Dienst · Software-ontwikkeling

GDPR compliance platform laten maken.

Maatwerk software die uw AVG-verplichtingen operationaliseert binnen uw eigen systeem-landschap: verwerkingsregister, DPIA-flow, betrokkenenrechten, consent-management, retentie, breach-procedure en de DPO-cockpit waarin dat allemaal samenkomt. Geen policy-CMS of training-portaal — wel een platform dat artikel 30, artikel 35 en artikel 12 tot 22 in de praktijk laat werken.

VerwerkingsregisterDPIA-toolingDatasubject-rightsDPO-cockpit
Plan een kennismaking Bekijk gerelateerd werk

Wat een GDPR compliance platform in de praktijk is.

De AVG — Verordening 2016/679, in Nederland aangevuld met de Uitvoeringswet AVG — bestaat uit ongeveer honderd artikelen die samen één ding eisen: organisaties moeten aantoonbaar grip hebben op de persoonsgegevens die zij verwerken. Wat er gebeurt met die data, op welke rechtsgrond, hoe lang, met wie gedeeld, met welke beveiliging, en hoe de betrokkene zijn rechten kan uitoefenen. Dat is niet één document of één tool, maar een verzameling samenhangende processen.

Een GDPR compliance platform is de software-laag die die processen ondersteunt. Het verwerkingsregister uit artikel 30 staat erin, de DPIA-methodiek uit artikel 35, het consent-mechanisme uit artikel 6 en 7, de afhandeling van inzage-, rectificatie- en vergetelheidsverzoeken uit artikel 12 tot 22, de breach-procedure uit artikel 33 en 34, en de retentie-regels die uit artikel 5 voortvloeien. Allemaal gekoppeld aan uw eigen systemen — HR, CRM, ERP, marketing-platform, ticketing — zodat een vraag van een betrokkene of een auditor binnen een werkbare termijn te beantwoorden is.

Wij vervangen geen breed beschikbare standaardproducten als OneTrust, TrustArc, Securiti.ai of DataGrail wanneer die het werk doen. Wij bouwen maatwerk wanneer u diepere integratie nodig heeft, wanneer uw branche aanvullende eisen kent, of wanneer uw DPO of privacy-officer in de praktijk struikelt over de grenzen van een commodity-tool. Dat past binnen bredere trajecten rond ISO 27001 compliant software, DORA compliance software en is een logische bouwsteen bij een enterprise-software-traject.

Drie smaken GDPR-platform die wij bouwen.

De meeste opdrachten beginnen in één van deze drie smaken. We adviseren in het eerste gesprek welke aanpak het beste past bij de omvang van uw verwerkingen, het aantal aan te sluiten systemen en de volwassenheid van uw privacy-organisatie.

Compact traject · vast sprintbudget

Verwerkingsregister en betrokkenenrechten-portaal

Een compact platform waarin uw verwerkingsregister (artikel 30) onderhouden wordt door process-eigenaren in plaats van door één privacy-officer in een Excel-bestand. Daaraan gekoppeld een betrokkenenrechten-flow: een betrokkene dient een verzoek in, het loopt door een ticket-flow met SLA-bewaking, en de afhandeling wordt vastgelegd voor de Autoriteit Persoonsgegevens. Geschikt voor organisaties die net begonnen zijn met serieuze AVG-operaties.

Artikel 30-registerDSAR-portaalSLA-bewakingAudit-log
Middelgroot traject · vast sprintbudget

DPIA, consent en third-party register

Het compacte traject uitgebreid met een DPIA-tooling (artikel 35): een gestructureerde assessment-flow met risk-scoring, doelbinding-toets, noodzakelijkheidsanalyse en beheersmaatregelen, gekoppeld aan een organisatie-specifiek risk-framework. Plus consent-management op verwerkings-niveau met granular intrekking, en een third-party register (artikel 28) waarin verwerkers, sub-verwerkers, verwerkersovereenkomsten en internationale doorgifte traceerbaar zijn. Geschikt voor organisaties met een actieve DPO en meerdere bedrijfsonderdelen.

DPIA-flowConsent per processingVerwerkersregisterRisk-scoring
Groter traject · vast sprintbudget

End-to-end privacy-platform met diepe integraties

Het volledige platform aangesloten op uw kernsystemen — HR-systeem, CRM, marketing-stack, ERP, ticketing, data-warehouse, e-mail-archief — zodat een vergetelheidsverzoek of een inzageverzoek geautomatiseerd in tien of meer bronnen gezocht wordt. Inclusief breach-management met de 72-uurs-meldings-timer richting Autoriteit Persoonsgegevens, anonymisatie- en pseudonimisatie-tooling, retentie-engine, Schrems II-tracking en de DPO-cockpit waarin uw privacy-officer de hele organisatie overziet. Geschikt voor zorginstellingen, financiële spelers, mediahuizen en grote retailers.

10+ systeem-koppelingenBreach-timerAnonymisatieRetentie-engineSchrems II

Wat u krijgt aan het einde van een traject.

Een productieklaar GDPR compliance platform, in uw eigen omgeving, gekoppeld aan uw eigen systemen, met de documentatie die uw DPO en uw auditor verwachten.

  • Verwerkingsregister conform artikel 30Voor iedere verwerking: doel, rechtsgrond, categorieën betrokkenen, categorieën persoonsgegevens, ontvangers, bewaartermijn, internationale doorgifte en de bijhorende beveiligingsmaatregelen. Onderhoudbaar door process-eigenaren zelf, niet alleen door uw DPO.
  • DPIA-tooling op basis van artikel 35Gestructureerde assessment-flow met necessity- en proportionaliteitstoets, risk-register, beheersmaatregelen en residual-risk-scoring. Gekoppeld aan een organisatie-specifiek risk-framework — geen one-size-fits-all checklist.
  • Datasubject-rights-portaal (artikel 12 tot 22)Verzoek-flow voor inzage, rectificatie, vergetelheid, dataportabiliteit, bezwaar en beperking. Geautomatiseerd zoeken in de aangesloten bronsystemen, gestructureerde dossier-opbouw, audit-trail, SLA-bewaking en gestandaardiseerde antwoord-templates die juridisch zijn afgestemd.
  • Consent-management op verwerkings-niveauGranular consent per processing-doel, intrekkings-flow, expliciete leeftijdsverificatie waar relevant, audit-log van wat wanneer onder welke versie van de privacyverklaring is geaccepteerd. Standaard koppeling met uw cookie-banner (CMP onder TCF 2.2) en uw marketing-stack.
  • Third-party register conform artikel 28Iedere verwerker en sub-verwerker met contract-versie, doelbinding, datacategorieën, locatie van de verwerking, certificeringen, SCC-status en doorgifte-mechanisme. Workflow voor nieuwe verwerkingsovereenkomsten en periodieke evaluatie.
  • Breach-management met 72-uurs-timerIncident-flow met severity-classificatie, betrokkenen-impact-analyse, AP-meldings-template (artikel 33), betrokkenen-notificatie-template (artikel 34), lessons-learned-archief en de wettelijke timer die zichtbaar aftikt vanaf het moment van vaststelling.
  • Retentie-engine en dataminimalisatie-controlesRetention-rules per dataset en per verwerking, automatische verwijderings- of anonymisatie-jobs, periodieke dataminimalisatie-rapportages en exception-flow voor wettelijke bewaarplichten. Specifiek nuttig voor HR-data waar dataminimalisatie en transparantie hand-in-hand moeten lopen.
  • Anonymisatie- en pseudonimisatie-toolingAutomatische PII-detectie in nieuwe datasets, configureerbare anonymisatie-strategieën (k-anonymity, generalisatie, suppression, tokenisatie) en pseudonimisatie-vault voor reversible cases. Bruikbaar door datateams in BI- en AI-trajecten.
  • Internationale doorgifte (artikel 44 tot 49)Tracking van datastromen buiten de EER, met SCC-status, Trans-Atlantic Data Privacy Framework-status, EU-data-residency-bewijs en de transfer-impact-assessment die uit Schrems II voortvloeit. Waarschuwing wanneer een leverancier wijzigt van regio.
  • DPO-cockpitEén dashboard waarin uw Data Protection Officer of privacy-officer ziet wat er op de organisatie staat: openstaande betrokkenenverzoeken, lopende DPIA's, verlopen verwerkersovereenkomsten, openstaande breach-incidenten, retentie-overschrijdingen en de status van internationale doorgiften.
  • Privacy-by-design tooling voor uw ontwikkelteamsAPI-scanner die nieuwe endpoints checkt op PII, automatische detectie van persoonsgegevens in datasets en build-time-checks die voorkomen dat een nieuwe feature persoonsgegevens verwerkt zonder geregistreerde rechtsgrond. Zo wordt artikel 25 daadwerkelijk operationeel.
  • Codebase, documentatie en beheer-runbookVolledige broncode in een Git-repository, architectuur-overzicht, koppelings-documentatie per bronsysteem en operationele runbooks voor uw IT-partner of interne IT. Plus een beheer-contract (optioneel) met monitoring, patch-management, regelgevings-updates en doorontwikkeling.

