Veiligheid en AVG beheer automatisering

Hoe documenteer je je automatiseringsprocessen voor een AVG-audit

Pieter van Dijk Pieter van Dijk
· · 5 min leestijd

Stel: een auditeur belt aan. Hij wil zien hoe jij omgaat met persoonsgegevens in je geautomatiseerde processen.

Inhoudsopgave
  1. Waarom documentatie van automatisering zo kritiek is onder de AVG
  2. Wat moet er minimaal in je documentatie staan?
  3. Praktische tips om het beheerbaar te houden
  4. Van paniek naar vertrouwen

Jij open je laptop. Paniek. Je weet dat je tientallen workflows draaien in AFAS, DigiOffice, Power Automate of wat dan ook — maar documentatie? Die ligt verspreid over mailtjes, notities van een collega die inmiddels is gestopt, en een half aangevuld Excel-bestand uit 2021.

Gelukkig hoef je hier niet te zijn. Als je je automatiseringsprocessen goed documenteerd, is een AVG-audit geen nachtmerrie, maar gewoon een kwestie van laten zien wat je al doet. En laten we eerlijk zijn: wie houdt er nou van stress rond audits?

Waarom documentatie van automatisering zo kritiek is onder de AVG

De Algemene Verordening Gegevensbescherming vraagt niet alleen dat je persoonsgegevens veilig verwerkt — je moet het ook kunnen aantonen. Dat is het beginsel van verantwoordelijkheid, vastgelegd in artikel 5, lid 2 van de AVG.

En hier zit het: als je processen automatiseer, worden ze sneller, groter en complexer.

Maar de AVG maakt geen onderscheid tussen handmatig en geautomatiseerd werk. Voor de Autoriteit Persoonsgegevens telt hetzelfde: kun je laten zien wat er met persoonsgegevens gebeurt, en waarom? Automatisering introduceert specifieke risico's.

Denk aan algoritmische besluitvorming, gegevensstromen tussen systemen, of batchverwerkingen die duizenden records per uur verwerken. De Autoriteit Persoonsgegevens wijst er expliciet op dat bij algoritmes en AI-systemen extra aandacht nodig is voor transparantie, rechtvaardiging en de rechten van betrokkenen. Als je dat niet documenteerd, loop je risico op boetes — die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Wat moet er minimaal in je documentatie staan?

Je hoeft geen duizendpagina's tellend rapport te schrijven. Maar je documentatie moet wel antwoord geven op de vragen die een auditeur altijd stelt.

1. Een register van automatische verwerkingsactiviteiten

Hieronder de essentiele onderdelen. Artikel 30 AVG verplicht je om een register bij te houden van alle verwerkingsactiviteiten. Voor geautomatiseerde processen betekent dit per workflow of systeem vastleggen:

  • Wat is het doel van de verwerking?
  • Welke categorieën persoonsgegevens worden verwerkt?
  • Welke systemen zijn erbij betrokken?
  • Wie is verantwoordelijk (functionaris)?
  • Worden gegevens doorgegeven aan derden of buiten de EU?

Maak dit concreet. Niet "HR-proces" maar "automatische salarisverwerking via AFAS Profit, waarbij bankgegevens, BSN en loongegevens worden verwerkt door de salarisadministrateur".

2. Beschrijving van de gegevensstroom

Een auditeur wil begrijpen hoe gegevens door je organisatie stromen. Maak per geautomatiseerd proces een eenvoudige schets: waar komen de gegevens vandaan, welke systemen raken ze, en waar worden ze opgeslagen of naartoe gestuurd?

Tools als Lucidchart of zelfs een goede PowerPoint werken prima. Het gaat om helderheid, niet om mooie tekeningen. Geef bij elke overdracht aan of er sprake is van een bewerkersovereenkomst, en of de ontvanger binnen of buiten de Europese Economische Ruimte opereert. Voor elke geautomatiseerde verwerking moet je aangeven op welke van de zes grondslagen uit artikel 6 AVG je je baseert: toestemming, contractuele noodzaak, wettelijke verplichting, vitaal belang, openbaar belang, of gerechtvaardigd belang.

3. Juridische grondslag en doelbinding

Let op: als je automatisering een ander doel krijgt dan waarvoor de gegevens oorspronkelijk zijn verzameld, heb je een nieuwe grondslag nodig. Dit gebeurt vaker dan je denkt — bijvoorbeeld wanneer je een CRM-systeem koppelt aan een marketingtool zonder na te denken over de rechtmatigheid.

