De Algemene Verordening Gegevensbescherming (AVG) is de uitgebreide gegevensbeschermingswet van de EU, van kracht sinds mei 2018. De verordening regelt hoe organisaties persoonsgegevens van individuen in de Europese Economische Ruimte (EER) verzamelen, verwerken, opslaan en doorgeven. De AVG is van toepassing op elke organisatie die persoonsgegevens van EER-ingezetenen verwerkt, ongeacht waar de organisatie gevestigd is. Voor B2B SaaS-bedrijven geldt de AVG zowel voor de persoonsgegevens van hun eigen werknemers als voor alle persoonsgegevens die zij namens hun klanten verwerken.

Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker onder de AVG?

Een verwerkingsverantwoordelijke bepaalt de doeleinden en middelen van de verwerking van persoonsgegevens — zij beslissen waarom en hoe gegevens worden verwerkt. Een verwerker verwerkt persoonsgegevens namens en onder instructie van een verwerkingsverantwoordelijke. In B2B SaaS is uw klant (het bedrijf dat uw software gebruikt) doorgaans de verwerkingsverantwoordelijke en bent u (de SaaS-aanbieder) de verwerker. Dit onderscheid is belangrijk omdat verwerkingsverantwoordelijken en verwerkers verschillende verplichtingen hebben onder de AVG, en een verwerkersovereenkomst de relatie moet regelen.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een juridisch bindend contract dat op grond van AVG Artikel 28 vereist is tussen een verwerkingsverantwoordelijke en een verwerker. Het specificeert de reikwijdte en het doel van de gegevensverwerking, de soorten persoonsgegevens die betrokken zijn, de duur van de verwerking, de verplichtingen van de verwerker met betrekking tot beveiligingsmaatregelen, sub-verwerkerbeheer, bijstand bij rechten van betrokkenen, melding van datalekken en verwijdering of retournering van gegevens bij beëindiging van het contract. Een verwerkersovereenkomst is essentieel voor elk B2B SaaS-bedrijf dat persoonsgegevens namens klanten verwerkt.

Wat zijn de AVG-vereisten voor internationale gegevensdoorgiften?

AVG Hoofdstuk V (Artikelen 44-49) beperkt doorgiften van persoonsgegevens buiten de EER. Doorgiften zijn alleen toegestaan wanneer: het land van bestemming een adequaatheidsbesluit heeft van de Europese Commissie (bijv. EU-VS Data Privacy Framework); passende waarborgen aanwezig zijn, zoals Standaard Contractbepalingen (SCB's) of Bindende Bedrijfsvoorschriften (BCR's); of specifieke afwijkingen van toepassing zijn (uitdrukkelijke toestemming, contractuele noodzaak, enz.). Na het Schrems II-arrest moeten organisaties ook Transfer Impact Assessments (TIA's) uitvoeren om te verifiëren dat het juridisch kader in het land van bestemming adequate bescherming biedt.

Wat zijn de rechten van betrokkenen onder de AVG?

De AVG verleent individuen (betrokkenen) meerdere rechten: het recht van inzage (Artikel 15) om een kopie van hun persoonsgegevens te verkrijgen; het recht op rectificatie (Artikel 16) om onjuiste gegevens te corrigeren; het recht op wissing (Artikel 17), ook wel het 'recht om vergeten te worden'; het recht op beperking van de verwerking (Artikel 18); het recht op overdraagbaarheid van gegevens (Artikel 20) om gegevens in een machineleesbaar formaat te ontvangen; het recht van bezwaar (Artikel 21) tegen bepaalde soorten verwerking; en het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (Artikel 22). Als verwerker moeten SaaS-bedrijven hun klanten (verwerkingsverantwoordelijken) ondersteunen bij het vervullen van deze rechten.

Wat zijn de AVG-meldingsvereisten bij datalekken?

Op grond van AVG Artikel 33 moet de verwerkingsverantwoordelijke de relevante toezichthoudende autoriteit binnen 72 uur na kennisneming van een inbreuk op persoonsgegevens melden, wanneer het waarschijnlijk is dat de inbreuk een risico vormt voor de rechten en vrijheden van individuen. Op grond van Artikel 34 moet de verwerkingsverantwoordelijke, als de inbreuk waarschijnlijk een hoog risico oplevert, ook de betrokkenen informeren. Verwerkers moeten de verwerkingsverantwoordelijke onverwijld op de hoogte stellen nadat zij kennis hebben genomen van een inbreuk. De melding moet de aard van de inbreuk beschrijven, de categorieën en het geschatte aantal getroffen betrokkenen, de waarschijnlijke gevolgen en de genomen of voorgestelde maatregelen om de inbreuk aan te pakken.

Wat zijn de sancties voor AVG-niet-naleving?

De AVG hanteert een tweeledig sanctiestelsel: boetes van de lagere categorie tot maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet (het hoogste bedrag geldt) voor overtredingen van verplichtingen rond privacy by design, verwerkingsregisters en gegevensbeschermingseffectbeoordelingen; en boetes van de hogere categorie tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet voor overtredingen van kernbeginselen, rechtmatige verwerkingsvoorwaarden, rechten van betrokkenen en regels voor internationale doorgifte. Naast boetes kan niet-naleving leiden tot handhavingsbevelen, verwerkingsverboden, schadeclaims van betrokkenen en aanzienlijke reputatieschade.

Hoe helpt AVG-compliance bij zakelijke verkoop?

AVG-compliance is een basisvereiste voor verkoop aan Europese ondernemingen. Het aantonen van compliance versnelt het verkoopproces door: een kant-en-klare verwerkersovereenkomst aan te bieden die voldoet aan de verwachtingen van kopers; privacydocumentatie te publiceren op uw Trust Center (sub-verwerkerlijst, gegevensstroomdocumentatie, DPIA-samenvattingen); certificeringen te tonen die AVG-relevante maatregelen valideren (ISO 27001, SOC 2); fricties in beveiligingsbeoordelingen te verminderen door proactief gegevensbeschermingsvragen te behandelen; en u te onderscheiden van concurrenten die geen gelijkwaardig niveau van gegevensbescherming kunnen aantonen.

AVG-compliance: wat het vereist, hoe u het bereikt en wat B2B-bedrijven moeten weten

Published 7 mrt 2026

By Emre Salmanoglu

AVG-compliance: wat het vereist, hoe u het bereikt en wat B2B-bedrijven moeten weten

Een praktische gids voor AVG-compliance — wat de verordening vereist, hoe deze van toepassing is op B2B SaaS-bedrijven, kernverplichtingen rond gegevensverwerking, rechten van betrokkenen, internationale doorgiften en hoe u compliance aantoont aan zakelijke kopers.

AVG

Gegevensbescherming

Privacy

Compliance

B2B SaaS

Verwerkersovereenkomst

AVG-compliance: wat het vereist, hoe u het bereikt en wat B2B-bedrijven moeten weten

De Algemene Verordening Gegevensbescherming (AVG) is het gegevensbeschermingsframework van de EU dat regelt hoe organisaties persoonsgegevens van individuen in de Europese Economische Ruimte verzamelen, verwerken, opslaan en doorgeven. Sinds de handhaving in mei 2018 is het de wereldwijde maatstaf voor gegevensbeschermingswetgeving geworden.

Voor B2B SaaS-bedrijven is de AVG geen optie — de verordening is van toepassing wanneer u persoonsgegevens van EER-ingezetenen verwerkt, hetzij als verwerkingsverantwoordelijke (uw eigen werknemers, websitebezoekers, marketingcontacten) of als verwerker (gegevens die uw klanten opslaan in uw platform). Het begrijpen van uw verplichtingen, het implementeren van de vereiste maatregelen en het aantonen van compliance aan kopers zijn essentieel voor opereren op de Europese markt.

Deze gids behandelt wat de AVG vereist, hoe het van toepassing is op B2B-bedrijven, de belangrijkste complianceverplichtingen en hoe u compliance aantoont aan zakelijke kopers.

AVG-grondbeginselen

Kernbegrippen

Term	Definitie	B2B SaaS-voorbeeld
Persoonsgegevens	Alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon	Werknemersnamen in het HR-platform van uw klant
Verwerkingsverantwoordelijke	Bepaalt de doeleinden en middelen van de verwerking	Uw klant (het bedrijf dat uw software gebruikt)
Verwerker	Verwerkt gegevens namens de verwerkingsverantwoordelijke	U (de SaaS-aanbieder)
Betrokkene	Het individu wiens gegevens worden verwerkt	Een werknemer van uw klant
Verwerking	Elke bewerking op persoonsgegevens	Opslag, opvraging, analyse, verwijdering
Toezichthoudende autoriteit	Nationale gegevensbeschermingsautoriteit	AP (Nederland), CNIL (Frankrijk), BfDI (Duitsland)

De zes rechtsgronden voor verwerking

AVG Artikel 6 vereist een rechtsgrond voor elke verwerkingsactiviteit:

Toestemming — De betrokkene heeft duidelijke toestemming gegeven voor een specifiek doel
Contractuele noodzaak — Verwerking is noodzakelijk voor de uitvoering van een contract met de betrokkene
Wettelijke verplichting — Verwerking is wettelijk vereist
Vitale belangen — Verwerking is noodzakelijk om iemands leven te beschermen
Algemeen belang — Verwerking is noodzakelijk voor een taak van algemeen belang
Gerechtvaardigd belang — Verwerking is noodzakelijk voor gerechtvaardigde belangen, afgewogen tegen de rechten van de betrokkene

Voor B2B SaaS-bedrijven zijn de meest voorkomende rechtsgronden contractuele noodzaak (gegevens verwerken om de dienst te verlenen) en gerechtvaardigd belang (bedrijfsvoering, beveiliging, analyse).

