AVG-conform, van de basis af
De Algemene verordening gegevensbescherming (AVG, in het Engels GDPR) is de Europese privacywet die bepaalt hoe organisaties met persoonsgegevens omgaan. Ze geeft mensen rechten over hun eigen gegevens en legt jou als leadgenerator een resultaatverplichting op: je moet niet alleen zorgvuldig handelen, je moet dat ook kunnen aantonen. Voor een leadoperatie betekent dat geen vrijblijvende belofte, maar een controleerbare praktijk.
Lead-verwerking is daarbij extra gevoelig. Een aanvraag bevat doorgaans direct identificeerbare gegevens (naam, telefoonnummer, e-mail, soms financiële of juridische context) en die gegevens reizen van een publisher naar een afnemer, onder jouw merk. Op elk knooppunt in die keten moet duidelijk zijn op welke grondslag wordt verwerkt, wie toegang heeft en hoe lang de gegevens blijven staan. OXIAE bouwt die antwoorden in het platform in, zodat jij ze niet achteraf hoeft te reconstrueren.
Laatst bijgewerkt: 1 juni 2026
De grondbeginselen, in de praktijk
De kernprincipes van de AVG zijn geen afvinklijst achteraf. Hieronder zie je per beginsel hoe het platform het concreet voor je ondersteunt.
Elke aanvraag die door je platform loopt, draagt een vastgelegde, geldige grondslag met zich mee. Toestemming wordt op het moment van binnenkomst geregistreerd en blijft controleerbaar gekoppeld aan de lead.
Data wordt uitsluitend verwerkt voor het doel waarvoor de toestemming is gegeven. Routing en matching naar afnemers gebeuren binnen de grenzen die jij als operator instelt, niet erbuiten.
Formulieren en intake vragen alleen wat nodig is voor het doel. Velden die niet bijdragen aan de verwerking worden niet uitgevraagd en niet bewaard, instelbaar per label of aanvraagtype.
Aanvragen worden bij intake gecontroleerd op herkomst en consistentie, zodat jouw afnemers werken met gegevens die kloppen en herleidbaar zijn tot een publisher.
Bewaartermijnen stel je per verwerking in binnen het platform en worden automatisch toegepast. Data verloopt volgens jouw beleid in plaats van onbeperkt te blijven staan.
Versleuteld transport, veilige opslag en toegang per rol en context zorgen dat gegevens binnen je platform alleen zichtbaar zijn voor wie ze nodig heeft.
Elke verwerkingsstap wordt gelogd in een audit trail. Wat er met een aanvraag is gebeurd, is voor jou op elk moment inzichtelijk en exporteerbaar als bewijs, richting toezichthouder of afnemer.
Grondslagen voor verwerking
Geen enkele verwerking is rechtmatig zonder een grondslag. De AVG kent er zes; voor lead-verwerking zijn er drie relevant. Welke geldt, bepaalt wat jij als operator mag doen en wat je moet kunnen aantonen.
Toestemming
De betrokkene heeft actief en geïnformeerd ja gezegd tegen het delen van zijn gegevens met afnemers voor een concreet doel.
Voor lead-verwerking
De meest gebruikte grondslag voor lead-verwerking. Je platform legt de toestemming vast op het moment van binnenkomst, met tijdstip, tekst en bron, zodat jij later kunt aantonen dat de keuze geïnformeerd en intrekbaar was.
Gerechtvaardigd belang
Een verwerking is nodig voor een gerechtvaardigd doel en de belangen van de betrokkene wegen daar niet zwaarder dan, na een afweging.
Voor lead-verwerking
Kan gelden voor ondersteunende verwerkingen zoals fraudepreventie of kwaliteitscontrole. Voor het delen van een lead met een afnemer is toestemming vrijwel altijd de zuiverdere grond; gerechtvaardigd belang vraagt een gedocumenteerde belangenafweging.
Overeenkomst
De verwerking is noodzakelijk om een overeenkomst met de betrokkene uit te voeren of om op zijn verzoek stappen te nemen vóór het sluiten ervan.
Voor lead-verwerking
Speelt wanneer de betrokkene zelf om contact of een offerte vraagt en de levering aan de afnemer een direct gevolg is van dat verzoek. De grens met toestemming is fijn; je platform registreert per lead welke grond is gekozen.
In de praktijk is toestemming voor het delen van een lead met een afnemer meestal de zuiverste keuze: ze is helder, intrekbaar en goed te documenteren. Het platform registreert per aanvraag welke grondslag van toepassing is, zodat een verwerking nooit losstaat van zijn rechtvaardiging.
Rechten van betrokkenen
Achter elke lead zit een mens met rechten over zijn eigen gegevens. Die rechten zijn alleen waardevol als jij ze ook kunt uitvoeren: snel, volledig en aantoonbaar. Doordat het platform alle gegevens rond één persoon koppelt, wordt een verzoek voor jou een handeling van minuten in plaats van een zoektocht door losse systemen.
Recht op inzage
De betrokkene mag opvragen welke gegevens je verwerkt en met welk doel. Je platform bundelt alle records rond één persoon (formulierinvoer, consent-bewijs, herkomst en verwerkingsstappen) tot een exporteerbaar overzicht.
Recht op rectificatie
Onjuiste of onvolledige gegevens kunnen worden gecorrigeerd. De wijziging wordt doorgevoerd én vastgelegd, zodat herleidbaar blijft wat is aangepast, wanneer en door wie.
Recht op verwijdering
Bij een geldig verzoek om vergetelheid verwijder je de gegevens definitief uit de actieve verwerking. De audit trail houdt een geanonimiseerd spoor van het verzoek zelf, niet van de inhoud.
Recht op beperking
Een lead kan worden bevroren terwijl een verzoek of dispuut loopt. De gegevens blijven bewaard maar worden niet verder gerouteerd, gematcht of geleverd tot de situatie is opgehelderd.
Recht op dataportabiliteit
De betrokkene mag zijn gegevens in een gangbaar, machineleesbaar formaat ontvangen. Een export levert de aangeleverde gegevens als gestructureerde JSON of CSV, klaar om over te dragen.
Recht van bezwaar
Tegen verwerking op basis van gerechtvaardigd belang kan bezwaar worden gemaakt. Het bezwaar wordt geregistreerd en de verwerking wordt gestaakt zodra er geen dwingende grond meer is.
Hoe een verzoek via de audit trail wordt afgehandeld
Elk verzoek van een betrokkene doorloopt binnen jouw platform dezelfde controleerbare route. De audit trail legt elke stap vast, zodat jij richting de betrokkene én de toezichthouder kunt aantonen dat je tijdig en volledig hebt gehandeld.
Verzoek geregistreerd
Het verzoek komt binnen via een vast kanaal en wordt vastgelegd met tijdstip, type recht en identiteit van de betrokkene. De wettelijke termijn van één maand start meetbaar.
Gegevens samengebracht
Het platform bundelt alle records rond de persoon: formulierinvoer, consent-bewijs, herkomst, routing en leveringen, over al jouw labels en afnemers heen.
Recht uitgevoerd
Afhankelijk van het verzoek volgt inzage-export, rectificatie, beperking of definitieve verwijdering. De handeling wordt onomkeerbaar doorgevoerd in de actieve verwerking.
Afhandeling gelogd
De uitkomst wordt in de audit trail vastgelegd en is exporteerbaar als bewijs. Bij verwijdering blijft alleen een geanonimiseerd spoor van het verzoek bestaan, niet de inhoud.
Bewaartermijnen in de praktijk
Bewaarbeperking klinkt abstract tot je het per lead-status concreet maakt. Een afgewezen lead hoort niet even lang te blijven staan als een geleverde lead met een lopende garantietermijn. Je koppelt in het platform aan elke status een termijn en laat data automatisch verlopen wanneer die is bereikt: geen handmatig opschonen, geen vergeten records. Onderstaande termijnen zijn illustratief; je stelt ze in op je eigen beleid.
De automatische expiry is een actieve verwerking, geen passieve markering: op de vervaldatum worden de persoonsgegevens daadwerkelijk verwijderd uit de opslag. De audit trail houdt vast dát een record is verlopen en wanneer, zonder de verwijderde inhoud te bewaren.
Datalek-procedure
Een datalek is een incident waarbij persoonsgegevens onbedoeld zijn ingezien, gewijzigd, gelekt of vernietigd. De AVG verplicht de verwerkingsverantwoordelijke om een meldplichtig lek binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens. Snelheid en helderheid bepalen dan alles, daarom ligt de route bij OXIAE vooraf vast in plaats van dat jij die moet improviseren.
Detectie
Monitoring, toegangslogs en de audit trail signaleren afwijkend gedrag. Een vermoedelijk incident wordt direct vastgelegd met tijdstip, scope en betrokken gegevens.
Beoordeling
Het incident wordt beoordeeld op aard, omvang en risico voor betrokkenen, zodat duidelijk is of het een meldplichtig lek betreft en welke personen geraakt zijn.
Melding aan jou als verantwoordelijke
OXIAE meldt als leverancier van het platform het incident onverwijld aan jou, met de informatie die je nodig hebt om als verwerkingsverantwoordelijke de wettelijke melding te kunnen doen.
AP-melding binnen 72 uur
Jij meldt het lek waar vereist binnen 72 uur bij de Autoriteit Persoonsgegevens, en informeert betrokkenen bij hoog risico. Elke stap blijft herleidbaar via het platform.
OXIAE ondersteunt jouw AVG-conformiteit met techniek, vastlegging en heldere rolverdeling. Het is geen vervanging van juridisch advies over je eigen verwerkingen en verantwoordelijkheden als leadgenerator.
Veelgestelde vragen over AVG & GDPR
De vragen die het vaakst terugkomen over hosting, doorgifte, sub-verwerkers en het aantonen van conformiteit.
Waar worden de gegevens gehost?
Alle persoonsgegevens worden binnen de Europese Unie verwerkt en opgeslagen. Data residency in de EU betekent dat jouw gegevens onder het AVG-regime blijven en niet standaard buiten de Europese rechtsruimte terechtkomen.
Wat gebeurt er bij internationale doorgifte?
OXIAE streeft ernaar verwerking binnen de EU/EER te houden. Mocht doorgifte naar een derde land aan de orde zijn, dan gebeurt dat uitsluitend met een geldig overdrachtsmechanisme, zoals een adequaatheidsbesluit of standaardcontractbepalingen (SCC’s), met de bijbehorende waarborgen.
Worden er sub-verwerkers ingezet?
Voor onderdelen zoals hosting of e-mailafhandeling kunnen sub-verwerkers worden ingeschakeld. Met elke sub-verwerker is een verwerkersovereenkomst gesloten, ze zijn gebonden aan dezelfde verplichtingen, en jij krijgt inzicht in welke partijen het betreft.
Hoe toon ik mijn conformiteit aan?
Doordat grondslag, consent, herkomst en bewaartermijn per lead zijn vastgelegd en elke verwerkingsstap in de audit trail staat, kun jij je verwerking onderbouwen met exporteerbaar bewijs, richting toezichthouder of afnemer. Je reconstrueert niets achteraf; de verantwoording zit ingebouwd in het platform.
Wat is het verschil tussen AVG en GDPR?
Geen inhoudelijk verschil. AVG is de Nederlandse naam (Algemene verordening gegevensbescherming), GDPR de Engelse (General Data Protection Regulation). Het gaat om exact dezelfde Europese verordening.
Hoe snel kan ik een inzage- of verwijderverzoek afhandelen?
Een verzoek wordt geregistreerd, de gegevens rond de persoon worden automatisch gebundeld en de gevraagde handeling wordt uitgevoerd en gelogd. Daarmee blijf jij ruim binnen de wettelijke termijn van één maand, ook bij groeiend volume.
Zie hoe AVG-conform eruitziet in de praktijk
Plan een demo en ontdek hoe grondslagen, rechten van betrokkenen, bewaartermijnen en een audit trail elke aanvraag in jouw platform aantoonbaar maken.