Wat is de AVG-vereiste voor melding van datalekken binnen 72 uur?

AVG Artikel 33 vereist dat verwerkingsverantwoordelijken de bevoegde toezichthoudende autoriteit binnen 72 uur na kennisname van een datalek in kennis stellen, tenzij het onwaarschijnlijk is dat de inbreuk een risico voor personen oplevert.

Wanneer moeten betrokkenen worden geïnformeerd over een datalek onder de AVG?

Artikel 34 vereist dat verwerkingsverantwoordelijken een inbreuk onverwijld meedelen aan de getroffen betrokkenen wanneer de inbreuk waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert.

Wat moet een verwerkersovereenkomst bevatten onder AVG Artikel 28?

Artikel 28 vereist dat verwerkersovereenkomsten minimaal bevatten: het onderwerp en de duur van de verwerking, de aard en het doel, de soorten persoonsgegevens, de categorieën betrokkenen, verplichtingen van de verwerker (alleen verwerken op gedocumenteerde instructies, vertrouwelijkheid waarborgen, beveiligingsmaatregelen implementeren, assisteren bij melding van datalekken, gegevens verwijderen na beëindiging en audits toestaan).

Wat zijn de boetes voor niet-naleving van de AVG?

AVG-overtredingen kunnen resulteren in boetes tot EUR 20 miljoen of 4% van de jaarlijkse wereldwijde omzet. In 2025 werd meer dan €1,1 miljard aan AVG-boetes opgelegd, waaronder TikTok (€530 mln) en Meta (€479 mln). Betrokkenen hebben ook recht op schadevergoeding.

Hoe helpt een Trust Center bij AVG-compliance?

Een Trust Center vervult een dubbele rol: als verwerkingsverantwoordelijke biedt het een gestructureerd kader voor het beoordelen en monitoren van uw eigen verwerkers. Als verwerker toont het uw compliance-positie aan klanten met publiek toegankelijke subverwerkerlijsten, hosting van verwerkersovereenkomsten en transparante technische en organisatorische maatregelen.

AVG-compliance: Complete gids voor 2026 (Artikelen 28, 32, 33, 34)

Published 18 mrt 2026

By Anna Bley

AVG-compliance: Complete gids voor 2026 (Artikelen 28, 32, 33, 34)

Q: Wat is AVG-compliance?

AVG-compliance betekent dat een organisatie persoonsgegevens van EU/EER-inwoners verwerkt conform Verordening (EU) 2016/679. Dit omvat: een rechtmatige grondslag voor elke verwerkingsactiviteit, passende technische en organisatorische beveiligingsmaatregelen, eerbiediging van rechten van betrokkenen, het bijhouden van verwerkingsregisters en melding van datalekken aan de toezichthoudende autoriteit binnen 72 uur.

Q: Wie moet voldoen aan de AVG?

Elke organisatie die persoonsgegevens verwerkt van personen in de EU of EER moet voldoen aan de AVG — ongeacht waar de organisatie zelf gevestigd is. Dit geldt ook voor bedrijven buiten de EU die goederen of diensten aanbieden aan EU-ingezetenen of hun gedrag monitoren. B2B SaaS-bedrijven zijn doorgaans zowel verwerkingsverantwoordelijke (voor eigen klantgegevens) als verwerker (voor gegevens die klanten via het platform opslaan).

AVG-compliance gids 2026: checklist, vereisten van art. 28/32/33/34, recente boetes (meer dan €7,1 mrd), en hoe u compliance aantoont als verwerkingsverantwoordelijke en verwerker.

AVG

Gegevensbescherming

Privacy

Compliance

AVG-compliance: Complete gids voor 2026

Verordening (EU) 2016/679 is van toepassing sinds 25 mei 2018. De cumulatieve boetes overschrijden inmiddels €7 miljard — waarvan meer dan €1,1 miljard opgelegd in 2025 alleen (374 individuele besluiten). Voor B2B-bedrijven die in de EU actief zijn, is AVG-compliance geen optie: de verordening regelt hoe u persoonsgegevens van elke EU- en EER-ingezetene die uw bedrijf raakt verzamelt, verwerkt, opslaat en beschermt.

Deze gids behandelt alles wat u moet weten: wie moet voldoen, de compliance-checklist voor 2026, de kritieke verplichtingen uit Artikelen 28, 32, 33 en 34, de gevolgen bij niet-naleving, en hoe u compliance aantoont aan klanten en toezichthouders.

Ga naar:

Wie moet voldoen aan de AVG?
AVG-compliance-checklist voor 2026
Artikel 32: Beveiliging van verwerking
Artikelen 33 en 34: Melding van datalekken
Artikel 28: Verwerkersovereenkomsten
AVG-boetes en handhaving 2025–2026
AVG-compliance-software
ISMS en Trust Center: twee kanten van dezelfde medaille

Wat is AVG-compliance?

AVG-compliance betekent dat uw organisatie persoonsgegevens van EU/EER-inwoners verwerkt conform Verordening (EU) 2016/679 — de Algemene Verordening Gegevensbescherming. De verordening is van toepassing zodra persoonsgegevens (alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon) worden verzameld, opgeslagen, gebruikt of doorgegeven.

Compliance rust op vier pijlers:

Rechtmatigheid: Elke verwerkingsactiviteit vereist een rechtmatige grondslag (toestemming, overeenkomst, wettelijke verplichting, vitale belangen, publieke taak of gerechtvaardigde belangen op grond van Artikel 6)
Transparantie: Betrokkenen moeten weten welke gegevens worden verzameld, waarom en hoe lang (Artikelen 12–14)
Beveiliging: Passende technische en organisatorische maatregelen beschermen persoonsgegevens (Artikel 32)
Verantwoordingsplicht: Organisaties moeten hun compliance te allen tijde kunnen aantonen (Artikel 5, lid 2)

Voor B2B SaaS- en technologiebedrijven is compliance bijzonder complex, omdat de meeste bedrijven tegelijkertijd twee rollen vervullen: verwerkingsverantwoordelijke (voor eigen klantgegevens) en verwerker (voor gegevens die klanten via uw platform toevertrouwen). Elke rol brengt eigen verplichtingen met zich mee.

Wie moet voldoen aan de AVG?

De AVG is van toepassing op elke organisatie die:

Gevestigd is in de EU of EER, ongeacht waar de gegevens worden verwerkt
Buiten de EU gevestigd is maar goederen of diensten aanbiedt aan EU/EER-ingezetenen, of hun gedrag monitort (het "doelcriterium" van Artikel 3, lid 2)

Er geldt geen minimumdrempel voor omvang. Een vijf-persoons SaaS-startup met EU-klanten moet voldoen aan de AVG. Een Amerikaans bedrijf dat één EU-klant bedient moet voldoen.

De specifieke verplichtingen hangen af van uw rol:

Rol	Definitie	Belangrijkste verplichtingen
Verwerkingsverantwoordelijke	Bepaalt doelen en middelen van de verwerking	Rechtmatige grondslag, privacyverklaringen, rechten betrokkenen, verwerkersovereenkomst met verwerkers, DPIA's
Verwerker	Verwerkt gegevens namens een verwerkingsverantwoordelijke	Verwerkersovereenkomst met verwerkingsverantwoordelijke, beveiligingsmaatregelen, melding datalekken, subverwerkerregels
Beide	De meeste B2B SaaS-bedrijven	Alle bovenstaande verplichtingen in beide richtingen

AVG-compliance-checklist voor 2026

Toezichthouders verwachten in 2026 aantoonbare, operationele compliance — niet alleen beleid. Dit moet aanwezig zijn:

1. Gegevenskaart en verwerkingsregister (Artikel 30)

Houd een compleet overzicht bij van elke verwerkingsactiviteit: welke gegevens worden verzameld, van wie, voor welk doel, op welke rechtmatige grondslag, hoe lang en welke verwerkers ze ontvangen. Artikel 30 maakt het register van verwerkingsactiviteiten verplicht voor de meeste organisaties.