Kernbeginselen (Artikel 5)

Alle verwerking moet voldoen aan deze beginselen:

Rechtmatigheid, behoorlijkheid en transparantie — Gegevens op een rechtmatige, behoorlijke en transparante wijze verwerken
Doelbinding — Gegevens verzamelen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
Minimale gegevensverwerking — Alleen gegevens verwerken die noodzakelijk zijn voor het gestelde doel
Juistheid — Persoonsgegevens juist en actueel houden
Opslagbeperking — Gegevens alleen zo lang bewaren als noodzakelijk
Integriteit en vertrouwelijkheid — Gegevens veilig verwerken met passende technische en organisatorische maatregelen
Verantwoordingsplicht — Naleving van alle beginselen aantonen

AVG-verplichtingen voor B2B SaaS-bedrijven

Als verwerker

Wanneer u gegevens namens uw klanten verwerkt, omvatten uw verplichtingen:

Verwerkersovereenkomst (Artikel 28)

Een verwerkersovereenkomst sluiten met elke klant die de reikwijdte, het doel en de duur van de verwerking specificeert
De soorten persoonsgegevens en categorieën betrokkenen documenteren
Uw verplichtingen met betrekking tot beveiliging, sub-verwerkers en rechten van betrokkenen specificeren

Sub-verwerkerbeheer (Artikel 28(2)-(4))

Algemene of specifieke schriftelijke toestemming van de verwerkingsverantwoordelijke verkrijgen voordat sub-verwerkers worden ingeschakeld
Een actuele lijst van sub-verwerkers bijhouden met beschrijvingen van verwerkingsactiviteiten
Gelijkwaardige gegevensbeschermingsverplichtingen opleggen aan sub-verwerkers via contracten
Verwerkingsverantwoordelijken informeren over wijzigingen in sub-verwerkers met voldoende voorafgaande kennisgeving

Beveiligingsmaatregelen (Artikel 32)

Passende technische en organisatorische maatregelen implementeren, waaronder:
- Pseudonimisering en versleuteling van persoonsgegevens
- Waarborging van voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht
- Het vermogen om gegevens te herstellen na een incident
- Regelmatig testen van beveiligingsmaatregelen

Melding van datalekken (Artikel 33)

De verwerkingsverantwoordelijke onverwijld op de hoogte stellen na kennisneming van een inbreuk op persoonsgegevens
Alle informatie verstrekken die de verwerkingsverantwoordelijke nodig heeft om aan diens meldingsverplichtingen te voldoen

Bijstand bij rechten van betrokkenen (Artikel 28(3)(e))

De verwerkingsverantwoordelijke ondersteunen bij het reageren op verzoeken van betrokkenen (inzage, verwijdering, overdraagbaarheid, enz.)
Technische mogelijkheden implementeren om deze verzoeken efficiënt te vervullen

Register van verwerkingsactiviteiten (Artikel 30(2))

Een register bijhouden van verwerkingsactiviteiten die namens verwerkingsverantwoordelijken worden uitgevoerd
Contactgegevens, categorieën van verwerking, internationale doorgiften en beveiligingsmaatregelen opnemen

Als verwerkingsverantwoordelijke

Voor uw eigen verwerkingsactiviteiten (werknemers, websitebezoekers, marketing) bent u de verwerkingsverantwoordelijke met aanvullende verplichtingen:

Gegevensbeschermingseffectbeoordelingen (DPIA's) uitvoeren voor verwerkingen met een hoog risico
Een Functionaris voor Gegevensbescherming (FG) aanstellen indien vereist
Een uitgebreid register van verwerkingsactiviteiten bijhouden (Artikel 30(1))
Privacy by design en by default implementeren (Artikel 25)
Rechtstreeks reageren op verzoeken van betrokkenen binnen één maand

Internationale gegevensdoorgiften

Het doorgiftekader

De AVG beperkt doorgiften van persoonsgegevens buiten de EER. Toegestane doorgiftemechanismen:

Adequaatheidsbesluiten (Artikel 45) Doorgiften naar landen waarvan de Europese Commissie heeft vastgesteld dat zij een adequaat niveau van gegevensbescherming bieden. Huidige adequaatheidsbesluiten zijn onder meer: Andorra, Argentinië, Canada (commerciële organisaties), Faeröer, Guernsey, Israël, Isle of Man, Japan, Jersey, Nieuw-Zeeland, Zuid-Korea, Zwitserland, Verenigd Koninkrijk, Verenigde Staten (onder het EU-VS Data Privacy Framework) en Uruguay.

