Een medewerker die op een laptop werkt met verschillende SaaS-tools op het scherm

AVG en zakelijke software: welke tools mogen medewerkers gebruiken?

AVG, GDPR

Je marketingmanager gebruikt Canva om visuals te maken. Het salesteam werkt in een gratis CRM die niemand heeft goedgekeurd. En iemand op finance heeft net een AI-tool gevonden die facturen kan samenvatten.

Herkenbaar? Dat fenomeen heeft een naam: shadow IT. Software die medewerkers zelf installeren, zonder dat IT of management ervan weet.

En het is logisch. Mensen willen productief zijn en pakken de tool die het snelst werkt. Alleen: de AVG-regels voor zakelijke software zijn duidelijk. Elke tool die persoonsgegevens verwerkt zonder dat jij het weet, valt onder jouw verantwoordelijkheid als organisatie. En die verantwoordelijkheid geldt ook voor software die medewerkers zelf hebben aangemeld.

Het probleem: medewerkers kiezen zelf hun tools

Shadow IT klinkt spannend, maar het is eigenlijk heel alledaags. Denk aan Trello-borden die niemand heeft aangevraagd, ChatGPT-sessies waar klantgegevens in worden geplakt, WhatsApp-groepen voor werkoverleg, of een Dropbox-account om "even snel" een bestand te delen.

Een concreet voorbeeld: een medewerker maakt een gratis account aan bij een projectmanagementtool en nodigt het hele team uit. Binnen een week staan er klantnamen, deadlines en interne notities in. Niemand heeft gekeken waar die data wordt opgeslagen, wie er toegang toe heeft, of er een Verwerkersovereenkomst is. Maar de tool draait wel, met echte persoonsgegevens erin.

Deze tools zijn niet per se slecht. Maar niemand heeft gecontroleerd of ze veilig omgaan met persoonsgegevens. En dat is wel je plicht onder de AVG.

Volgens Gartner gebruikt 41% van de medewerkers technologie die buiten het zicht van IT valt. Bij kleinere organisaties ligt dat vaak hoger, simpelweg omdat er geen formeel goedkeuringsproces bestaat.

Wat de AVG zegt over Verwerkersovereenkomsten

De AVG is hier best duidelijk. Artikel 28 schrijft voor: als een externe partij namens jou persoonsgegevens verwerkt, sluit je een Verwerkersovereenkomst af. Dat is een DPA, een Data Processing Agreement. Zonder dat document verwerk je persoonsgegevens zonder wettelijke basis.

Dit geldt voor elke SaaS-tool en elke clouddienst die toegang heeft tot gegevens van je klanten, medewerkers of contacten. En de verantwoordelijkheid ligt bij jou als organisatie, niet bij de medewerker die de tool heeft aangemaakt.

"We wisten het niet" is geen verweer dat de Autoriteit Persoonsgegevens accepteert. Je wordt geacht te weten welke tools er draaien en of de juiste afspraken zijn gemaakt.

Wil je meer weten over de leverancierskant? Lees dan ook ons artikel over leveranciersbeheer en de AVG.

Welke tools zijn riskant? Een praktische beoordeling

Niet elke tool vormt hetzelfde risico. Het helpt om ze in drie categorieën in te delen.

De eerste categorie is onschuldig: tools die geen persoonsgegevens verwerken. Een rekenmachine-app, een intern whiteboard zonder gebruikersaccounts. Laag risico, al is het slim om ze alsnog te documenteren.

De tweede categorie is waar de meeste tools in vallen: software die namen, e-mailadressen of telefoonnummers verwerkt. Je CRM, je e-mailmarketingplatform, je projectmanagementtool. Hier is een Verwerkersovereenkomst verplicht.

De derde categorie vraagt de meeste aandacht. Dit zijn tools die werken met gevoelige of bijzondere persoonsgegevens: gezondheidsdata, BSN-nummers, financiële informatie. Denk aan HR-software of salarisadministratie. Naast een Verwerkersovereenkomst moet je hier ook extra beveiligingsmaatregelen vastleggen. De AVG noemt dit "passende technische en organisatorische maatregelen," en bij gevoelige data is de lat hoger dan bij standaard contactgegevens.

Hoe keur je een tool goed? Een eenvoudig proces

Je hoeft geen wekenlang onderzoek te doen. Met vijf vragen kom je al een heel eind:

  1. Waar wordt de data opgeslagen? Binnen de EU of daarbuiten? Bij opslag buiten de EU gelden aanvullende regels.
  2. Wie heeft toegang? Alleen jouw team, of ook de leverancier en derden?
  3. Is er een Verwerkersovereenkomst? De meeste serieuze SaaS-aanbieders hebben er een klaarstaan. Als dat niet zo is, is dat op zichzelf al een waarschuwing.
  4. Kan data worden verwijderd? Als een klant of medewerker vraagt om verwijdering, moet dat kunnen.
  5. Wat is de procedure bij een datalek? Stelt de leverancier jou op tijd op de hoogte?

