Je hebt een mooi no-code workflow gebouwd. Alles werkt, de automatisering draait, en je bent trots.
▶Inhoudsopgave
Maar stel dat je morgen een boete krijgt van de Autoriteit Persoonsgegevens. Omdat je niet hebt gecontroleerd of je workflow AVG-proof is.
Geen paniek — dat kan voorkomen worden. In dit artikel leg ik stap voor stap uit hoe je test of je no-code workflow voldoet aan de AVG. Geen juridisch jargon, gewoon helder en praktisch.
Waarom AVG-conformiteit in no-code vaak over het hoofd wordt gezien
No-code platforms zoals Make, Zapier, Bubble en Airtable maken het ongelooflijk makkelijk om processen te automatiseren.
Maar juist die eenvoud is een valkuil. Je sleept een paar blokken in elkaar, klikt op "activeer", en denkt dat het goed is. Terwijl er misschien persoonsgegevens worden opgeslagen, doorgestuurd naar servers buiten de EU, of langer bewaard dan toegestaan. De AVG geldt niet alleen voor grote bedrijven.
Ook als je een kleine webshop runt of een leadmagnet automatiseert, ben je verantwoordelijk. En nee, het feit dat je geen code schrijft, ontslaat je niet van die verantwoordelijkheid.
De zeven AVG-punten die je no-code workflow moet doorstaan
Voordat je begint met testen, moet je weten waar je naar kijkt. De AVG rust op zeven kernprincipes.
1. Rechtmatigheid: op welke grond verwerk je gegevens?
Hieronder zet ik ze om naar de no-code wereld. Elke verwerking van persoonsgegevens moet een geldige grondslag hebben.
In no-code workflows komt het meest voor: toestemming, contractuele noodzaak, of gerechtvaardigd belang. Bijvoorbeeld: als je via Typeform e-mailadressen verzamelt en die automatisch doorstuit naar Mailchimp, moet je kunnen aantonen dat de persoon daarvoor toestemming heeft gegeven. Check in je workflow of die toestemming ook echt wordt vastgelegd — en waar.
2. Transparantie: weet de gebruiker wat er gebeurt?
Je moet duidelijk communiceren welke gegevens je verzamelt en waarom. In een no-code workflow betekent dit dat je privacyverklaring up-to-date is, en dat de gebruiker op elk moment kan zien wat er met zijn gegevens gebeurt. Tools zoals Cookiebot of Complianz kunnen helpen, maar controleer zelf of de meldingen ook echt werken op je site. Heb je e-mailadressen verzameld voor een nieuwsbrief?
Dan mag je die niet zomaar gebruiken voor retargeting op Facebook. In je no-code workflow moet je nagaan of gegevens niet "ontsporen" naar andere doelen.
3. Doelbinding: gebruik gegevens alleen waarvoor ze zijn verzameld
Een veelgemaakte fout: een Google Sheet waarin je alles in gooit "voor later". Dat is geen doelbinding, dat is een risico.
Hoe meer gegevens je verzamelt, hoe groter de verantwoordelijkheid. Stel je workflow heeft alleen een naam en e-mailadres nodig. Waarom vraag je dan ook om geboortedatum en adres?
4. Dataminimalisatie: verzamel alleen wat je nodig hebt
Ga door elke stap van je workflow en vraag jezelf af: heb ik dit echt nodig?
Zo niet, haal het eruit. Veel no-code workflows verzamelen gegevens, maar niemand verwijdert ze ooit. Stel een automatische verwijderingsregel in.
5. Opslagduur: bewaar gegevens niet langer dan nodig
Bijvoorbeeld: na 12 maanden inactiviteit worden klantgegevens verwijderd uit je Airtable-database. Make en Zapier ondersteunen dit via geplande scenario's. Gebruik dat.
Controleer of je no-code platform encryptie gebruikt, zowel bij opslag als bij overdracht.
6. Beveiliging: bescherm wat je hebt
Vraag je af: wie heeft toegang tot deze workflow? Zijn er sterkte wachtwoorden en tweefactorauthenticatie ingeschakeld? En worden er logbestanden bijgehouden?