Standaard Contractbepalingen (Artikel 46(2)(c)) Vooraf goedgekeurde contractuele bepalingen tussen gegevensexporteur en -importeur. De huidige SCB's (aangenomen in juni 2021) omvatten vier modules voor verschillende verwerkingsverantwoordelijke/verwerker-relaties.

Bindende Bedrijfsvoorschriften (Artikel 47) Interne gegevensbeschermingsregels die door toezichthoudende autoriteiten zijn goedgekeurd voor intra-groepsdoorgiften binnen multinationale organisaties.

De impact van Schrems II

Het Schrems II-arrest (juli 2020) voegde praktische eisen toe:

Transfer Impact Assessments (TIA's): Beoordelen of de wetgeving van het bestemmingsland adequate bescherming biedt
Aanvullende maatregelen: Aanvullende technische, contractuele of organisatorische maatregelen implementeren indien nodig
Beoordeling per geval: Elke doorgifterelatie individueel evalueren

Praktische aanpak voor B2B SaaS

Alle gegevensstromen met persoonsgegevensdoorgiften buiten de EER in kaart brengen
De rechtsgrond voor elke doorgifte identificeren (adequaatheid, SCB's, BCR's)
TIA's uitvoeren voor doorgiften naar niet-adequate landen
Aanvullende maatregelen implementeren waar nodig (encryptie, toegangscontroles)
Alles documenteren voor verantwoordings- en auditdoeleinden

Rechten van betrokkenen

Overzicht van rechten

Recht	Artikel	Reactietermijn verwerkingsverantwoordelijke	Verplichting verwerker
Inzage	15	Eén maand	Verwerkingsverantwoordelijke ondersteunen
Rectificatie	16	Eén maand	Verwerkingsverantwoordelijke ondersteunen
Wissing	17	Eén maand	Verwerkingsverantwoordelijke ondersteunen
Beperking	18	Eén maand	Verwerkingsverantwoordelijke ondersteunen
Overdraagbaarheid	20	Eén maand	Verwerkingsverantwoordelijke ondersteunen
Bezwaar	21	Onverwijld	Verwerkingsverantwoordelijke ondersteunen

Implementatie voor SaaS-bedrijven

Als verwerker heeft u technische mogelijkheden nodig om:

Gegevens te exporteren in een gestructureerd, machineleesbaar formaat (overdraagbaarheid)
Gegevens te verwijderen over alle systemen, back-ups en sub-verwerkers heen (wissing)
Verwerking te beperken — gegevens als beperkt markeren en de verwerking stopzetten
Alle gegevens te lokaliseren die betrekking hebben op een specifiek individu in uw platform
Gegevens aan te leveren aan verwerkingsverantwoordelijken binnen termijnen die hen in staat stellen hun deadline van één maand te halen

Beheer van datalekken

De 72-uurstermijn

Wanneer een datalek optreedt:

Detectie: Het datalek identificeren via monitoring, meldingen of waarschuwingen
Beoordeling: De aard, omvang en ernst van het datalek vaststellen
Melding aan verwerkingsverantwoordelijke (verplicht voor verwerker): Onverwijld melden
Melding aan toezichthouder (verplicht voor verwerkingsverantwoordelijke): Binnen 72 uur na kennisneming
Melding aan betrokkenen (bij hoog risico): Onverwijld
Herstel: Het datalek inperken en corrigerende maatregelen implementeren
Documentatie: Alle datalekken registreren, ongeacht de ernst

Inhoud van de melding

De melding aan de toezichthoudende autoriteit moet het volgende bevatten:

Aard van het datalek (vertrouwelijkheid, integriteit of beschikbaarheid)
Categorieën en geschat aantal getroffen betrokkenen
Categorieën en geschat aantal getroffen gegevensrecords
Naam en contactgegevens van de FG of ander contactpunt
Waarschijnlijke gevolgen van het datalek
Genomen of voorgestelde maatregelen om het datalek aan te pakken

AVG-compliance aantonen

Documentatie

Onderhoud uitgebreide documentatie:

Register van verwerkingsactiviteiten (ROPA) — Artikel 30
Gegevensbeschermingseffectbeoordelingen — Artikel 35
Verwerkersovereenkomsten met alle verwerkers en sub-verwerkers
Documentatie voor internationale doorgiften (SCB's, TIA's, aanvullende maatregelen)
Privacybeleid en -mededelingen
Register van datalekken
Toestemmingsregistraties (wanneer toestemming de rechtsgrond is)
FG-aanstelling en contactgegevens (indien van toepassing)

Certificeringen en standaarden

Hoewel de AVG geen specifieke certificeringen verplicht stelt, tonen deze relevante maatregelen aan:

ISO 27001 — Informatiebeveiligingsmanagementsysteem met AVG-relevante beveiligingsmaatregelen
ISO 27701 — Privacyinformatiemanagement-extensie op ISO 27001, specifiek ontworpen voor afstemming met de AVG
SOC 2 — Trust Services Criteria voor beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy
AVG-certificering (Artikel 42) — Opkomende certificeringsmechanismen via geaccrediteerde instanties

Publicatie op Trust Center

Publiceer AVG-compliance-bewijs op uw Trust Center:

Verwerkersovereenkomstsjabloon beschikbaar voor download of elektronische ondertekening
Sub-verwerkerlijst met beschrijvingen en gegevenscategorieën
Privacybeleid en verwerkingsdocumentatie
Gegevensstroomdocumentatie met vermelding van verwerkings- en opslaglocaties
Transfer Impact Assessments voor niet-EER-doorgiften
Certificeringsstatus (ISO 27001, SOC 2, ISO 27701)
FG-contactgegevens

Veelgemaakte fouten bij AVG-compliance

De AVG als eenmalig project beschouwen

AVG-compliance is een doorlopend proces. Gegevensstromen veranderen, sub-verwerkers worden toegevoegd, regelgeving evolueert en er komt nieuwe guidance. Bouw continue complianceprocessen op, geen eenmalige checklists.

Sub-verwerkerverplichtingen negeren

Uw AVG-compliance is slechts zo sterk als uw sub-verwerkerketen. Houd sub-verwerkerlijsten actueel, zorg dat verwerkersovereenkomsten aanwezig zijn en informeer verwerkingsverantwoordelijken over wijzigingen.

Ontoereikende processen voor verzoeken van betrokkenen

Veel B2B SaaS-bedrijven missen efficiënte processen voor het afhandelen van verzoeken van betrokkenen. Bouw technische mogelijkheden voor gegevensexport, -verwijdering en -beperking voordat u ze nodig heeft.

Minimale gegevensverwerking over het hoofd zien

Het verzamelen en bewaren van meer gegevens dan noodzakelijk vergroot zowel de compliancelast als het risico op datalekken. Implementeer bewaarbeleid en evalueer regelmatig welke gegevens u werkelijk nodig heeft.

Ervan uitgaan dat toestemming altijd vereist is

Toestemming is slechts een van de zes rechtsgronden. Voor B2B SaaS zijn contractuele noodzaak en gerechtvaardigd belang vaak geschiktere en praktischere rechtsgronden voor verwerking.

Hoe Orbiq AVG-compliance ondersteunt

Trust Center: Publiceer uw AVG-compliancestatus — verwerkersovereenkomst, sub-verwerkerlijst, privacydocumentatie en certificeringsstatus voor selfservice door kopers
Continue monitoring: Volg AVG-relevante maatregelen over ISO 27001, SOC 2 en privacyvereisten
Bewijsbeheer: Centraliseer verwerkersovereenkomsten, DPIA's, doorgiftedocumentatie en datalekregisters in één complianceplatform
AI-gestuurde vragenlijsten: Beantwoord automatisch AVG-gerelateerde vragen in beveiligingsvragenlijsten op basis van uw gedocumenteerde maatregelen

Verder lezen

Wilt u de complete compliance-gids voor 2026? Lees onze AVG-compliance: Complete gids voor 2026 (Artikelen 28, 32, 33, 34) — met de nieuwste handhavingsdata, een stapsgewijze checklist en hoe u compliance aantoont als verwerkingsverantwoordelijke en verwerker.

Gegevenssoevereiniteit — Jurisdictionele controle over persoonsgegevens begrijpen
Trust Center — AVG-compliance-bewijs publiceren voor kopers
Informatiebeveiligingsbeleid — Het beleidskader dat AVG Artikel 32-maatregelen ondersteunt
Leveranciersrisicobeoordeling — Hoe kopers AVG-compliance evalueren bij inkoop

Deze gids wordt onderhouden door het Orbiq-team. Laatst bijgewerkt: maart 2026.