Op basis van de antwoorden keur je de tool goed, wijs je hem af, of laat je hem voorwaardelijk toe. Voorwaardelijk betekent bijvoorbeeld: "We gebruiken deze tool, maar alleen voor niet-gevoelige data, en we evalueren het over zes maanden opnieuw." Leg altijd vast waarom je die keuze maakt. Dat voorkomt discussie achteraf en geeft je iets concreets om op terug te vallen als de Autoriteit Persoonsgegevens erom vraagt.

Wil je dit proces stap voor stap opzetten? Bekijk dan onze handleiding voor het goedkeuren van tools.

Wat doe je met tools die al in gebruik zijn?

De meeste organisaties beginnen niet blanco. Er draaien al tientallen tools, sommige al jaren, en niemand heeft ooit gecontroleerd of ze AVG-proof zijn. Niet ideaal, maar ook niet het einde van de wereld. Je kunt het alsnog rechtzetten.

  1. Inventariseer alles. Vraag elk team welke software ze gebruiken. Vergeet de tools niet die "maar even" werden geprobeerd en nooit meer verdwenen.
  2. Deel ze in op risico. Gebruik de drie categorieën hierboven. Welke verwerken persoonsgegevens? Welke verwerken gevoelige data?
  3. Controleer de Verwerkersovereenkomsten. Voor elke tool in categorie twee en drie: is er een geldige overeenkomst? Zo niet, neem contact op met de leverancier.
  4. Besluit per tool. Sommige keur je alsnog goed. Andere vervang je. En een paar schakel je gewoon uit, omdat ze niet nodig blijken.
  5. Leg je beslissingen vast. Documenteer wat je hebt besloten en waarom. Als de Autoriteit Persoonsgegevens ooit langskomt, is dat je bewijs.

Herken je dit probleem? Dan is ons artikel over 5 signalen dat je je softwarestack moet auditen een goed startpunt.

Hoe zorg je dat medewerkers het beleid volgen?

Regels opstellen is het makkelijke deel. Zorgen dat mensen ze ook volgen is lastiger.

Wat helpt: maak je beleid kort. Niemand leest een document van twintig pagina's. Een A4 met drie kernregels is genoeg:

  • Gebruik alleen goedgekeurde tools voor werk met persoonsgegevens
  • Wil je een nieuwe tool? Meld het bij IT of je leidinggevende
  • Voer nooit klant- of medewerkersgegevens in bij tools die niet zijn goedgekeurd

Leg ook uit waarom die regels bestaan. "We beschermen klantgegevens en voorkomen boetes" werkt beter dan "het moet van de AVG." Mensen volgen regels die ze begrijpen.

Minstens zo belangrijk: maak het makkelijk om nieuwe tools voor te stellen. Als je goedkeuringsproces te ingewikkeld is, gaan mensen eromheen. In ComplianceHive kunnen medewerkers zelf een tool toevoegen aan het softwareregister en een goedkeuring aanvragen, zodat niemand het gevoel heeft dat ze tegen een muur praten.

En bespreek het af en toe in teamoverleg. Niet als strafpreek, maar als normaal onderdeel van hoe je werkt. Vraag gewoon: "Heeft iemand de afgelopen maanden een nieuwe tool ontdekt die handig zou zijn?" Een keer per kwartaal is al genoeg om shadow IT vroeg te signaleren.

Wat moet er in je softwareregister staan?

Een softwareregister vul je niet een keer in om het vervolgens te vergeten. Het groeit mee met je organisatie. Per tool leg je minimaal het volgende vast:

  • Naam en leverancier
  • Welke persoonsgegevens worden verwerkt
  • Waar de data wordt opgeslagen (land of regio)
  • Of er een Verwerkersovereenkomst is, en waar die staat
  • Risicocategorie: geen persoonsgegevens, standaard of gevoelig
  • Status: goedgekeurd, afgewezen of in beoordeling
  • Wie er binnen je organisatie verantwoordelijk voor is

Het klinkt als veel werk, maar het meeste vul je een keer in. Daarna is het bijhouden: nieuwe tool erbij, oude tool eruit, Verwerkersovereenkomst verlengd. Zo'n register helpt niet alleen voor de AVG. Het geeft je ook zicht op kosten, overlap tussen tools en afhankelijkheden van leveranciers. Lees meer over hoe je ontdekt wat er ontbreekt in je toollandschap.

Klaar om grip te krijgen op je zakelijke software?

In ComplianceHive bouw je een overzicht op van alle tools, Verwerkersovereenkomsten en risicocategorieën. Zo weet je waar je staat en wat de volgende stap is. Wijs taken toe aan je team en houd de voortgang bij. Probeer het 30 dagen gratis.

Bekijk de mogelijkheden

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis