Agnes bekijkt een risicoanalyse op haar laptop voor een Nederlands mkb-bedrijf

AVG-risicoanalyse voor mkb: stappenplan en veelgemaakte fouten

AVG, GDPR

Je hebt een verwerkingsregister. Misschien zelfs verwerkersovereenkomsten met je belangrijkste leveranciers. Maar weet je ook waar je echt kwetsbaar bent? Welke verwerking het meeste risico oplevert als het misgaat?

Dat is precies wat een AVG-risicoanalyse je vertelt. En ja, de AVG verwacht dat je er een hebt. Niet als los document dat stof verzamelt in een map, maar als werkend onderdeel van je privacybeleid.

In dit artikel lees je wat een risicoanalyse inhoudt, wanneer je er een nodig hebt, en hoe je er als mkb in vijf stappen een uitvoert. Zonder juridische omhaal.

Wat is een AVG-risicoanalyse?

Een AVG-risicoanalyse is een gestructureerde beoordeling van de risico's die je verwerking van persoonsgegevens met zich meebrengt. Per verwerking kijk je naar twee dingen: hoe waarschijnlijk is het dat er iets misgaat, en hoe groot is de schade als dat gebeurt?

"Iets misgaat" kan van alles zijn. Een datalek door een phishing-mail. Een oud systeem dat gegevens onversleuteld opslaat. Een medewerker die meer toegang heeft dan nodig. Een leverancier die failliet gaat en jouw klantdata meeneemt.

De AVG spreekt in Artikel 32 over "passende technische en organisatorische maatregelen" die je moet treffen. Maar wat passend is, hangt af van het risico. Zonder risicoanalyse vlieg je blind.

Risicoanalyse versus DPIA

Veel mkb's verwarren de twee. Een risicoanalyse is je brede screening: je loopt al je verwerkingen door en beoordeelt het risiconiveau. Een DPIA (Data Protection Impact Assessment, of gegevensbeschermingseffectbeoordeling in mooi Nederlands) is een verdiepend onderzoek dat je verplicht bent uit te voeren bij verwerkingen met een hoog risico.

Denk aan de risicoanalyse als de bloeddrukcontrole bij de huisarts. De DPIA is het vervolgonderzoek bij de cardioloog, alleen nodig als de uitslag daar aanleiding voor geeft.

Wanneer heb je een risicoanalyse nodig?

Kort antwoord: altijd. De AVG gaat ervan uit dat je weet welke risico's je verwerkingen opleveren. Maar er zijn momenten waarop een risicoanalyse extra belangrijk is:

  • Je neemt een nieuw systeem in gebruik dat persoonsgegevens verwerkt. Denk aan een CRM, HR-tool of marketingplatform.
  • Je gaat samenwerken met een nieuwe leverancier die toegang krijgt tot klant- of personeelsdata.
  • Je hebt een datalek of bijna-incident gehad. Dat is het moment om je aannames te herijken.
  • Je groeit. Meer medewerkers, meer data, meer systemen. Risico's groeien mee.
  • Je bereidt je voor op een audit van een klant, certificering of de AP.
  • Het is meer dan twaalf maanden geleden sinds je laatste analyse.

Wacht niet tot de Autoriteit Persoonsgegevens ernaar vraagt. Als ze bellen, wil je een actueel document kunnen laten zien.

In 5 stappen je AVG-risicoanalyse uitvoeren

Stap 1: Breng je verwerkingen in kaart

Je kunt geen risico's beoordelen van iets wat je niet kent. Begin bij je verwerkingsregister. Heb je er nog geen? Dan is dat stap nul.

Maak per verwerking een overzicht: welke persoonsgegevens verwerk je, van wie, waarom, op welke grondslag, en wie heeft er toegang? Wees concreet. "Klantdata in ons CRM" is te vaag. "Naam, e-mail, telefoonnummer en betaalgeschiedenis van klanten in HubSpot, op basis van contractuele noodzaak" is bruikbaar.

Stap 2: Beoordeel de kans en impact per verwerking

Loop elke verwerking door en stel twee vragen:

Hoe waarschijnlijk is het dat hier iets misgaat? Denk aan ongeautoriseerde toegang, dataverlies, een lek bij een leverancier, menselijke fouten.