Als iemand inbreken, wil je het kunnen traceren. De AVG werkt met het principe van "verantwoordingsplicht". Dat betekent dat jij moet kunnen bewijzen dat je voldoet. Documenteer je automatiseringsprocessen voor een AVG-audit en houd een register bij van je verwerkingsactiviteiten.
7. Verantwoordelijkheid: je moet kunnen aantonen dat je compliant bent
Noteer welke gegevens je verwerkt, waarom, waar ze worden opgeslagen, en hoe lang.
Een simpel Google Sheet volstaat al — zolang het maar compleet is.
Doe een DPIA: de risicobeoordeling die je niet mag overslaan
Als je workflow een grote hoeveelheid persoonsgegevens verwerkt, of bijvoorbeeld gezichtsherkenning of gedragsanalyse gebruikt, dan is een DPIA verplicht. DPIA staat voor Data Protection Impact Assessment.
In het kort: je analyseert systematisch wat er kan misgaan, en hoe je dat voorkomt.
Een DPIA voor een no-code workflow die GDPR-by-design is omvat vier stappen. Eerst beschrijf je precies wat de workflow doet en welke gegevens worden verwerkt. Daarna beoordeel je of de verwerking noodzakelijk is.
Vervolgens identificeer je de risicoen — denk aan datalekken, ongeautoriseerde toegang, of onjuiste gegevens. Tot slot stel je maatregelen voor om die risico's te beperken, zoals encryptie, toegangscontrole, of anonimisering.
Praktische testchecklist voor je no-code workflow
Theorie is leuk, maar wat doe je nu echt? Hieronder een concrete checklist die je direct kunt toepassen.
Data mapping: Maak een overzicht van alle plekken waar persoonsgegevens binnenkomen, worden verwerkt, en naartoe gaan. Denk aan formulieren, databases, e-mailtools, en externe API's. Flow-analyse: Doorloop je workflow stap voor stap.
Komt elke gegevensstroom overeen met het doel waarvoor de gegevens zijn verzameld? Of ergens "lekt" data naar een plek waar die niet moet zijn?
Toegangstest: Log in als iemand met minimale rechten. Kun je dan nog steeds persoonsgegevens inzien?
Zo ja, is je toegangsbeheer niet goed ingericht. Logging en monitoring: Controleer of je kunt zien wie wanneer welke gegevens heeft geraakt. Zonder logging kun je een datalek niet opsporen — en dat is een probleem. Data residency: Waar worden je gegevens opgeslagen?
Sommige no-code platforms gebruiken servers in de Verenigde Staten. Als je persoonsgegevens daarheen stuurt, heb je een datatransferovereenkomst nodig.
Check de voorwaarden van je platform. Privacy by design: Standaardinstellingen tellen. Als je nieuwe workflow begint, kies dan standaard de meest privacyvriendelijke optie. Niet pas achteraf bijstellen.
Voorbeeld: een automatische e-mailworkflow onder de loep
Stel je hebt een workflow die via Webflow leads verzamelt, ze opslaat in Google Sheets, en vervolgens een welkomstmail stuurt via ActiveCampaign. Hoe test je dit?
Controleer of het formulier een duidelijke toestemmingscheckbox heeft. Kijk of de Google Sheet beveiligd is met toegangsbeperkingen. Ga na of ActiveCampaign een uitschrijfmogelijkheid biedt. En bepaal hoe lang je de gegevens in Google Sheets bewaart — stel een automatische verwijdering in na bijvoorbeeld 24 maanden.
Alleen als al deze punten kloppen, mag je zeggen dat je workflow AVG-proof is.
Conclusie: bouw slim, maar bouw verantwoord
No-code is krachtig. Maar kracht zonder verantwoordelijkheid is risicovol.
De AVG is geen obstakel — het is een kans om te laten zien dat je serieus bent omgaan met gegevens. Test je workflows regelmatig, houd je documentatie bij, en vraag je af: zou ik het mijn klant kunnen uitlegen wat er met zijn gegevens gebeurt? Als het antwoord ja is, ben je op de goede weg. Als het antwoord "nou, eigenlijk niet helemaal" is, dan is het tijd om te ontdekken hoe je no-code automatisering AVG-proof maakt.