AVG-verantwoordingsplicht: wat EU-bedrijven moeten documenteren
Verantwoordingsplicht onder de AVG betekent naleving aantonen, niet alleen claimen. De documenten die EU-bedrijven moeten hebben — verwerkingsregister, DPIA, beleid — en hoe u die set opbouwt.

De meeste bedrijven zien naleving van de AVG als een toestand die u bereikt — beleid ondertekenen, cookiebanner toevoegen, klaar. De verordening ziet het als iets wat u moet kunnen bewijzen. Dat is het beginsel van de verantwoordingsplicht, en het vormt de stille kern van de hele wet: op grond van art. 5, lid 2, is een bedrijf verantwoordelijk voor de naleving van de beginselen inzake gegevensbescherming en moet het die naleving kunnen aantonen [1]. In de praktijk is dat aantonen een set documenten — registers, beoordelingen, beleid en procedures die nauwkeurig en consistent beschrijven hoe uw organisatie persoonsgegevens daadwerkelijk verwerkt. Voor een Europees bedrijf zonder juridische afdeling is het opbouwen en onderhouden van die set de eigenlijke AVG-opgave. Deze gids zet uiteen wat de set bevat, waarom elk onderdeel bestaat en hoe de verplichting binnen Europa verschilt — en waarom "Europees" niet hetzelfde is als "VK".
Kort antwoord. De AVG-verantwoordingsplicht (art. 5, lid 2) betekent dat een bedrijf niet alleen aan de gegevensbeschermingswetgeving moet voldoen, maar dat ook moet kunnen bewijzen — met documentatie. De kernset is een register van de verwerkingsactiviteiten, een laag met rechtsgrond en privacyverklaringen, verwerkersovereenkomsten en een DPIA waar het risico hoog is, alles nauwkeurig, bedrijfsspecifiek en intern consistent gehouden.
Wat verantwoordingsplicht onder de AVG werkelijk inhoudt
De meeste verplichtingen van de AVG zijn in grote lijnen bekend: heb een rechtsgrond, vertel mensen wat u met hun gegevens doet, houd ze veilig, eerbiedig hun rechten. De verantwoordingsplicht is het beginsel dat die verplichtingen van voornemens in iets toetsbaars verandert. Art. 5, lid 2, maakt de verwerkingsverantwoordelijke "verantwoordelijk voor en in staat om" de naleving van de beginselen inzake gegevensbescherming "aan te tonen", en art. 24 verlangt dat u passende maatregelen treft en kunt aantonen dat uw verwerking in lijn is met de verordening [1]. De kernwoorden zijn kunnen aantonen. Naleving die u op papier niet kunt laten zien wanneer daarom wordt gevraagd, telt niet.
Dit is een verschuiving van waar de bewijslast ligt. Een toezichthoudende autoriteit die een onderzoek opent, een zakelijke klant die een leveranciersbeoordeling uitvoert of een tegenpartij die over een contract onderhandelt, gaat er niet op voorhand van uit dat u niet naleeft — maar zodra zij "laat maar zien" vragen, ligt de verantwoordelijkheid om samenhangend bewijs te leveren bij u, niet bij hen. En de toets die zij aanleggen, gaat niet over omvang. Een map vol algemeen beleid maakt op niemand indruk; waar toezichthouders naar kijken, is specificiteit en interne samenhang — documenten die uw werkelijke verwerking beschrijven, uw echte systemen en leveranciers benoemen en elkaar niet tegenspreken. De eigen richtsnoeren van de Europese Commissie voor organisaties verwoorden de plicht precies zo: naleving aantonen aan de hand van registers, effectbeoordelingen en documentatie over inbreuken [2].
Wat er achter dat woord schuilgaat, is niet abstract. De AVG ondersteunt de verantwoordingsplicht met administratieve geldboeten tot 20 miljoen EUR of 4 % van de totale wereldwijde jaaromzet, indien dat cijfer hoger is, voor de ernstigste inbreuken [1]. Maar voor de meeste kleine en middelgrote bedrijven is de scherpere, vaker voelbare druk commercieel in plaats van regulatoir: het inkoop- of leveranciersproces van een grotere klant vraagt om uw register, uw verwerkersovereenkomst en uw beveiligingsdocumentatie voordat de klant tekent — en een deal blijft steken in de week waarin u die niet kunt overleggen. Verantwoordingsdocumentatie is stilletjes een voorwaarde geworden om aan grotere organisaties te verkopen, en dezelfde logica strekt zich uit tot verzekeraars en partners. Daarom bouwen bedrijven de set steeds vaker proactief op, als een commercieel keurmerk waardoor een tegenpartij u zijn persoonsgegevens durft toe te vertrouwen, in plaats van te wachten tot een toezichthouder erom vraagt.
De verantwoordingsplicht herkadert dus de hele oefening. De vraag is niet langer "voldoen we?" in het abstracte, maar "wat kunnen we nú laten zien over elk ding dat we met persoonsgegevens doen?" Alles hieronder is een antwoord op die vraag.
De documentatieset: wat Europese bedrijven moeten kunnen laten zien
Er bestaat geen enkel "AVG-certificaat". In plaats daarvan blijkt verantwoording uit een set documenten, elk gekoppeld aan een specifieke verplichting, die samen elke activiteit dekken waarbij uw organisatie persoonsgegevens verwerkt. Welke onderdelen u nodig hebt, hangt af van wat u doet — louter de inzet van een leverancier vereist een verwerkersovereenkomst, een verwerking met een hoog risico vraagt om een effectbeoordeling — maar de ruggengraat is consistent voor Europese bedrijven.
Concreet wordt de set activiteit voor activiteit opgebouwd:
- Een register van de verwerkingsactiviteiten, art. 30. Het ruggengraatdocument: een inventaris van elke verwerkingsactiviteit — welke gegevens, van wie, waarom, op welke grond, met wie ze worden gedeeld, hoe lang ze worden bewaard, wat ze beschermt. Nationale autoriteiten zoals de Franse CNIL publiceren sjablonen juist omdat dit het instrument is waar zij als eerste naar grijpen; het is, in de woorden van de toezichthouders, een document met zowel een inventaris- als een analysefunctie dat de werkelijkheid van uw verwerking moet weerspiegelen [1][4].
- Een rechtsgrond per activiteit, art. 6 — plus een afweging van het gerechtvaardigd belang. Elke activiteit heeft een van de zes rechtsgronden nodig. Waar u zich op gerechtvaardigd belang baseert (art. 6, lid 1, punt f), AVG), moet u een drieledige belangenafweging vastleggen — doel, noodzaak en de afweging tegen de rechten van het individu — een discipline die het Hof van Justitie in zijn KNLTB-arrest van 2024 opnieuw heeft bevestigd [1][9].
- Privacyverklaringen, art. 13–14. Wat u vertelt aan de mensen van wie u gegevens houdt, afhankelijk van of u die rechtstreeks bij hen hebt verzameld of niet. De verklaring moet aansluiten op het register; een discrepantie tussen wat u zegt en wat u vastlegt, is precies het soort tegenstrijdigheid waar een autoriteit naar zoekt [1].
- Verwerkersovereenkomsten, art. 28. Telkens wanneer een leverancier namens u persoonsgegevens verwerkt — een loonadministratiekantoor, een cloudhost, een e-mailplatform — vereist art. 28 een contract met vastgelegde voorwaarden. De Commissie publiceert hiervoor officiële standaardcontractbepalingen, waarop een conforme overeenkomst kan voortbouwen [1][5].
- Doorgiftewaarborgen, hoofdstuk V. Verlaten persoonsgegevens de Europese Economische Ruimte, dan hebt u een geldig doorgiftemechanisme nodig — een adequaatheidsbesluit of de standaardcontractbepalingen van de Commissie voor internationale doorgiften [1][6].
- Een gegevensbeschermingseffectbeoordeling (DPIA), art. 35. Vereist waar de verwerking waarschijnlijk een hoog risico oplevert — grootschalige bijzondere categorieën van persoonsgegevens, stelselmatige monitoring, uitgebreide profilering. Europese richtsnoeren noemen negen criteria en zien twee of meer als de trigger; elke nationale autoriteit publiceert ook haar eigen lijst met verplichte DPIA's [1][3].
