31 40 369 06 80
[email protected]

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Afspraak

Law & More Logo

Nieuws

Zo kun je privacybeleid opstellen: stappenplan en voorbeeld

september 5, 2025
foto van een vrouw

Heb je een webshop, een nieuwsbrief of gewoon een contactformulier op je site? Dan verzamel je al persoonsgegevens – en daar hoort een helder privacybeleid bij. Zonder zo’n document loop je niet alleen het risico op forse boetes van de Autoriteit Persoonsgegevens, je mist ook een kans om vertrouwen op te bouwen bij klanten, partners en werknemers. Een goed opgesteld beleid laat zien dat jij grip hebt op alle data­stromen in je organisatie en dat rechten van betrokkenen serieus worden genomen.

Maar waar begin je, welke informatie móét erin en hoe zorg je dat het allemaal AVG-proof is? Dit artikel loodst je stap voor stap door het proces: van het inventariseren van je datastromen en het kiezen van de juiste grondslag tot het schrijven van een begrijpelijke privacyverklaring die direct online kan. Inclusief checklists, voorbeeld­teksten en praktische tips waarmee je vandaag nog aan de slag kunt. Klaar om jouw organisatie dataproof te maken? Lees dan verder.

Stap 1: Bepaal het doel en de reikwijdte van je privacybeleid

Een privacybeleid opstellen begint met scherp krijgen waarom je het document maakt en welke activiteiten er precies onder vallen. Zie het als een strategisch routeboek: het geeft richting aan iedereen die binnen je organisatie met persoonsgegevens werkt en laat externen zien dat je AVG-compliant bent. Een helder afgebakend doel voorkomt losse flodders, versnelt interne besluitvorming en beperkt het risico op boetes of reputatieschade.

Wanneer heb je een privacybeleid nodig?

Zodra je enig persoonsgegeven verwerkt, geldt de AVG. Dat gebeurt sneller dan je denkt:

  • een webshop die adressen opslaat voor verzending
  • een HR-afdeling met salarisadministratie
  • een nieuwsbrief via Mailchimp
  • cameratoezicht in het magazijn

Groot of klein, profit of non-profit: iedereen die gegevens verzamelt, moet kunnen uitleggen wat hij doet en waarom.

Privacyverklaring versus privacybeleid: begrippen op één lijn zetten

Kenmerk Privacyverklaring (extern) Privacybeleid (intern)
Doelgroep Klanten, bezoekers, sollicitanten Medewerkers, bestuur, verwerkers
Detailniveau Hoogover: wat, waarom, rechten Uitgebreid: processen, risico’s, TOM’s
Vorm Webpagina/pdf, B1-taal Handboek, intranet, gedeelde drive
Bewaarplaats Publieke website, app Interne documentmanagement-omgeving

Beide documenten vullen elkaar aan: de verklaring communiceert, het beleid regisseert.

Inventariseer processen, systemen en rollen

Start met een datamap:

  1. Breng alle systemen in kaart (CRM, ERP, Google Analytics).
  2. Koppel processen (sales, marketing, support) aan de betreffende datasets.
  3. Benoem rollen en verantwoordelijkheden:
    • Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO)
    • Datastewards / proceseigenaren
    • IT-beheerders en leveranciers

Zo weet iedereen wie waarop aanspreekbaar is en leg je een stevig fundament voor de volgende stappen.

Stap 2: Breng alle persoonsgegevens in kaart die je verwerkt

Voordat je verder kunt met je privacybeleid opstellen, moet je exact weten welke persoonsgegevens door de organisatie stromen. Dit heet datamapping: je maakt een overzicht van alle data, de herkomst, de verwerkingsstap en de eindbestemming. Zo ontdek je dubbele registraties, onnodige opslag en mogelijke risico’s.

Welke gegevens verzamel je en op welke manier?

Noteer per proces:

  • type gegevens: naam, e-mail, IP-adres, aankoopgeschiedenis, cookie-ID’s
  • verzamelmethode: webformulier, API-koppeling, tracking-script, partnerfeed
  • doel: bestelling leveren, factureren, marketinganalyse
  • opslaglocatie: cloud-CRM, lokale server, extern fulfilment­systeem

Maak onderscheid tussen actief verstrekte data (invulveld) en passief verzamelde data (cookies, logbestanden).

Toets op bijzondere en gevoelige persoonsgegevens

De AVG noemt extra beschermde categorieën zoals ras, religie, gezondheid of biometrische data. Check of je:

  • medische verklaringen voor verzuim registreert
  • camerabeelden met gezichtsherkenning opslaat
  • BSN-nummers in HR-bestanden bewaart

Bij verwerking van dit soort data is vaak een DPIA verplicht en gelden strengere beveiligings­eisen.

Minimalisatie en proportionaliteit toepassen

Stel per gegeven de vraag: “Is dit strikt noodzakelijk voor het beoogde doel?”

  • Schrap velden die “voor de zekerheid” zijn toegevoegd.
  • Vervang volledige geboortedatum door leeftijdscategorie.
  • Anonimiseer historische datasets voor rapportages.

Op deze manier verklein je de kans op datalekken en voldoe je aan het AVG-principe van dataminimalisatie.

Stap 3: Koppel elke verwerking aan een wettelijke grondslag

Met de datamap op tafel is de volgende stap bij je privacybeleid opstellen het vastpinnen van iedere verwerking op één van de zes grondslagen uit de AVG. Zonder solide grondslag is de verwerking simpelweg onrechtmatig en loop je het risico op hoge boetes of een verwerkingsverbod.

Overzicht van de zes AVG-grondslagen

  • Toestemming – vrijwillig, specifiek, geïnformeerd en aantoonbaar
  • Uitvoering van een overeenkomst – bv. levering van een bestelling
  • Wettelijke plicht – bijvoorbeeld fiscale bewaarplicht
  • Vitaal belang – levensreddende noodsituaties
  • Taak van algemeen belang – overheidstaken, verkiezingen
  • Gerechtvaardigd belang – belangenafweging tussen organisatie en betrokkene

Documenteer per datastroom: doel → grondslag → referentie in beleid.

Hoe documenteer je de gerechtvaardigde belangenafweging?

  1. Beschrijf het legitieme organisatiebelang (bijv. fraudepreventie).
  2. Beoordeel de impact op de betrokkene (privacy, verwacht gedrag).
  3. Weeg belangen af en noteer waarborgen (pseudonimisering, opt-out).
  4. Leg alles vast in een LIA-formulier; bewaar in het verwerkingsregister.

Specifieke regels voor toestemming (opt-in) en intrekking

  • Gebruik een aparte checkbox met duidelijke tekst:
    Ik ga akkoord met het ontvangen van de nieuwsbrief
  • Geen vooraf aangekruiste vakjes of bundeling met algemene voorwaarden.
  • Registreer datum, methode en bron van elke toestemming.
  • Bied een eenvoudige intrekkings­route: “Afmelden kan altijd via de link in elke e-mail.”
  • Intrekking moet net zo makkelijk zijn als geven; verwerk verzoeken uiterlijk binnen één maand.

Stap 4: Documenteer gebruikersrechten en interne procedures

Nu je weet waarom en op welke grondslag je gegevens verwerkt, is het tijd om vast te leggen hoe betrokkenen hun rechten kunnen uitoefenen en wie intern het proces bewaakt.

Recht op inzage, correctie, verwijdering, dataportabiliteit

Leg per recht de procedure vast: verzoek ontvangen, identiteit checken, antwoord binnen 30 dagen, eventueel verlengen tot 60 dagen. Gebruik gestandaardiseerde brieven en noteer alles in een register.

Klachtenafhandeling en rol van de FG/DPO

Noem in het beleid contactgegevens van de FG / DPO en wijs één back-up aan. Beschrijf escalatie: interne beoordeling, reactie binnen één week, zo nodig doorverwijzen naar de Autoriteit Persoonsgegevens.

Stroomschema voor verzoekafhandeling (voorbeeld)

Visualiseer het proces: ontvangst → validatie → registratie → uitvoering → bevestiging. Een eenvoudige swim-lane diagram in PowerPoint of Lucidchart volstaat; voeg een link naar de interne handleiding toe.

Stap 5: Beschrijf de beveiligingsmaatregelen en datalekprocedure

Een privacybeleid opstellen is pas compleet wanneer je concreet maakt hoe je persoonsgegevens beschermt én wat je doet als het tóch misgaat. Artikel 32 AVG eist “passende technische en organisatorische maatregelen” (TOM’s). Benoem die expliciet, wijs verantwoordelijken aan en maak het protocol bekend bij alle medewerkers.