Wanneer een maatwerk GDPR-platform de juiste keuze is.

Vier patronen die wij terugzien bij organisaties die ons benaderen voor een maatwerk privacy-platform. Herkent u er één, dan praten we graag verder.

Integratie-diepte

Standaardtool koppelt niet diep genoeg

U heeft OneTrust, TrustArc of een vergelijkbare tool, maar een vergetelheidsverzoek vraagt nog steeds handmatig zoeken in tien of meer interne systemen. De commodity-tool dekt de governance-laag, maar niet de operationele afhandeling op uw eigen data. Daar wordt de DPO moe van en de doorlooptijd te lang.

Branche-eisen

Aanvullend regime bovenop de AVG

U valt onder een sector-overlay: NEN 7510 voor de zorg, DNB- en Wft-eisen voor de financiële sector, BIO voor de overheid, of de AVG-haak vanuit de AI Act voor uw AI-systemen. Eén architectuur moet meerdere kaders tegelijk dekken, met een gemeenschappelijke evidence-bron en geen losse Excel-bestanden per regime.

Schaal en volume

Veel persoonsgegevens, veel processen

U bent een mediahuis, retailer, marketingbureau, recruiter of platform-organisatie met persoonsgegevens van honderdduizenden of miljoenen betrokkenen. De volumes maken een Excel-aanpak onhoudbaar; betrokkenenrechten-verzoeken komen wekelijks binnen en moeten geautomatiseerd in meerdere systemen worden afgehandeld.

Incident-context

Na boete, klacht of audit-bevinding

De Autoriteit Persoonsgegevens heeft een klacht onderzocht, een boete opgelegd of een audit-bevinding gerapporteerd. Of een grote zakelijke afnemer heeft in zijn due-diligence vastgesteld dat uw operationele privacy-controls onvoldoende verifieerbaar zijn. Er is nu zowel intern als extern druk om structureel te investeren in tooling, niet alleen in beleid.

Nog niet zeker over een groot traject?

Test je idee eerst — werkend prototype in 1 dag

Met OneDayBuild maken we je idee in één dag tastbaar voor €950, zodat je weet of verdere ontwikkeling de investering waard is. Besluit je door te gaan met de volledige bouw? Dan verrekenen we de kosten volledig.

Bekijk OneDayBuild →

Hoe een traject loopt.

1

Kennismaking en scoping

Een gesprek waarin we begrijpen welke verwerkingen u doet, welke systemen daarin betrokken zijn, hoe uw privacy-organisatie er nu uit ziet (DPO, privacy-officers, juridisch, security) en welke standaardtools al draaien. We brengen ook de aanvullende regimes in beeld — NEN 7510, AI Act, DNB-eisen, BIO — en bepalen welke smaak platform passend is.

2

Discovery en architectuur

Workshop met uw DPO, security-officer en de business-eigenaren van de kernsystemen. We doen een data-mapping-sessie (welke persoonsgegevens leven waar, op basis van welke rechtsgrond, met welke retentie), schrijven de prioriteit-verwerkingen op, en kiezen architectuurpatronen die schaalbaar koppelen aan de bronsystemen. Aan het eind ligt er een data-architectuur, een eerste platform-architectuur en een sprintplanning die de risicovolle integraties voorin zet.

