Waar wil je naartoe?

AVG en koppelingen: pragmatisch voor het MKB

Geen juridisch advies, wel praktische aandachtspunten: welke gegevens stromen mee, wie verwerkt wat, en hoe je het beheerbaar houdt.

Persoon die op een smartphone beveiligingsinstellingen gebruikt

Koppelingen tussen CRM, boekhouding, webshop en mailtools maken je bedrijf sneller. Tegelijk verplaats je persoonsgegevens tussen systemen. Voor het MKB hoeft dat geen juridisch dossier van honderd pagina’s te worden, maar overzicht en afspraken zijn wel nodig.

Dit artikel is geen juridisch advies. Het beschrijft de praktische kant: wat je in kaart brengt, hoe je met leveranciers omgaat, en hoe je technisch en organisatorisch grip houdt. Voor contracten en branchespecifieke regels schakel je een jurist in.

Wat je in kaart brengt

Begin met een eenvoudige vraag: welke persoonsgegevens gaan van systeem A naar B?

Typische voorbeelden:

  • Naam, e-mail, telefoonnummer van klanten en leads.
  • Factuur- en leveradressen.
  • Soms BSN of ID bij specifieke diensten (extra gevoelig).

Noteer per koppeling: welke velden, waarom ze nodig zijn, en hoe lang je ze bewaart. Het principe van dataminimalisatie helpt: stuur alleen mee wat echt nodig is voor die integratie.

Verwerkers en afspraken

Als een leverancier namens jou persoonsgegevens verwerkt (hosting, SaaS, koppeltool), hoort daar in veel gevallen een verwerkersovereenkomst of vergelijkbare clausules bij. Dat hoeft geen roman te zijn, wel duidelijk over:

  • beveiliging en toegang;
  • subverwerkers (wie mogen zij weer inschakelen);
  • melden van datalekken;
  • waar data fysiek staat (EU of daarbuiten), als dat voor jou relevant is.

Vraag bij je softwareleveranciers ook na hoe API-sleutels worden beheerd en of er logging is van uitwisselingen. Dat helpt bij incidenten en audits.

Handen op een toetsenbord, passend bij veilig omgaan met gegevens

Toegang en logging

Hoe minder mensen brede toegang hebben tot gekoppelde systemen, hoe kleiner de kans op menselijke fouten of misbruik.

  • Gebruik rollen en rechten: alleen wat iemand voor zijn werk nodig heeft.
  • Houd administrators beperkt en benoem wie API-keys mag roteren.
  • Plan periodiek (bijvoorbeeld elk kwartaal) een korte check: wie heeft nog toegang, welke koppelingen draaien er nog?

Technische gewoontes die helpen

  • Versleutelde verbindingen (HTTPS) zijn standaard; controleer dat testomgevingen niet per ongeluk live data lekken.
  • Testdata waar mogelijk: niet alles hoeft met echte klanten getest te worden.
  • Foutafhandeling in de koppeling: wat gebeurt er als een veld ontbreekt? Liever een duidelijke foutmelding dan stille verkeerde data.

Juridisch advies

Voor specifieke contracten, internationale doorgifes of sectorregels (zorg, financieel, enz.) is een jurist de juiste partij. Wij helpen met de technische en proceskant van koppelingen: heldere datastromen, robuuste implementatie en beheer. Zie systeemkoppelingen of neem contact op.