Technische & organisatorische maatregelen

  • Encryptie “in transit” (TLS) en “at rest” (AES-256)
  • Pseudonimisering van test- en analysetabellen
  • Multifactor-authenticatie voor admins en externe toegang
  • Gelaagde firewalls + reguliere penetratietests
  • Organisatorisch: jaarlijkse bewustwordingstraining, clean-desk-beleid, periodieke leveranciers­review

Leg in het beleid vast wanneer maatregelen worden geëvalueerd en hoe wijzigingen worden doorgevoerd.

Datalekken: meldplicht, intern meldformulier, termijnen

Een datalek is iedere beveiligingsbreuk die leidt tot verlies of onbevoegde toegang.

  1. Medewerker meldt direct via het standaard “Incident-formulier”.
  2. FG/DPO onderzoekt impact binnen 24 uur.
  3. Melding aan AP binnen 72 uur indien risico voor betrokkenen.
  4. Betrokkenen informeren bij hoog risico; toon voorbeeldbrief in bijlage.
  5. Registreer alle stappen in het datalekregister.

Verwerkers en subverwerkers: contractuele waarborgen

Sluit met iedere verwerker een overeenkomst conform art. 28 AVG. Minimaal opnemen:

  • geheimhoudingsplicht
  • beschrijving TOM’s
  • assistentie bij verzoeken en datalekken
  • audit- en verwijderclausule

Herzie contracten jaarlijks en documenteer uitkomsten in het verwerkingsregister.

Stap 6: Stel bewaartermijnen en verwijderbeleid vast

Een veel vergeten stap bij het privacybeleid opstellen is bepalen hoe lang je welke datasets bewaart en wanneer je ze veilig verwijdert of anonimiseert. Zonder duidelijk schema loop je het risico op overbodige opslag, onnodige kosten én een AVG-overtreding. Leg daarom per verwerkingsactiviteit vast welke termijn geldt, wie de timer in de gaten houdt en op welke manier data daadwerkelijk worden verwijderd of geanonimiseerd.

Wettelijke termijnen vs. bedrijfsnoodzaak

  • Fiscale gegevens: 7 jaar (Belastingdienst)
  • Sollicitatiedossiers: 4 weken, of 1 jaar mét toestemming
  • CCTV-beelden: maximaal 4 weken, tenzij incident
  • Marketingdata: herzie jaarlijks; verwijder als er 24 maanden geen interactie is
    Documenteer uitzonderingen en motiveer bedrijfsnoodzaak als je langer bewaart dan de wet voorschrijft.

Logboek en audittrail inrichten

Maak een geautomatiseerd verwijderlog aan waarin staat: dataset, vervaldatum, verantwoordelijke, actie (verwijderd/gesanctioneerd), timestamp. Houd audittrails minimaal 1 jaar versleuteld beschikbaar voor interne controles en externe audits; dit toont aan dat je “accountable” bent.

Stap 7: Schrijf je privacyverklaring: structuur en verplichte onderdelen

Alles wat je tot nu toe hebt verzameld, mondt uit in één publiek document: de privacyverklaring. Dit is de zichtbare uitwerking van jouw traject privacybeleid opstellen en moet voor iedere bezoeker direct begrijpelijk zijn. Houd het kort, logisch opgebouwd en altijd actueel.

Verplichte content op basis van art. 13 en 14 AVG

Zorg dat de verklaring minimaal onderstaande punten bevat:

  • Identiteit en contactgegevens van de organisatie
  • Contactgegevens FG/DPO (indien van toepassing)
  • Doelen en bijbehorende grondslagen per verwerking
  • Ontvangers of categorieën van ontvangers
  • Doorgifte buiten de EER + passende waarborgen
  • Bewaartermijnen per dataset
  • Rechten van betrokkenen en hoe ze die uitoefenen
  • Klachtrecht bij de Autoriteit Persoonsgegevens
  • Herkomst van gegevens wanneer niet rechtstreeks verkregen
  • Informatie over geautomatiseerde besluitvorming/profiling

Heldere taal en leesbaarheid: tips & voorbeelden

  • Houd woordkeuze op taalniveau B1; vermijd jargon.
  • Gebruik herkenbare kopjes (“Welke gegevens verzamelen wij?”).
  • Werk met een FAQ of pictogrammen om scansnelheid te verhogen.
  • Plaats de verklaring in de footer, naast de cookie-instellingen.