3

Bouw in sprints, juridische review meelopend

We werken in tweewekelijkse sprints. Uw DPO en juridisch adviseur lopen mee in de review van de processen die de tool ondersteunt — een DPIA-template moet juridisch kloppen, een DSAR-antwoord-template moet juridisch standhouden, een verwerkingsregister-veld moet aansluiten op de manier waarop uw toezichthouder erover redeneert. Wij bouwen, zij toetsen, en de iteratie daar tussenin maakt het platform bruikbaar.

4

Uitrol, training en doorlopend beheer

Gefaseerde uitrol — eerst het verwerkingsregister live, dan de DSAR-flow, dan DPIA, dan breach, dan de diepere integraties — zodat uw organisatie meegroeit met de tool. Twee training-sessies voor uw DPO en privacy-officers, een korte video-uitleg voor process-eigenaren, en een DPO-cockpit-overzicht voor uw bestuur. Vanaf go-live verzorgen we monitoring, patch-management, dependency-updates en de aanpassingen die uit nieuwe AP-richtsnoeren of EDPB-guidelines voortvloeien.

Veelgestelde vragen over een GDPR compliance platform.

De vragen die DPO's, privacy-officers en compliance-managers ons stellen voor een traject begint.

Wat is het verschil tussen AVG en ISO 27001 in dit verband?
De AVG is een wettelijk kader voor de bescherming van persoonsgegevens en gaat over rechtsgronden, betrokkenenrechten, doelbinding, dataminimalisatie en de organisatie van privacy-governance. ISO 27001 is een internationale standaard voor een Information Security Management System en gaat over informatiebeveiliging in bredere zin — niet alleen persoonsgegevens, en niet specifiek gericht op de juridische rechten van betrokkenen. Ze overlappen op security-controls (toegang, encryptie, logging, breach-respons) maar zijn niet inwisselbaar. Een ISO 27001-certificaat dekt niet automatisch de AVG, en omgekeerd. Wij bouwen graag één architectuur waarin de eisen vanuit beide kaders zijn ondergebracht — zie ook onze pagina over ISO 27001 compliant software.
Vervangen jullie OneTrust of TrustArc?
Voor het brede pakket aan privacy-governance-functies vrijwel nooit — OneTrust, TrustArc, Securiti.ai en DataGrail dekken een groot deel van de markt prima af, met een actieve roadmap rondom nieuwe regelgeving. Wij bouwen maatwerk wanneer u tegen de grenzen van die tools loopt: diepe integratie met uw eigen bronsystemen voor geautomatiseerde DSAR-afhandeling, branche-specifieke overlays (zorg, financieel, overheid), of een DPIA-flow die strak moet aansluiten op uw organisatie-specifieke risk-framework. In sommige gevallen draait een commodity-tool voor het register en bouwen wij de operationele laag eromheen. Dat advies geven we in het eerste gesprek, eerlijk over wat u zelf beter kunt kopen.
Hoe ondersteunt het platform dataminimalisatie en transparantie in HR-data?
HR is een van de gevoeligste verwerkingen onder de AVG: sollicitatiedata, beoordelings-data, ziekte-gegevens, salarisgegevens, soms ook gevoelige bijzondere categorieën (medisch, ras, religie). Dataminimalisatie betekent in de praktijk dat het HR-systeem alleen die velden bewaart die operationeel nodig zijn voor de aangegeven doelen, en dat verlopen data automatisch wordt verwijderd of geanonymiseerd. Transparantie betekent dat een medewerker desgevraagd direct kan zien welke data over hem of haar wordt bewaard, op welke rechtsgrond, hoe lang, en met wie gedeeld. Het platform koppelt aan uw HR-systeem (AFAS, Visma, Workday, Personio of een ander), past retentie-regels toe per dataset, biedt medewerkers een transparantie-portaal en levert HR de tooling om sollicitanten-data tijdig te verwijderen — een veelgestelde AP-bevinding.
Hoe vaak komt een AP-boete of klacht voor en hoe helpt het platform daarmee?