2. Rechtmatige grondslag voor elke verwerkingsactiviteit (Artikel 6)

Documenteer de rechtmatige grondslag voor elke verwerkingsactiviteit vóór de start. Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn — en te allen tijde intrekbaar. Gerechtvaardigde belangen vereisen een afwegingstoets. Verwerking zonder gedocumenteerde grondslag kan de hogere boetecategorie activeren.

3. Privacyverklaringen (Artikelen 12–14)

Verleen betrokkenen bij verzameling heldere, begrijpelijke informatie. De gecoördineerde handhavingsactie van het EDPB voor 2026 richt zich specifiek op transparantieverplichtingen van Artikelen 12–14, wat dit tot een prioriteit maakt voor de Autoriteit Persoonsgegevens (AP) in Nederland.

4. Mechanismen voor rechten van betrokkenen (Artikelen 15–22)

Implementeer processen om te reageren op verzoeken om inzage (Artikel 15), rectificatie (Artikel 16), wissing (Artikel 17), beperking (Artikel 18), overdraagbaarheid (Artikel 20) en bezwaar (Artikel 21) binnen één maand. De gecoördineerde handhavingsactie van het EDPB in 2025 richtte zich op het recht op wissing — organisaties zonder werkende verwijderingsworkflows werden gesanctioneerd.

5. Verwerkersovereenkomsten met alle verwerkers (Artikel 28)

Elke derde partij die namens u persoonsgegevens verwerkt, vereist een getekende verwerkersovereenkomst. Dit omvat cloudproviders, analysetools, CRM-platforms, betalingsdienstverleners en alle onderaannemers. Zie de vereisten van Artikel 28 in detail hieronder.

6. Technische en organisatorische maatregelen (Artikel 32)

Implementeer versleuteling, pseudonimisering, toegangsbeheer, meervoudige authenticatie en regelmatige beveiligingstests. Documenteer deze maatregelen als Technische en Organisatorische Maatregelen (TOMs). Zie de vereisten van Artikel 32 hieronder.

7. Gegevensbeschermingseffectbeoordelingen voor risicovolle verwerking (Artikel 35)

Voer een DPIA uit vóór het starten van verwerking die "waarschijnlijk een hoog risico" voor personen oplevert. Risicocategorieën omvatten grootschalige verwerking van gevoelige gegevens, systematische profilering en nieuwe technologieën.

8. Aanstelling van een functionaris voor gegevensbescherming (Artikel 37)

Stel een FG aan als uw kerntaken grootschalige systematische monitoring van personen of grootschalige verwerking van bijzondere categorieën persoonsgegevens omvatten. Overheidsinstanties moeten altijd een FG aanstellen.

9. Gereedheid voor detectie en melding van datalekken (Artikelen 33–34)

Zorg voor een getest incidentresponsproces dat inbreuken snel kan detecteren, het risiconiveau kan beoordelen en de toezichthoudende autoriteit binnen 72 uur kan informeren. Zie Artikelen 33–34 in detail hieronder.

10. Waarborgen voor internationale gegevensdoorgiften (Artikelen 44–49)

Persoonsgegevens mogen alleen worden doorgegeven buiten de EU/EER aan landen met een adequaatheidsbesluit, of met passende waarborgen (standaardcontractbepalingen, bindende bedrijfsregels). Na de boete van €530 miljoen voor TikTok in mei 2025 voor onrechtmatige doorgifte naar China controleren toezichthouders grensoverschrijdende gegevensstromen actief.