Hier laat je zien hoe je de gegevens beveiligt. Denk aan encryptie, toegangscontrole, logging, en pseudonimisering. Specifiek voor automatisering: Veel organisaties gebruiken hiervoor al een Information Security Management System volgens ISO 27001.

4. Technische en organisatorische maatregelen

Als je dat hebt, koppel het dan expliciet aan je AVG-documentatie. Artikel 35 AVG schrijft een DPIA voor bij verwerkingen die een hoog risico opleven voor de rechten en vrijheden van natuurlijke personen.

  • Welke rollen en rechten zijn ingesteld in het systeem?
  • Wie heeft admin-toegang?
  • Wordt er gelogd wie welke gegevens op welk moment heeft geraadpleegd of gewijzigd?
  • Zijn er automatische verwijderingsregels (bewaartermijnen)?

Automatisering schreeuwt vaak om een DPIA: denk aan grootschalige monitoring, profilering, of besluiten die rechtsgevolgen hebben. Een goede DPIA beschrijft het proces, beoordeelt de noodzaak en proportionaliteit, identificeert risico's, en legt vast welke maatregelen je neemt om die risico's te beperken. Bewaar deze bij de hand — auditors vragen er steevraag naar.

5. Gegevensbeschermingseffectbeoordeling (DPIA)

Je automatiseringsprocessen draaien waarschijnlijk niet volledig in eigen beheer. Cloudsoftware, externe API's, SaaS-platforms — ze allemaal verwerken persoonsgegevens namens jou.

Artikel 28 AVG vereist een bewerkersovereenkomst met elke partij die dat doet. Documenteer per leverancier: wat verwerken zij, waar, onder welke voorwaarden, en hoe controleer je dat ze zich aan de afspraak houden? Leveranciers als AFAS, DigiOffice en Microsoft bieden vaak standaard verwerkersovereenomen en AVG-proof oplossingen. Check of je no-code workflow AVG-proof is, gebruik de juiste documentatie en bewaar ze netjes.

6. Afspraken met leveranciers en bewerkers

Praktische tips om het beheerbaar te houden

Documentatie is geen eenmalige klus. Het is een levend proces.

Enkele manieren om het overzichtelijk te houden:

  • Centraliseer alles. Gebruik één plek — een SharePoint-omgeving, een GRC-tool, of een goed ingerichte mapstructuur — waar alle documentatie bij elkaar staat.
  • Ken een eigenaar toe. Elke geautomatiseerde workflow moet een verantwoordelijke hebben die de documentatie actueel houdt.
  • Plan periodieke reviews. Minimaals twee keer per jaar checken of de documentatie nog klopt met de werkelijkheid. Systemen veranderen, mensen ook.
  • Automatiseer je documentatie waar mogelijk. Sommige tools, zoals STKKR voor AFAS, kunnen automatisch een digitaal dossier genereren van je processen. Slim gebruik maken van zulke mogelijkheden bespaart tijd en fouten.

Van paniek naar vertrouwen

De slechtste tijd om je AVG-documentatie op orde te krijgen, is op het moment dat de auditeur belt. De beste tijd is nu.

Niet omdat je bang moet zijn, maar omdat goede documentatie gewoon goed ondernemerschap is.

Je hoeft geen privacy-expert te zijn om dit goed te doen. Je moet gewoon systematisch zijn, eerlijk over wat je wel en niet onder controle hebt, en bereid om verbeterpunten serieus te nemen. Een auditeur ziet het verschil tussen iemand die doet alsof en iemand die het écht doet — en dat verschil merk je terug in de ernst van de bevindingen.

Dus: open je workflow-tool, kies één geautomatiseerd proces, en begin vandaag. Maak een verwerkingsregister voor je geautomatiseerde processen: documenteer het doel, de gegevensstroom, de grondslag, de beveiliging, en de leveranciers. Dan heb je al een kwart van de audit alvast op zak.

Lees ook
Hoe voldoet je no-code automatisering aan de AVG in Nederland Welke klantgegevens mag je automatisch verwerken en welke niet Hoe stel je toegangsbeheer in voor je no-code workflows in het MKB Wat gebeurt er met jouw data als een no-code platform stopt in 2026 Hoe maak je een verwerkingsregister voor je geautomatiseerde processen Datalekken voorkomen in een geautomatiseerde bedrijfsomgeving
Pieter van Dijk
Pieter van Dijk
Senior IT-consultant en software architect

Pieter is een ervaren IT-consultant met passie voor logische software oplossingen.

Meer over Veiligheid en AVG beheer automatisering

Bekijk alle 25 artikelen in deze categorie.

Naar categorie →
Lees volgende
Hoe voldoet je no-code automatisering aan de AVG in Nederland
Lees verder →