Voorbeeldtekst privacyverklaring (template)

[Bedrijfsnaam] gevestigd aan [Adres], is verantwoordelijk voor de verwerking van persoonsgegevens zoals weergegeven in deze privacyverklaring.

Contactgegevens  
Website: [URL]  
E-mail: [E-mailadres]  
Telefoon: [Nummer]  
FG/DPO: [Naam] – [E-mail]

Persoonsgegevens die wij verwerken  
- Voor- en achternaam  
- Adresgegevens  
- E-mailadres  
- IP-adres  
[Voeg eventueel extra categorieën toe]

Doelen en grondslagen  
Wij verwerken uw gegevens om  
1. Uw bestelling te leveren (overeenkomst)  
2. Onze nieuwsbrief te sturen (toestemming)  
3. Wettelijke administratie te voeren (wettelijke plicht)

Bewaartermijnen  
Wij bewaren factuurgegevens 7 jaar en marketinggegevens maximaal 24 maanden na uw laatste interactie.

Uw rechten  
U heeft recht op inzage, correctie, verwijdering, beperking, overdracht en bezwaar. Dien uw verzoek in via [E-mail]; wij reageren binnen 30 dagen.

Delen met derden  
Wij verstrekken gegevens uitsluitend aan verwerkers met een overeenkomst of wanneer dit wettelijk verplicht is.

Datalekken  
Bij een datalek handelen wij volgens onze interne procedure en melden wij dit zo nodig binnen 72 uur aan de AP en betrokkenen.

Wijzigingen  
Wij kunnen deze privacyverklaring aanpassen. De laatste wijziging was op [Datum].

Stap 8: Publiceer, onderhoud en evalueer je privacybeleid

Gefeliciteerd, het document staat. Nu moet het nog **leven** in de organisatie én bij je doelgroep. Publiceren is stap één; daarna volgt onderhoud en doorlopende evaluatie om compliant te blijven

Interne goedkeuring en training van medewerkers: leg het beleid eerst voor aan management, FG en eventueel de OR. Besluit vast? Neem het op in onboardingpakketten en organiseer jaarlijkse e-learning zodat elke medewerker weet wat er van hem wordt verwacht.

Communicatiekanalen: website, app, interne portal, offline. Zet een duidelijke link in de website-footer, in je app-instellingen en op het interne intranet. Voeg een QR-code toe aan contracttemplates en balieposters voor offline bezoekers.

Jaarlijkse review en continue verbetering (PDCA-cyclus).

Plan minstens eenmaal per jaar een PDCA-ronde: meet incidenten, verander wetgeving, pas maatregelen aan en publiceer een nieuwe versiedatum. Zo blijft je privacybeleid actueel, effectief en bewijsbaar compliant.

Kort samengevat

Een AVG-proof privacybeleid opstellen hoeft geen hoofdpijndossier te zijn. Inventariseer eerst alle persoonsgegevens en verwerkingen, koppel daar een duidelijke grondslag aan en leg vast welke rechten betrokkenen hebben en hoe je die faciliteert.

Beschrijf vervolgens de technische en organisatorische beveiligingsmaatregelen, bepaal bewaartermijnen en documenteer het verwijderbeleid.Giet alles in een toegankelijke privacyverklaring en publiceer die op je website.

Vergeet tenslotte niet om het hele beleid jaarlijks te reviewen en medewerkers te trainen; zo blijft je organisatie aantoonbaar compliant.

Hulp nodig bij de laatste check of een maatwerkverklaring? De AVG-specialisten van Law & More (hstaan voor je klaar.

Previous
ESG Begrijpen: Wat, Waarom en Hoe het Werkt
Next
De ondernemingsraad begrepen: wat en waarom?
Privacy Settings
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
Youtube
Consent to display content from - Youtube
Vimeo
Consent to display content from - Vimeo
Google Maps
Consent to display content from - Google
Spotify
Consent to display content from - Spotify
Sound Cloud
Consent to display content from - Sound
Save

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Ma/Vrij 08.00-22.00
Za/Zo 9.00-17.00
[email protected]
+31 40 369 06 80