- Procedures, niet alleen documenten. Rondom de set liggen de operationele onderdelen: een proces om verzoeken van betrokkenen binnen de termijn van één maand af te handelen (art. 12–22), een inbreukproces dat de autoriteit waar nodig binnen 72 uur kan informeren (art. 33–34), en een intern beleid dat de technische en organisatorische maatregelen beschrijft die gegevens veilig houden (art. 24, 32) [1].
Dat is de anatomie. De kunst is om de set de uwe te maken — elk veld herleidbaar tot iets wat waar is over uw bedrijf — en niet een map met plausibel ogende, algemene tekst.
Eén verordening, vele toezichthouders — het Europese plaatje
Hier komt de Europese inkadering eropaan, en hier gaat het makkelijk mis door VK-gericht advies te lezen. De AVG is een verordening, geen richtlijn: Verordening (EU) 2016/679 is rechtstreeks van toepassing in elke EU-lidstaat en de bredere Europese Economische Ruimte, waartoe ook Noorwegen, IJsland en Liechtenstein behoren [1][2]. De dragende artikelen — verantwoordingsplicht, rechtsgrond, register, DPIA, rechten van betrokkenen — zijn identiek van tekst in Duitsland, Frankrijk, Italië, Spanje, Polen, Slowakije en overal elders. Een bedrijf dat in heel Europa actief is, bouwt de EU-kern één keer.
Wat verandert, is een nationale laag bovenop die kern. Elk land heeft zijn eigen toezichthoudende autoriteit — de CNIL in Frankrijk, de Garante in Italië, de AEPD in Spanje, de BfDI en de Länder-autoriteiten in Duitsland, enzovoort — en elke kan nationale specifieke regels uitvaardigen: de leeftijd waarop een kind kan instemmen met onlinediensten (binnen de Unie ergens tussen 13 en 16 vastgesteld), regels voor werknemersgegevens en de eigen lijst van de autoriteit met verwerkingen die altijd een DPIA vergen. De samenhang tussen deze toezichthouders wordt bewaakt door het Europees Comité voor gegevensbescherming (EDPB) en het éénloketmechanisme, zodat de kern niet versplintert [8]. Voor een verantwoordingsset betekent dit dat de structuur uniform is en de variatie begrensd: breng de EU-kern in kaart en leg daar de handvol nationale specifieke regels overheen voor elk land waar u actief bent.
En juist daarom is Europees niet hetzelfde als VK. Sinds de Brexit valt het Verenigd Koninkrijk buiten de EU-AVG. Het hanteert zijn eigen UK GDPR naast de Data Protection Act 2018, onder toezicht van de ICO, en is via binnenlandse hervorming gaan afwijken van de EU-tekst. Zwitserland, dat nooit in de EU zat, heeft zijn eigen herziene Federal Act on Data Protection. Een op de EU gericht bedrijf zou het VK en Zwitserland dus moeten behandelen als aparte, parallelle regimes — afzonderlijke rechtsgebieden die op eigen titel moeten worden gedocumenteerd — en niet als lokale varianten van de EU-verordening [2]. Veel breed gedeeld "AVG"-advies is in feite VK-advies; voor verwerking die op de EU en de EER is gericht, zijn de verordening, de toezichthouders en de referentieteksten die u aanhaalt de Europese.
Waar verantwoording lastiger wordt: AI en geautomatiseerde besluiten
Het invoeren van AI creëert geen apart nalevingsuniversum, maar het maakt de verantwoordingsset wel zwaarder. Drie punten doen ertoe. Ten eerste kennen geautomatiseerde besluitvorming en profilering met rechtsgevolgen of vergelijkbaar wezenlijke gevolgen voor mensen specifieke waarborgen onder art. 22 — waaronder, in veel gevallen, het recht op menselijke tussenkomst [1]. Ten tweede voldoet AI die op grote schaal persoonsgegevens verwerkt of individuen profileert vaak aan de criteria van art. 35 en leidt zo tot een DPIA [1][3]. Ten derde hebt u nog steeds een duidelijke, gedocumenteerde rechtsgrond nodig voor elke training of inferentie op persoonsgegevens.
Bovenop de AVG voert de AI-verordening (Verordening (EU) 2024/1689) een aparte, risicogebaseerde laag van verplichtingen voor AI-systemen zelf in [7]. De twee regimes lopen parallel: de AI-verordening regelt het systeem, de AVG regelt de persoonsgegevens die het raakt — en de AVG-verantwoordingsplicht geldt op het moment dat een AI-systeem persoonsgegevens verwerkt, ongeacht hoe de AI-verordening het classificeert. Het praktische gevolg is dat een organisatie die werk naar AI verplaatst, meer te documenteren erft, niet minder. De bredere regulatoire convergentie behandelen we in onze gids over AI-governance en de regels die van toepassing zijn, en het werkmodel dat dit bewijs als bijproduct van het gewone werk laat ontstaan in het AI-native bedrijfEN.
De eerlijke kanttekening: documentatie is noodzakelijk, niet voldoende
Het zou prettig zijn om te zeggen dat u, zodra de set bestaat, voldoet. Dat is niet zo — en het tegendeel suggereren is de klassieke manier waarop verantwoording faalt. Drie eerlijke grenzen.
Ten eerste: documenten moeten met de werkelijkheid overeenkomen, en u moet ze ook uitvoeren. Een beleid dat toegangscontroles beschrijft die uw systemen niet afdwingen, of een register dat het cameratoezicht bij de receptie weglaat, is niet neutraal — het is bewijs van niet-naleving. De set toont verantwoording alleen aan als hij specifiek is, intern consistent en daadwerkelijk geleefd. Ten tweede: een documentatieset is geen juridisch advies en geen certificering. Het opstellen van de registers die de wet vereist, is gestructureerd opstelwerk, geen juridisch oordeel over uw specifieke situatie; en er bestaat geen "AVG-gecertificeerd"-status doordat u goede papieren hebt — de formele certificeringsroute onder art. 42 is een afzonderlijk, geaccrediteerd mechanisme. Ten derde: sommige situaties vragen om een professional. Een werkelijk complexe DPIA, een betwiste grensoverschrijdende structuur of een lopend toezichtsonderzoek zijn geen sjabloonterrein; dan is de juiste zet om op te schalen naar een gekwalificeerd adviseur, en een goed verantwoordingsproces vertelt u wanneer.
Het benoemen van deze grenzen is geen slag om de arm. Het is het verschil tussen een set die kritische toetsing doorstaat en een map die instort zodra iemand hem voor het eerst aandachtig leest.
Hoe u uw verantwoordingsset opbouwt
Er zijn realistisch gezien drie manieren om de set te produceren. Een advocatenkantoor of FG-consultant geeft u nauwkeurigheid en oordeelsvermogen, maar traag en tegen een prijs die een kleiner bedrijf onder druk zet. Algemene sjablonen zijn snel en goedkoop, maar ze zakken voor de toets op specificiteit en samenhang die toezichthouders feitelijk aanleggen — en een tegenstrijdige of holle set is erger dan een eerlijke leemte. De derde route is een geproductiseerde, gegenereerde set: u beantwoordt gestructureerde vragen over uw bedrijf en zijn verwerkingsactiviteiten, en een op maat gemaakte, intern consistente set wordt samengesteld uit een clausulebibliotheek die op de verordening en officiële richtsnoeren is gebouwd — snel, zoals de sjablonen, maar specifiek voor u, zoals de jurist.
Bouw de set zonder de doorlooptijd van een advocatenkantoor. De GDPR Accountability Documentation van easyAI zet een korte, begeleide vragenlijst over uw bedrijf en hoe het persoonsgegevens verwerkt om in een op maat gemaakte, intern consistente verantwoordingsset — register van de verwerkingsactiviteiten, intern beleid, privacyverklaringen, verwerkersovereenkomsten, een afweging van het gerechtvaardigd belang waar u die nodig hebt, en een DPIA-toets — in dagen gegenereerd, in het Engels plus uw landstaal, voor een fractie van een maatwerktraject. Het is documentatieondersteuning, geen juridisch advies of certificering, en het gaat ervan uit dat u uitvoert wat het beschrijft. Is uw volgende stap AI in plaats van papierwerk, dan rangschikt de AI Foundation AuditEN waar automatisering zich terugbetaalt; begin met het voorbeeldrapportEN. Beide producten draaien op het easyAI-platform op aiprioritymap.com.