Waar een ISMS bijdraagt — en waar de AVG verder gaat

Een goed Information Security Management System (ISMS) biedt de structuur voor technische en organisatorische maatregelen die de AVG vereist. De AVG legt echter twee extra vereistenniveaus op die een ISMS alleen niet kan adresseren:

Operationele meldingsverplichtingen op grond van Artikelen 33 en 34 — met strikte externe deadlines
Bindende verplichtingen in de verwerkersrelatie op grond van Artikel 28 — contractueel, doorlopend en controleerbaar

Artikel 32: Beveiliging van verwerking

Artikel 32 vereist "passende technische en organisatorische maatregelen" om een beveiligingsniveau te waarborgen dat is afgestemd op het risico. Relevante maatregelen omvatten:

Pseudonimisering en versleuteling van persoonsgegevens
Het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen te waarborgen
Het vermogen om de beschikbaarheid van en toegang tot persoonsgegevens tijdig te herstellen bij een incident
Een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van maatregelen

Een ISMS ondersteunt Artikel 32. Echter, Artikelen 28, 33 en 34 leggen vereisten op met een interface-karakter die een ISMS als interne oplossing niet kan adresseren.

Artikelen 33 en 34: Melding van inbreuken op persoonsgegevens

De AVG introduceert een tweeledig meldingsregime voor inbreuken op persoonsgegevens.

Melding aan de toezichthoudende autoriteit (Artikel 33)

In geval van een inbreuk op persoonsgegevens moet de verwerkingsverantwoordelijke de bevoegde toezichthoudende autoriteit onverwijld en, indien mogelijk, uiterlijk binnen 72 uur na kennisname in kennis stellen — tenzij het onwaarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van natuurlijke personen oplevert.

Wanneer de melding niet binnen 72 uur plaatsvindt, moeten de redenen voor de vertraging worden opgegeven.

Inhoud van de melding onder Artikel 33(3):

Element	Beschrijving
Aard van de inbreuk	Beschrijving van de aard van de inbreuk, waar mogelijk inclusief categorieën en geschat aantal betrokkenen
Contactgegevens	Naam en contactgegevens van de functionaris voor gegevensbescherming of ander contactpunt
Waarschijnlijke gevolgen	Beschrijving van de waarschijnlijke gevolgen van de inbreuk
Genomen maatregelen	Beschrijving van de maatregelen die zijn genomen of voorgesteld om de inbreuk aan te pakken

Artikel 33(4) staat expliciet gefaseerde melding toe: wanneer informatie niet tegelijkertijd kan worden verstrekt, mag deze zonder onnodige verdere vertraging in fasen worden aangeleverd.

Verwerkersverplichting: Op grond van Artikel 33(2) moet de verwerker de verwerkingsverantwoordelijke onverwijld na kennisname in kennis stellen. De dagelijkse inbreukmeldingen in de EU overschreden in 2025 voor het eerst de grens van 400 per dag.

Mededeling aan betrokkenen (Artikel 34)

Wanneer de inbreuk waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van natuurlijke personen, moet de verwerkingsverantwoordelijke de inbreuk onverwijld meedelen aan de getroffen betrokkenen.

De mededeling moet in duidelijke en eenvoudige taal de aard van de inbreuk beschrijven en ten minste het volgende bevatten:

Naam en contactgegevens van de functionaris voor gegevensbescherming
Waarschijnlijke gevolgen van de inbreuk
Genomen of voorgestelde maatregelen om de inbreuk aan te pakken

Uitzonderingen op de mededelingsplicht (Artikel 34(3)):

Uitzondering	Toelichting
Technische beschermingsmaatregelen	De verwerkingsverantwoordelijke heeft passende maatregelen geïmplementeerd (bijv. versleuteling) die gegevens onbegrijpelijk maken voor onbevoegden
Latere maatregelen	Latere maatregelen waarborgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen
Onevenredige inspanning	In dat geval vindt een openbare mededeling of vergelijkbare maatregel plaats

Artikel 28: Verwerkersovereenkomsten

De AVG stelt bindende vereisten vast voor het werken met verwerkers.

