Veel verenigingen en mkb’ers hebben hun AVG-documenten inmiddels wel ergens opgeslagen. Maar dat is niet het enige waar de Autoriteit Persoonsgegevens (AP) nu naar kijkt. De vraag is vooral: heb je privacy en beveiliging ook écht geregeld in de praktijk? De focus verschuift van papier naar digitale weerbaarheid. En juist daar gaat het vaak mis.
Alleen een privacyverklaring is niet meer genoeg
Een nette privacypagina op je website is prima. Maar als medewerkers nog zonder tweestapsverificatie inloggen op e-mail, boekhouding of ledenadministratie, ziet de AP dat steeds vaker als nalatig. Vooral door de strengere beveiligingsnormen vanuit NIS2 groeit de druk op organisaties om hun basisbeveiliging op orde te hebben.
Een simpele check:
- staat MFA aan op alle accounts?
- weten medewerkers phishing te herkennen?
- gebruik je nog oude gedeelde wachtwoorden?
Juist kleine organisaties denken vaak dat hackers hen niet interessant vinden. Maar geautomatiseerde aanvallen richten zich tegenwoordig op iedereen.
AI-tools zorgen voor nieuwe privacyrisico’s
ChatGPT, Copilot en andere AI-tools worden inmiddels door heel veel mensen gebruikt. Vaak gebeurt dat zonder dat er duidelijke afspraken over zijn gemaakt en dat is een groot risico.
Want zodra medewerkers klantgegevens, ledeninformatie of personeelsdata invoeren in AI-tools, kan er sprake zijn van een AVG-probleem. Zeker als niet duidelijk is wat er met die data gebeurt.
De AP kijkt daarom steeds vaker naar vragen als:
- welke AI-tools gebruiken medewerkers?
- worden prompts opgeslagen?
- staat AI-gebruik in het verwerkingsregister?
- mogen medewerkers zomaar klantdata invoeren?
Veel organisaties hebben hier nog helemaal geen beleid voor.
Cookiebanners mogen bezoekers niet manipuleren
Ook websites liggen onder een vergrootglas. De AP handhaaft in 2026 strenger op zogenaamde ‘dark patterns’: cookiebanners die bezoekers subtiel richting “Alles accepteren” duwen. Daarom geldt: “Alles weigeren” moet net zo makkelijk zijn als “Alles accepteren”.
Dus geen:
- verstopte weigerknoppen
- extra klikstappen
- misleidende kleuren
- tracking die alvast start vóór toestemming
Vooral standaard WordPress- en marketingplugins veroorzaken hier nog vaak problemen zonder dat je dat direct doorhebt.
Ledenlijsten en nieuwsbrieven blijven risicovol
Bij verenigingen gaat het nog vaak mis met contactlijsten. Een ledenlijst delen via WhatsApp lijkt handig, maar mag niet zomaar. Er moet een duidelijke noodzaak of toestemming voor zijn.
Ook nieuwsbrieven blijven een aandachtspunt. Vooral richting oud-leden of oude klanten wordt de bewijslast voor toestemming steeds belangrijker.
Kun je nog aantonen:
- wanneer iemand toestemming gaf?
- waarvoor precies?
- en hoe iemand zich kan uitschrijven?
Zo niet, dan ontstaat er risico.
Bij datalekken telt snelheid
De recente datalekken bij grote softwareleveranciers laten iets belangrijks zien: ook als een externe partij wordt gehackt, blijf jij verantwoordelijk richting je leden of klanten.
Veel organisaties ontdekken pas tijdens een incident dat niemand weet:
- wie het lek beoordeelt
- wie klanten informeert
- wie contact opneemt met de AP
- welke gegevens precies geraakt zijn
Juist daarom zijn actuele verwerkersovereenkomsten belangrijker dan ooit.
De échte test van 2026
Kun jij deze vragen binnen 30 minuten beantwoorden?
- Welke persoonsgegevens verwerken we precies?
- Welke AI-tools gebruiken medewerkers?
- Staat overal MFA aan?
- Verwijderen we oude data echt?
- Wie doet wat bij een datalek?
- Welke leveranciers verwerken onze gegevens?
Als dat lastig wordt, zit daar meestal ook het grootste privacyrisico.
Probeer AVG-support.nl 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
