AVG audit doen als mkb — zonder consultant
De Autoriteit Persoonsgegevens handhaaft actief. Als toezichthouders vragen om bewijs van AVG-compliance, wil je dat antwoord klaar hebben — niet pas beginnen met zoeken. ComplianceHive geeft je een gestructureerd auditoverzicht: verwerkingsregister, leveranciers, rechten van betrokkenen en bevindingen op één plek.
Gratis starten, geen creditcard nodig. Resultaten binnen een middag.
Wat controleren toezichthouders tijdens een AVG audit?
De Autoriteit Persoonsgegevens heeft vijf aandachtsgebieden die bij vrijwel elke AVG controle terugkeren. Als je op elk van deze punten je documentatie op orde hebt, sta je sterk.
1. Verwerkingsregister
Is je register compleet, actueel en per verwerking ingevuld? Ontbrekende bewaartermijnen of verouderde leveranciers zijn directe bevindingen.
2. Verwerkersovereenkomsten
Heb je met elke leverancier die persoonsgegevens namens jou verwerkt een getekende verwerkersovereenkomst? Dit wordt actief gecontroleerd.
3. Rechten van betrokkenen
Heb je een gedocumenteerde procedure voor inzageverzoeken, correctieverzoeken en verwijderingsverzoeken? En kun je bewijzen dat je ze hebt afgehandeld?
4. Datalekregistratie
Registreer je alle datalekken, ook de incidenten die je niet bij de AP hoefde te melden? Een intern register is verplicht, ongeacht de ernst van het incident.
5. DPIA voor risicovolle verwerkingen
Heb je voor hoog-risico verwerkingen een Data Protection Impact Assessment uitgevoerd en gedocumenteerd? Denk aan profilering, biometrische gegevens of grootschalige verwerking.
5 stappen naar een AVG-auditklare organisatie
- 1
Zet je verwerkingsregister op orde
Ga door elk record: is het doel nog actueel? Is de bewaartermijn ingevuld? Is de rechtsgrondslag correct? ComplianceHive toont je direct welke verwerkingen onvolledig zijn of waarvan de review vervallen is.
- 2
Controleer alle verwerkersovereenkomsten
Maak een lijst van alle SaaS-tools en dienstverleners die toegang hebben tot persoonsgegevens. ComplianceHive houdt per leverancier bij of er een getekende verwerkersovereenkomst aanwezig is en wanneer deze voor het laatst is gereviewed.
- 3
Documenteer je procedure voor betrokkenenrechten
Wie in jouw organisatie ontvangt inzageverzoeken? Wat is de doorlooptijd? Hoe documenteer je de afhandeling? ComplianceHive registreert binnenkomende verzoeken en bewijs van afhandeling.
- 4
Controleer je datalekregistratie
Elk datalek — ook de incidenten die je niet bij de AP hoefde te melden — moet intern zijn geregistreerd. ComplianceHive heeft een datalekmodule waarin je incidenten vastlegt met datum, omvang, getroffen gegevens en genomen maatregelen.
- 5
Exporteer je auditdocumentatie
Als toezichthouders vragen om bewijs, exporteer je vanuit ComplianceHive een overzicht van verwerkingen, leveranciers, verzoeken en datalekken. Versiehistorie toont wie wat wanneer heeft vastgelegd. Je audit is klaar in plaats van begonnen.
Wat ComplianceHive bijhoudt voor je audit
Verwerkingsregister
Per verwerking: doel, rechtsgrondslag, categorieën betrokkenen, bewaartermijn, betrokken systemen en leveranciers. Altijd actueel, altijd exporteerbaar. Lees meer over onze verwerkingsregister software.
Leveranciersbeheer en verwerkersovereenkomsten
Per leverancier: contactgegevens, verwerkersovereenkomst aanwezig ja/nee, risicoklasse, reviewdatum. Automatische herinneringen als een review vervalt. Lees meer over leveranciersbeheer voor AVG.
Rechten van betrokkenen
Inkomende inzage-, correctie- en verwijderingsverzoeken registreren, toewijzen en afhandelen. Elk verzoek met deadline en bewijs van afhandeling vastgelegd.
Datalekregistratie
Interne registratie van elk incident: datum, omvang, getroffen gegevens, genomen maatregelen en of melding bij de AP verplicht was. Volledig audittrail.
Auditexport
Op elk moment een volledig overzicht exporteren voor toezichthouders, klanten of interne controle. Versiehistorie inbegrepen.
Veelgestelde vragen over AVG audits
- Hoe vaak moet je een AVG audit doen?
- De AVG schrijft geen vaste auditfrequentie voor, maar handhavingspraktijk en juridisch advies wijzen richting minimaal één keer per jaar. Bij organisatiewijzigingen, nieuwe tools, datalekken of na klachten van betrokkenen doe je tussentijds een gerichte controle. Hoe groter de organisatie en hoe meer persoonsgegevens er worden verwerkt, hoe vaker een audit zinvol is.
- Is een AVG audit verplicht?
- De AVG verplicht organisaties niet expliciet tot periodieke audits, maar verplicht wel tot aantoonbare compliance — dat is feitelijk hetzelfde. Je moet op elk moment kunnen bewijzen dat je verwerkingsregister klopt, dat je verwerkersovereenkomsten actueel zijn, dat je rechten van betrokkenen borgt en dat je datalekken registreert. Wie dat niet kan aantonen, is niet compliant, ook al heeft hij de regels in zijn hoofd.
- Wat kost een externe AVG audit?
- Een externe AVG audit door een privacy-consultant of accountant kost doorgaans tussen de 2.000 en 8.000 euro, afhankelijk van de omvang van de organisatie en het aantal verwerkingen. Met ComplianceHive voer je de audit intern uit op basis van je eigen documentatie, zonder externe kosten. Externe toetsing kan daarna plaatsvinden als aanvulling, niet als vervanging.
- Kan ik een AVG audit zelf doen?
- Ja, en voor de meeste MKB-organisaties is dat de meest praktische aanpak. Een interne AVG audit betekent: je verwerkingsregister doorlopen op volledigheid en actualiteit, je verwerkersovereenkomsten checken, je procedure voor rechten van betrokkenen testen en je datalekregistratie controleren. ComplianceHive geeft je de structuur om dat systematisch te doen, met een overzicht van openstaande bevindingen.
- Wat zijn de meest voorkomende AVG audit bevindingen?
- De vijf meest voorkomende bevindingen bij AVG audits van MKB-organisaties: (1) verwerkingsregister is onvolledig of verouderd, (2) ontbrekende of verlopen verwerkersovereenkomsten met SaaS-leveranciers, (3) geen gedocumenteerde procedure voor verzoeken van betrokkenen, (4) datalekregistratie ontbreekt of is niet volledig bijgehouden, (5) bewaartermijnen zijn niet vastgelegd of worden niet gehandhaafd.
Bereid je AVG audit voor in ComplianceHive
Verwerkingsregister, leveranciersbeheer, betrokkenenrechten en datalekregistratie in één tool. AVG-auditklaar zonder accountant of externe consultant. Gratis starten, geen creditcard nodig.