Selectie van verwerkers (Artikel 28(1))

De verwerkingsverantwoordelijke mag uitsluitend verwerkers inschakelen die "voldoende garanties bieden voor het toepassen van passende technische en organisatorische maatregelen opdat de verwerking aan de vereisten van deze verordening voldoet."

Deze formulering vestigt een due-diligenceverplichting bij selectie — niet alleen bij contractsluiting maar op doorlopende basis.

Contractuele vereisten (Artikel 28(3))

Verwerking door een verwerker moet worden beheerst door een overeenkomst of andere rechtshandeling die de verwerker bindt aan de verwerkingsverantwoordelijke.

Minimale inhoud van de verwerkersovereenkomst:

Vereiste	Rechtsbasis
Verwerking uitsluitend op gedocumenteerde instructies	Art. 28(3)(a)
Vertrouwelijkheidstoezegging door geautoriseerd personeel	Art. 28(3)(b)
Implementatie van alle maatregelen vereist onder Artikel 32	Art. 28(3)(c)
Naleving van voorwaarden voor subverwerkers	Art. 28(3)(d)
Bijstand bij rechten van betrokkenen	Art. 28(3)(e)
Bijstand bij verplichtingen onder Artikelen 32–36	Art. 28(3)(f)
Verwijdering of teruggave van gegevens na contractbeëindiging	Art. 28(3)(g)
Beschikbaar stellen van alle informatie om compliance aan te tonen, mogelijk maken van audits	Art. 28(3)(h)

Subverwerking (Artikel 28(2) en (4))

De verwerker mag geen andere verwerker inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke.

Bij algemene schriftelijke toestemming moet de verwerker de verwerkingsverantwoordelijke informeren over beoogde wijzigingen en de gelegenheid geven om bezwaar te maken.

Wanneer een andere verwerker wordt ingeschakeld, moeten dezelfde gegevensbeschermingsverplichtingen worden opgelegd. De oorspronkelijke verwerker blijft jegens de verwerkingsverantwoordelijke aansprakelijk.

Waarom due diligence geen eenmalige exercitie is

De AVG spreekt over het selecteren van een geschikte verwerker — maar de verplichtingen eindigen niet bij contractsluiting:

Artikel 28(3)(h) verplicht de verwerker alle informatie beschikbaar te stellen die nodig is om compliance aan te tonen
Artikel 32(1)(d) vereist een procedure voor het "regelmatig testen, beoordelen en evalueren" van de doeltreffendheid van maatregelen
Verantwoordingsplicht onder Artikel 5(2) vereist dat de verwerkingsverantwoordelijke te allen tijde compliance kan aantonen

Boetes (Artikel 83)

De AVG voorziet in een tweeledig boetesysteem:

Overtreding	Boete	Rechtsbasis
Verplichtingen van verwerkingsverantwoordelijken en verwerkers (Art. 8, 11, 25–39, 42, 43)	Tot EUR 10 miljoen of 2% jaaromzet	Art. 83(4)
Verwerkingsbeginselen, rechten betrokkenen, doorgifte aan derde landen (Art. 5–7, 9, 12–22, 44–49)	Tot EUR 20 miljoen of 4% jaaromzet	Art. 83(5)
Niet-naleving van een bevel van de toezichthoudende autoriteit	Tot EUR 20 miljoen of 4% jaaromzet	Art. 83(6)

Het hogere bedrag is in elk geval van toepassing.

AVG-boetes en handhaving 2025–2026

AVG-handhaving is sterk versneld. De cumulatieve boetes sinds mei 2018 overschrijden €7 miljard, met meer dan €1,1 miljard opgelegd in 2025 (374 individuele besluiten) — en dagelijkse inbreukmeldingen die voor het eerst boven de 400 uitkwamen.

