Agnes voert een AVG-audit uit met een checklist en laptop voor een Nederlands mkb

Hoe voer je een AVG-audit uit als mkb? (Praktische stappen)

GDPR, Compliance, MKB

Een klant stuurt je een vragenlijst over je privacybeleid. Je accountant vraagt of je AVG-papieren op orde zijn. Of je leest iets over een boete bij een bedrijf dat op jou lijkt.

Op dat moment realiseer je je: ik weet eigenlijk niet hoe we er precies voor staan.

Dat is precies het moment voor een avg audit mkb. Niet als bureaucratische exercitie, maar als praktische check: wat klopt er al, wat ontbreekt, en wat moet er als eerste aan?

In dit artikel lees je wat een AVG-audit inhoudt, wanneer je er een doet, en hoe je het stap voor stap aanpakt. Met een concrete avg audit checklist die je direct kunt gebruiken.

Wat is een AVG-audit precies?

Een AVG-audit is een gestructureerd overzicht van hoe je organisatie omgaat met persoonsgegevens, en of dat in lijn is met de AVG (de Nederlandse implementatie van de GDPR).

Het is geen overheidscontrole. Je wordt niet gebeld door de Autoriteit Persoonsgegevens. Een AVG-audit is iets wat je zelf doet, of laat doen door een privacy-adviseur. Je kijkt systematisch na of je verwerking van persoonsgegevens klopt: of je de juiste grondslagen hebt, of je administratie op orde is, en of je medewerkers weten wat ze moeten doen.

Er zijn twee varianten. Een interne audit doe je zelf, met een checklist en de kennis die al in je organisatie aanwezig is. Een externe audit laat je uitvoeren door een privacy-professional, die objectiever naar je processen kijkt en blinde vlekken sneller ziet.

Voor de meeste mkb's is een zelfaudit een goede plek om te beginnen. Je vindt zo de meest voor de hand liggende lacunes, en je weet daarna beter of je externe hulp nodig hebt.

Wanneer heb je een AVG-audit nodig?

Niet alleen als er iets misgaat. Een privacyaudit mkb is juist nuttig als preventief instrument. Situaties waarbij je er een zou moeten doen:

  • Je hebt nieuwe software aangeschaft die persoonsgegevens verwerkt
  • Je werkt met een nieuwe leverancier die toegang heeft tot klantdata of personeelsdata
  • Een klant stuurt je een vragenlijst over je AVG-naleving (dit gebeurt steeds vaker bij aanbestedingen en samenwerking)
  • Je hebt een bijna-incident of een datalek gehad
  • Je bereidt je voor op ISO 27001 of NIS2
  • Het is langer dan een jaar geleden dat je je privacyprocessen hebt gecheckt

Je hoeft niet te wachten op een aanleiding van buiten. Een jaarlijkse check is goede hygiëne, zeker als je bedrijf groeit en er steeds meer mensen en tools bij komen.

Wat controleer je bij een AVG-audit? (De checklist)

Dit is de kern van iedere gdpr audit kleine onderneming. Loop de negen punten hieronder systematisch door. Noteer per punt wat de status is: in orde, gedeeltelijk in orde, of nog te doen.

  1. Verwerkingsregister (Artikel 30 AVG). Is er een overzicht van alle verwerkingen van persoonsgegevens? Is het actueel, compleet en duidelijk wie eigenaar is per verwerking? Dit is de basis van elke AVG-audit.

  2. Verwerkersovereenkomsten. Heb je met elke leverancier die persoonsgegevens verwerkt een Verwerkersovereenkomst afgesloten? Denk aan je boekhoudsoftware, HR-systeem, e-mailprovider en CRM.

  3. Grondslagen. Is voor elke verwerking vastgelegd op welke grondslag je die uitvoert? Geldige grondslagen zijn onder andere toestemming, gerechtvaardigd belang en contractuele noodzaak. Geen grondslag betekent geen geldige verwerking.

  4. Bewaartermijnen. Hoelang bewaar je persoonsgegevens? Is er een beleid voor het verwijderen van data na de bewaartermijn? En werkt dat beleid ook in de praktijk, of staat het alleen op papier?