De Autoriteit Persoonsgegevens publiceert jaarlijks honderden onderzoeken en boetes, met grote bedragen voor zaken als ongeoorloofde profilering, onvoldoende beveiliging van persoonsgegevens, onjuiste rechtsgrond voor marketing en het te lang bewaren van sollicitanten-data. Het platform helpt op twee manieren: preventief, door de verplichtingen uit de AVG operationeel afdwingbaar te maken (geen verwerking zonder rechtsgrond, geen marketing zonder ingetrokken-mogelijkheid, geen data over de retentietermijn heen), en reactief, door bij een klacht of audit-onderzoek een schoon dossier te kunnen overleggen waarin alle DPIA's, breach-meldingen, verwerkersovereenkomsten en betrokkenenrechten-afhandelingen vindbaar zijn. Bewijslast is voor de Autoriteit Persoonsgegevens een groot deel van de discussie.
Wat doet het platform met de overlap tussen AI Act en AVG?
De AI Act stelt eisen aan AI-systemen die in veel gevallen op persoonsgegevens werken, en daar grijpt de AVG ook op aan. Voor hoog-risico AI-systemen onder de AI Act is een fundamental-rights-impact-assessment verplicht, die in de praktijk vaak gecombineerd wordt met de DPIA uit artikel 35 van de AVG. Het platform ondersteunt die gecombineerde assessment-flow: AI-specifieke risico's (bias, explainability, training-data-herkomst) worden in dezelfde tool gemeten als de privacy-risico's. Voor organisaties die AI-systemen ontwikkelen of inkopen is dat een efficiëntere route dan twee aparte processen draaiend houden.
Wat bepaalt de kosten van een GDPR compliance platform?
Vier dingen: de scope (alleen register en betrokkenenrechten, of het volledige platform met DPIA, breach, retentie en integraties), het aantal bronsystemen waaraan we het platform koppelen, de aanvullende regimes (NEN 7510, AI Act, DNB, BIO) en de volwassenheid van uw privacy-organisatie. Een organisatie waar de DPO actief is en het beleid staat, is een sneller traject dan een organisatie waarin de DPO net is aangesteld en het beleid parallel wordt geschreven. We schetsen de bandbreedte in het eerste gesprek en werken altijd met vaste sprintprijzen, zodat u niet voor verrassingen komt te staan.
Bouwen jullie ook voor zorg, financieel, marketing en overheid?
Ja. Voor de zorg loopt het platform in vrijwel alle gevallen samen met de eisen uit NEN 7510 (patiënt-logging, autorisatie, doelbinding) — wij bouwen één architectuur die AVG en NEN 7510 tegelijk afdekt. Voor de financiële sector overlapt het met onze trajecten rond DORA compliance software en KYC- en AML-compliance software, omdat de operationele veerkracht en het klantgegevens-beheer zwaar verweven zijn met de AVG. Voor marketing- en mediahuizen ligt het accent op consent-management, profilering-controles en granular retentie. Voor de overheid sluit het aan op BIO en op rapportage richting de Autoriteit Persoonsgegevens. Voor organisaties die naast privacy ook ESG- en duurzaamheidsverplichtingen rapporteren bouwen we soms een gecombineerd governance-platform met onze CSRD/ESG-rapportage software.
Wat doen jullie bij een datalek na go-live?
In het beheer-contract zit de operationele ondersteuning voor incidenten. Het platform bevat zelf de breach-flow met de 72-uurs-timer, severity-classificatie en de meldings-templates richting de Autoriteit Persoonsgegevens (artikel 33) en de betrokkenen (artikel 34). Wij ondersteunen bij de technische triage, de impact-analyse en de communicatie. Lessons-learned worden teruggevoerd in uw DPIA's, het verwerkingsregister en zo nodig in de beheersmaatregelen van de aangesloten systemen, zodat hetzelfde scenario niet twee keer voorkomt.

Praat met ons over uw GDPR compliance platform.

Een kennismaking van een half uur, vrijblijvend. We luisteren naar welke verwerkingen u doet, welke standaardtools al draaien, hoe uw DPO en privacy-organisatie er nu uit zien en welke aanvullende regimes meelopen — en geven richting waar u meteen iets aan hebt, ook als we uiteindelijk niet samenwerken.

Plan een kennismakingOf bekijk ons werk

Edit Content