AVG-datamapping is het proces waarbij een dynamisch overzicht wordt opgesteld van welke persoonsgegevens uw organisatie verwerkt, waar deze zich bevinden, wie er toegang toe heeft en waarom. Het vormt de basis voor elk register op grond van artikel 30, elke gegevensbeschermingseffectbeoordeling en elk verzoek om inzage van een betrokkenen waarop u reageert. Zonder een datamap kunt u alleen maar gissen of u aan de voorschriften voldoet, in plaats van dit daadwerkelijk aan te tonen.

Deze gids begeleidt het MKB door AVG-datamapping in vijf praktische stappen — diensten, gegevensitems, toegang, doorgiften, risico — met een opstarttraject zonder kosten, een keuze tussen sjablonen en tools, en wat u moet doen als uw eerste map klaar is. Er is geen adviesbudget van zes cijfers voor nodig.

Wat is een AVG-datamap?

Een datamap beantwoordt vier fundamentele vragen over de persoonsgegevens van uw organisatie:

  • Welke gegevens verwerkt u? Namen, e-mailadressen, financiële gegevens, gezondheidsgegevens, apparaat-ID's — gespecificeerd en ingedeeld naar gevoeligheid.
  • Waar bevinden deze zich? Welke diensten, databases en apparaten slaan deze op? Waar wordt er een back-up van gemaakt? Bevindt er zich iets op lokale machines?
  • Wie heeft er toegang? Welke teams of rollen kunnen deze lezen, wijzigen of exporteren? Via welke diensten?
  • Waarom, en voor hoe lang? Wat is de rechtsgrond voor elke verwerkingsactiviteit, en wanneer moeten de gegevens worden verwijderd?

Deze vier vragen vloeien rechtstreeks voort uit het verwerkingsregister dat op grond van artikel 30 vereist is. Maar een datamap gaat verder dan een verwerkingsregister — deze omvat toegangspatronen, gegevensstromen tussen diensten, de beveiligingsstatus van apparaten en risicobeoordeling. De verwerkingsregister-handleiding behandelt het register zelf in detail. De datamap vormt de basis die het verwerkingsregister nauwkeurig maakt.

Waarom spreadsheets niet schaalbaar zijn

Een spreadsheet is prima als u drie diensten en tien gegevensitems hebt. Het faalt op het moment dat uw organisatie verder groeit. U kunt een dienst niet op een zinvolle manier koppelen aan zijn gegevensitems, rechtsgronden, gebruikers en uitgaande overdrachten in een platte tabel. U eindigt met het dupliceren van rijen, het maken van tabbladen met kruisverwijzingen en de hoop dat iemand eraan denkt om ze allemaal bij te werken wanneer een dienst verandert.

Zodra u de grens van 20 diensten overschrijdt – en de meeste organisaties bereiken dat sneller dan ze denken – wordt de spreadsheet een last in plaats van een hulpmiddel. Er sluipen inconsistenties in, hiaten blijven onopgemerkt en het document raakt los van de werkelijkheid. Zoals de verwerkingsregister-toolgids uitlegt, verwachten auditors gestructureerde, actuele gegevens – geen tabbladen met kleurcodes en kapotte formules.

5 stappen om uw AVG-datamap te maken

Stap 1: Breng uw diensten in kaart

Begin met het opsommen van elke dienst die in aanraking komt met persoonsgegevens. De voor de hand liggende diensten komen eerst: uw CRM, e-mailprovider, cloudopslag, HR-systeem. Ga vervolgens dieper. Berichtenprogramma's, analyseplatforms, betalingsverwerkers, marketingautomatisering, zelfs telemetrie van besturingssystemen – al deze verwerken persoonsgegevens.

De meeste organisaties onderschatten het aantal diensten dat ze gebruiken met de helft. Readmodel® bevat een sjabloonbibliotheek met meer dan 200 vooraf geconfigureerde servicesjablonen voor gangbare SaaS-tools, cloudplatforms en infrastructuurdiensten. Kies uit de bibliotheek, voeg uw eigen interne systemen toe en u hebt binnen enkele minuten een solide uitgangspunt. Maak een gratis account aan en probeer de sjabloonbibliotheek zelf uit.

Stap 2: Documenteer gegevensitems per dienst

Documenteer voor elke dienst welke persoonsgegevens deze verwerkt. Wees specifiek — "klantgegevens" is geen gegevensitem. Splits het op: volledige naam, e-mailadres, telefoonnummer, factuuradres, laatste vier cijfers van de betaalkaart, aankoopgeschiedenis. Elk item krijgt een eigen record.