  5. Rechten van betrokkenen. Weet je wat je moet doen als iemand zijn gegevens wil inzien, laten corrigeren of verwijderen? Is er intern iemand die dit oppakt en is er een procedure voor de termijnen?

  6. Datalekprocedure. Weet iedereen in je team wat een datalek is en wat ze moeten doen als ze er een ontdekken? Is er een intern meldproces, en weet je wanneer je de AP moet inschakelen?

  7. Privacybeleid en cookieverklaring. Zijn deze documenten up-to-date, volledig en makkelijk vindbaar op je website? Kloppen ze nog met hoe je data in de praktijk verwerkt?

  8. Toegangsbeheer en beveiliging. Wie heeft toegang tot welke persoonsgegevens? Is dat beperkt tot mensen die die toegang ook echt nodig hebben? Gebruik je tweefactorauthenticatie en encryptie waar dat relevant is?

  9. Bewustzijn bij medewerkers. Weten je medewerkers wat persoonsgegevens zijn, wat ze wel en niet mogen doen, en wat ze moeten doen bij een incident? Opleiding hoeft niet uitgebreid te zijn, maar volledig ontbreken is een risico.

Negen punten. Geen van deze is onhaalbaar voor een mkb. Maar elk punt dat je niet kunt afvinken, is een plek waar een toezichthouder, een klant of een incident je kan raken.

Hoe pak je een AVG-audit aan? (Stappenplan)

Nu je weet wat je controleert, is de vraag: hoe organiseer je dat in de praktijk?

Stap 1: Begin bij je verwerkingsregister. Breng in kaart welke persoonsgegevens je verwerkt, van wie, waarvoor en via welke systemen. Als je dat overzicht niet hebt, is dit de eerste actie. Zonder verwerkingsregister kun je de rest van de checklist niet goed invullen.

Stap 2: Loop de negen punten door per verwerking. Neem je verwerkingsregister als uitgangspunt. Controleer per rij: heb je een grondslag? Een bewaartermijn? Een Verwerkersovereenkomst met de betrokken leverancier? Zo werk je gestructureerd in plaats van willekeurig.

Stap 3: Documenteer wat je aantreft. Schrijf op wat in orde is, wat gedeeltelijk in orde is en wat nog mist. Wees eerlijk. Een audit waar je alles groen kleurt zonder dat het klopt, helpt je niet verder.

Stap 4: Maak een prioriteitenlijst. Niet alles wat ontbreekt, hoeft morgen geregeld te zijn. Prioriteer op risico: wat levert de grootste kans op een incident of klacht? Dat pakt je als eerste aan.

Stap 5: Stel een herhalingsmoment in. Een audit is geen eenmalige actie. Plan na afronding al wanneer je de volgende check doet. Zet het in de agenda.

Een tool als ComplianceHive helpt je om verwerkingen, leveranciers en auditbewijs op één plek bij te houden, zodat je niet bij elke audit opnieuw begint met zoeken.

Hoe vaak moet je een AVG-audit doen?

Het minimum is één keer per jaar. Dat is niet alleen verstandig, het past ook bij de verwachting van de AVG dat je als verwerkingsverantwoordelijke aantoonbaar grip houdt op je privacyprocessen.

Voor mkb's die groeien, regelmatig nieuwe tools integreren of werken in sectoren met gevoelige data zoals zorg, HR of financiën, is twee keer per jaar realistischer. Je organisatie verandert, en je compliance moet daarin meebewegen.

Daarnaast doe je een tussentijdse check bij grote wijzigingen: een nieuwe leverancier, een nieuw systeem, een fusie, een klant die erom vraagt. Dat hoeft geen volledige audit te zijn. Soms is het genoeg om alleen de relevante onderdelen van de checklist door te lopen.

Klaar om je AVG-audit aan te pakken?

ComplianceHive geeft je overzicht over je verwerkingen, leveranciers en documenten. Zo ben je altijd auditklaar.

Ontdek de mogelijkheden

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis