Je bouwt leuke automatiseringen in Make of Zapier, alles loopt soepel, en dan denk je: wacht eens even… waar gaat al die persoonsgegevens eigenlijk heen?
▶Inhoudsopgave
Als je met no-code tools werkt, ben je niet automatisch vrijgesteld van de AVG. Sterker nog: juist omdat het zo makkelijk is om data te verwerken, loop je sneller tegen grenzen aan. Geen paniek nodig. Met de juiste aanpak blijf je compliant zonder dat je een advocaat per uur nodig hebt.
Waarom no-code automatisering en de AVG een lastig duo zijn
No-code platforms als Make, Zapier en n8n maken het fantastisch eenvoudig om systemen aan elkaar te koppelen. Maar elke keer dat je een trigger instelt, een stuurt, of data opslaat, verwerk je mogelijk persoonsgegevens.
En de AVG geldt voor iedereen die dat doet, of je nu een developer bent of gewoon een slimme automatisering bouwt in je lunchpauze. Het probleem? Veel no-code gebruikers denken: "Ik gebruik alleen een tool, de tool regelt het wel." Maar jij bent de verwerkingsverantwoordelijke.
Jij bepaalt waarom en hoe data wordt verwerkt. De tool is alleen de verwerker.
En die verantwoordelijkheid kun je niet uit je handen schudden door te zeggen: "Maar het was zo makkelijk."
De basis: wat moet je sowieso weten?
1. Weet precies welke data je verwerkt
Voordat je ook maar één scenario opzet, maak een simpel overzicht. Welke gegevens stroomt er door je automatisering?
2. Kies je tools bewust
Namen, e-mailadressen, telefoonnummers, IP-adressen? Alles wat naar een persoon te herleiden is, valt onder de AVG. Noteer het.
Houd het simpel, maar wees compleet. Niet elk no-code platform is even AVG-vriendelijk. Kijk naar waar je data wordt opgeslagen.
Wordt alles binnen de EU verwerkt, of wordt er data naar de Verenigde Staten gestuurd? Make heeft bijvoorbeeld servers in de EU, wat een stuk makkelijker maakt.
Zapier verwerkt data standaard in de US, ten je expliciet kiest voor hun EU-dataverwerking. n8n kun je zelf hosten, wat je maximale controle geeft, maar ook meer technische verantwoordelijkheid. Check altijd de verwerkersovereenkomst van je tool. Die moet je ondertekenen en bewaren. Geen uitzondering. Dit is het beginsel van data-minimisatie, en het is echt belangrijk.
3. Verwerk alleen wat je nodig hebt
Als je een nieuwe klant aanmeldt via een Typeform-formulier dat automatisch een record aanmaakt in Airtable, stuur dan niet ook nog eens hun geboortedatum, beroep en huisadres mee "voor het geval dat." Stuur alleen wat je daadwerkelijk gebruikt.
Minder data is minder risico. Altijd.
Praktische stappen om compliant te blijven
Maak een verwerkingsregister aan
Als je persoonsgegevens verwerkt, ben je wettelijk verplicht om een verwerkingsregister voor je geautomatiseerde processen bij te houden.
Dit hoeft niet ingewikkeld te zijn. Een spreadsheet volstaat. Noteer: welke gegevens je verwerkt, waarom, waar ze worden opgeslagen, en met wie je ze deelt. De Autoriteit Persoonsgegevens kan op elk moment vragen om inzage.
Zorg voor een juridische grondslag
Als je het niet kunt tonen, loop je risico op een boete. En die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Voor een MKB-bedrijf is dat best even vervelend. Elke verwerking van persoonsgegevens moet een juridische grondslag hebben.
Beveilig je automatiseringen
De meest gebruikelijke zijn: toestemming, noodzaak voor een overeenkomst, of een gerechtvaardigd belang. Als je een automatisering bouwt die leads uit een contactformulier doorstuurt naar je CRM, heb je meestal een gerechtvaardigd belang. Maar als je die leads ook automatisch toevoegt aan een e-mailmarketinglijst, heb je expliciete toestemming nodig. Geen workaround, geen "maar ze hebben het formulier ingevuld." Toestemming moet vrijwillig, specifiek en ondubbelzinnig zijn.
Je no-code tool is zo veilig als jij hem maakt. Zorg er daarom voor dat je no-code workflow GDPR-by-design is opgezet. Gebruik daarnaast sterke wachtwoorden, schakel tweefactorauthenticatie in, en beperk toegang tot je accounts.
Als je werkt met API-keys, deel ze niet via Slack of e-mail. Gebruik een wachtwoordmanager. En denk eraan: als je een automatisering deelt met een collega of freelancer, zorg dan dat die persoon ook voldoende toegang heeft. Niet meer, niet minder.
Wat als er iets misgaat?
Stel: er lekt data uit een van je automatiseringen. Dan heb je 72 uur om dit te melden bij de Autoriteit Persoonsgegevens.
Niet een week, niet als je tijd hebt. 72 uur. En als de inbreuk een hoog risico vormt voor de betrokkenen, moet je ook de getroffen personen informeren.
Daarom is het slim om vooraf na te denken over wat je doet bij een incident. Wie reageert? Hoe onderzoek je wat er is gebeurd? Hoe stel je mensen op de hoogte? Een klein voorplan bespaart je een hoop stress achteraf.
De gouden regel: bouw privacy in vanaf het begin
De mooiste manier om AVG-compliant te zijn? Check of je no-code workflow AVG-proof is en zorg dat privacy onderdeel is van je automatisering vanaf het eerste moment.
Niet als iets dat je er later aan toevoegt. Kies tools die binnen de EU hosten. Verzamel alleen de data die je nodig hebt. Beveilig je accounts.
Documenteer wat je doet. No-code automatisering is een krachtige manier om je bedrijf efficiënter te maken.
Maar kracht brengt verantwoordelijkheid met zich mee. De AVG is geen obstakel, het is een kans om betrouwbaarder te werken.
En dat waardeerden klanten, vandaag meer dan ooit.
Veelgestelde vragen
Wat gebeurt er als ik niet aan de AVG voldoen?
Als je niet aan de AVG voldoet, kan de Autoriteit Persoonsgegevens (AP) sancties opleggen, zoals een boete, een dwangsom of zelfs een verbod op het verwerken van data. Het is belangrijk om te onthouden dat je als verwerkingsverantwoordelijke de verantwoordelijkheid draagt voor de naleving van de privacywetgeving, ongeacht de tools die je gebruikt.
Wat zijn de belangrijkste eisen voor het verkrijgen van toestemming volgens de AVG?
Om geldige toestemming te verkrijgen, moet deze vrijwillig zijn, specifiek gericht zijn op de verwerking die je wilt uitvoeren, goed geïnformeerd zijn en via een duidelijke en ondubbelzinnige verklaring of actieve handeling gegeven worden. Zorg ervoor dat je gebruikers duidelijk uitlegt hoe hun data gebruikt zal worden en dat ze een bewuste keuze maken.
Wat is een AVG-code en waarvoor wordt deze gebruikt?
Een AVG-code is een landelijke code die zorgaanbieders helpt bij het identificeren en registreren in een landelijke database. Deze code is essentieel voor het voldoen aan de AVG-eisen, vooral in de zorgsector, en zorgt voor een efficiënte en transparante datauitwisseling.
Wat is het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming?
Artikel 22 van de AVG garandeert het recht van betrokkenen om niet volledig te worden onderworpen aan geautomatiseerde besluiten die voor hen rechtsgevolgen hebben of hen significant beïnvloeden. Dit betekent dat algoritmes niet zonder menselijke tussenkomst mogen leiden tot beslissingen die een directe impact hebben op individuen.
Hoe hoog kan een boete zijn voor een inbreuk op de AVG?
De maximale boete voor een inbreuk op de AVG bedraagt 20 miljoen euro of 4% van de wereldwijde jaaromzet van de organisatie. De hoogte van de boete wordt bepaald door de European Data Protection Board (EDPB) en is afhankelijk van de ernst van de inbreuk en de omstandigheden van het geval.