Naar de inhoud
AVG / GDPR

AVG-conform, van de basis af

De Algemene verordening gegevensbescherming (AVG, in het Engels GDPR) is de Europese privacywet die bepaalt hoe organisaties met persoonsgegevens omgaan. Ze geeft mensen rechten over hun eigen gegevens en legt jou als leadgenerator een resultaatverplichting op: je moet niet alleen zorgvuldig handelen, je moet dat ook kunnen aantonen. Voor een leadoperatie betekent dat geen vrijblijvende belofte, maar een controleerbare praktijk.

Lead-verwerking is daarbij extra gevoelig. Een aanvraag bevat doorgaans direct identificeerbare gegevens (naam, telefoonnummer, e-mail, soms financiële of juridische context) en die gegevens reizen van een publisher naar een afnemer, onder jouw merk. Op elk knooppunt in die keten moet duidelijk zijn op welke grondslag wordt verwerkt, wie toegang heeft en hoe lang de gegevens blijven staan. OXIAE bouwt die antwoorden in het platform in, zodat jij ze niet achteraf hoeft te reconstrueren.

AVG / GDPR Data in de EU Volledige audit trail

Laatst bijgewerkt: 1 juni 2026

De grondbeginselen, in de praktijk

De kernprincipes van de AVG zijn geen afvinklijst achteraf. Hieronder zie je per beginsel hoe het platform het concreet voor je ondersteunt.

01 Rechtmatigheid & toestemming

Elke aanvraag die door je platform loopt, draagt een vastgelegde, geldige grondslag met zich mee. Toestemming wordt op het moment van binnenkomst geregistreerd en blijft controleerbaar gekoppeld aan de lead.

02 Doelbinding

Data wordt uitsluitend verwerkt voor het doel waarvoor de toestemming is gegeven. Routing en matching naar afnemers gebeuren binnen de grenzen die jij als operator instelt, niet erbuiten.

03 Dataminimalisatie

Formulieren en intake vragen alleen wat nodig is voor het doel. Velden die niet bijdragen aan de verwerking worden niet uitgevraagd en niet bewaard, instelbaar per label of aanvraagtype.

04 Juistheid

Aanvragen worden bij intake gecontroleerd op herkomst en consistentie, zodat jouw afnemers werken met gegevens die kloppen en herleidbaar zijn tot een publisher.

05 Bewaarbeperking

Bewaartermijnen stel je per verwerking in binnen het platform en worden automatisch toegepast. Data verloopt volgens jouw beleid in plaats van onbeperkt te blijven staan.

06 Integriteit & vertrouwelijkheid

Versleuteld transport, veilige opslag en toegang per rol en context zorgen dat gegevens binnen je platform alleen zichtbaar zijn voor wie ze nodig heeft.

07 Verantwoordingsplicht

Elke verwerkingsstap wordt gelogd in een audit trail. Wat er met een aanvraag is gebeurd, is voor jou op elk moment inzichtelijk en exporteerbaar als bewijs, richting toezichthouder of afnemer.

Grondslagen voor verwerking

Geen enkele verwerking is rechtmatig zonder een grondslag. De AVG kent er zes; voor lead-verwerking zijn er drie relevant. Welke geldt, bepaalt wat jij als operator mag doen en wat je moet kunnen aantonen.

Toestemming

De betrokkene heeft actief en geïnformeerd ja gezegd tegen het delen van zijn gegevens met afnemers voor een concreet doel.

Voor lead-verwerking

De meest gebruikte grondslag voor lead-verwerking. Je platform legt de toestemming vast op het moment van binnenkomst, met tijdstip, tekst en bron, zodat jij later kunt aantonen dat de keuze geïnformeerd en intrekbaar was.

Gerechtvaardigd belang

Een verwerking is nodig voor een gerechtvaardigd doel en de belangen van de betrokkene wegen daar niet zwaarder dan, na een afweging.

Voor lead-verwerking

Kan gelden voor ondersteunende verwerkingen zoals fraudepreventie of kwaliteitscontrole. Voor het delen van een lead met een afnemer is toestemming vrijwel altijd de zuiverdere grond; gerechtvaardigd belang vraagt een gedocumenteerde belangenafweging.

Overeenkomst

De verwerking is noodzakelijk om een overeenkomst met de betrokkene uit te voeren of om op zijn verzoek stappen te nemen vóór het sluiten ervan.

Voor lead-verwerking

Speelt wanneer de betrokkene zelf om contact of een offerte vraagt en de levering aan de afnemer een direct gevolg is van dat verzoek. De grens met toestemming is fijn; je platform registreert per lead welke grond is gekozen.

In de praktijk is toestemming voor het delen van een lead met een afnemer meestal de zuiverste keuze: ze is helder, intrekbaar en goed te documenteren. Het platform registreert per aanvraag welke grondslag van toepassing is, zodat een verwerking nooit losstaat van zijn rechtvaardiging.

Rechten van betrokkenen

Achter elke lead zit een mens met rechten over zijn eigen gegevens. Die rechten zijn alleen waardevol als jij ze ook kunt uitvoeren: snel, volledig en aantoonbaar. Doordat het platform alle gegevens rond één persoon koppelt, wordt een verzoek voor jou een handeling van minuten in plaats van een zoektocht door losse systemen.

Recht op inzage

De betrokkene mag opvragen welke gegevens je verwerkt en met welk doel. Je platform bundelt alle records rond één persoon (formulierinvoer, consent-bewijs, herkomst en verwerkingsstappen) tot een exporteerbaar overzicht.

Recht op rectificatie

Onjuiste of onvolledige gegevens kunnen worden gecorrigeerd. De wijziging wordt doorgevoerd én vastgelegd, zodat herleidbaar blijft wat is aangepast, wanneer en door wie.

Recht op verwijdering

Bij een geldig verzoek om vergetelheid verwijder je de gegevens definitief uit de actieve verwerking. De audit trail houdt een geanonimiseerd spoor van het verzoek zelf, niet van de inhoud.

Recht op beperking

Een lead kan worden bevroren terwijl een verzoek of dispuut loopt. De gegevens blijven bewaard maar worden niet verder gerouteerd, gematcht of geleverd tot de situatie is opgehelderd.

Recht op dataportabiliteit

De betrokkene mag zijn gegevens in een gangbaar, machineleesbaar formaat ontvangen. Een export levert de aangeleverde gegevens als gestructureerde JSON of CSV, klaar om over te dragen.

Recht van bezwaar

Tegen verwerking op basis van gerechtvaardigd belang kan bezwaar worden gemaakt. Het bezwaar wordt geregistreerd en de verwerking wordt gestaakt zodra er geen dwingende grond meer is.

Hoe een verzoek via de audit trail wordt afgehandeld

Elk verzoek van een betrokkene doorloopt binnen jouw platform dezelfde controleerbare route. De audit trail legt elke stap vast, zodat jij richting de betrokkene én de toezichthouder kunt aantonen dat je tijdig en volledig hebt gehandeld.

01

Verzoek geregistreerd

Het verzoek komt binnen via een vast kanaal en wordt vastgelegd met tijdstip, type recht en identiteit van de betrokkene. De wettelijke termijn van één maand start meetbaar.

02

Gegevens samengebracht

Het platform bundelt alle records rond de persoon: formulierinvoer, consent-bewijs, herkomst, routing en leveringen, over al jouw labels en afnemers heen.

03

Recht uitgevoerd

Afhankelijk van het verzoek volgt inzage-export, rectificatie, beperking of definitieve verwijdering. De handeling wordt onomkeerbaar doorgevoerd in de actieve verwerking.

04

Afhandeling gelogd

De uitkomst wordt in de audit trail vastgelegd en is exporteerbaar als bewijs. Bij verwijdering blijft alleen een geanonimiseerd spoor van het verzoek bestaan, niet de inhoud.

Bewaartermijnen in de praktijk

Bewaarbeperking klinkt abstract tot je het per lead-status concreet maakt. Een afgewezen lead hoort niet even lang te blijven staan als een geleverde lead met een lopende garantietermijn. Je koppelt in het platform aan elke status een termijn en laat data automatisch verlopen wanneer die is bereikt: geen handmatig opschonen, geen vergeten records. Onderstaande termijnen zijn illustratief; je stelt ze in op je eigen beleid.

Lead-status
Voorbeeld-termijn
Toelichting
Afgewezen
30 dagen
Een lead die de kwaliteits- of validatiecheck niet haalt, wordt kort bewaard voor controle en analyse en daarna automatisch verwijderd.
Geleverd
24 maanden
Een succesvol geleverde lead blijft bewaard zolang dat nodig is voor verantwoording, facturatie en eventuele garantie, daarna verloopt het record.
In dispuut
Verlengd tot afhandeling
Zolang een dispuut loopt blijft het record bevroren bewaard. De expiry-teller hervat zodra het dispuut is afgehandeld.
Verzoek tot verwijdering
Direct
Bij een geldig vergetelheidsverzoek wordt de inhoud per direct verwijderd; alleen een geanonimiseerd spoor van het verzoek blijft staan.

De automatische expiry is een actieve verwerking, geen passieve markering: op de vervaldatum worden de persoonsgegevens daadwerkelijk verwijderd uit de opslag. De audit trail houdt vast dát een record is verlopen en wanneer, zonder de verwijderde inhoud te bewaren.

Datalek-procedure

Een datalek is een incident waarbij persoonsgegevens onbedoeld zijn ingezien, gewijzigd, gelekt of vernietigd. De AVG verplicht de verwerkingsverantwoordelijke om een meldplichtig lek binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens. Snelheid en helderheid bepalen dan alles, daarom ligt de route bij OXIAE vooraf vast in plaats van dat jij die moet improviseren.

01

Detectie

Monitoring, toegangslogs en de audit trail signaleren afwijkend gedrag. Een vermoedelijk incident wordt direct vastgelegd met tijdstip, scope en betrokken gegevens.

02

Beoordeling

Het incident wordt beoordeeld op aard, omvang en risico voor betrokkenen, zodat duidelijk is of het een meldplichtig lek betreft en welke personen geraakt zijn.

03

Melding aan jou als verantwoordelijke

OXIAE meldt als leverancier van het platform het incident onverwijld aan jou, met de informatie die je nodig hebt om als verwerkingsverantwoordelijke de wettelijke melding te kunnen doen.

04

AP-melding binnen 72 uur

Jij meldt het lek waar vereist binnen 72 uur bij de Autoriteit Persoonsgegevens, en informeert betrokkenen bij hoog risico. Elke stap blijft herleidbaar via het platform.

OXIAE ondersteunt jouw AVG-conformiteit met techniek, vastlegging en heldere rolverdeling. Het is geen vervanging van juridisch advies over je eigen verwerkingen en verantwoordelijkheden als leadgenerator.

Veelgestelde vragen over AVG & GDPR

De vragen die het vaakst terugkomen over hosting, doorgifte, sub-verwerkers en het aantonen van conformiteit.

Waar worden de gegevens gehost?

Alle persoonsgegevens worden binnen de Europese Unie verwerkt en opgeslagen. Data residency in de EU betekent dat jouw gegevens onder het AVG-regime blijven en niet standaard buiten de Europese rechtsruimte terechtkomen.

Wat gebeurt er bij internationale doorgifte?

OXIAE streeft ernaar verwerking binnen de EU/EER te houden. Mocht doorgifte naar een derde land aan de orde zijn, dan gebeurt dat uitsluitend met een geldig overdrachtsmechanisme, zoals een adequaatheidsbesluit of standaardcontractbepalingen (SCC’s), met de bijbehorende waarborgen.

Worden er sub-verwerkers ingezet?

Voor onderdelen zoals hosting of e-mailafhandeling kunnen sub-verwerkers worden ingeschakeld. Met elke sub-verwerker is een verwerkersovereenkomst gesloten, ze zijn gebonden aan dezelfde verplichtingen, en jij krijgt inzicht in welke partijen het betreft.

Hoe toon ik mijn conformiteit aan?

Doordat grondslag, consent, herkomst en bewaartermijn per lead zijn vastgelegd en elke verwerkingsstap in de audit trail staat, kun jij je verwerking onderbouwen met exporteerbaar bewijs, richting toezichthouder of afnemer. Je reconstrueert niets achteraf; de verantwoording zit ingebouwd in het platform.

Wat is het verschil tussen AVG en GDPR?

Geen inhoudelijk verschil. AVG is de Nederlandse naam (Algemene verordening gegevensbescherming), GDPR de Engelse (General Data Protection Regulation). Het gaat om exact dezelfde Europese verordening.

Hoe snel kan ik een inzage- of verwijderverzoek afhandelen?

Een verzoek wordt geregistreerd, de gegevens rond de persoon worden automatisch gebundeld en de gevraagde handeling wordt uitgevoerd en gelogd. Daarmee blijf jij ruim binnen de wettelijke termijn van één maand, ook bij groeiend volume.

Zie hoe AVG-conform eruitziet in de praktijk

Plan een demo en ontdek hoe grondslagen, rechten van betrokkenen, bewaartermijnen en een audit trail elke aanvraag in jouw platform aantoonbaar maken.