Belangrijke handhavingsacties in 2025

TikTok — €530 miljoen (mei 2025) De Ierse gegevensbeschermingscommissie (DPC) legde TikTok een boete op van €530 miljoen voor het onrechtmatig doorgeven van persoonsgegevens van EER-gebruikers naar servers in China, in strijd met Hoofdstuk V van de AVG. Ingenieurs in China hadden routinematig toegang tot gevoelige gegevens van EU-burgers.

Meta — €479 miljoen (2025) Een Madrileense rechtbank oordeelde dat Meta gebruikersgegevens onrechtmatig had verwerkt, waardoor het een oneerlijk voordeel op de online advertentiemarkt had verkregen.

Vodafone Duitsland — €45 miljoen (2025) De Duitse federale commissaris voor gegevensbescherming (BfDI) legde twee boetes op: €15 miljoen voor gebrekkige interne privacycontroles en €30 miljoen voor beveiligingsgebreken in de afhandeling van klantgegevens.

Handhavingsprioriteit 2026: Transparantie (Artikelen 12–14)

Na de gecoördineerde handhavingsactie van het EDPB in 2025 over het recht op wissing (Artikel 17) kondigde het EDPB op 14 oktober 2025 aan dat de gecoördineerde handhavingsactie 2026 gericht is op transparantie- en informatieverplichtingen van Artikelen 12 tot 14 AVG. In Nederland controleert de Autoriteit Persoonsgegevens (AP) op grond van de Wbni (Wet beveiliging netwerk- en informatiesystemen) actief op adequate privacyverklaringen.

AVG-compliance-software: Waar op te letten

De complexiteit van AVG-compliance — gegevenskaartvorming, toestemmingsbeheer, beheer van verwerkersovereenkomsten, melding van datalekken en doorlopende bewijsverzameling — heeft een volwassen markt voor compliance-software voortgebracht. Belangrijkste functies om te evalueren:

Functie	Waarom het belangrijk is
Gegevenskaart / VVT-automatisering	Handmatig bijhouden van Artikel 30-registers is foutgevoelig
Beheer van verwerkersovereenkomsten	Artikel 28 vereist doorlopende monitoring van verwerkers
Toestemmingsbeheer	Toestemmingslogboeken moeten controleerbaar zijn; cookie-flows mogen geen dark patterns gebruiken
Workflows voor datalekmelding	De 72-uursdeadline vereist vooraf ingerichte meldingssjablonen
Doorlopende bewijsverzameling	Verantwoordingsplicht Artikel 5(2) vereist altijd beschikbaar bewijs
Beheer rechten betrokkenen	DSAR-workflows moeten binnen één maand worden beantwoord
Tracking van grensoverschrijdende doorgiften	Na de TikTok-zaak moeten transfer impact assessments regelmatig worden herzien

De Trust Center van Orbiq adresseert de specifieke uitdaging van het extern aantonen van AVG-compliance — richting klanten, prospects en auditors — via een gecentraliseerde, altijd actuele documentatiehub.

ISMS en Trust Center: twee kanten van dezelfde medaille

AVG-vereisten kunnen niet met één systeem worden vervuld. Governance vereist structuur — een ISMS is daarvoor onmisbaar. Echter, Artikelen 28, 33 en 34 vereisen aanvullend operationele capaciteiten:

Melding van datalekken binnen 72 uur — aan toezichthoudende autoriteiten en, waar van toepassing, betrokkenen
Documentatie van alle inbreuken — inclusief die waarvoor geen meldingsplicht geldt
Gestructureerde beoordeling en monitoring van verwerkers
Aantoonbare zorgvuldigheid bij het selecteren en continu monitoren van dienstverleners

De twee richtingen van een Trust Center

Een Trust Center ondersteunt niet alleen de inbound beoordeling van uw eigen dienstverleners — het lost ook een praktisch probleem op aan de outbound kant: organisaties die optreden als verwerkers moeten hun klanten de informatie verstrekken die Artikel 28(3)(h) vereist.