Vul vervolgens elk gegevensitem aan met drie cruciale kenmerken:

  • Classificatie — hoe gevoelig is het? Openbaar, intern, vertrouwelijk, bijzondere persoonsgegevens?
  • Rechtsgrond — welke van de zes gronden uit artikel 6 van de AVG rechtvaardigt de verwerking van dit item?
  • Bewaartermijn — hoe lang bewaart u het, en wat is de aanleiding voor verwijdering?

Deze drie kenmerken bepalen uw risicoscore en bepalen of een gegevensbeschermingseffectbeoordeling vereist is. Een ontbrekende rechtsgrond of bewaartermijn is precies het soort lacune dat auditors signaleren.

Stap 3: Breng in kaart wie toegang heeft

Toegangsmapping koppelt mensen aan gegevens. Leg vast welke rollen of teams toegang hebben tot welke diensten: het HR-team gebruikt het HR-systeem, Marketing gebruikt het CRM-systeem en het e-mailplatform, Finance gebruikt de boekhoudtool. Breng dit in kaart op rolniveau, niet op basis van individuele accounts — dit houdt het model onderhoudbaar.

Breng vervolgens in kaart tot welke gegevensitems elke dienst toegang heeft. Zo ontstaat de volledige keten: Gebruiker → Dienst → Gegevensitem. U kunt nu de vraag beantwoorden die bij elk DSAR-antwoord hoort: "Welke van onze medewerkers zou toegang kunnen hebben gehad tot de gegevens van deze persoon, via welke systemen?"

Toegangsmapping ondersteunt ook toegangsbeoordelingen — periodieke verificaties dat elke toegangsvergunning nog steeds gerechtvaardigd is. Voor meer informatie over waarom datamapping belangrijk is , verder dan louter naleving, zie onze eerdere gids.

Stap 4: Documenteer gegevensstromen tussen diensten

Persoonsgegevens blijven zelden op één plek. Uw CRM synchroniseert contacten met uw e-mailmarketingtool. Uw HR-systeem exporteert salarisgegevens naar een externe leverancier. Uw analyseplatform ontvangt browsegegevens van uw website. Elk van deze voorbeelden is een gegevensoverdracht die gedocumenteerd moet worden.

Leg voor elke overdracht de bronservice, de doelservice, het type overdracht en – cruciaal – het beveiligingsmechanisme voor internationale overdrachten vast. Sinds de Schrems II-uitspraak vereisen overdrachten naar landen zonder adequaatheidsbesluit standaardcontractbepalingen, bindende bedrijfsregels of een ander mechanisme op grond van artikel 46. Niet-gedocumenteerde grensoverschrijdende overdrachten behoren tot de bevindingen met het hoogste risico bij een audit door een toezichthouder.

Preventie van gegevensverlies begint met mapping — u kunt geen gegevensstromen beschermen die u niet hebt gedocumenteerd.

Stap 5: Beoordeel het risico en exporteer uw verwerkingsregister

Nu de diensten, gegevensitems, toegangskaarten en overdrachten zijn gedocumenteerd, kunt u het risico beoordelen. Elk gegevensitem krijgt een risicoscore op basis van de classificatie, rechtsgrond en bewaartermijn. Elke dienst telt de scores van zijn items bij elkaar op, plus strafpunten voor ontbrekende inlogtypes of een hoog aantal overdrachten.

Genereer uw artikel 30-register automatisch vanuit de datamap — geen apart verwerkingsregister, geen kopiëren en plakken tussen documenten. Het register neemt de rechtsgrond, bewaartermijn en classificatie van elk gegevensitem over. Risicobadges markeren diensten die aandacht behoeven. Diensten met een hoog en kritiek risico worden gemarkeerd voor een mogelijke DPIA op grond van artikel 35.

Voor een gedetailleerde vergelijking van hoe verschillende tools hiermee omgaan, zie Vergelijking van AVG-compliance-tools .

Wat te doen na uw eerste datamap

Een datamap is een levend document, geen eenmalige compliance-oefening. Controleer en werk deze bij wanneer:

  • Er een nieuwe dienst wordt geïntroduceerd — zelfs een proef of pilot waarbij persoonsgegevens betrokken zijn
  • Een gegevensstroom verandert — een nieuwe integratie, een wisseling van leverancier, een nieuw land
  • Een rechtsgrond wordt betwist — toestemming ingetrokken, gerechtvaardigde belangen opnieuw beoordeeld
  • Na een inbreuk of DSAR — beide gebeurtenissen leggen hiaten in uw documentatie bloot

Stel een uitgangspunt vast na het voltooien van uw eerste datamap. Readmodel® legt uw risicopositie vast, zodat u verbeteringen in de loop van de tijd kunt volgen. Wanneer de volgende audit plaatsvindt, kunt u niet alleen laten zien waar u nu staat, maar ook hoe ver u bent gekomen.

AVG-datamapping: veelgestelde vragen

Wat is AVG-datamapping? AVG-datamapping is het proces waarbij een gestructureerd overzicht wordt opgesteld van alle plaatsen waar persoonsgegevens zich binnen uw organisatie bevinden — diensten, databases, apparaten, externe verwerkers — samen met welke gegevens elk daarvan bevat, waarom deze worden bewaard, wie er toegang toe heeft en hoe lang ze worden bewaard. Het vormt de basis voor de in artikel 30 bedoelde registers, DPIAs, meldingen van inbreuken en reacties op DSAR-verzoeken.

Is AVG-datamapping wettelijk verplicht? Artikel 30 van de AVG verplicht verwerkingsverantwoordelijken en verwerkers om een verwerkingsregister (ROPA) bij te houden. Dat register kan niet bestaan zonder een onderliggende datamap. Hoewel "datamapping" niet de letterlijke term is die in artikel 30 wordt gebruikt, is het wel de praktische activiteit die leidt tot wat artikel 30 vereist. Zonder een datamap kunt u geen verwerkingsregister nauwkeurig bijhouden.

Hebben kleine bedrijven AVG-datamapping nodig? Artikel 30, lid 5, stelt organisaties met minder dan 250 werknemers technisch gezien vrij van deze verplichting, maar alleen als de verwerking incidenteel is, weinig risico met zich meebrengt en geen bijzondere persoonsgegevens omvat. Vrijwel elk bedrijf verwerkt werknemersgegevens, maakt gebruik van cookies of verwerkt financiële informatie — dus de vrijstelling is zelden van toepassing. Als u regelmatig persoonsgegevens verwerkt, heeft u een datamap nodig, ongeacht het aantal medewerkers.

Wat is het verschil tussen een datamap en een verwerkingsregister? Een verwerkingsregister is het formele register op grond van artikel 30 – wat u aan een auditor laat zien. Een datamap is de onderliggende inventaris van diensten, gegevensitems, toegang en overdrachten waarop een verwerkingsregister is gebaseerd. De map is breder (deze omvat risicoscores, apparaatbeveiliging en toegangspatronen); het verwerkingsregister is het formele uittreksel voor nalevingsrapportage.

Hoe lang duurt de datamapping volgens de AVG voor een MKB-bedrijf? Met een gestructureerde tool en vooraf geconfigureerde servicesjablonen kan een MKB-bedrijf met 20–50 services binnen 4–8 uur een eerste bruikbare datamap opstellen. Als u helemaal vanaf nul met een spreadsheet begint, moet u rekenen op 2–4 weken. Het verschil zit niet in het schrijven, maar in het koppelen, classificeren en controleren op hiaten – taken die een tool automatiseert.

Kan ik een AVG-datamapping-sjabloon gebruiken? Een sjabloon (Word, Excel, PDF) is prima voor een verwerker met één medewerker of een zeer laag verwerkingsvolume. Daarboven wordt de sjabloon een risico op het moment dat uw datalandschap verandert – en dat zal gebeuren. Een speciaal ontwikkelde tool onderhoudt gestructureerde koppelingen tussen diensten, gegevensitems, rechtsgronden en bewaartermijnen, zodat de kaart actueel blijft zonder handmatige afstemming.

Hoe vaak moet ik mijn AVG-datamap bijwerken? In de praktijk continu. Triggers die een update vereisen: er wordt een nieuwe dienst geïntroduceerd, een gegevensstroom verandert (nieuwe integratie, wisseling van aanbieder, nieuw land), een rechtsgrond wordt betwist (toestemming ingetrokken, gerechtvaardigde belangen opnieuw beoordeeld), of een inbreuk of DSAR legt een lacune bloot. Een geplande driemaandelijkse evaluatie vangt op wat de triggers missen.

Wat gebeurt er als ik geen AVG-datamap bijhoud? Twee praktische gevolgen. Ten eerste kan uw verwerkingsregister niet nauwkeurig zijn, wat betekent dat u niet voldoet aan uw verplichtingen uit hoofde van artikel 30. Ten tweede kunt u geen DSAR's beantwoorden binnen de termijn van 30 dagen, kunt u geen inbreuk in kaart brengen binnen de termijn van 72 uur en kunt u geen zinvolle DPIA uitvoeren. Toezichthouders beschouwen ontbrekende of verouderde datamaps als een verzwarende factor bij het berekenen van boetes.

Begin vandaag nog met het in kaart brengen

Maak een gratis Readmodel®-account aan en breng uw eerste 5 diensten in minder dan een uur in kaart. De sjabloonbibliotheek, risicoscores en verwerkingsregister zijn vanaf dag één beschikbaar — geen creditcard, geen verkoopgesprekken. Ga nu aan de slag .