De volgorde aan uw kant is rechttoe rechtaan: inventariseer elke activiteit die persoonsgegevens raakt, leg per activiteit een rechtsgrond vast, schrijf de registers en verklaringen die ze beschrijven, regel de leveranciers contractueel, beoordeel de gevallen met een hoog risico en zet de procedures voor rechten en inbreuken op — en houd het geheel daarna actueel naarmate uw verwerking verandert. Verantwoording is geen project dat u afrondt; het is een toestand die u onderhoudt. Maar de eerste, lastigste 80 % — een volledige, consistente, bedrijfsspecifieke set die u aan iedereen die erom vraagt kunt voorleggen — is precies het deel dat nu gegenereerd kan worden in plaats van met de hand gebouwd.
Veelgestelde vragen
Samenvatting
AVG-verantwoordingsplicht — aantonen, niet alleen beweren │ ├─ Het beginsel (art. 5 lid 2 en art. 24) │ ├─ Naleving moet aantoonbaar zijn, niet enkel beweerd │ ├─ De bewijslast ligt bij u, de verwerkingsverantwoordelijke │ └─ Toezichthouders toetsen specificiteit en consistentie, niet omvang │ ├─ Wat u moet kunnen aantonen │ ├─ Register van de verwerkingsactiviteiten — elke verwerking (art. 30) │ ├─ Rechtsgrond + afweging van het gerechtvaardigd belang (art. 6) │ ├─ Informatie · verwerkersovereenkomsten · doorgiften (art. 13/14, 28, hfdst. V) │ └─ DPIA bij hoog risico · rechten + procedures bij inbreuken │ └─ Eén verordening, veel toezichthouders ├─ EU + EER delen één kern — breng die één keer in kaart ├─ Nationale toezichthouders voegen details toe — CNIL, Garante, AEPD… └─ Niet het VK — UK GDPR en de Zwitserse FADP staan los
Verwante insights
- AI-governance en de regels die van toepassing zijn — hoe de AVG, de AI-verordening en andere regimes samenkomen voor een groeiend bedrijf.
- Het AI-native bedrijfEN — het werkmodel waarin verantwoordingsbewijs als bijproduct van het gewone werk ontstaat.
- Een AI-register bouwen in 90 minuten — dezelfde documentatiediscipline, toegepast op uw AI-systemen.
- Lokale LLM versus cloud-LLM: gegevensbeveiligingEN — waar uw gegevens staan, en wat dat betekent voor doorgiften en risico.
Komende spokes in deze cluster: een register van de verwerkingsactiviteiten bouwen, wanneer en hoe u een DPIA uitvoert, een rechtsgrond kiezen, procedures voor de rechten van betrokkenen, de verwerkersovereenkomst van art. 28, en de AVG voor AI en geautomatiseerde besluiten.
Laatst bijgewerkt: juni 2026. Versie 1.0.
Frequently Asked Questions
Wat is de verantwoordingsplicht in de AVG?
Welke documenten vereist de AVG nu eigenlijk?
Geldt de AVG overal in Europa op dezelfde manier?
Valt het Verenigd Koninkrijk onder de EU-AVG?
Moeten kleine bedrijven en het mkb een verwerkingsregister bijhouden?
Wanneer heeft een bedrijf een gegevensbeschermingseffectbeoordeling (DPIA) nodig?
Kunnen we gewoon algemene AVG-sjablonen gebruiken?
Verandert het gebruik van AI onze AVG-verplichtingen?
Sources
- 1.Regulation (EU) 2016/679 (General Data Protection Regulation) — European Union (EUR-Lex, Official Journal L 119) · 2016
- 2.Rules for business and organisations (data protection) — European Commission · 2024
- 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020) — European Data Protection Board (EDPB) · 2024
- 4.Record of processing activities (Article 30 guidance and template) — CNIL (French Data Protection Authority) · 2024
- 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28) — European Commission (EUR-Lex) · 2021
- 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfers — European Commission (EUR-Lex) · 2021
- 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act) — European Union (EUR-Lex, Official Journal) · 2024
- 8.European Data Protection Board — role and consistency mechanism — European Data Protection Board (EDPB) · 2024
- 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basis — Court of Justice of the European Union (EUR-Lex) · 2024
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.