Hoe groot is de impact als het misgaat? Dat beoordeel je vanuit het perspectief van de betrokkene, niet vanuit jouw organisatie. Een gelekt BSN of medisch gegeven weegt zwaarder dan een gelekt e-mailadres.

Gebruik een simpele schaal. Laag, midden, hoog werkt prima. Maak het niet ingewikkelder dan nodig.

Stap 3: Bepaal het risiconiveau

Combineer kans en impact tot een risiconiveau. Een verwerking met hoge kans en hoge impact is je rode vlag. Lage kans en lage impact is groen. De rest zit ertussenin.

Dit is het moment waarop je prioriteiten zichtbaar worden. Welke verwerkingen hebben als eerste aandacht nodig? Waar zitten de gaten in je beveiliging?

Bij verwerkingen die als "hoog risico" uit de bus komen, ben je waarschijnlijk verplicht om een volledige DPIA uit te voeren. De AP heeft een lijst gepubliceerd met verwerkingen waarvoor dat geldt.

Handmatig risico's inschatten per verwerking is tijdrovend, vooral als je tientallen systemen en leveranciers hebt. In ComplianceHive koppel je verwerkingen direct aan leveranciers en systemen, en houd je risicobeoordelingen gestructureerd bij. Zo hoef je niet te werken vanuit losse spreadsheets die na een maand al verouderd zijn.

Stap 4: Documenteer je maatregelen

Per risico leg je vast welke maatregelen je neemt om het te beperken. Dat kunnen technische maatregelen zijn (encryptie, MFA, toegangsbeheer) of organisatorische (bewustwordingstrainingen, procedures, verwerkersovereenkomsten).

Twee dingen zijn belangrijk. Ten eerste: documenteer niet alleen wat je doet, maar ook wat je bewust niet doet en waarom. "We versleutelen deze data niet omdat het uitsluitend publiek beschikbare informatie betreft" is een geldige afweging. Niet documenteren is dat niet.

Ten tweede: koppel maatregelen aan specifieke risico's. "We hebben MFA aan" is goed. "We gebruiken MFA op ons CRM om het risico op ongeautoriseerde toegang tot klantgegevens te beperken" is wat de AP wil zien.

Stap 5: Plan je review

Een risicoanalyse is geen eenmalige actie. Plan een vaste reviewcyclus. Minimaal jaarlijks, en bij elke significante wijziging in je verwerkingen.

Leg vast wie verantwoordelijk is voor de review en wanneer de volgende gepland staat. Zonder eigenaar en deadline wordt het niet gedaan.

Drie fouten die mkb's steeds weer maken

De analyse blijft te abstract

"We verwerken persoonsgegevens en het risico is gemiddeld." Dat is geen risicoanalyse. Dat is een samenvatting van de situatie van elk bedrijf in Nederland. De waarde zit in de details: welke gegevens, welke systemen, welke specifieke risico's, welke concrete maatregelen.

Geen documentatie

Je hebt wel eens nagedacht over risico's. Misschien zelfs in een vergadering besproken. Maar het staat nergens. Bij de AP telt dat niet. Wat niet gedocumenteerd is, bestaat niet.

Eenmalig en dan vergeten

Je hebt in 2023 een risicoanalyse gedaan. Sindsdien vier nieuwe tools, twee nieuwe leveranciers en een kantoorverhuizing. Die analyse van 2023 klopt niet meer. En een verouderde risicoanalyse is bijna net zo slecht als geen analyse.

Hoe verder?

Een AVG-risicoanalyse hoeft geen maandenlang project te zijn. Begin bij je verwerkingsregister, loop de vijf stappen door, documenteer je bevindingen en plan een reviewmoment. Voor de meeste mkb's is dat in een paar dagdelen te doen.

Wel belangrijk: gebruik het als levend document. Koppel het aan je leveranciersbeheer, je verwerkersovereenkomsten en je beveiligingsmaatregelen. Zo wordt het geen papieren tijger maar een werkbaar instrument. Met een digitale compliance tool houd je risicoanalyse, leveranciers en documentatie overzichtelijk bij zonder verspreide spreadsheets.

Wil je dit gestructureerd aanpakken?

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis