GDPR-compliance checklist voor website-eigenaren: compleet en praktisch (met WordPress-tips)

De GDPR (AVG) is nog steeds een van de meest uitgebreide privacywetten ter wereld. Zodra je persoonsgegevens van EU-inwoners verwerkt—of je nu een kleine blog runt, een WooCommerce-shop beheert of een SaaS-platform bouwt—moet je aan de regels voldoen. Doe je dat niet, dan kan dat uitlopen op boetes tot €20 miljoen of 4% van je wereldwijde jaaromzet (wat hoger is).

Onderstaande checklist is bedoeld als praktische kapstok: welke inventarisaties, policies, contracten, processen en technische maatregelen je nodig hebt om GDPR-compliance te bereiken én te onderhouden. Ik behandel ook expliciet wat dit betekent voor WordPress-sites.

Wat is GDPR (AVG) precies?

De General Data Protection Regulation (GDPR)—in het Nederlands meestal AVG genoemd—is EU-wetgeving die sinds 25 mei 2018 geldt. De wet zet duidelijke regels neer voor het verzamelen, gebruiken, opslaan en delen van persoonsgegevens. De reikwijdte is extraterritoriaal: ook organisaties buiten de EU vallen eronder als ze persoonsgegevens van EU-inwoners verwerken.

Eerst dit: bepaal je rol (Controller vs Processor)

Voor je aan checklists begint, moet je scherp hebben welke pet je op hebt. GDPR gebruikt hiervoor vaste rollen. In de praktijk kun je overigens meerdere rollen tegelijk hebben, afhankelijk van het proces.

De drie kernrollen onder GDPR

• Data Controllers: organisaties die bepalen waarom en hoe persoonsgegevens worden verwerkt. Zij dragen de primaire verantwoordelijkheid voor GDPR-compliance.
• Data Processors: partijen die persoonsgegevens verwerken namens een controller. Ook zij moeten passende technische en organisatorische maatregelen nemen.
• Data Subjects: de personen van wie je data verwerkt. De GDPR is er om hun rechten te beschermen.

De 7 principes van GDPR (je fundament)

Alles in GDPR hangt uiteindelijk aan deze basisprincipes. Als je maatregelen ontwerpt (privacy policy, cookie setup, logging, security), toets dan steeds hieraan.

1. Lawfulness, fairness, and transparency: verwerk persoonsgegevens rechtmatig en informeer mensen duidelijk over het gebruik.
2. Purpose limitation: verzamel data alleen voor specifieke, legitieme doelen.
3. Data minimization: verzamel niet meer dan noodzakelijk.
4. Accuracy: houd data correct en actueel.
5. Storage limitation: bewaar data niet langer dan nodig.
6. Integrity and confidentiality: beveilig tegen ongeautoriseerde toegang met passende maatregelen.
7. Accountability: je moet kunnen aantonen dat je compliant bent.

Complete GDPR-compliance checklist

Hieronder staat de checklist opgesplitst in thema’s. Bij elk punt staat op wie het van toepassing is en welke artikelen uit de GDPR erbij horen.

Data

1) Je organisatie heeft een lijst van alle soorten persoonsgegevens die je hebt, de bron, met wie je deelt, wat je ermee doet en hoe lang je bewaart

Van toepassing op: Data Controller, Data Processor

Maak een concrete inventaris van de feitelijke datatypen (denk aan ‘kolommen’): bijvoorbeeld naam, BSN, adres. Documenteer per datatype: de bron, de partijen met wie je deelt, het doel van de verwerking en de bewaartermijn.

Reference: GDPR Article 30 – Records of processing activities

2) Je organisatie heeft een lijst van plekken waar persoonsgegevens staan en hoe data tussen die plekken stroomt

Van toepassing op: Data Controller, Data Processor

Dit gaat verder dan ‘de database’. Het kan MySQL zijn, maar ook exports, spreadsheets, logging, supporttools of zelfs offline opslag (papier). Breng ook de datastromen tussen systemen in kaart.

Reference: GDPR Article 30 – Records of processing activities

3) Je hebt een publiek toegankelijke privacy policy die alle processen rond persoonsgegevens beschrijft

Van toepassing op: Data Controller, Data Processor

Je privacy policy moet uitleggen welke processen er zijn rondom het omgaan met persoonsgegevens. Neem daarin op (of link door naar) welke typen persoonsgegevens je hebt en waar je ze opslaat.