In de praktijk betekent dit: elke potentiële of bestaande klant kan — en zal — bewijs opvragen. Een Trust Center consolideert deze documentatie op één professionele locatie:

Document	Doel	AVG-referentie
Verwerkersovereenkomst	Standaardovereenkomst ter ondertekening	Art. 28(3)
Technische en organisatorische maatregelen (TOMs)	Bewijs van beveiligingsmaatregelen	Art. 32
Lijst van subverwerkers	Transparantie over subverwerkers	Art. 28(2)
Certificeringen (ISO 27001, SOC 2)	Bewijs van voldoende garanties	Art. 28(5), Art. 42
Auditrapporten en samenvattingen van penetratietesten	Onafhankelijke beoordeling van maatregelen	Art. 28(3)(h)
Beveiligingsbeleid	Documentatie van interne processen	Art. 32
Register van verwerkingsactiviteiten	Overzicht van gegevensverwerking	Art. 30
Gegevensbeschermingseffectbeoordelingen (indien van toepassing)	Risicobeoordeling voor kritieke verwerking	Art. 35

Zonder een Trust Center verloopt deze communicatie via e-mail, individuele verzoeken en handmatige processen — tijdrovend, foutgevoelig en moeilijk schaalbaar. Met een Trust Center worden reactieve documentzoekopdrachten proactieve demonstratie van compliance. Zie ook onze gids over continue monitoring voor het handhaven van altijd actuele compliance-bewijzen.

Het dubbele perspectief

Veel organisaties zijn tegelijkertijd verwerkingsverantwoordelijke (ten opzichte van betrokkenen) en verwerker (ten opzichte van hun klanten). Een Trust Center adresseert beide rollen:

Als verwerkingsverantwoordelijke (inbound):

Beoordeling en monitoring van uw eigen verwerkers
Verzameling en onderhoud van verwerkersovereenkomsten, TOMs en certificaten van dienstverleners
Documentatie van zorgvuldigheid bij selectie

Als verwerker (outbound):

Verstrekking van al het bewijs aan klanten op één plek
Schaalbare respons op beveiligingsvragenlijsten en audits
Proactieve transparantie in plaats van reactieve documentzoekopdrachten

Organisaties die beide werelden verbinden zijn goed gepositioneerd: een ISMS voor interne governance, een Trust Center voor externe communicatie — in beide richtingen. Dit maakt van compliance-inspanning een werkend systeem en van documentatie daadwerkelijke weerbaarheid.

Bronnen & Referenties

Verordening (EU) 2016/679 (AVG) – Volledige tekst — Publicatieblad van de Europese Unie.
GDPR Enforcement Tracker — CMS Law. Doorlopend totaal van opgelegde AVG-boetes.
DLA Piper GDPR Fines and Data Breach Survey: Januari 2026 — Jaarlijks onderzoek naar AVG-handhavingstrends.
EDPB — Aankondiging gecoördineerde handhavingsactie 2026 — Aankondiging EDPB (14 oktober 2025) over Artikelen 12–14.
gdpr-info.eu – Artikel 28 (Verwerker) — Vereisten voor verwerkersovereenkomsten.
gdpr-info.eu – Artikel 32 (Beveiliging van verwerking) — Technische en organisatorische maatregelen.
gdpr-info.eu – Artikel 33 (Melding aan toezichthoudende autoriteit) — 72-uursdeadline voor datalekken.
gdpr-info.eu – Artikel 34 (Mededeling aan betrokkene) — Mededeling bij hoog risico.
gdpr-info.eu – Artikel 83 (Algemene voorwaarden voor het opleggen van boeten) — Boetekader.
EDPB – Richtsnoeren 9/2022 betreffende melding van inbreuken — Versie 2.0, maart 2023.
TikTok-boete — Ierse DPC (mei 2025) — Handhavingsactie voor onrechtmatige doorgifte naar China.
Surfshark Research: AVG-boetes overschrijden €1 mrd in 2025 — Jaarlijkse analyse van het AVG-handhavingsvolume.