Procesautomatisering en AVG: wat mag je automatiseren met persoonsgegevens?
Automatisering en klantdata gaan hand in hand. Maar de AVG stelt eisen aan hoe je persoonsgegevens verwerkt, opslaat en doorstuurt. Wat mag wel, wat mag niet, en hoe bouw je systemen die compliant zijn zonder dat je er een jurist voor nodig hebt?
Automatisering verwerkt altijd data
Bijna elke automatisering raakt persoonsgegevens. Een lead die via een formulier binnenkomt, een klant wiens factuur automatisch wordt aangemaakt, een prospect aan wie je een geautomatiseerde opvolgmail stuurt. Naam, e-mailadres, bedrijf, telefoonnummer: het zijn allemaal persoonsgegevens in de zin van de AVG.
Dat betekent niet dat je niks mag automatiseren. Het betekent dat je bewust moet omgaan met hoe je dat doet. De meeste MKB-bedrijven die ik spreek doen dat al redelijk goed in hun handmatige processen, maar denken er niet over na zodra ze gaan automatiseren. Terwijl de regels precies hetzelfde zijn.
De drie vragen die de AVG stelt
Voor elke verwerking van persoonsgegevens (ook in automatisering) moet je een antwoord hebben op drie vragen:
| Vraag | Wat het betekent in de praktijk |
|---|---|
| Wat is de grondslag? | Toestemming, overeenkomst, wettelijke plicht of gerechtvaardigd belang |
| Hoe lang bewaar je het? | Zo kort als nodig. Geen data oneindig bewaren. |
| Waar gaat de data naartoe? | Verwerkers buiten de EU vereisen extra maatregelen |
Bij handmatig werk houd je dit zelden bij. Bij automatisering is het eigenlijk makkelijker: je legt de data-flow eenmalig vast en die staat er gewoon. Dat is tegelijk een risico (als je het fout hebt gebouwd, gaat het consequent fout) en een kans (als je het goed bouwt, is je compliance geborgd).
Wat mag wel automatisch
De meeste B2B automatiseringen die voor MKB-bedrijven zinvol zijn vallen onder de grondslag uitvoering van een overeenkomst of gerechtvaardigd belang. Concreet mag je zonder expliciete toestemming:
- Klantgegevens automatisch overzetten naar je CRM na een offerte-aanvraag
- Facturen automatisch aanmaken en versturen
- Opvolgmails sturen naar prospects die contact met je hebben gezocht
- Interne rapporten genereren op basis van klantdata
- Herinneringen sturen voor aflopende contracten
Vuistregel: Als je het ook handmatig zou doen en de klant het redelijkerwijs verwacht, is de grondslag vrijwel altijd in orde. Automatisering verandert de grondslag niet, alleen de uitvoering.
Wat extra aandacht vraagt
Er zijn situaties waarbij automatisering extra zorgvuldigheid vereist:
- Profilering en scoring: Als je automatisch beslissingen neemt op basis van klantdata (bijv. lead scoring), moet je daar transparant over zijn.
- Tools buiten de EU: Gebruik je Zapier, een Amerikaanse CRM of een AI-tool die data verwerkt? Dan moet je controleren of er standaardcontractbepalingen (SCC's) van toepassing zijn.
- Lange bewaartermijnen: Bouw bewaartermijnen in. Leads die nooit klant werden hoef je niet eeuwig te bewaren.
Praktisch: hoe je dit goed bouwt
Bij elk automatiseringsproject dat we bouwen, volgen we een vaste checklist:
- Breng in kaart welke persoonsgegevens de automatisering verwerkt
- Noteer de grondslag voor elke verwerking
- Controleer of tools verwerkers zijn en of er een verwerkersovereenkomst nodig is
- Stel bewaartermijnen in (of automatiseer het verwijderen)
- Zorg dat data niet onnodig gekopieerd wordt naar tools die je niet nodig hebt
Dit klinkt als veel werk. In de praktijk duurt het bij een gemiddeld MKB-automatiseringstraject een uur extra om dit goed te regelen. En daarna heb je het geregeld, voor altijd.
Meer weten over de technische kant van automatisering? Lees ook: Hoe weet je of iets automatiseerbaar is? Gebruik deze 5 vragen.
De kern
AVG-compliance is geen reden om niet te automatiseren. Het is een reden om het goed te doen. De bedrijven die hiermee goed omgaan hebben een voordeel: ze weten precies welke data ze hebben, waar die staat en waarvoor die gebruikt wordt. Dat is niet alleen wettelijk verplicht. Het is ook gewoon goed bedrijfsvoering.
Automatiseren en compliant blijven?
In een gratis gesprek kijk ik naar jouw processen. Wat er geautomatiseerd kan worden, hoe je het AVG-proof bouwt, en wat het oplevert. Eerlijk advies, geen verkooppraatje.