Reference: GDPR Article 30 – Records of processing activities

4) Je privacy policy bevat een lawful basis: waarom je persoonsgegevens móét verwerken

Van toepassing op: Data Controller

Leg de juridische grondslag vast voor de verwerking, bijvoorbeeld omdat het nodig is voor de uitvoering van een contract.

Reference: GDPR Article 6 – Lawfulness of processing

Accountability & Management

5) Je hebt een Data Protection Officer (DPO) aangesteld (als dat verplicht is)

Van toepassing op: Data Controller, Data Processor

Een DPO is alleen verplicht in drie situaties:

1. De verwerking wordt gedaan door een publieke autoriteit of publiek orgaan, behalve rechtbanken die in hun rechterlijke hoedanigheid handelen
2. De kernactiviteiten bestaan uit verwerkingen die, door hun aard/omvang/doelen, regelmatige en systematische monitoring van betrokkenen op grote schaal vereisen
3. De kernactiviteiten bestaan uit grootschalige verwerking van bijzondere categorieën persoonsgegevens (gevoelige data) volgens Article 9 en/of persoonsgegevens over strafrechtelijke veroordelingen of strafbare feiten volgens Article 10

Als een DPO verplicht is, moet die persoon zowel GDPR-kennis hebben als inzicht in de interne processen waarin persoonsgegevens voorkomen.

Reference: GDPR Article 37 – Designation of the data protection officer

6) Beslissers in je organisatie zijn bewust van GDPR-richtlijnen

Van toepassing op: Data Controller, Data Processor

Zorg dat key people en besluitvormers actuele kennis hebben van de privacywetgeving, zodat keuzes over tooling, marketing, analytics en productdesign niet per ongeluk de verkeerde kant op gaan.

Reference: GDPR Article 25 – Data protection by design and by default

7) Je technische beveiliging is up-to-date

Van toepassing op: Data Controller, Data Processor

Zeker bij SaaS is het slim om security-checklists als baseline te gebruiken, zodat je technische maatregelen (hardening, patching, access control, logging) aantoonbaar op orde zijn.

Reference: GDPR Article 25 – Data protection by design and by default

8) Je medewerkers zijn getraind in gegevensbescherming

Van toepassing op: Data Processor

Veel security-incidenten ontstaan doordat iemand met interne toegang onbewust meewerkt (phishing, social engineering, verkeerde exports). Train medewerkers op risico’s en basisregels.

Reference: GDPR Article 25 – Data protection by design and by default

9) Je hebt een lijst van sub-processors en je privacy policy noemt dat je ze gebruikt

Van toepassing op: Data Processor

Als processor moet je klanten informeren over de inzet van sub-processors. Het idee is dat klanten daarmee instemmen via acceptatie van je privacy policy.

Reference: GDPR Article 28 – Processor

10) Werk je buiten de EU? Dan heb je een EU-vertegenwoordiger aangewezen

Van toepassing op: Data Controller, Data Processor

Als je organisatie buiten de EU zit en je verzamelt data van EU-burgers, wijs dan een vertegenwoordiger in een EU-lidstaat aan. Die persoon handelt issues rond verwerking af en moet bereikbaar zijn voor de lokale toezichthouder.

Reference: GDPR Article 27 – Representatives of controllers or processors not established in the Union

11) Je meldt datalekken bij de toezichthouder én betrokkenen

Van toepassing op: Data Controller, Data Processor

Persoonsgegevenslekken meld je binnen 72 uur bij de lokale toezichthouder. In je melding beschrijf je welke data is gelekt, de gevolgen en welke tegenmaatregelen je hebt genomen. Tenzij de gelekte data was versleuteld (encrypted), moet je het lek ook communiceren aan de betrokkenen van wie je data bent kwijtgeraakt.

Reference: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

12) Je hebt contracten met alle processors waarmee je data deelt

Van toepassing op: Data Controller

Als controller moet je met elke processor een contract hebben met expliciete instructies voor opslag/verwerking. Dat contract omvat minimaal: onderwerp en duur van de verwerking, aard en doel van de verwerking, typen persoonsgegevens, categorieën betrokkenen, en de verplichtingen en rechten van de controller.

Concreet: dit kan bijvoorbeeld een contract zijn met je hostingprovider. Dezelfde contracteisen gelden wanneer een processor zelf weer een sub-processor inschakelt om verwerkingen namens de controller uit te voeren.

Reference: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

Nieuwe rechten (processen die je moet faciliteren)

13) Klanten kunnen eenvoudig inzage vragen in hun persoonsgegevens

Van toepassing op: Data Controller, Data Processor

Leg een helder proces vast voor het afhandelen van inzageverzoeken van betrokkenen.

Reference: GDPR Article 15 – Right of access by the data subject

14) Klanten kunnen hun persoonsgegevens eenvoudig laten corrigeren

Van toepassing op: Data Controller, Data Processor

Bied een mechanisme waarmee gebruikers onjuiste data kunnen laten aanpassen, zodat je voldoet aan de eis van accurate gegevens.

Reference: GDPR Article 16 – Right to rectification

15) Je verwijdert automatisch data die je niet meer nodig hebt

Van toepassing op: Data Controller, Data Processor

Automatiseer verwijdering van data waarvoor je geen doel meer hebt. Bijvoorbeeld: verwijder automatisch data van klanten waarvan het contract niet is verlengd.

Reference: GDPR Article 5 – Principles relating to processing of personal data

16) Klanten kunnen eenvoudig verwijdering van hun persoonsgegevens aanvragen (right to be forgotten)

Van toepassing op: Data Controller, Data Processor

Implementeer een proces om verwijderverzoeken af te handelen: het recht op gegevenswissing (right to be forgotten).

Reference: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

17) Klanten kunnen eenvoudig verzoeken om verwerking te beperken

Van toepassing op: Data Controller, Data Processor

Gebruikers hebben het recht om te laten beperken hoe hun data verwerkt wordt. Zorg dat je dit operationeel kunt afvangen.

Reference: GDPR Article 18 – Right to restriction of processing

18) Klanten kunnen eenvoudig dataportabiliteit aanvragen

Van toepassing op: Data Controller, Data Processor

Dataportabiliteit betekent dat gebruikers hun data kunnen opvragen in een gestructureerd, gangbaar en machineleesbaar formaat, zodat ze het aan zichzelf of een derde partij kunnen laten leveren.

Reference: GDPR Article 20 – Right to data portability

19) Klanten kunnen bezwaar maken tegen profiling of geautomatiseerde besluitvorming

Van toepassing op: Data Controller

Dit punt is relevant als je bedrijf profiling of andere vormen van geautomatiseerde besluitvorming gebruikt die impact kunnen hebben op personen.

Reference: GDPR Article 22 – Automated individual decision-making, including profiling

Consent (toestemming)

20) Als je op consent baseert, moet toestemming vrij, specifiek, geïnformeerd en herroepbaar zijn

Van toepassing op: Data Controller

Verzamel je persoonsgegevens via je website, zorg dan voor een duidelijk zichtbare link naar je privacy policy en laat de gebruiker expliciet instemmen met je voorwaarden. Toestemming vereist een actieve handeling; vooraf aangevinkte checkboxen zijn niet toegestaan.

Reference: GDPR Article 7 – Conditions for consent

21) Je privacy policy is helder en begrijpelijk geschreven

Van toepassing op: Data Controller

Schrijf in duidelijke, simpele bewoordingen en verstop de bedoeling niet. Als je dit niet goed doet, kan dat zelfs betekenen dat de overeenkomst ongeldig wordt. Lever je diensten aan kinderen, dan moet de tekst ook voor hen begrijpelijk zijn.

Reference: GDPR Article 7.2 – Conditions for consent

22) Consent intrekken moet net zo makkelijk zijn als consent geven

Van toepassing op: Data Controller

Het intrekken van toestemming mag niet moeilijker zijn dan het geven ervan. Denk aan een duidelijke knop of voorkeurencentrum.

Reference: GDPR Article 7.3 – Conditions for consent

23) Verwerk je data van kinderen? Verifieer leeftijd en vraag toestemming van de wettelijke vertegenwoordiger

Van toepassing op: Data Controller

Voor kinderen jonger dan 16 moet je zeker weten dat een wettelijke vertegenwoordiger toestemming heeft gegeven. Als consent via je website wordt gegeven, moet je proberen te borgen dat de goedkeuring echt door de wettelijke vertegenwoordiger is gegeven (en niet door het kind).

Reference: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

24) Bij updates van je privacy policy informeer je bestaande klanten

Van toepassing op: Data Controller

Informeer bestaande klanten over wijzigingen, bijvoorbeeld via e-mail. Leg op een simpele manier uit wat er is veranderd.

Reference: GDPR Article 7 – Conditions for consent

Follow-up (doorlopend onderhoud)

25) Je reviewt regelmatig policies op wijzigingen, effectiviteit en internationale datastromen

Van toepassing op: Data Controller

Blijf periodiek toetsen of je policies nog kloppen: zijn er proceswijzigingen, nieuwe tools, andere bewaartermijnen, of zijn er veranderingen in landen waarheen data stroomt? Volg best practices en veranderingen in je lokale omgeving.

Reference: GDPR Article 25 – Data protection by design and by default

Special cases

26) Je weet wanneer een DPIA verplicht is bij hoog risico (gevoelige data, profiling, grootschalige verwerking)

Van toepassing op: Data Controller

Dit speelt vooral bij organisaties die grootschalig verwerken, profiling doen of andere verwerkingen uitvoeren met hoog risico voor rechten en vrijheden van personen. In die gevallen voer je een Data Protection Impact Assessment (DPIA) uit.

Reference: GDPR Article 35 – Data protection impact assessment

27) Je doet alleen doorgifte buiten de EU naar landen met passend beschermingsniveau (of gebruikt SCC/BCR)

Van toepassing op: Data Controller, Data Processor

Draag alleen data over buiten de EU naar landen met een passend beschermingsniveau. Maak zulke cross-border datastromen ook zichtbaar in je privacy policy. Bij doorgifte naar landen zonder adequaatheidsbesluit gebruik je Standard Contractual Clauses (SCCs) of Binding Corporate Rules (BCRs).

Reference: GDPR Article 45 – Transfers on the basis of an adequacy decision

Rechten van betrokkenen (Data Subject Rights) – wat je moet kunnen leveren

Naast ‘interne’ compliance moet je processen hebben om rechten van betrokkenen uit te voeren. Hieronder staan de rechten zoals ze in de GDPR zijn uitgewerkt, inclusief de details die je in je processen/policy moet kunnen afdekken.

Right to transparent information

De controller neemt passende maatregelen om informatie over verwerking te geven in een beknopte, transparante, begrijpelijke en makkelijk toegankelijke vorm, in duidelijke en eenvoudige taal—met extra aandacht voor informatie die specifiek aan een kind is gericht. Dit kan schriftelijk of via andere middelen, inclusief (waar passend) elektronisch.

Reference: GDPR Article 12

Right to receive specific information when personal data are collected directly

Wanneer je persoonsgegevens direct bij de betrokkene verzamelt, moet je minimaal deze informatie geven:

1. De identiteit en contactgegevens van de controller
2. De contactgegevens van de data protection officer (waar van toepassing)
3. De doeleinden van de verwerking en de wettelijke grondslag
4. De gerechtvaardigde belangen van de controller (waar van toepassing)
5. De ontvangers of categorieën ontvangers van de persoonsgegevens
6. Informatie over doorgiften naar derde landen

Reference: GDPR Article 13

Right to receive specific information when personal data are not collected directly

Als je data verkrijgt via een andere bron dan de betrokkene, moet je vergelijkbare informatie geven, inclusief de categorieën persoonsgegevens en de bron van de data.

Reference: GDPR Article 14

Right of access

Een betrokkene heeft het recht om bevestiging te krijgen of je persoonsgegevens verwerkt, en inzage te krijgen in onder andere:

• De doeleinden van de verwerking
• De categorieën persoonsgegevens
• De ontvangers aan wie data is of wordt verstrekt
• De beoogde bewaartermijn
• Het bestaan van rechten op rectificatie, wissen, beperking en bezwaar
• Het recht om een klacht in te dienen bij een toezichthouder
• Informatie over de bron (als data niet direct is verzameld)
• Het bestaan van geautomatiseerde besluitvorming, inclusief profiling

Reference: GDPR Article 15

Right to rectification

Een betrokkene heeft het recht om zonder onredelijke vertraging onjuiste persoonsgegevens te laten corrigeren en onvolledige data te laten aanvullen.

Reference: GDPR Article 16

Right to erasure (“right to be forgotten”)

Een betrokkene heeft recht op gegevenswissing wanneer:

1. De data niet langer nodig is voor het oorspronkelijke doel
2. De betrokkene consent intrekt en er geen andere rechtsgrond is
3. De betrokkene bezwaar maakt en er geen zwaarder wegende gerechtvaardigde gronden zijn
4. De data onrechtmatig is verwerkt
5. De data gewist moet worden om te voldoen aan een wettelijke verplichting
6. De data is verzameld in relatie tot information society services die aan een kind zijn aangeboden

Reference: GDPR Article 17

Right to restriction of processing

Een betrokkene heeft recht op beperking van verwerking wanneer:

1. De betrokkene de juistheid betwist (gedurende verificatie)
2. De verwerking onrechtmatig is en de betrokkene wissen niet wil
3. De controller de data niet meer nodig heeft, maar de betrokkene wel voor rechtsvorderingen
4. De betrokkene bezwaar heeft gemaakt, in afwachting van verificatie van gerechtvaardigde gronden

Reference: GDPR Article 18

Right to be notified regarding rectification, erasure, or restriction

De controller communiceert rectificatie, wissen of beperking van verwerking aan elke ontvanger aan wie de data is verstrekt, tenzij dat onmogelijk is of onevenredige inspanning kost.

Reference: GDPR Article 19

Right to data portability

Een betrokkene heeft het recht om persoonsgegevens te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat, en om die gegevens zonder belemmering door te geven aan een andere controller.

Reference: GDPR Article 20

Right to object

Een betrokkene mag op ieder moment bezwaar maken tegen verwerking op basis van gerechtvaardigd belang of publiek belang, inclusief profiling, op gronden die verband houden met de specifieke situatie van die persoon.

Reference: GDPR Article 21

Right not to be subject to automated decision-making

Een betrokkene heeft het recht om niet onderworpen te worden aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking (inclusief profiling) en dat juridische gevolgen heeft of vergelijkbaar significant effect.

Reference: GDPR Article 22

Praktische implementatiestappen (van policy naar productie)

1) Beveilig je website

GDPR zegt niet dat je ‘tool X’ moet gebruiken, maar wel dat je passende maatregelen neemt voor integriteit en vertrouwelijkheid. Voor websites komt het vaak neer op een combinatie van basis-hardening en dataminimalisatie.

• Installeer een SSL-certificaat (HTTPS) om data tussen site en server te versleutelen
• Gebruik sterke wachtwoorden voor alle admin-accounts
• Voeg extra bescherming toe voor het verwerken van betaalinformatie
• Gebruik een CDN-provider die beschermt tegen DDoS-aanvallen
• Gebruik anti-virussoftware om ongeautoriseerde toegang te voorkomen
• Minimaliseer dataverzameling—verzamel alleen wat nodig is
• Pseudonimiseer of anonimiseer persoonsgegevens vóór opslag
• Maak back-ups op meerdere veilige locaties
• Verwijder data zodra je die niet meer nodig hebt

2) Plaats een cookie consent banner (en laat ’m correct werken)

Gebruik je niet-essentiële cookies, dan heb je expliciete toestemming nodig vóór je ze activeert. Het verschil zit ’m meestal niet in ‘wel of geen banner’, maar in de technische uitvoering: blokkeren tot consent en aantoonbaar loggen.

Je cookie banner moet:

• Cookies blokkeren tot consent: laad alleen noodzakelijke cookies totdat de gebruiker opt-in geeft
• Eenvoudige, duidelijke taal gebruiken: leg uit welke cookies je gebruikt en waarom
• Gelijke accept/reject knoppen tonen: verstop de ‘weigeren’-optie niet
• Granulaire opties bieden: laat gebruikers per categorie kiezen
• Intrekken van consent toestaan: geef later een makkelijke manier om voorkeuren te wijzigen
• Consent registreren: bewaar keuzes met timestamps om compliance te kunnen aantonen

3) Check al je formulieren (contact, offerte, account, checkout)

Elk formulier dat persoonsgegevens verzamelt moet GDPR-proof zijn. Dat geldt net zo goed voor een simpele contactform als voor een uitgebreide onboarding.

• Plaats een privacy statement: waarom je de gegevens nodig hebt
• Gebruik een niet-aangevinkte checkbox voor toestemming
• Maak een aparte opt-in voor marketingcommunicatie
• Link naar je Privacy Policy
• Gebruik heldere, simpele taal

4) Regel toestemming voor marketing e-mails (nieuwsbrief, nurture, promos)

• Gebruik alleen duidelijke opt-in: een niet-aangevinkte checkbox specifiek voor e-mailtoestemming
• Implementeer double opt-in: bevestig aanmelding via e-mail
• Bewaar consent-bewijs: log datum, tijd, methode en doel
• Zet een zichtbare unsubscribe-link in elke mail: one-click unsubscribe
• Verwerk uitschrijvingen snel: idealiter binnen 24 uur

5) Bereid je voor op datalekken (en oefen het proces)

• Meld bij de toezichthouder binnen 72 uur
• Informeer getroffen gebruikers als er een hoog risico is voor hun rechten
• Documenteer alles voor accountability
• Update je policies om herhaling te voorkomen

WordPress-specifieke aandachtspunten

In WordPress-land zit het risico vaak in de optelsom: thema’s, plugins, tracking scripts, embedded content en formulieren die elk hun eigen datastroom introduceren. Dit zijn de punten die je als WordPress-site-eigenaar minimaal langs moet lopen:

• Houd WordPress core, thema’s en plugins up-to-date
• Gebruik contactform-plugins die consent-checkboxen ondersteunen en GDPR-proof zijn ingericht
• Installeer een goede cookie consent-oplossing
• Gebruik een GDPR-compliant analytics-oplossing
• Review data collection-praktijken van plugins (wat verzamelen ze, waarheen sturen ze het?)
• Implementeer functionaliteit voor user data export en user data deletion

GDPR-boetes en andere maatregelen

De boetehoogte hangt af van type overtreding en omstandigheden, maar de GDPR kent twee niveaus:

• Lower tier violations: tot €10 miljoen of 2% van de wereldwijde jaaromzet
• Upper tier violations: tot €20 miljoen of 4% van de wereldwijde jaaromzet

Naast boetes kunnen autoriteiten ook andere maatregelen opleggen, zoals waarschuwingen, (tijdelijke of permanente) verboden op verwerking, orders om data te verwijderen en beperkingen op internationale datatransfers.

FAQ

Wat is een GDPR compliance checklist?

Een GDPR compliance checklist is een lijst met acties die je moet nemen om aan de GDPR te voldoen. Het helpt je om zwakke plekken te vinden en gericht je dataprotectiepraktijken te verbeteren.

Wie is verantwoordelijk voor GDPR-compliance?

De data controller (meestal de website- of bedrijfseigenaar) is primair verantwoordelijk. Data processors hebben óók verplichtingen en moeten passende maatregelen nemen.

Geldt GDPR ook voor Amerikaanse bedrijven?

Ja. Als je persoonsgegevens van EU-inwoners verwerkt, geldt GDPR ongeacht waar je bedrijf is gevestigd.

Wat is de maximale boete bij non-compliance?

Tot €20 miljoen of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van wat hoger is.

Heb ik een cookie banner nodig?

Ja, als je website niet-essentiële cookies gebruikt en je EU-bezoekers hebt.

Heb ik een Data Protection Officer nodig?

Alleen als: (1) je een publieke autoriteit bent, (2) je kernactiviteiten grootschalige, systematische monitoring vereisen, of (3) je grootschalig gevoelige data verwerkt.

Samenvatting: zo maak je GDPR aantoonbaar

GDPR-compliance is vooral: inventariseren (wat/waarom/waar/hoe lang), transparant communiceren (privacy policy, cookie info), contractueel borgen (processors/sub-processors), technisch beveiligen (by design/default) en operationeel kunnen leveren (inzage, correctie, verwijdering, beperking, portability). Als je dit als doorlopend proces inricht—met periodieke reviews—wordt compliance veel minder ad hoc.